原理篇

我們將從入侵者入侵的各個(gè)環(huán)節(jié)來作出對(duì)應(yīng)措施一步步的加固windows系統(tǒng)，一共歸于以下幾個(gè)方面：

1. 端口限制

2. 設(shè)置ACL權(quán)限

3. 關(guān)閉服務(wù)或組件

4. 包過濾

5. 審計(jì)

我們現(xiàn)在開始從入侵者的第一步開始，對(duì)應(yīng)的開始加固已有的windows系統(tǒng)：

1. 掃描

這是入侵者在剛開始要做的第一步，比如搜索有漏洞的服務(wù)

對(duì)應(yīng)措施：端口限制

以下所有規(guī)則，都需要選擇鏡像，否則會(huì)導(dǎo)致無法連接我們需要作的就是打開服務(wù)所需要的端口.而將其他的端口一律屏蔽。

2. 下載信息

這里主要是通過URL SCAN.來過濾一些非法請(qǐng)求

對(duì)應(yīng)措施：過濾相應(yīng)包

我們通過安全URL SCAN并且設(shè)置urlscan.ini中的DenyExtensions字段來阻止特定結(jié)尾的文件的執(zhí)行

3. 上傳文件

入侵者通過這步上傳WEBSHELL、提權(quán)軟件、運(yùn)行cmd指令等等

對(duì)應(yīng)措施：取消相應(yīng)服務(wù)和功能，設(shè)置ACL權(quán)限

如果有條件可以不使用FSO的

通過 regsvr32 /u c:\windows\system32\scrrun.dll來注銷掉相關(guān)的DLL，如果需要使用，那就為每個(gè)站點(diǎn)建立一個(gè)user用戶對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄，只給這個(gè)用戶讀、寫、執(zhí)行權(quán)限，給administrators全部權(quán)限。安裝殺毒軟件，實(shí)時(shí)殺除上傳上來的惡意代碼，個(gè)人推薦MCAFEE或者卡巴斯基。如果使用MCAFEE.對(duì)WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止。

4. WebShell

入侵者上傳文件后，需要利用WebShell來執(zhí)行可執(zhí)行程序，或者利用WebShell進(jìn)行更加方便的文件操作。

對(duì)應(yīng)措施：取消相應(yīng)服務(wù)和功能

一般WebShell用到以下組件

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

我們?cè)谧��?cè)表中將以上鍵值改名或刪除，同時(shí)需要注意按照這些鍵值下的CLSID鍵的內(nèi)容，從/HKEY_CLASSES_ROOT/CLSID下面對(duì)應(yīng)的鍵值刪除

5. 執(zhí)行SHELL

入侵者獲得shell來執(zhí)行更多指令

對(duì)應(yīng)措施：設(shè)置ACL權(quán)限

Windows的命令行控制臺(tái)位于\WINDOWS\SYSTEM32\CMD.EXE

我們將此文件的ACL修改為某個(gè)特定管理員帳戶(比如administrator)擁有全部權(quán)限。

其他用戶，包括system用戶、administrators組等等，一律無權(quán)限訪問此文件。

6. 利用已有用戶或添加用戶

入侵者通過利用修改已有用戶或者添加Windows正式用戶，向獲取管理員權(quán)限邁進(jìn)

對(duì)應(yīng)措施：設(shè)置ACL權(quán)限、修改用戶

將除管理員外所有用戶的終端訪問權(quán)限去掉，限制CMD.EXE的訪問權(quán)限，限制SQL SERVER內(nèi)的XP_CMDSHELL

7. 登陸圖形終端

入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端，獲取許多圖形程序的運(yùn)行權(quán)限。由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的，所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的

對(duì)應(yīng)措施：端口限制

入侵者可能利用3389或者其他的木馬之類的獲取對(duì)于圖形界面的訪問。我們?cè)诘谝徊降亩丝谙拗浦校瑢?duì)所有從內(nèi)到外的訪問一律屏蔽也就是為了防止反彈木馬，所以在端口限制中，由本地訪問外部網(wǎng)絡(luò)的端口越少越好。如果不是作為MAIL SERVER，可以不用加任何由內(nèi)向外的端口，阻斷所有的反彈木馬。

8. 擦除腳印

入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后，就是擦除腳印來隱藏自身

對(duì)應(yīng)措施：審計(jì)

首先我們要確定在windows日志中打開足夠的審計(jì)項(xiàng)目，如果審計(jì)項(xiàng)目不足，入侵者甚至都無需去刪除windows事件。其次我們可以用自己的cmd.exe以及net.exe來替換系統(tǒng)自帶的將運(yùn)行的指令保存下來，了解入侵者的行動(dòng)。對(duì)于windows日志，我們可以通過將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來保證記錄的完整性。evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能，使用此用具，并且在遠(yuǎn)程服務(wù)器上開放syslogd，如果遠(yuǎn)程服務(wù)器是windows系統(tǒng)，推薦使用kiwi syslog deamon。我們要達(dá)到的目的就是不讓入侵者掃描到主機(jī)弱點(diǎn)，即使掃描到了也不能上傳文件，即使上傳文件了不能操作其他目錄的文件，即使操作了其他目錄的文件也不能執(zhí)行shell，即使執(zhí)行了shell也不能添加用戶，即使添加用戶了也不能登陸圖形終端，即使登陸了圖形終端、擁有系統(tǒng)控制權(quán)，他的所作所為還是會(huì)被記錄下來。

額外措施：我們可以通過增加一些設(shè)備和措施來進(jìn)一步加強(qiáng)系統(tǒng)安全性。

1. 代理型防火墻，如ISA2004

代理型防火墻可以對(duì)進(jìn)出的包進(jìn)行內(nèi)容過濾，設(shè)置對(duì)HTTP REQUEST內(nèi)的request string或者form內(nèi)容進(jìn)行過濾，將SELECT、DROP、DELETE、INSERT等都過濾掉，因?yàn)檫@些關(guān)鍵詞在客戶提交的表單或者內(nèi)容中是不可能出現(xiàn)的。過濾了以后可以說從根本杜絕了SQL 注入。

2. 用SNORT建立IDS

用另一臺(tái)服務(wù)器建立個(gè)SNORT，對(duì)于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄，特別是FTP上傳的指令以及HTTP對(duì)ASP文件的請(qǐng)求，可以特別關(guān)注一下。本文提到的部分軟件在提供下載的RAR中包含：

包括COM命令行執(zhí)行記錄

URLSCAN 2.5以及配置好的配置文件

IPSEC導(dǎo)出的端口規(guī)則

evtsys

一些注冊(cè)表加固的注冊(cè)表項(xiàng)