艾锑知识 | windows服务器管理的安全注意事项

2020-03-05 17:14 作者：艾锑无限 浏览量：

3月2日早晨,这个世界上最伟大的CEO,前通用电器的掌舵人杰克韦尔奇因病逝世。在他执掌通用电器的19年中，公司一路迅跑，并因此连续三年在美国<<财富杂志>>全美最受推崇公司评选中名列前茅。

通用电器在他的执掌时市场资本增长30多倍，达到了4500亿美元，排名从世界第10提升到第1名。已有12个事业部，在其各自的市场上数一数二。如果单独排名，通用电器有9个事业部能入选财富500强，从一家制造业巨头转变为以服务业和电子商务为导向的企业巨人，使百年历史的通用电器成为真正的业界领袖级企业。
 
 
本人喜欢杰克韦尔奇，并不是因为他创造了这样一家伟大的企业，贡献了这样一个让人难以启迪的高度，而是因为他的管理哲学以及管理理念，他认为在你没有成为领导者之前,最大的成功就是自己的成长，而成为领导者之后，最大的成功就是帮助他人成长,培养更多的优秀人才才是领导者重之之重的工作。

 
在一次电视访谈中,主持人问杰克,除了你的这些管理理念,还有什么对于一个CEO来说是非常重要的,杰克韦尔奇说伟大的CEO就是伟大的教练，作为一名CEO,不只是去管理你的企业,更需要帮助你的管理者成为领导者,让他们的潜能发挥出来,这才是一名CEO该做的事.
杰克为什么会这么推崇一位CEO要成为一名教练,我想也是源于他和管理学大师德鲁克先生的一段故事.
 
当年，杰克·韦尔奇出任通用电气总裁伊始，他去求见德鲁克，咨询有关企业成长的课题。德鲁克送给他一个简单的问题：假设你是投资人，通用电气这家公司有哪些事业，你会想要买？这个大乎哉的问题对韦尔奇产生了决定性的影响。经过反复思考，韦尔奇作出了著名的策略决定：通用电气旗下的每个事业，都要成为市场领导者，“不是第一，就是第二，否则退出市场”。
 
透过这个故事我们发现,管理学的大师德鲁克先生并没有给杰克什么解决方案,而只是仅仅提出了一个问题,让杰克从更高维度上来思考通用这家公司,到底作为CEO你想要的是什么,他就立刻知道自己接下来如何干了.

作为企业CEO的你又是如何做的呢?

艾锑知识 |windows服务器管理的安全注意事项

web服务器

1.web服务器关闭不需要的IIS组件，比如禁用wev，禁用cgi和asp功能

2.隐藏网站物理路径，删除默认网站，更改网站的物理路径

3.删除无用的虚拟目录以及iis映射,只保留需要后缀文件的映射，

4.启用IIS日志记录，每天审查日志

5.设置web站点目录访问权限为读取权限，去除写入，目录浏览；尽可能不给执行权限

6.防止access数据库被下载，具体操作为:添加.mdb扩展名的映射的都做为禁止（默认是POST,GET,）

7.禁用vbscript执行权限

数据库服务器

1.SQLSERVER 禁用xpcmd..命令

2.sqlserver 服务器，禁止采用sa作为访问账号，访问账号的权限授予public权限(read,write)即可

3.为保证数据库服务器的安全连接，做ip访问限制，修改默认端口

4.最好是低权限运行

对页面木马后门的防范

1.禁用FSO对象,防止病毒脚本复制，传播

regsvr32 /u scrrun.dll

2.禁用adodb.stream对象

3.设置木马查找工具

4.防止php，asp等文件被修改，可以 配合mcafee

web服务器漏洞

1.IIS6解析漏洞

如果一个目录以"xxx.asp"的形式命名，那么该目录下的所有类型文件都会被当做asp文件来进行解析执行

如果一个文件的扩展名采用".asp;*.jpg"的形式，那么该文件也会被当做asp文件解析执行 *随便些什么 ，也可以不写

原理：IIS识别不出后缀，默认用第一个后缀

2.windows命名机制漏洞

在windows环境下，xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的，若这样命名，windows会默认除去空格或点，这也是可以被利用的！

在向一台windows主机上传数据时，你可以抓包修改文件名，在后面加个空格或点，试图绕过黑名单，若上传成功，最后的点或空格都会被消除，这样就可得到shell。比如新建一个文件"asp.asp."保存时，文件名会自动变成asp.asp,文件名为"asp.asp..","asp.asp口"（口标识空格），上传文件时可将
文件后缀更改成asp.xx.,逃避校验

3.IIS6,7,7.5 映射问题

.asp, .cer,.asa,.cdx 类型的文件，IIS对其的映射处理更asp一样，会按照asp进行执行

4.IIS 7.0/IIS 7.5/Nginx <=0.8.37 FastCGI问题

在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾

e.g. copy xx.jpg/b + yy.txt/a xy.jpg

######################################

/b 即二进制[binary]模式

/a 即ascii模式 xx.jpg正常图片文件

yy.txt 内容 ');?>

意思为写入一个内容为 名称为shell.php的文件

######################################

找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可执行恶意文本。

然后就在图片目录下生成一句话木马 shell.php 密码 cmd