Windows2003下IIS6結(jié)合ServU的安全設(shè)置

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

Windows2003下IIS6結(jié)合ServU的安全設(shè)置

最近因?yàn)镮IS和SERV-U以至服務(wù)器安全出現(xiàn)問(wèn)題。上網(wǎng)看了很多文章，對(duì)這方面比以前了解更加深！授人以魚(yú)不如授人以漁，希望能讓大家熟悉操作步驟同時(shí)，也知道為什么要這樣。更渴望和各位朋友交流經(jīng)驗(yàn)~，修補(bǔ)不足之處！Thanks
軟件環(huán)境 :
Windows Server 2003 Enterprise Edition Service Pack 1 簡(jiǎn)體中文版 (NTFS分區(qū))
Serv-U 6.3 英文版
MCAfee 8.0
1，首先安裝Serv-U6.3，路徑隨便，不要安裝在C盤(pán)！
路徑盡量復(fù)雜的，以減少入侵者猜到安裝路徑，如D:\5155kdh\5126554dad485\
2，運(yùn)行Serv-U，注冊(cè)域，把密碼保存設(shè)置為 “加密在注冊(cè)表里(Domain type:Store in computer registry)”。把帳戶(hù)密碼保存在注冊(cè)表比保存在ServUDaemon.ini安全。
3，Serv-U安裝完成后。打開(kāi)“計(jì)算機(jī)管理”，“本地用戶(hù)和組”。新建一個(gè)用戶(hù)，如Asion，密碼要長(zhǎng)，要復(fù)雜，抄下，一會(huì)還要用上！ 把用戶(hù)不能更改密碼和密碼永不過(guò)期勾上3， 打開(kāi)新建用戶(hù)(Asion)的屬性，在“隸屬于”中把Users刪除掉，即不屬于任何組
在“終端服務(wù)配置文件”，把“拒絕這個(gè)上用戶(hù)登錄到任何終端服務(wù)器”打上勾在“撥入”中，"遠(yuǎn)程訪問(wèn)權(quán)限"為“拒絕訪問(wèn)”
4，打開(kāi)Serv-U安裝目錄“屬性”“安全”“高級(jí)”，取消“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象”，然后點(diǎn)“復(fù)制”把System/Creator owner/Users 刪除掉，只留下”Administrator”.然后“添加”“高級(jí)”“立刻查找”，把新的建的用戶(hù)“Asion”進(jìn)去，權(quán)限除完全控制其它都給予！ (即Serv-U安裝目錄只有兩個(gè)用戶(hù)權(quán)限，Admin/asion完全控制)

5，，運(yùn)行注冊(cè)表程序Regedt32，打開(kāi)分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft，右擊CatSoft打開(kāi)權(quán)限，取消“允許父項(xiàng)的繼續(xù)權(quán)限傳播到該對(duì)象和所有子對(duì)象”，然后點(diǎn)刪除，再應(yīng)用。當(dāng)彈出警告對(duì)話(huà)框“你拒絕了所有用戶(hù)訪問(wèn)CatSoft。沒(méi)有人能訪問(wèn)Catsoft。而且只有所有者才能更改權(quán)限。你要繼續(xù)嗎” 選擇“是”。然后添加Administrator和新建的用戶(hù)Asion所有權(quán)限（完全控制
6，打開(kāi)計(jì)算機(jī)管理，“服務(wù)和應(yīng)用程序”“服務(wù)”，找到”Serv-U Ftp服務(wù)器”，打開(kāi)“屬性”“登錄”，將登陸身份設(shè)置為“此帳戶(hù)”，并將新建的帳戶(hù)asion添加上去，然后填上密碼，再應(yīng)用)接著重新啟動(dòng)一次Serv-U 服務(wù)。如果出現(xiàn)“錯(cuò)誤5：拒絕訪問(wèn)” 那就要檢查以上的操作有沒(méi)漏做一步！這種現(xiàn)象一般都是權(quán)限設(shè)置錯(cuò)誤！

7，運(yùn)行Serv-U Admin，在“Settings”“Advanced” 下，添加PASV port range 3000-3030
在域的Advanced中。添加被動(dòng)端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”
Serv-U安裝路徑盡量復(fù)雜，刪除所有快捷圖標(biāo)，包括Documents and Settings 下每個(gè)用戶(hù)目錄的快捷方式，目的是盡量減少入侵者猜中。建立新帳戶(hù)為為Serv-U的服務(wù)啟動(dòng)是為安全， Serv-U默認(rèn)是System啟動(dòng)，而Serv-U有一個(gè)默認(rèn)的管理用戶(hù)（用戶(hù)名：localadministrator，密碼：#|@$ak#.|k;0@p），任何人只要通過(guò)一個(gè)能訪問(wèn)本地端口43958的賬號(hào)就可以隨意增刪賬號(hào)和執(zhí)行任意內(nèi)部和外部命令。 而注冊(cè)表中設(shè)置只允許Admin和Serv-U服務(wù)帳戶(hù)全權(quán)，也是防止入侵IIS后而讀取Serv-U的Ftp 帳號(hào)密碼。指定PASV（被動(dòng)端口）很有必要，一是減少服務(wù)器端口開(kāi)放，越少越安全；二是使于管理。如果不開(kāi)放PASV，那么客戶(hù)用IE登陸FTP就會(huì)出錯(cuò)！ 另外FTP最好是開(kāi)啟記錄日志，要是被入侵，還有點(diǎn)痕跡可查。
IIS設(shè)置
1， 新建站點(diǎn)，(運(yùn)行IIS.msc)，新建一個(gè)站點(diǎn)。如FTP，目錄指向d:\ftp (名稱(chēng)和目錄自己定)，設(shè)置主頁(yè)文檔等等。瀏覽一下，看能不能正常顯示，行，就繼續(xù)下一步
2， 打開(kāi)計(jì)算機(jī)管理，“本地用戶(hù)和組”，“新建一個(gè)用戶(hù)”，如IIS_FTP，密碼盡量長(zhǎng)，并且記下！打開(kāi)該用戶(hù)屬性，在“隸屬于”中刪除USERS組，即不屬于任何組。在“終端服務(wù)配置文件”中，勾上“拒絕這個(gè)用戶(hù)登陸到任何終端服務(wù)器”，然后應(yīng)用
3， 打開(kāi)IIS管理器，新建站點(diǎn)（FTP）的屬性，“目錄安全性”“身份驗(yàn)證和訪問(wèn)控制”“編輯”，點(diǎn)“瀏覽”選取新建的用戶(hù)IIS_FTP，并填上密碼， 再應(yīng)用確定！
4， 打開(kāi)站點(diǎn)的文件目錄（D:\ftp）“屬性”，“安全”“高級(jí)”，取消“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象。”，在彈出的對(duì)話(huà)框中，選“刪除”。 然后添加Administrator 完全控制，添加IIS_FTP用戶(hù)除了“完全控制“所以權(quán)限，也可以根椐網(wǎng)站的要求對(duì)應(yīng)分配權(quán)限。我是這樣設(shè)置的。然后，在IIS管理器中測(cè)試該站點(diǎn)，正常繼續(xù)下文。如果沒(méi)法顯示或者出錯(cuò)，檢查以上操作，注意一下權(quán)限設(shè)置。
原理和上面Serv-U的設(shè)置一樣，只要理解了權(quán)限設(shè)置就行。的確，權(quán)限很復(fù)雜，現(xiàn)在我都很迷茫，還希望高人指點(diǎn)一二。Thanks ^o^
MCAfee 8.0
在殺毒軟件設(shè)置中，發(fā)現(xiàn)病毒時(shí)自動(dòng)清除；清除失敗時(shí)自動(dòng)刪除（別設(shè)置在提示并讓用戶(hù)選擇）。多數(shù)站點(diǎn)入侵都是ASP木馬。讓Antivirus 發(fā)現(xiàn)一個(gè)清一個(gè)！

IIS結(jié)合Serv-U
1， 剛才Serv-U和IIS都已經(jīng)完，現(xiàn)在要讓Serv-U配合IIS了。打開(kāi)站點(diǎn)目錄，打開(kāi)“安全”，添加Serv-U的運(yùn)行帳戶(hù)“Asion”，權(quán)限分配為除“完全控制”/“運(yùn)行文件”/“更改權(quán)限”/“取得所有權(quán)”之外的所有權(quán)限。
2， 因?yàn)檎军c(diǎn)文件在d:\ftp下，所以還需要設(shè)置Serv-U運(yùn)行帳戶(hù)（Asion）對(duì)d:\盤(pán)的特殊訪問(wèn)，只付予“運(yùn)行文件”/“讀取屬性”/“讀取擴(kuò)展屬性”/“讀取權(quán)限”，切記：應(yīng)用到“只有該文件夾”。 如果站點(diǎn)文件在X:\abc\efg\目錄，那同理還需要對(duì)X: 和 X:\abc\ 操作這一步
這里要注意的， 如果站點(diǎn)路徑?jīng)]有設(shè)置好權(quán)限(上面第2步)，剛開(kāi)始登陸FTP是正常，但一段時(shí)間后，就會(huì)提示 “530 Not logged in, homedirectory does not exist” 或者帳戶(hù)密碼正確也不無(wú)登
加固IIS和SERV-U
1， 打開(kāi)本地連接， “Internet 協(xié)議(TCP/IP)” “屬性” “高級(jí)” “選項(xiàng)”
打開(kāi)Tcp/ip篩選 “啟用 TCP/IP篩選”，只允許TCP20、21、80、3389和SERV-U的被動(dòng)端口3000~3015，允許所有UDP和IP協(xié)議。
2， 打開(kāi)IIS信息服務(wù)管理器，“應(yīng)用程序池”“Default AppPool屬性”中，取消“空閑超時(shí)”和“啟用快速保護(hù)失敗”
3， 每個(gè)盤(pán)符根目錄(如c:\ 、d:\、e:\....)都不要給予Everyone權(quán)限，并把盤(pán)符下所有目錄取消“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象”
4， 刪除Documents and Settings、Documents and Settings\All Users和D:\Documents and Settings\Default User的Evryone權(quán)限
上文提到的asion和IIS_FTP用戶(hù)，可以隨便改，只是設(shè)置時(shí)沒(méi)寫(xiě)錯(cuò)就行！建議大家更改，不要用相對(duì)容易記憶的用戶(hù)名。另外，有些文章說(shuō)更改登陸Serv-U的提示符，我覺(jué)得完全沒(méi)有必要，用FTP軟件一連接，返回信息220，那肯定是Serv-U了!而IIS和Serv-U都不需要System用戶(hù)運(yùn)行，所以就把相關(guān)目錄的system權(quán)限刪除，無(wú)非是怕溢出得到system權(quán)限（這個(gè)比Admin還高級(jí)）。 補(bǔ)充一點(diǎn)：IIS中文件分類(lèi)設(shè)置權(quán)限，為不同的類(lèi)型文件建立不同目錄，然后給予適應(yīng)的權(quán)限。如靜態(tài)文件：允許 R，拒絕W ；ASP文件： 允許E，拒絕W和R ；EXE目錄：允許E，拒絕W和R 做為網(wǎng)管，安全工作永沒(méi)完善，或多或少都有漏洞，唯有最大能力減少被入侵的機(jī)率，事后迅速補(bǔ)救。
我每次遠(yuǎn)程登陸服務(wù)器，首先做的都必打三個(gè)命令。
tasklist ：顯示系統(tǒng)所有進(jìn)程，雖然不少木馬把名字改為svchost.exe 等等系統(tǒng)服務(wù)來(lái)隱藏，但明顯的進(jìn)程還是要查殺。
Taskkill /pid ：能終止大部份進(jìn)程，確定是可疑進(jìn)程就殺。還不能殺的只好進(jìn)安全模式了…..
Netstat –an ： 以數(shù)字形式顯示所有本機(jī)的連接端口。這樣可以看清楚那些端口被使用。

問(wèn)題未解決？付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！