2004年11月25日

防范DDOS攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件:sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。如果通过对服务器设置不能有效解决,那么就可以考虑购买抗DDOS防火墙了。 其实从操作系统角度来说,本身就藏有很多的功能,只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下通过修改注册表,增强系统的抗DoS能力。  


  请注意,以下的安全设置均通过注册表进行修改,该设置的性能取决于服务器的配置,尤其是CPU的处理能力。如按照如下进行安全设置,采用双路至强2.4G的服务器配置,经过测试,可承受大约1万个包的攻击量。 (以下部分可以保存为.reg文件快速添加到注册表)


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]



‘关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接
‘第二个网关,通过关闭它可以优化网络。
“EnableDeadGWDetect”=dword:00000000


‘禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
“EnableICMPRedirects”=dword:00000000


‘不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。
‘注意系统必须安装SP2以上
“NonameReleaseOnDemand”=dword:00000001


‘发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,
‘不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
“KeepAliveTime”=dword:000493e0


‘禁止进行最大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,
‘可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
“EnablePMTUDiscovery”=dword:00000000


‘启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
‘安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
‘设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
“SynAttackProtect”=dword:00000002


‘同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
‘的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
“TcpMaxHalfOpen”=dword:00000064


‘判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
“TcpMaxHalfOpenRetried”=dword:00000050


‘设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
‘项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
‘微软站点安全推荐为2。
“TcpMaxConnectResponseRetransmissions”=dword:00000001


‘设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
“TcpMaxDataRetransmissions”=dword:00000003


‘设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
“TCPMaxPortsExhausted”=dword:00000005


‘禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
‘源路由包,微软站点安全推荐为2。
“DisableIPSourceRouting”=dword:0000002


‘限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
“TcpTimedWaitDelay”=dword:0000001e


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
‘增大NetBT的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。
“BacklogIncrement”=dword:00000003


‘最大NetBT的连接快的数目。范围1-40000,这里设置为1000,数值越大在连接越多时允许更多连接。
“MaxConnBackLog”=dword:000003e8


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
‘配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统,建议设置为1,表示允许动态Backlog。
“EnableDynamicBacklog”=dword:00000001


‘配置最小动态Backlog。默认项值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目
‘低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN攻击的系统,建议设置为20。
“MinimumDynamicBacklog”=dword:00000014


‘最大动态Backlog。表示定义最大”准”连接的数目,主要看内存大小,理论每32M内存最大可以
‘增加5000个,这里设为20000。
“MaximumDynamicBacklog”=dword:00002e20


‘每次增加的自由连接数据。默认项值为5,表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
‘的系统,建议设置为10。
“DynamicBacklogGrowthDelta”=dword:0000000a



‘以下部分需要根据实际情况手动修改


‘————————————————————————————————-
‘[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
‘启用网卡上的安全过滤
‘”EnableSecurityFilters”=dword:00000001

‘同时打开的TCP连接数,这里可以根据情况进行控制。
‘”TcpNumConnections”=

‘该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上,增加该设置可以提高 SYN 攻击期间的响应性能。
‘”TcpMaxSendFree”=

‘[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]
‘禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录,可以导致攻击,所以禁止路由发现。
“PerformRouterDiscovery “=dword:00000000

2004年11月22日

windows2000服务安全与建议
Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.


Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.


Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无


Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止


Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.


ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止


Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止(会产生disk error,可忽略该错误)


DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP


Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)


Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动


DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.


DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停


Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.


COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.


Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.


Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.


Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.


IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.


Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.


Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.


Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)


Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.


TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.


License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.


TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.


Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.


NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.


Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止


FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.


Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留


Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.


Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动


Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.


Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.


Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.


File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.


NTLM Security Support Provider
服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client for microsoft安装后才在服务列表中出现.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 既然是安装后才有.当然无需去管,只有你没有安装client for microsoft.


Removable Storage
服务方向: 该服务负责管理可移动媒质,磁盘和库.
可执行文件 : winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 你可以在需要时启动该服务.


Plug-and-Play
服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的变化.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动.


IPSEC Policy Agent
服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全性驱动程序.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 这个服务请保留吧.


Protected Storage
服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止它们被未授权的服务,进程或用户访问.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 这个就不必问了,它对系统来说是必须的.


Remote Access Auto Connection Manager
服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上网的,当然也就不需要了.


Remote Access Connection Manager
服务方向: 该服务管理拨号网络连接
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)时才需要运行该服务,所以你可以禁止.


Routing and Remote Access
服务方向: 该服务在局域网和广域网环境中提供路由服务.该服务仅用于远程访问点.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络
建议: 该服务是不能关闭的,那只好好好配置咯.


Remote Registry
服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry
服务才能工作的.
可执行文件: winnt\system32\regsvc.exe
风险: 如果没有得到适当的配置,会潜在地将注册表暴露
建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧.


Remote Procedure Call(RPC) Locator
服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使客户能够找到兼容的RPC服务器.
可执行文件: winnt\system32\svchost -k rpcss
风险: 无已知风险
建议: 该服务应当仅在某个域控制器上运行


Remote Procedure Call(RPC)
服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机管理.
可执行文件: winnt\system32\svchost -k rpcss
风险: 会暴露系统信息
建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上都需要的?


QoS Admission Control
服务方向: 该服务提供带宽管理控制来保证到网络服务的访问.
可执行文件: winnt\system32\rsvp.exe -s
风险: 无已知风险
建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧.


Secrity Accounts Manager
服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的安全性信息以用于认证.
可执行文件: winnt\system32\lsass.exe
风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安全性风险.
建议: 这可是个必须的服务


Task Scheduler
服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运行.
可执行文件: winnt\system32\MSTask.exe
风险: 入侵者可以在此替你运行他种下的木马服务端喔
建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止.


RunAs
服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对特洛伊木马程序的一种应对手段.使用RunAs,你可以在作为一个非特权用户而登录的同时以管理员权限运行某个进程.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务应当启动


System Event Notification
服务方向: 该服务跟踪系统事件.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务记录windows登录,网络和电源事件,建议服务启用.


Internet Connection Sharing
服务方向: 将某计算机的Internet联机与其他一些计算机进行共享.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,绕过公司网络中的代理和监视服务.


Simple TCP/IP
服务方向: 这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 在各种TCP端口上运行了一些不安全的服务
建议: 虽然有危险,还是运行吧.


Simple Mail Transport Protocol(SMTP)
服务方向: 提供外发的Internet邮件服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 可以实现电子邮件的欺骗和中继
建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她.


SNMP
服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络控制台工作站
可执行文件: winnt\system32\snmp.exe
风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露有关windows2000服务器的敏感信息.
建议: 在内部网上用它才好.


SNMP Trap
服务方向: 接受从其他SNMP代理发过来的SNMP信息
可执行文件: winnt\system32\snmptrap.exe
风险: 没有已知风险
建议: 在内部网使用吧,其他就不要了.


Print Spooler
服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等待.
可执行文件: winnt\system32\spoolsv.exe
风险: 没有已知风险
建议: 除非你要处理打印队列,否则应当禁止该服务.


Performance Logs and Alerts
服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的.
可执行文件: winnt\system32\smlogsvc.exe
风险: 没有已知风险
建议: 当然是启用啊


Telephony
服务方向: 提供电话和基于IP地语音连接.
可执行文件: winnt\system32\svchost.exe -k tapisrv
风险: 没有已知风险
建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务.


Terminal
服务方向: 可以提供通过TCP/IP连接的远程桌面访问
可执行文件: winnt\system32\termsrv.exe
风险: 可以导致潜在的非法访问远程桌面以及强力攻击.
建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进行密切监视.


Terminal Services Licensing
服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的许可协议.
可执行文件: winnt\system32\lserver.exe
风险: 没有已知风险
建议: 该服务当服务器在Application Server Mode下运行Terminal服务时是必须得.


Trivial FTP Daemon
服务方向: 实现Trivial FTP Internet标准.
可执行文件: winnt\system32\tftpb.exe
风险: 导致潜在的未经授权的文件访问
建议: 应当应用在本地的可信任网络上.


Telnet
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序.
可执行文件: winnt\system32\tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现.
建议: 禁止吧


Utility Manager
服务方向: 可以启动和配置可达性工具.
可执行文件: winnt\system32\UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他


Windows Time
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧


World Wide Web Publishing
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有靠其他工具维护他的安全咯


Windows Management Instrumentation
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据.
可执行文件: winnt\system32\WBEM\WinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧


Windows Internet Name Service
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winnt\system32\win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了. 


 



端口部分
139端口
1.开始—程序—管理工具—本地安全策略—鼠标右点“IP安全策略,在本地机器”;
2.点击“管理IP筛选器表和筛选器操作”,在“管理IP筛选器列表”上点“添加”;
3.将弹出“IP筛选器列表”窗口;
4.添入名称和描述,比如“禁止139”,点添加,然后会出现一个IP“筛选器向导”,点下一步;
5.到“指定IP源地址”窗口,在“源地址”中选择“任何IP地址”,点下一步;
6.在“IP通信目标”的“目标地址”选择“我的IP地址”,点下一步;
7.在“IP协议类型”的“选择协议类型”选择“TCP”,点下一步;
8.在“筛选器向导”的“设置IP协议端口”里第一拦“从任意端口”,第二拦“到此端口”并且添上“139”,点下一步;
9.点“完成”,然后在点“关闭”,回到“管理IP筛选器表和筛选器操作”;
10.选择“管理筛选器操作”,点“添加”;
11.这时会出现一个“筛选器操作向导”的,点“下一步”,在“名称“里添上“禁止139端口”连接,点下一步,选择“阻止”,再点下一步;
12.点“完成”和“关闭”。


445端口
方法和上面的139端口的方法一样,只是注意在添加筛选器操作的时候不能用同一个“阻止”筛选器操作,否则规则没有作用。


完成上面两项操作后,回到“IP安全策略,在本地机器”,右点“IP安全策略”:
1.“IP安全策略向导”,点“下一步”,在“名称”中,添入“禁止使用139,445端口连接”一路点下一步,完成。
2.在“禁止使用139,445端口连接”里点“添加”,出现“安全规则向导”,一路下一步,到“IP筛选器列表”,选择“禁止139”(就是我们先前关闭139的时候添入的那名称),点下一步,在“筛选器操作”选择“禁止139”,点下一步,最后,点“完成”,“确定”;
3.通过“添加”将禁用445端口的筛选器列表和操作也添进去一路下一步,到“IP筛选器列表”,选择“禁止445”,点下一步,在“筛选器操作”里选“禁止445”,点下一步然后点“关闭”,回到“属性”窗口;
最后,只需要将刚才配置好的东西指派就成了。


135端口
对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。


关于17,19,7,9端口的打开应该是属于使用的是默认服务配置,关闭的方法;先去下载一个叫做 Configure Port Blocker 的软件,该软件可以直接删除不必要的端口


80端口
http://www.yesky.com/20010527/181643.shtml


使用安全有效的验证用户身份的方法(建议不允许匿名登陆);
在IIS中,将HTTP404 Object Not Found 出错页面通过URL重定向到一个定制的HTM文件。


IIS服务器
1. 更改默认的IIS路径,2. 把C盘下的InetPub目录彻底删除,3. 然后随便在什么盘建立一个,4. 在IIS管理器中将主目录指5. 向我们建立的目录
6. 打开IIS服7. 务器,8. 到“主目录”页面,9. 找到“设置”,10. 删除不11. 必要的映射,12. 留下我们要用的。删除在IIS管理器中右点主机—属性—WWW 服13. 务编辑—主目录配置—应用程序映射。在那个窗口的应用程序调试书签内,14. 讲脚本错误消息改为发送文本,15. 错误文本随便怎么写好了。退出时,16. 让虚拟站点继承设定的属性。
17. 删除默认的那些不18. 必要用到的虚拟目录,19. 比如mstdc,20. scripts等
21. 到C:\Winnt\system32下,22. 把 FTP , CMD, TFTP 这样重要的EXE程序进行一次全新的设置,23. 把系统的“IUSR_计算机名24. ”,25. 这个用户拒绝访问。


其他
1. 关掉Guest帐号:把这个账号停用,2. 任何时候都不3. 允许使用他登陆。最好是给他设置一个超复4. 杂密码,5. 用记事本乱打他什么数字,6. 大小写字母,7. 特殊符号,8. 弄他二十几位出来,9. 然后从记事本上复10. 制进去;
11. 删除掉没有用处的用户;
12. 把Administrator帐号改名,13. 随便改成一个什么。这个帐号好象可以使人用穷举法一次一次的尝试破解的。或者使用超长密码;
14. 共享文件的权限改成“授权用户”;
15. 打开审核策略记录下比如尝试用户密码,16. 改变帐户策略,17. 未经许可的文件访问等;
18. 密码策略得开启;
19. 不20. 让系统显示上次登陆的用户名21. :修改HKLM \ Software \ Microsoft \Windows NT \ CurrentVersion \Winlogon \ DontDisplay LastUserName 把 REG_SZ 的键值 改为 1;
22. 禁止建立空连接:默认情况下,23. 任何人都可以通过空连接连上服24. 务器,25. 猜密码。修改Local_Machine \ System \ CurrentControlSet \ Control \ LSA-RestrictAnonymous 的值改成1;
26. 如果服27. 务器不28. 玩游戏的话,把DirectDraw关掉: HKLM \ SYSTEM \ CurrentControlSet \ Control \ GraphicsDrivers \DGI的Timeout(TEG_DWORD)为 0;
29. 禁止Dump File 的产生:这个东西能提供给别人一些敏感信息,30. 如应用程序的密码等,31. 记录的是在死机,32. 蓝屏时的信息,33. 关掉。控制面板—系统属性—高级—启动和故障恢复,34. 把“写入调试信息”改为 无。


终端服务的设置
1、 第一步,2、 更改终端服3、 务的服4、 务器端设置。
打开注册表,找到类似这样的键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 找到PortNumber。0xd3d,这个是16进制,就是3389,这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
5、 第二步,6、 改客户端。
再来改客户端:打开客户端连接管理器,按照正常的步骤建立一个客户 端连接的快捷方式,选中这个连接,然后在“文件”菜单里选择“导出”(Menu->File->Export),这个操作会生成一个cns文件,就是终端服务客户端的配置文件,你可以用文本编辑器(比如记事本)编辑这个文件,找到“Server Port=3389”,改成你要的端口,然后再选导入(Menu->File->Import),这是的客户端快捷方式已经变成你需要的端口了。
需要注意的是,从微软主页上下载的终端服务客户端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服务器版终端服务自带的“制作安装盘”功能制作版本可以改端口,这个功能在管理工具的“终端服务客户端生成器”(Terminal Service Client Creator)中。
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。现在什么人什么时候登陆都一清二楚了,可是它却不记录客户端的IP(只能查看在线用户的ip)而是记录计算机名。我们建立一个.bat文件,叫做TSLog.bat,这个文件用来记录登录者的ip,内容如下:
time /t>>TSLog.log
netstat -n -p tcp|find “:3389″>>TSLog.log
start Explorer
来解释一下这个文件的含义:
第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号>>把这个时间记入TSLog.log第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显示ip和端口而不是域名、协议,-p tcp是只显示tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
也就是说只要TSLog.bat文件一运行,所有连在3389端口的ip都会被记录,那么如何让这个批处理文件运行呢?终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认得脚本(相当于SHELL环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,如果你只需要给用户特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替换成任意的SHELL。这个脚本也可以有其他的写法,例如写一个脚本把每个登陆用户的ip发送到自己的信箱对于很重要的服务器也是一个很好的方法。正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制。

2004年08月03日

现在绝大多数的虚拟主机都禁用了 ASP 的标准组件:FileSystemObject,因为这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置的 Windows NT / 2000 下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的 ASP 将无法运行,无法满足客户的需求。
  如何既允许 FileSystemObject 组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法,下文以 Windows 2000 Server 为例来说明。
  在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而 ASP 执行时,是以“IUSR_机器名”的身份访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了。
  下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。
  首先新建一个用户:打开“计算机管理”→“本地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单中选择“新用户”:在弹出的“新用户”对话框中根据实际需要输入“用户名”、“全名”、“描述”、“密码”、“确认密码”,并将“用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问 Internet 信息服务的内置帐号“IUSR_VHOST1”,即:所有客户端使用 http://***.***.***x/ 访问此虚拟主机时,都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要,创建多个用户,创建完毕后点“关闭”:
 
将这个用户隶属的组由默认的Users变成guests组:现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行设置; 在弹出的“IUSR_VHOST1”(即刚才创建的新帐号)属性对话框中点“隶属于”选项卡;刚建立的帐号默认是属于“Users”组,选中该组,点“删除”。 现在出现的是如下图所示,此时再点“添加”,在弹出的“选择 组”对话框中找到“Guests”,点“添加”,此组就会出现在下方的文本框中,然后点“确定”。
  
打开“Internet 信息服务”,开始对虚拟主机进行设置,本例中的以对“第一虚拟主机”设置为例进行说明,右击该主机名,在弹出的菜单中选择“属性”;弹出一个“第一虚拟主机 属性”的对话框,从对话框中可以看到该虚拟主机用户的使用的是“F:\VHOST1”这个文件夹。
 
暂时先不管刚才的“第一虚拟主机 属性”对话框,切换到“资源管理器”,找到“F:\VHOST1”(原文是单只修改这一个目录,我觉得还是把整个盘符的everyone权限去了,增加administrators组,比较好)这个文件夹,右击,选“属性”→“安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),首先将最将下的“允许将来自父系的可继承权限传播给该对象”前面的对号去掉。将如图中所示的“Administrator”(原文写的是administrator 但我觉得还是应该是administrators组,比较好)及在前面所创建的新帐号“IUSR_VHOST1”添加进来,将给予所需要的权限(有的需要读,很少的目录需要写,因此可以先设置成读的权限),还可以根据实际需要添加其他组或用户,但一定不要将“Guests”组、“IUSR_机器名”这些匿名访问的帐号添加上去!
 
再切换到前面打开的“第一虚拟主机 属性”的对话框,打开“目录安全性”选项卡,点匿名访问和验证控制的“编辑”:在弹出的“验证方法”对方框,点“编辑”;弹出了“匿名用户帐号”,默认的就是“IUSR_机器名”,点“浏览”:在“选择 用户”对话框中找到前面创建的新帐号“IUSR_VHOST1”,双击:此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码并再确定一遍密码。
 
OK,完成了,点确定关闭这些对话框。
  经此设置后,“第一虚拟主机”的用户,使用 ASP 的 FileSystemObject 组件也只能访问自己的目录:F:\VHOST1 下的内容,当试图访问其他内容时,会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。
  另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“安全”,将这个用户的帐号添加到列表中,并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”,所以不会影响下面的子目录的权限设置。

2004年07月31日

1、将SQL Server升级到最新版本,截止到04-07-31的最新版本是sp3a,在微软官方有提供下载。

2、SA密码尽量复杂,绝对不可为空。

3、若不需要别的服务器远程连接本地SQL Server数据库,将tcp 1433和UDP 1434端口封上。

4、关闭连接帐号以及public的创建表、创建sp、备份DB权限,避免被人利用使用备份功能生成webshell。需要系统生成表的时候,再临时打开创建表的权限。

5、删除不用的示范数据库:pubs/northwind

6、删除危险的内置存储过程和ActiveX自动脚本

列表如下:

先来列出危险的内置存储过程以及对应dll文件(在master数据库的扩展存储过程中):

xp_cmdshell:xplog70.dll
xp_regaddmultistring:xpstar.dll
xp_regdeletekey:xpstar.dll
xp_regdeletevalue:xpstar.dll
xp_regenumkeys:xpstar.dll
xp_regenumvalues:xpstar.dll
xp_regread:xpstar.dll(用来读取注册表信息的,我们通过这个存储过程来得到保存在注册表中Web绝对路径。)
xp_regremovemultistring:xpstar.dll
xp_regwrite:xpstar.dll
xp_regremovemultistring:xpstar.dll

ActiveX自动脚本:

sp_OACreate:odsole70.dll
sp_OADestroy:odsole70.dll
sp_OAMethod:odsole70.dll
sp_OAGetProperty:odsole70.dll
sp_OASetProperty:odsole70.dll
sp_OAGetErrorInfo:odsole70.dll
sp_OAStop:odsole70.dll

内置存储过程(在master数据库的存储过程中):
sp_makewebtask: ….dll:(用来导出数据库中表的记录为文件,文件名你可以自己指定,比如指定为asp木马。)

以上各项全在我们封杀之列。

对于扩展存储过程例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc ‘xp_cmdshell’,如果需要的话,再用sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库(或在企业管理器中右键点存储过程,然后看属性)。

对于内置存储过程,如sp_makewebtask,屏蔽的方法是:Drop Procedure sp_makewebtask,恢复的方法是新建存储过程,将其原来的代码复制过去。

最后,将危险的存储过程屏蔽后,我们还需要做的步骤是将对应的dll文件进行改名或者删除,以防止获得SA的攻击者将它进行恢复。
如上的三个dll中:xplog70.dll和odsole70.dll可以被删除,而xpstar.dll还有相关未知存储过程关联,还不能删除#14

附件,快速消除危险存储过程的代码(在企业管理器的SQL查询分析器中对master表使用)
sp_dropextendedproc ‘xp_cmdshell’
Go
sp_dropextendedproc ‘xp_regaddmultistring’
Go
sp_dropextendedproc ‘xp_regdeletekey’
Go
sp_dropextendedproc ‘xp_regdeletevalue’
Go
sp_dropextendedproc ‘xp_regenumkeys’
Go
sp_dropextendedproc ‘xp_regenumvalues’
Go
sp_dropextendedproc ‘xp_regread’
Go
sp_dropextendedproc ‘xp_regremovemultistring’
Go
sp_dropextendedproc ‘xp_regwrite’
Go
sp_dropextendedproc ’sp_OACreate’
Go
sp_dropextendedproc ’sp_OADestroy’
Go
sp_dropextendedproc ’sp_OAMethod’
Go
sp_dropextendedproc ’sp_OAGetProperty’
Go
sp_dropextendedproc ’sp_OASetProperty’
Go
sp_dropextendedproc ’sp_OAGetErrorInfo’
Go
sp_dropextendedproc ’sp_OAStop’
Go
Drop Procedure sp_makewebtask

恢复的方法例子:sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

2004年07月28日

1、一个背景、一个引子

2、参与基本资格设置

3、时间段设置

4、奖励设置:基本性奖励、抽奖式奖励。集体性奖励。

5、活动流程:玩家自发选择、

6、测试和推广

7

 

《梦幻西游》暑期精彩活动——影子之战

2004-07-23 15:28:27
  《梦幻西游》开发组为广大玩家准备了丰富精彩的暑期活动啦!从7月27日到9月3日,每天下午3:00—5:00期间,凡是等级大于等于30级的玩家,均可参与新颖多变的影子之战。除了体验新奇有趣的玩法,大家更会深刻感受一场人性之战、心灵之战的强烈魅力!在此活动中,玩家的每步行动都会影响到活动的最终结果。每天,你都会经历不同的精彩!

影子之战

故事背景:

  照妖镜——天庭神器,分辨世间善恶之物,既能辨形,亦能辨心。
  大唐盛世,人间天上,五谷丰登,物质富足。然吃喝享乐之风日盛,弥漫凡间上下,心魔日渐滋生。一日,托塔李天王与王母娘娘闲谈至此,王母娘娘心中不悦,拂袖将李靖手中的照妖镜掀翻。那照妖镜坠入凡间后,变幻成无数镜子碎片。李靖大惊,惶恐退下后,急令天兵下凡搜寻镜之碎片。玩家的任务也由此展开。

活动时间:7月27日——9月3日,周一至周五每天下午3:00—5:00

特别说明:7月26日“影子之战”将率先在以下四组服务器试行开放:
  北京区--紫禁城   华南区--逍遥城
  东北区--长白山   湖北区--黄鹤楼

活动流程:
  话说宝镜碎片散落在大唐周边的地域中,吸取山野灵气幻化成妖,但她们都是善良的镜妖,有不少都帮助过当地百姓。玩家需要收服这些镜妖,以使破碎的宝镜还原。在收服镜妖的时候,玩家将面临以下两种选择:
  一种是通过不伤害善良镜妖的方式收服她们。如此,玩家可以得到善良的镜片,并且会得到善恶点的奖励(善恶点可是以后做任务链的关键指标啊!)
  另一种是通过蛮横的、与镜妖战斗的方式收服她们。这般,玩家可以获取眼前的经验和金钱奖励,但得到的只能是邪恶的镜片。

  正所谓善恶一念间。玩家究竟是要为了眼前的奖励而杀害善良的镜妖,还是会不计报酬地帮助她们?这可就全凭玩家自己的判断了。


善良的镜妖 镜妖之战

  玩家在通过两种不同的方式收服镜妖后,可将得到的镜之碎片交还给长安的镜片使者。交还任何一种镜之碎片,玩家都将得到相同的奖励。


得到影子碎片

  到下午4:00的时候,如果服务器内累计收集的镜片达到200枚,宝镜将会恢复一定的灵气,并折射出无数的影子,爆发最终的“影子之战”。

  还记得自己得到的镜片吗?对了,你当初的选择会影响到最终的影子之战。如果你上交的是邪恶的镜片,那么,将会有一个邪恶的影子在地图的某处等着你;如果你上交的是善良的镜片,那么,会有一个跟你外形一样,并且同名的善良的影子在地图的某处。玩家需要在指定的地图上找到并收服这些影子。在规定的时间内,玩家们必须同心协力才能达到任务的要求,使全服务器都得到更多的双倍练级时间!


影子现身 影子之战


妙趣横生的影子之战

活动奖励:
  收服镜妖:以善良途径收服镜妖可以获得善恶点奖励,并得到“善良的镜之碎片”;以邪恶途径收服镜妖可以获得经验奖励,并得到“邪恶的镜之碎片”。
  上交镜片:无论得到哪种镜片,都可以上交给长安天台下(371,208)的镜片使者,换取一定的经验和金钱奖励,运气好的玩家还可能得到意外物品奖励。
  影子之战:收服善良的影子可获得一定经验和金钱奖励;打败邪恶的影子可以得到善恶点奖励,并有一定几率得到物品奖励。
  双倍时间:每天下午5:00活动结束时,如果玩家们收服的影子达到一定数量,服务器内所有玩家都将获得额外的双倍时间,所有玩家收服影子达到200,服务器将额外增加1小时的双倍时间,收服影子达到280将增加2小时双倍时间。

神兽泡泡大抽奖:
  活动期间每上交一枚镜之碎片,或收服一个影子,玩家都将获得1点活动积分,每周累计积分达到20的玩家,将自动获得一次抽奖资格,有机会赢取梦幻神兽“超级泡泡”,抽奖每周为一期,活动积分超出或不足部分不会积累到下周。
  活动期间共将发放120只神兽,每周抽取20只,奖励在中奖公布后的下周二开放领取,获奖玩家可以找长安天台下的超级泡泡使者领取,每一期的奖励领取时限为三个月。

2004年07月27日

这里抛开物理安全层面不讲,主要列举软件设置和一些必须的安全管理行为。

一、备份政策

    备份政策的目的相当明确,是网站数据丢失后的最后一道防线。
    两种备份方式:本地硬盘和镜像备份。一般条件下采用前者。
    备份方式和手段:
    (1)数据库
    access类的采用taskzip定期备份数据库。
    MS SQL SERVER类采用其自带的备份工具,采用完全(每周一次)和差异备份(每天一次)结合。

    (2)网站重要文件和资源
    如录像文件,文章系统,论坛系统等。
    采用taskzip定期备份。

  (3)网站配置类
   IIS的配置可以使用IIS自带的配置和还原功能,保留好备份的MDO文件,详细见本blog中的一篇文章:http://www.donews.net/upsky/archive/2004/11/12/167396.aspx
   Server-U的配置信息保存在servUAdmin.in 和 servUDaemon.ini两个文件中,备份这两个文件即可。 

二、安装防病毒程序Norton Antivirus

    病毒防火墙的意义在于查杀黑客可能上传的木马病毒(加密后的无法查出),一般调用WSH和FSO的asp木马程序,均会被Norton查出, 同时保证用户上传文件的清洁。
    作为web服务器,安装ZoneAlarm类的软件是不现实的。
    
三、定期进行windowsupdate操作,将系统打上最新的安全补丁。

    至少每周,或者按照windowsupdate默认的更新设置运行windowsupdte。
    这是至关重要的,黑客攻击基本上是找服务器的漏洞。打上最新的安全补丁,可以使系统避免相当大比例的常见攻击。
    
四、打上web应用程序的最新补丁,如下载系统、论坛系统等,相当多的攻击是这些web程序本身的上传漏洞以及被进行SQL Injection所造成的。

五、IIS设置部分

1.将IIS安装到系统盘以外的其他分区

  可缓解目录遍历带来的风险,防止攻击者浏览 Web 服务器的目录结构。
  设置方法:xcopy c:\inetpub\wwwroot\ :\wwwroot\ /s /i /o
  然后在IIS中设置网站的主目录到新目录。

2.删除IIS默认生成的目录

包括ISS Samples,MSADC,IISHelp,Scripts,IISAdmin,Printers。

3.在IIS管理器中删除或停止默认IISAdmin Web站点

4.禁用不需要的脚本映射

若不需要下列文件扩展名,通过将下列文件扩展名映射到 404.dll或者删除进行禁用:
    索引服务 (.idq、.htw、.ida)
    服务器端包括 (.shtml、.shtm、.stm)
    Internet 数据连接器 (.idc)
    HTR 脚本 (.htr)、Internet 打印 (.printer)
    .idq、.ida: 缓冲区溢出向攻击者提供了完全控制服务器的可能性。
    .htw:用户可能无意间通过浏览器或支持 HTML 的电子邮件客户端打开恶意链接。
    .shtml、.shtm、.stm:ssiinc.dll 安全问题可向浏览器返回任何 Web 服务器中的攻击者指定内容。
    .Idc:跨站点脚本安全问题可在错误页中提供完整的 URL,使攻击者能在服务器中随意运行脚本代码。
    .htr:显示 ASP 文件的源代码。
    .printer: 向攻击者提供目标 IIS 系统的远程控制台。

5.在网站设置时,将应用程序保护设置至少为中,切不可设置为低。若设置为低,则其进程将会以系统的权限运行。


六、权限设置

重点:(1)结合NTFS的用户权限控制系统对web目录下所有的目录进行严格的权限控制。
(2)使用IIS管理器严格限制相应目录的"执行许可",一般对IUSR_ComputerName有写权限的目录不能有执行许可。


1.通过NTFS调整web目录的权限,

删除默认的Everyone组对对Web 内容目录的所有权限。
增加IUSR_ComputerName对web目录的权限,一般只是读的权限,且只对需要写权限的目录赋予写的权限。
增加system组对web目录具有完全权限,目的让server-u所支持的ftp服务(该服务注册为系统级)可以进行完全的读写,覆盖和删除。

对web目录,只给少数必须的目录设置写的权限。(数据库文件,自动生成页面的目录)  

2.通过IIS,禁止文件上传相关目录如uploadfile,uploadface等目录属性中的“执行许可”设置为“无”。

3、设置server-u的目录只有Administrator和System有读取和运行的权限。设置C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目录只有Administrator和System有读取和运行的权限。为了避免有人获取webshell后获得这两个程序的帐号配置。

4、另外,对C盘系统盘的权限设置相当重要,能避免旁注以及降低其他攻击的可能性,方法如下:
首先去掉C盘的everyone的完全控制权限,其次将C盘的system和Administrators的权限设置为完全控制。

以下为各子目录的细化设置:
(1)、Documents and Settings目录只设置Administrators以及System的全部权限。
(2)、Documents and Settings目录下的All Users目录只有Administrators以及System的全部权限
(3)、Programe files目录也只设置Administrators以及System的全部权限。
(4)、删除windows安装目录上Creator Owner以及Power Users的所有权限,删除everyone的权限,增加Users组的读取以及运行权限(如果不增加这个Users的权限,access数据库的连接会出错)。
(5)、设置C:\Program Files\Common Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行,这个目录有数据库建立连接需要的内容,否则会出错。
(6)、把目录c:\winnt\system32给everyone赋予读取,列出文件夹目录,读取及运行即可。其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,这几个程序设置成只允许改名后的administrator访问。

七、限制访问端口,停用不需要的服务和协议

4、另外,对C盘系统盘的权限设置相当重要,能避免旁注以及降低其他攻击的可能性,方法如下:
首先去掉C盘的everyone的完全控制权限,其次将C盘的system和Administrators的权限设置为完全控制。

以下为各子目录的细化设置:
(1)、Documents and Settings目录只设置Administrators以及System的全部权限。
(2)、Documents and Settings目录下的All Users目录只有Administrators以及System的全部权限
(3)、Programe files目录也只设置Administrators以及System的全部权限。
(4)、删除windows安装目录上Creator Owner以及Power Users的所有权限,删除everyone的权限,增加Users组的读取以及运行权限(如果不增加这个Users的权限,access数据库的连接会出错)。
(5)、设置C:\Program Files\Common Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行,这个目录有数据库建立连接需要的内容,否则会出错。
(6)、把目录c:\winnt\system32给everyone赋予读取,列出文件夹目录,读取及运行即可。其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,这几个程序设置成只允许改名后的administrator访问。

七、限制访问端口,停用不需要的服务和协议

原则:只开放需要的端口,只使用需要的服务和协议,使服务器受到的攻击面尽可能的小。

1.仅开放常用端口

在本地连接属性的高级->选项->tcp/ip筛选中,只开放需要的端口,下面是常用服务所需要的一些端口:
ftp: tcp21
MS SQL Server:tcp1433 UDP1434
PC Anywhere: tcp5631 UDP5632
web访问:tcp80

其他的端口(包括所有的IP类端口)基本都可以关了。
可以使用active ports软件来查看目前网络开放的端口,以及关闭不需要的端口。
不过注意的是active ports列表中会列出除了上面几个端口以外的其他端口,基本上是系统自身运行所需要的,关闭后可能会影响系统正常运行。

2.若不需进行远程管理,停用基于Internet连接的SMB协议,停用TCP/IP服务中的NetBIOS协议

    主机枚举 (host enumeration) 攻击可通过扫描网络来确定潜在目标的 IP 地址。为了降低主机枚举成功攻击您 Web 服务器中面向 Internet 的端口的可能性,请停用除传输控制协议 (TCP) 以外的其他所有网络协议。Web 服务器的网络适配器不需要服务器信息块 (SMB) 和 NetBIOS。 注意:一旦停用 SMB和 NetBIOS,服务器将无法实现文件服务器或打印服务器的功能,您不能浏览任何网络,也无法远程控制Web 服务器。如果服务器是要求管理员在本地登录的专用 Web 服务器,这些限制不影响服务器的运行。

SMB 使用下列端口: TCP 端口 139 ,TCP 和 UDP 端口 445(SMB Direct Host),NetBIOS 使用下列端口: TCP 和UDP端口 137(NetBIOS 名称服务),TCP 和 UDP 端口 138(NetBIOS 数据报服务),TCP 和UDP 端口 139(NetBIOS 会话服务)。仅停用 NetBIOS 无法完全阻止 SMB 通信,因为如果没有标准的NetBIOS 端口,SMB 便使用 TCP 端口 445,即众所周知的 SMB Direct Host。因此必须分别停用NetBIOS 和 SMB。

设置步骤:(1)停用SMB:以 Web 服务器 Administrators 组成员的身份登录,在本地连接属性中清除“Microsoft 网络客户端”复选框。
(2)停用NetBIOS 协议 :“系统工具”->右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”,展开“非即插即用驱动程序”,右键单击“NetBios over Tcpip”,选择“停用”。

本步骤将停用 TCP 端口 445 和 UDP 端口 445 中 SMB 直接主机侦听程序。此外,它也将停用 Nbt.sys驱动程序,并要求重新启动系统。 一旦重新启动系统,可能看到服务控制管理程序中的错误信息。这些信息都是停用 NetBIOS 后的预期结果。


八,其他安全设置

1.禁用空会话,防止匿名登录

    空会话是未经身份验证或匿名的用户在两台计算机间建立的会话。如果不禁用空会话,攻击者可以不通过身份验证匿名连接到您的服务器。建立空会话的攻击者将实施各种攻击手段(包括使用枚举技术)来收集目标计算机中与系统相关的信息,这些信息大大帮助了攻击者实施后续攻击。空会话返回的信息包括:域和信任的详细信息、共享、用户信息(包括组和用户权限)、注册表项。
    设置过程:“管理工具”>“本地安全策略”,在安全设置下方,双击“本地策略”,然后单击“安全选项”。 双击“对匿名连接的额外限制”,然后在“本地策略设置”中选择“没有显式匿名权限就无法访问”。 重新启动 Web 服务器,使更改生效。

2.关闭默认共享
    
    win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们,主要有:
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到 PRINT$

%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

这些默认共享会被人利用进行IPC入侵。要禁止这些共享 ,打开管理工具>计算机管理>共享文件夹>共享 在相的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

彻底的解决办法是修改注册表:
打开注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0

3.尽量不安装与Web站点服务无关的软件;
  
原因:其他应用软件有可能存在黑客熟知的安全漏洞。


九、帐号策略:

1.帐号尽可能少,且尽可能少用来登录;

  说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。

2.除过Administrator外,有必要再增加一个属于管理员组的帐号;

  说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。

3.所有帐号权限需严格控制,轻易不要给帐号以特殊权限;

4.将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循着一原则。

  说明:这样可以为黑客攻击增加一层障碍。

5.将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;

  说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。

6.给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。

7.口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);

8.在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。

9.不让系统显示上次登陆的用户名
    默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .

十、日志管理和分析

日志是记录入侵者行为的一个非常关键的检测证据,一些入侵者进行入侵后,往往设法在退出前清除事件日志。因此必须保护好日志。

安全日志、系统日志和应用程序日志存放在%systemroot%\system32\config下,文件名为:

SecEvent.EVT,SysEvent.EVT和AppEvent.EVT。IIS日志可以通过IIS中日志记录的属性框中得到路径并修改,FTP的日志记录为MSFTPSVC1(此为IIS自带FTP服务的日志记录,Server-U的日志存放有所不同)

对于日志的安全保护:
(1)转移IIS日志放置的默认目录。
(2)安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

对日志分析的有利工具:

(1)安全日志、系统日志和应用程序日志的分析工具
(2)IIS日志:利用WebLog Expert进行IIS访问日志分析

十一、入侵检测和事后检查

1.最基本的入侵检测:打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败


2.安全检查重点对象:
可疑服务
可疑帐户
可疑进程
可疑端口
日志文件
Documents and Settings目录
系统根目录可疑文件
web文件夹下可疑文件

其他:

1 .修改net命令,增加破解难度。

最后最重要的安全设置:
进行防御DDOS的注册表设置,这对防御小规模DDOS骚扰非常有必要,否则一个个人PC发出1M的流量就可以让你的服务器挂掉。

       网站安全,犹如一国国防。一个朋友在新浪做程序员告诉我,他们哪怕写一个简单的投票程序,在投入使用前的最后一道工序就是要经过新浪的程序安全检查员的详细审核。叶子猪至今,也算是经历了大大小小网站安全方面的问题,今天晚上睡觉前,突然想对叶子猪至今以来的安全问题做一个回顾,于是有以下简单的文字。
         网站的潜在安全威胁主要是以下方面:
(1)服务器软件配置不安全,导致服务器被人控制。
    比如NTFS权限设置不妥、服务器安全补丁没打、服务器软件和设置的潜在漏洞没有被堵上等等,以至于网站被人取得控制权,被人做了肉鸡。
(2)网站被DDoS攻击
    大规模的被DDoS暴力攻击,导致网络堵塞,网站瘫痪。
(3)网站应用程序的漏洞
    比如论坛系统、文章系统、图片系统等,被人利用SQL Injection破解管理员密码,取得这些系统的控制权,或者被上传ASP木马。


         目前看来,叶子猪在第一个方面做的相当不错,在第一个方面被攻破的可能性大大降低。
         第二个DDoS攻击方面,对付他没有好的方法,只有使用价格昂贵的防DDos软件和硬件,并增加带宽。但如果带宽不够,仍然无力对付。可能的话,只有去寻求冗长而没有效果的政府和法律帮助。
        第三个方面:应该是目前比较重要的一个安全问题。主要问题在于程序开发者的安全意识和编程功底。解决方法一方面是是购买稳定的经过考验的程序,另外一个方面在自主开发程序的时候,时刻提防SQL Injection攻击的可能性,对程序需求稿中对安全单独列出作为要求。
         

            在叶子猪一年来的发展过程中,引起对网站安全重视的契机有2个,一个是最初动网上传文件的漏洞,在当时并不知道原因到底是什么的情况下,花了一个多星期详细研究网站以及操作系统的安全设置和NTFS权限设置问题,虽然最后发现是动网的程序漏洞的问题,却使得我们对网站安全的了解迈出了重要的一步,对网站系统安全有了非常重要的措施,堵上了各种形形色色可能的漏洞,并列出了叶子猪网站安全设置基准清单。
         另外一个契机尤其是近来一段时间网友“一块木头”对网站实施DDoS攻击以来。让我们不得不去详细了解关于DDoS攻击的来源和防范问题,使得我们对这种攻击有了非常全面的知识上和心理上的准备,我想,如果下次再接受到这样的攻击,我们至少不会象上次那样绝望。

         不管大家对一块木头的评价如何,接下来一块木头接着对网站的安全漏洞进行比较长时间的研究和扫描,确实非常有助于我们对叶子猪网站安全水平进行评估。他发现了图片中心的注入漏洞,从而使得我们又不得不了解这方面的知识,也从而在这些方面提高了安全性。
    

         失败是成功之母,只要有正确的态度和精神来引领自己。