首先,我不得不先介绍微软新出的一个安全基线分析工具,当我第一次使用它的时候,简直没法形容我当时的欣喜之情,就三个字:“帅呆了”,话不多说,还是让大家先领略一下它的丽人风姿吧,先赶紧到http://download.microsoft.com/download/8/e/e/8ee73487-4d36-4f7f-92f2-2bdc5c5385b3/mbsasetup.msi下载并安装、运行,图一是它的效果:
图一
图一就是用它对我的机器进行扫描后出现的结果,不看不知道,我的机器上还有这么多的补丁还没有打,那怎么办?赶紧打上吧,还等什么,点击图一中出现错误的那一项的“result details”,出现详细的描述,然后有下载修正补丁的网址,接下来你就知道该怎么作了吧?。是不是很方便呢?尤其对于作网站管理的人来说;
其次安装microsoft systems management server和sms sus feature pack(软件升级服务、补丁下载更新工具包)这两个工具是必需的。它可以帮助你在安装有sms的工作站和服务器上利用sms sus feature pack安装安全补丁而不影响正常开展日常业务,并且保证你的系统永远处于最新状态;
最后,还有一些其他工具,比如qchain、adtest、iis lockdown、urlscan等,就不一一介绍。
以上工具只是帮助我们快捷地分析问题,解决问题还得靠我们自己,所以在这里,我想就如何打造一个安全的web服务器发表一些我个人的见解和看法,不当之处望各位批评指点。
1。禁用netbios和smb
描述:
在web服务器和域名系统(dns)服务器中不需要这两个协议,所以应当禁止这两个协议。netbios的端口和名称对照:udp/137(netbios名称服务)、udp/138(netbios数据报服务)和udp/139(netbios会话服务);smb使用的端口:tcp/139和tcp/445。
解决方法:
禁用smb:卸载“microsoft 网络客户端”和“microsoft网络的文件和打印机共享”;
禁用netbios:在“设备管理器”上选“显示隐藏的设备”,然后展开“非即插即用驱动程序”,右键点击“netbios over tcpip”,在它的“属性”设置对话框中把它的“启动类型”改为“手动”,然后单击“停止”。
2。使用ipsec安全策略保护你的服务器
一:设置“审核策略”
打开“mmc”控制台,添加“本地计算机策略”,展开,再依次展开“计算机配置”--〉“windows 设置”--〉“安全设置”--〉“本地策略”--〉“审核策略”,如图二所示:
图二
选择图二右侧列表框中的审核事件,双击,然后在它的属性对话框中选择审核的操作对象。
二:配置ip安全监视器
运行“ipsecmon”(在windows2003中打开控制台,添加“ip安全监视器”管理单元),在“属性”对话框中设置自动刷新间隔,这个自己定好啦。
三:使用本地计算机已有的ip安全策略
如图二,选择“ip安全策略,在本地计算机”,然后在右边的列表框中可以看到有“服务器(请求安全)”、“客户端(仅响应)”和“安全服务器(需要安全)”三项,右键“安全服务器(需要安全)”,选择“指派”。运行“cmd”,ping一下你已指派安全策略的ip地址,如图三所示:
图三
可以看到我们设置的安全策略已经在这个ip上启用,然后打开ip安全监视器,在统计信息我们可以看到诸如接收和发送等详细信息,然后我们再启动“cmd”,ping另一个ip,如图四所示:
图四
可以看到在两个ip之间产生了四次成功回复信息,然后我们再打开“计算机管理”,同样是在“mmc”中添加“计算机管理”管理单元,展开“系统工具”--〉“事件查看器”--〉“安全性”,双击“审核成功”事件,看到我们刚才两个ip之间通话的详细记录。
四:在你的机器上定义安全服务器策略
上面设置的默认ip安全策略,可能会让你的安全服务器端不能正常的与客户端或dns域名系统建立连接,这是因为在进行任何的通信连接之前,安全服务器都要严格地检查所有欲与安全服务器进行通话的ip数据包来确认它的有效性,所以还必须根据你的安全需求和网络布局自定义安全服务器策略。
五:允许非ip安全策略的客户端与你的安全服务器通话(这也只是在同一个域中的另一台机器)
