Windows Internet服务器安全配置原理篇

4. WebShell

入侵者上传文件后，需要利用WebShell来执行可执行程序，或者利用WebShell进行更加方便的文件操作。

对应措施：取消相应服务和功能

一般WebShell用到以下组件

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

我们在注册表中将以上键值改名或删除，同时需要注意按照这些键值下的CLSID键的内容，从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5. 执行SHELL

入侵者获得shell来执行更多指令

对应措施：设置ACL权限

Windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE

我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限。

其他用户，包括system用户、administrators组等等，一律无权限访问此文件。

6. 利用已有用户或添加用户

入侵者通过利用修改已有用户或者添加Windows正式用户，向获取管理员权限迈进

对应措施：设置ACL权限、修改用户

将除管理员外所有用户的终端访问权限去掉，限制CMD.EXE的访问权限，限制SQL SERVER内的XP_CMDSHELL

7. 登陆图形终端

入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端，获取许多图形程序的运行权限。由于WINDOWS系统下绝大部分应用程序都是GUI的，所以这步是每个入侵WINDOWS的入侵者都希望获得的

对应措施：端口限制

入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问。我们在第一步的端口限制中，对所有从内到外的访问一律屏蔽也就是为了防止反弹木马，所以在端口限制中，由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER，可以不用加任何由内向外的端口，阻断所有的反弹木马。