灵活配置 提高系统安全性
2020-11-11河南刘景云
■ 河南 刘景云
编者按:笔者单位的一台服务器遭到了黑客入侵,黑客通过非法提权和网页挂马等手段,将运行在其中的网站变得面目全非。该机是一台相对较老的机器,上面安装的是Windows Server 2003 R2系统。考虑到在一些企业中还运行着不少Windows Server 2003服务器,完全可以满足一定的业务需求。所以需要增加其安全性,使其避开黑客袭扰,更好的为企业服务。
封锁端口,防止非法连接
为了保护系统正常运行,最好将各种危险的端口全部封闭,不给黑客以可乘之机。使用IP安全策略,可以手动的封锁危险的端口。
例如,运行“gpedit.msc”程序,在组策略编辑器左侧打开“计算机配置→Windows设置→安全设置→IP安全策略”项,在右侧窗口中右击“创建IP安全策略”项,在向导窗口中点击“下一步”按钮,设置策略名称和描述信息。在下一步窗口中取消“激活默认响应规则”项的选择状态。双击刚才创建的IP策略,在弹出窗口取消“使用添加向导”项的选择状态。
点击“添加”按钮,在弹出窗口中的“IP筛选器列表”面板中点击“添加”按钮,输入本筛选器名称和描述信息。点击“添加”按钮,同样不选择“使用添加向导”项。继续点击“添加”按钮,在“寻址”面板的“源地址”列表中选择“任何IP地址”,在“目标地址”列表中选择“我的IP地址”项。在“协议”面板中的“选择协议类型”列表中选择“TCP”,先选择“从任意端口”项,再选择“到此端口”项,将端口设定为135,之后完成本筛选器创建操作。在“IP筛选器列表”面板选择上述筛选器项,在“筛选器操作”面板中点击“添加”按钮,选择“阻止”项。
完成本IP安全策略的创建操作以后,只要在该IP策略项的右键菜单上点击“指派”项,就可以激活保护动作,别人就无法连接TCP 135端口了。
不过,单纯依靠手工操作比较繁琐,可以利用预设的策略文件来实现批处理要求。
例如,可以下载“lockp Port.ipsec”文件,选择上述“IP安全策略”项,在右侧窗口中右击选择“所有任务→导入策略”项,选择“lockp Port.ipsec”文件后将其导入进来。之后双击“客户端(仅相应)”项,在其属性窗口中可以看到被封锁的端口信息。
在“客户端(仅相应)”项的右键菜单上点击“指派”项,激活该策略。
配置权限,防止非法登录
可运行“compmgmt.msc”程序,在计算机管理窗口左侧选择“本地用户和组→用户”项,在“Administrator”用户的右键菜单上点击“设置”密码项,为其设置尽可能复杂的密码。
在组策略管理器中打开“计算机配置→Windows设置→安全设置→本地策略→安全选项”项,双击“账户:重命名系统管理员账户”项,为Administrator设置新的名称(例如“newuser01”)。然后双击“交互式登录:不显示上次的用户名”项,选择“已启用”。选择“用户配置→管理模版→系统”项,双击“阻止访问注册表编辑工具”项,选择“已启用”项,分支非法操作注册表。
通过运行“secpol.msc”程序,选择“本地策略→用户权限分配”项,双击“通过终端服务允许登录”项,点击“删除”按钮,将预设的账户全部删除。点击“添加用户或组”按钮,添加更名后的管理员账户。双击“通过终端服务拒绝登录”项,点击“添加用户或组”按钮,在选择对象或组窗口中的“选择对象类型”栏中确保选中“用户或内置安全主体”项。
点击“高级→搜索”按钮,依次将“LOCALl SERVICE”“ANONYOUS LOGON” “BATCH”“CREATOR GROUP” “DIALUP”“TERMINAL SERVER USER”“SYSTEM”等对象添加进来。这样设置益处很多,例如即使黑客在本地创建了账户,也无法通过终端服务登录。为了避免黑客发现本机开启了终端服务,可以运行华盾3389修改器之类的工具,将其设置不常见的端口,来避开黑客的扫描探测。
优化配置,提高安全性
当然,为了防止黑客利用系统漏洞进行渗透,可以借助于WSUS服务,或者使用安全工具为系统打上各种补丁。也可以运行Windows优化大师,在其左侧选择“系统安全优化”项,在右侧的“分析及处理选项”栏中选择“扫描木马程序” “扫描蠕虫病毒” “常见病毒检查和免疫”“关闭445端口” “启用自动抵御SYN攻击” “启用自动抵御ICMP攻击” “启用自动抵御SNMP攻击” “启用AFD.SYS” “禁止本机相应网络请求发布自己的NetBIOS名称”“减少连接有效性验证间隔时间”等项目,点击“分析处理”按钮,来启动对应的保护项目,以保护系统安全。
选择“禁止用户建立空连接” “禁止系统自动启用服务器共享” “禁止自动登录” “开机自动进入屏幕保护” “每次退出系统(注销系统)时,自动清除文档历史记录” “禁止光盘,U盘等所有磁盘自动运行”等项目,点击“优化”按钮,来提高系统安全性。
为了快速设置系统安全性,可以运行Windows 2003 Server安全自动化设置程序,在其操作界面中只需点击“0”键,就可以依次执行设置系统盘权限并优化系统,删除C盘所有Users权限,设置C盘EXE文件安全,删除SQL Server危险存储过程,封闭135、445端口,删除注册表危险项,删除服务器的网络共享,停止无用的系统服务,清理系统的垃圾文件等操作。
运行易方安全设置程序,在其中选择“磁盘安全设置” “网站主目录安全设置”“系统安全设置” “Serv-U安全设置” “PHP安全设置”“MySQL安全设置” “Winweb Mail安全设置”项,点击“开始设置”按钮,就可以毫不费力地完成所需的安全配置操作。
严密管控,防止黑客非法提权
为了防止黑客利用系统自带的工具提权,可以对其进行必要的控制。
例如,进入“c:windowssystem32”目录,选择“net.exe”程序,在其属性窗口中的“安全”面板中点击“删除”按钮,将“SYSTEM”之后的账户或组全部删除,点击“添加”按钮,导入上述更名后的管理员账户。对“SYSTEM”账户只保留“读取和运行”和“读取”权限。
对应地,可对“net1.exe”“ftp.exe” “sc.exe” “cacls.exe”“attrib.exe”以及“at.exe”等容易被黑客利用的程序进行同样的配置。
为黑客经常使用“cmd.exe”程序进行非法提权,所以需要对其严格控制。例如,可以在属性窗口中的“安全”面板中将所有的账户全部清除。点击“应用”按钮,在弹出的警告窗口中点击“确定”按钮,保存设置信息。
之后,“cmd.exe”程序就处于禁用状态,不管是任何用户试图调用该程序,系统都会弹出“无法访问指定设备,路径或文件,您可能没有合适的权限访问这个项目”的提示,使其无法操作该程序。
当然,为了自己实际需要,也可以创建专用的账户,将其单独添加到“cmd.exe”文件安全面板中的“组或用户”列表中,便于您使用命令行窗口。
为了防止SYSTEM账户访问“cmd.exe”程序,可以在注册表编辑器中打开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWin dowsSystem”分支,如果没有对应的子健则需要手工建立。在窗口右侧新建名称为“DisableCMD”类型为DWORD的项目,将其值设置为“1”,可以禁止命令解释器和批处理文件的运行。
经过以上设置之后,即使黑客对系统进行远程溢出攻击,但是在调用CMD Shell接口时会遭到系统拦截,使其无法对获得有效的控制权。当黑客通过某些漏洞实施系统远程溢出攻击后,就会利用获得远程CMD Shell接口执行各种危险的命令,例如添加账户、上传文件、激活木马等。
自动记录命令,追踪黑客痕迹
如果能够将黑客执行的所有命令记录下来,就可以了解其对系统进行了哪些入侵行为,进而将其入侵影响消除。例如,删除木马,清除非法账户等。还可以以此来顺藤摸瓜,了解系统存在哪些安全隐患,将其及时堵上。
使用CMD命令记录器,就可以轻松实现上述功能。点击“Windows+R”组合键,执行“cmd.exe”程序,在其中执行“ren c:windowssystem 32cmd.exe cm_.exe”命令,将原来的“cmd.exe”文件更名为“cm_.exe”。如果系统出现文件保护界面,需要点击“取消”按钮,让更名得以顺利进行。
当然也可以在安全模式,Windows PE等环境中进行更名操作。将下载的“CmdPlus.rar”压缩包解压到“c:windowssystem32”目录中。将其中的“cmdplus.exe”更名为“cmd.exe”,替换原来的“cmd.exe”程序。
之后,如果黑客对本机远程溢出得手,执行的所有命令全部经由“cmdplus.exe”程序,通过匿名管道传送给“cm_.exe”程序去执行,并将其完整记录下来。
打开“c:windowssys tem32”目录下的“history.txt”文件,可以看到CMD记录信息的所有内容。当然,您自己使用的话,可以直接执行“cm_.exe”程序,来操作各种命令。