艾銻知識(shí) | windows服務(wù)器管理的安全注意事項(xiàng)

2020-03-05 17:14 作者：艾銻無限 瀏覽量：

3月2日早晨,這個(gè)世界上最偉大的CEO,前通用電器的掌舵人杰克韋爾奇因病逝世。在他執(zhí)掌通用電器的19年中，公司一路迅跑，并因此連續(xù)三年在美國(guó)<<財(cái)富雜志>>全美最受推崇公司評(píng)選中名列前茅。

通用電器在他的執(zhí)掌時(shí)市場(chǎng)資本增長(zhǎng)30多倍，達(dá)到了4500億美元，排名從世界第10提升到第1名。已有12個(gè)事業(yè)部，在其各自的市場(chǎng)上數(shù)一數(shù)二。如果單獨(dú)排名，通用電器有9個(gè)事業(yè)部能入選財(cái)富500強(qiáng)，從一家制造業(yè)巨頭轉(zhuǎn)變?yōu)橐苑?wù)業(yè)和電子商務(wù)為導(dǎo)向的企業(yè)巨人，使百年歷史的通用電器成為真正的業(yè)界領(lǐng)袖級(jí)企業(yè)。
 
 
本人喜歡杰克韋爾奇，并不是因?yàn)樗麆?chuàng)造了這樣一家偉大的企業(yè)，貢獻(xiàn)了這樣一個(gè)讓人難以啟迪的高度，而是因?yàn)樗墓芾碚軐W(xué)以及管理理念，他認(rèn)為在你沒有成為領(lǐng)導(dǎo)者之前,最大的成功就是自己的成長(zhǎng)，而成為領(lǐng)導(dǎo)者之后，最大的成功就是幫助他人成長(zhǎng),培養(yǎng)更多的優(yōu)秀人才才是領(lǐng)導(dǎo)者重之之重的工作。

 
在一次電視訪談中,主持人問杰克,除了你的這些管理理念,還有什么對(duì)于一個(gè)CEO來說是非常重要的,杰克韋爾奇說偉大的CEO就是偉大的教練，作為一名CEO,不只是去管理你的企業(yè),更需要幫助你的管理者成為領(lǐng)導(dǎo)者,讓他們的潛能發(fā)揮出來,這才是一名CEO該做的事.
杰克為什么會(huì)這么推崇一位CEO要成為一名教練,我想也是源于他和管理學(xué)大師德魯克先生的一段故事.
 
當(dāng)年，杰克·韋爾奇出任通用電氣總裁伊始，他去求見德魯克，咨詢有關(guān)企業(yè)成長(zhǎng)的課題。德魯克送給他一個(gè)簡(jiǎn)單的問題：假設(shè)你是投資人，通用電氣這家公司有哪些事業(yè)，你會(huì)想要買？這個(gè)大乎哉的問題對(duì)韋爾奇產(chǎn)生了決定性的影響。經(jīng)過反復(fù)思考，韋爾奇作出了著名的策略決定：通用電氣旗下的每個(gè)事業(yè)，都要成為市場(chǎng)領(lǐng)導(dǎo)者，“不是第一，就是第二，否則退出市場(chǎng)”。
 
透過這個(gè)故事我們發(fā)現(xiàn),管理學(xué)的大師德魯克先生并沒有給杰克什么解決方案,而只是僅僅提出了一個(gè)問題,讓杰克從更高維度上來思考通用這家公司,到底作為CEO你想要的是什么,他就立刻知道自己接下來如何干了.

作為企業(yè)CEO的你又是如何做的呢?

艾銻知識(shí) |windows服務(wù)器管理的安全注意事項(xiàng)

web服務(wù)器

1.web服務(wù)器關(guān)閉不需要的IIS組件，比如禁用wev，禁用cgi和asp功能

2.隱藏網(wǎng)站物理路徑，刪除默認(rèn)網(wǎng)站，更改網(wǎng)站的物理路徑

3.刪除無用的虛擬目錄以及iis映射,只保留需要后綴文件的映射，

4.啟用IIS日志記錄，每天審查日志

5.設(shè)置web站點(diǎn)目錄訪問權(quán)限為讀取權(quán)限，去除寫入，目錄瀏覽；盡可能不給執(zhí)行權(quán)限

6.防止access數(shù)據(jù)庫(kù)被下載，具體操作為:添加.mdb擴(kuò)展名的映射的都做為禁止（默認(rèn)是POST,GET,）

7.禁用vbscript執(zhí)行權(quán)限

數(shù)據(jù)庫(kù)服務(wù)器

1.SQLSERVER 禁用xpcmd..命令

2.sqlserver 服務(wù)器，禁止采用sa作為訪問賬號(hào)，訪問賬號(hào)的權(quán)限授予public權(quán)限(read,write)即可

3.為保證數(shù)據(jù)庫(kù)服務(wù)器的安全連接，做ip訪問限制，修改默認(rèn)端口

4.最好是低權(quán)限運(yùn)行

對(duì)頁(yè)面木馬后門的防范

1.禁用FSO對(duì)象,防止病毒腳本復(fù)制，傳播

regsvr32 /u scrrun.dll

2.禁用adodb.stream對(duì)象

3.設(shè)置木馬查找工具

4.防止php，asp等文件被修改，可以 配合mcafee

web服務(wù)器漏洞

1.IIS6解析漏洞

如果一個(gè)目錄以"xxx.asp"的形式命名，那么該目錄下的所有類型文件都會(huì)被當(dāng)做asp文件來進(jìn)行解析執(zhí)行

如果一個(gè)文件的擴(kuò)展名采用".asp;*.jpg"的形式，那么該文件也會(huì)被當(dāng)做asp文件解析執(zhí)行 *隨便些什么 ，也可以不寫

原理：IIS識(shí)別不出后綴，默認(rèn)用第一個(gè)后綴

2.windows命名機(jī)制漏洞

在windows環(huán)境下，xx.jpg[空格] 或xx.jpg. 這兩類文件都是不允許存在的，若這樣命名，windows會(huì)默認(rèn)除去空格或點(diǎn)，這也是可以被利用的！

在向一臺(tái)windows主機(jī)上傳數(shù)據(jù)時(shí)，你可以抓包修改文件名，在后面加個(gè)空格或點(diǎn)，試圖繞過黑名單，若上傳成功，最后的點(diǎn)或空格都會(huì)被消除，這樣就可得到shell。比如新建一個(gè)文件"asp.asp."保存時(shí)，文件名會(huì)自動(dòng)變成asp.asp,文件名為"asp.asp..","asp.asp口"（口標(biāo)識(shí)空格），上傳文件時(shí)可將
文件后綴更改成asp.xx.,逃避校驗(yàn)

3.IIS6,7,7.5 映射問題

.asp, .cer,.asa,.cdx 類型的文件，IIS對(duì)其的映射處理更asp一樣，會(huì)按照asp進(jìn)行執(zhí)行

4.IIS 7.0/IIS 7.5/Nginx <=0.8.37 FastCGI問題

在默認(rèn)Fast-CGI開啟狀況下,在一個(gè)文件路徑(/xx.jpg)后面加上/xx.php會(huì)將 /xx.jpg/xx.php 解析為 php 文件。

常用利用方法： 將一張圖和一個(gè)寫入后門代碼的文本文件合并 將惡意文本寫入圖片的二進(jìn)制代碼之后，避免破壞圖片文件頭和尾

e.g. copy xx.jpg/b + yy.txt/a xy.jpg

######################################

/b 即二進(jìn)制[binary]模式

/a 即ascii模式 xx.jpg正常圖片文件

yy.txt 內(nèi)容 ');?>

意思為寫入一個(gè)內(nèi)容為 名稱為shell.php的文件

######################################

找個(gè)地方上傳 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可執(zhí)行惡意文本。

然后就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd