Windows サーバー管理におけるセキュリティの考慮事項

ウェブサーバー

1. Webサーバーは、wev、cgi、asp機能を無効にするなど、不要なIISコンポーネントをオフにします。
2. ウェブサイトの物理パスを非表示にし、デフォルトのウェブサイトを削除し、ウェブサイトの物理パスを変更する
3. 不要な仮想ディレクトリと IIS マッピングを削除し、サフィックスを必要とするファイルのマッピングのみを保持します。
4. IISログを有効にし、ログを毎日確認する
5. ウェブサイトのディレクトリのアクセス権限を読み取り権限に設定し、書き込み権限とディレクトリの参照権限を削除します。実行権限は与えないようにしてください。

6. アクセスデータベースのダウンロードを防止します。具体的な操作は、.mdb拡張子のマッピングを禁止として追加します（デフォルトはPOST、GETです）。

7. vbscriptの実行権限を無効にする

データベースサーバー

1. SQLSERVERはxpcmd..コマンドを無効にします
2. SQL Server サーバーの場合、アクセスアカウントとして sa を使用することは禁止されています。アクセスアカウントの権限は、パブリック権限 (読み取り、書き込み) に付与できます。
3. データベースサーバの安全な接続を確保するため、IPアクセス制限を行い、デフォルトポートを変更します。

4. 低い権限で実行するのが最善です

Webトロイの木馬バックドアの防止

1. ウイルススクリプトのコピーと拡散を防ぐためにFSOオブジェクトを無効にする
regsvr32 /u scrrun.dll
2. adodb.streamオブジェクトを無効にする
3. Trojan Finderを設定する

4. PHP、ASP、その他のファイルが変更されないようにするには、McAfeeと連携します。

Web サーバーの脆弱性

1. IIS6 解析の脆弱性ディレクトリ名が「xxx.asp」の場合、ディレクトリ内のすべての種類のファイルは ASP ファイルとして解析され、実行されます。

ファイル拡張子が「.asp;*.jpg」の形式の場合、ファイルも解析され、asp ファイルとして実行されます。 * 何でも書き込むことができ、空白のままにすることもできます。原則: IIS はサフィックスを認識できず、デフォルトでは最初のサフィックスが使用されます。

2. Windows 命名メカニズムの脆弱性 Windows 環境では、xx.jpg[スペース] または xx.jpg という 2 種類のファイルは存在できません。このように名前を付けると、Windows はデフォルトでスペースまたはドットを削除するため、これも悪用される可能性があります。
Windows ホストにデータをアップロードするときに、パケットをキャプチャしてファイル名を変更し、末尾にスペースまたはピリオドを追加してブラックリストを回避できます。アップロードが成功すると、最後のピリオドまたはスペースが削除され、シェルを取得できます。たとえば、「asp.asp.」という新しいファイルを作成して保存すると、ファイル名は自動的に asp.asp になり、ファイル名は「asp.asp..」、「asp.asp口」（口はスペース）になります。ファイルをアップロードするときに、検証を回避するために、ファイルのサフィックスを asp.xx. に変更できます。

3. IIS6、7、7.5 のマッピングの問題

IIS は、.asp、.cer、.asa、および .cdx タイプのファイルを ASP と同じ方法でマップします。

4.IIS 7.0/IIS 7.5/Nginx <=0.8.37 FastCGI の問題

Fast-CGI がデフォルトで有効になっている場合、ファイルパス (/xx.jpg) の後に /xx.php を追加すると、/xx.jpg/xx.php が php ファイルとして解析されます。

一般的な悪用方法: バックドアコードが書き込まれたテキストファイルに画像を結合します。画像ファイルのヘッダーと末尾が損傷しないように、画像のバイナリコードの後に悪意のあるテキストを書き込みます。

例: xx.jpg/b + yy.txt/a xy.jpg をコピー

######################################

/bはバイナリモードを意味します

/a は ASCII モードの xx.jpg 通常の画像ファイルを意味します

yy.txt の内容');?>

shell.php という名前のファイルを書き込むことを意味します。

######################################