-
我们需要配置服务器组件提供支持如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySQL、SMTP、POP3、FTP和Web 3389终端服务远程桌面连接管理服务),这个前提是已经安装在系统中,包括IIS、FTP服务器、邮件服务器等,这些具体的配置方法就不再重复了,现在我们主要集中在安全配置。
关于常规安装等系统安全,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口,配置MS-SQL,删除危险的存储过程,以及连接公共账户的最低权限。
首先,我们可以看到很多关于系统的NTFS磁盘权限,但是在2003服务器中有一些细节需要注意。我认为没有很多文章是完全写出来的。
C只对管理员和系统权限,其他权限不可以,其他的磁盘也可以设置在这里,给系统权限不一定需要,只是因为一些第三方应用程序是以服务的形式启动的,需要添加这个用户,或者导致不启动。
Windows目录添加到用户的默认权限,否则应用程序如ASP、ASPX不能跑。之前有个朋友把instsrv、温度和其他目录的权限,这是没有必要的。
除了C: /文件和设置 /这里相当重要,后面的目录权限不继承前一套,如果只有一套C管理员权限,并在所有用户/应用程序数据目录会出现人人用户有完全控制权限,这样入侵可以跳转到这个目录,或只写一个脚本文件。结合其他漏洞来提升权限;如Serv-U提升权限的系统或局部溢出,失踪的补丁,数据库的弱点,甚至社会工程的N多方法,以前没有发专家飑说:只要给我一个webshell,我将能够在使用Web和FTP服务器系统到系统,建议锁定所有这些目录。每一个磁盘的目录设置这样,无盘只给adinistrators权限。
此外,它还将程序,cmd.exe,tftp.exe,netstat.exe,REGEDIT.EXE,at.exe,文件夹和cacls.exe,所有这一切都将只允许管理员访问。
禁止不必要的服务,虽然这些可能不被攻击者使用,但根据安全规则和标准,不必要的东西不需要打开,以减少潜在的危险。