来源: 互联网  发布时间: 2013-12-24

事件原因和分析

　　此次事件是一次联动事件，主要分为两个部分：

　　1、DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意，导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击，导致DNS服务器过载以及线路堵塞。

　　2、暴风影音的大量频繁的向电信DNS主服务器发起解析。导致各地区电信主DNS服务器超负荷。

　　暴风影音作为广泛使用的软件，有成千上万的用户安装使用。然而其DNS解析机制存在缺陷。暴风公司仅仅在DNSPod站内部署了一个DNS解析站点，同时暴风影音软件在发生无法解析域名的时候会大量频繁的向运营商的DNS服务器发起查询，运营商DNS再向位于DNSPod内的暴风公司DNS服务器查询，未果。这样导致了大量的查询，客观上构成了对电信DNS服务器的DDoS攻击。

　　由于暴风影音使用用户非常多，其攻击能力高出僵尸网络几个数量级，导致多个省市电信DNS主服务器过载。

　　FortiGate IPS对策

　　DNS服务器作为互联网的一个核心部分容易遭受到攻击，要彻底解决这个问题，只有不断的完善Internet安全架构本身，比如检测和清除僵尸网络、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源机制等。然而安全的Internet架构不是一朝一夕能够建立起来的，因此对DNS的攻击防护就成为一项重要的安全措施。

　　对于以上两部分的原因，FortiGate IPS分别有不同的对策。

　　1、对于没有规律的大规模DDoS攻击，FortiGate IPS具有硬件级的防御能力。它采用专用加速芯片对DDoS攻击进行识别，可以判断出哪些是攻击包，那些是正常访问流量，从而将正常访问流量放过而阻挡住攻击数据包。这样DNS服务器不会因受到攻击而过载。

　　FortiGate IPS有超过每秒10万pps的抗DDoS攻击能力。

 
　　图一：FortiGate 抗DDoS配置

　　2、对于有规律的大规模DDoS攻击，比如由暴风影音软件发起的对baofeng.com的大量DNS查询，FortiGate可以制定相应检测规则，暂时阻挡含有baofeng.com域名的查询，使得DNS服务器不会过载。

 
　　图二：FortiGate IPS特征

　　FortiGate IPS特点简介

　　1、混合式、多类型的攻击防御

　　Fortinet的全系列安全产品可以提供集成、完整的解决方案，它可以实现对混合攻击、入侵企图、病毒、木马、蠕虫、间谍软件、灰色软件、广告软件和拒绝式攻击等种类广泛的攻击和恶意行为。Fortinet采用基于网络的ASIC加速的硬件平台，以及一系列的高级的动态入侵检测引擎，可以以更低的总体拥有成本，实现针对多种攻击的更高级别的安全和业内领先的性能。这些安全引擎是由Foitinet屡或殊荣的FortiOSTM，可以单独部署，也可以集成在一起提供全面的安全解决方案。

　　2、全球的IPS研发团队

　　FortiGuard的IPS服务是由Fortinet全球的安全专家团队来维护，他们在识别一种新的攻击后两个小时内予以响应。Fortinet安全专家与很多像CERT和SANS这样的攻击检测组织合作来发现新的漏洞，编写特征值、异常检测引擎和阻断方法，在漏洞成为威胁前升级用户的FortiGate的IPS系统。FortiGuard的可扩展的分布式网络可以在几分钟内，推动地升级所有的FortiGate的IPS系统。

    

    来源: 互联网  发布时间: 2013-12-24

而笔者每次解决用户的一个需求之后，总会有一种成就感。这不前不久笔者刚文成一个FTP服务器的搭建。不过这个案例有点特殊，因为其FTP服务器采用的操作系统是Linux。为此感悟就更多了。

　　心得一：为用户分配组

　　FTP服务器常用来放置一些工作文件。为此网络管理员在部署FTP服务器的时候，必须要注意其权限的管理。也就是说，要做到用户只能够下载自己有权利查看的工作文件;只能够往指定的目录中上传文件等等。而企业中员工很多。如果为每个员工分开来设置权限，那么工作两会很大。为此在FTP服务器管理中，最好也跟操作系统用户一样，以组为单位设置权限，然后再将用户加入到组中自动继承相关的权限。如此的话，如果10个用户其权限类似，那么笔者只需要为他们建立一个组，然后对这个组进行一次权限设置即可。所以，通过组来管理用户的话，可以简化工作量，并实现统一管理的需要。

　　笔者这次采用的是vsftpd服务器。这个服务器安装完成后已经为网络管理员建立好了三个组。一般来说，只要用户权限管理不特别严格的话，那么只需要采用这个默认的组即可。即使企业用户对权限管理比较苛刻，那么也可以借鉴这几个组权限的设置，以此作为模板，进行适当调整后即可使用。在 vsftpd服务器中，其默认的组分别为real组、guest组以及anonymous组。其中real组中这三个组中权限最高的组。在这个组中的用户，不仅可以访问帐户自己的主目录，而且还可以访问其他用户的目录。如现在有一个用户amy。只要在FTP服务器上建立这个帐户后，操作系统会自动在 /home目录下为这个用户建立一个主目录，即/home/amy。当用户以这个帐户登陆后，服务器会将这个用户的目录当作其主目录。但是这个用户仍然可以访问其他相关的目录，即可以切换到其他主目录中。其次guest组权限也不小。这个组跟操作系统中的guest帐户不同，其权限要比这个帐户多的多。如有些情况下，网络管理员可能要求某些用户只能够访问自己的主目录，而不能够访问别人的目录。确实，这是FTP服务器最基本的权限控制法则。如果要实现这个控制的话，则只需要将用户加入到这个guest组中即可。因为默认情况下，这个组中的用户只能够访问自己的主目录，而不得访问主目录以外的文件。第三个组是anonymous组，即匿名组。默认情况下，这个组的权限最小。其只能够在受限的目录中下载文件，但是不能够往FTP服务器上上传文件。不过一般情况下，出于安全考虑，都是禁用这个组的。即当用户没有账号时，无法从FTP服务器上下载任何文件。

　　心得二：为特定的应用设置组

　　在部署FTP服务器的过程中，笔者发现有时候FTP服务器不一定是用户使用，系统管理员也可能需要使用这个FTP服务器。如数据库管理员需要使用FTP服务器进行异地备份。即数据库管理员先将数据库执行本地备份。然后在备份成功后，再将备份文件利用FTP协议传送到异地的服务器上。当然这些操作都是通过脚本文件完成的，同时结合操作系统的任务调度功能来实现。

　　那么这对于网络管理员部署FTP服务器有什么启示呢?笔者接到这个需求后，第一个反应就是要为其设置独立的组。主要是因为这些备份文件往往是某个应用的精华所在。如果有用户将这些备份文件窃取了，然后再还原到自己的数据库中的话，那么企业的所有信息，包括客户、价格信息等等就都泄露了。另外这些备份文件也是日后应用服务器出现故障时挽回数据的最后保障。如果这些备份文件被恶意破坏了，则以后就很难利用这些备份文件来最大程度的恢复数据。为此笔者来了解了这家企业的需求之后，就决定为这些用户设置独立的组。由于这些用户平时主要用来文件的备份，而不做他用。为此笔者将这个组设置为只允许访问自己的主目录，而不能够访问其他目录(参考guest组的设置)。这有什么好处呢?如果企业现在有数据库服务器、邮件服务器、OA服务器等等，都需要通过FTP 服务器实现异地备份。那么笔者就可以设置三个用户，分别属于这个组。然后利用这三个帐户分别将本地的备份文件上传到FTP服务器中，以实现异地备份。由于这三个用户各自只能够访问自己的目录，为此彼此之间就相当于是独立的。任何一个帐户都不能够看到其他一个帐户上传的文件，也不能够往其他用户的主目录中上传文件。这就给他们提供了一个相对独立的工作环境，能够减少他们异地备份的干扰。

　　为此，笔者认为不仅要根据组来管理FTP服务器用户的权限，而且有时候还需要根据FTP服务器的用途，来设置独立的组。如在可能会在脚本程序中利用FTP协议，此时为他们设置独立的组，防止其他普通用户组对他们进行干扰，这是很有必要的。

　　心得三：为不同的用户设置磁盘限额

　　在部署FTP服务器的时候，还必须解决一个难题，即每个用户最多可以往FTP服务器上上传多少容量的文件。通常情况下，笔者建议要给用户设置一个最大空间的限额。因为一台FTP服务器不只一个用户使用。如果每个用户都可以无限制的往FTP服务器上上传文件，而又不及时清理的话，这台FTP服务器的硬盘空间很快就会被占满。所以说，FTP服务器对于普通用户来说，其只是一个文件的中转站，而不是文件到备份服务器。所以说，需要根据用户的需要，为其设置最大容量的限制。

　　在vsftpd服务器中，可以在组的级别上为用户设置最大容量的限制。如可以为每个部门设置一个组，然后指定这个组中的用户最多可使用的空间。如此的话，加入到这个组中的用户就会自动受到这个大小的限制。到空间受到限制后，就会强迫用户及时清理FTP服务器中的内容。一些不用的文件要及时的清理掉，这不但可以节省空间，而且也是出于安全的考虑。另外，也可以为部门设置最大可用的空间。即为每个部门设置一个组，然后给组设置最大空间限制。然后加入到这个组中的用户共享这块空间(不是平均分配，而是共享)。这就给部门负责人更大的灵活性，其可以根据需要来管理这个空间。

　　心得四：限制某些帐户使用FTP服务器

　　其实对于大部分网络管理员来说，要管理员FTP服务器还是一门不小的学问。如在某些情况下，就需要限制一些特殊的帐户使用FTP服务器。因为他们会危害FTP服务器的安全。如在Linux操作系统上部署FTP服务器，就需要限制root帐户使用FTP服务器。因为这个root帐户其具有操作系统最高的管理权限。如果允许这个用户访问FTP服务器，那么后果就是，这个帐户不会受到组权限的限制。也就是说，即使将这个root帐户分配给guest 组，这个帐户仍然可以访问主目录以外的文件。所以会破坏原有的安全体系。为此，无论在哪个操作系统上部署FTP服务器，网络管理员都需要去了解操作系统帐户中是否有类似的特权用户。如果有的话，就需要禁止其访问FTP服务器。

　　可见，FTP服务器虽然其部署比较简单，发展到现在也已经比较成熟了。但是企业用户的需求是在不断改变的。为此网络管理员也需要应需而变，及时调整FTP部署策略，以满足用户的需求。

    

    来源: 互联网  发布时间: 2013-12-24

NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户，进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限
C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500
错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统
里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占
用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"
> 不显示上次的用户名 更改为"已启用"
> 不需要按CTRL+ALT+DEL 更改为"已启用"
> 不允许 SAM 账户的匿名枚举 更改为"已启用"
> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
> 重命名来宾账户 更改成一个复杂的账户名
> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方案一：
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置，可不必删除这两个文件
方案二：
删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
用户管理
建立另一个备用管理员账号，防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但
要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。


最少的服务如果实现
黑色为自动 绿色为手动 红色为禁用
Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动，如无则禁用，可选操作]
Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选，多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service [微软反盗版工具，目前只针对多媒体类]
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service

以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢？其实不然，任何事物都是相对的依我个人而见，以上设置也只是最基本的一些东西而已，如有遗漏，稍后补上！