1、任课教师:孙博第八章 web站点的安全技术 8.1 Windows Sever 2003的安全方案的安全方案8.2 IIS的安全配置的安全配置8.3 数据库安全数据库安全任课教师:孙博8.1 Windows Sever 2003的安全方案的安全方案 Windows Server 2003操作系统;操作系统;Internet信息服务信息服务(IIS)6.0;Web 应用程序;应用程序;IP 安全安全策略策略(IP Sec);远程管理与监视;远程管理与监视;SQL Server;用户与密码。;用户与密码。此处我们主要讲解此处我们主要讲解Windows Server 2003、Internet信息服
2、务信息服务(IIS)6.0、IP 安全策略安全策略(IP Sec)的安全配置,对于其他方面将在以后的的安全配置,对于其他方面将在以后的课程逐步讲解。课程逐步讲解。任课教师:孙博8.1.1 安装安全安装安全 1.硬盘分区为硬盘分区为NTFS分区;分区;(1)NTFS比FAT分区多了安全控制功能 (2)建议最好一次性全部安装成NTFS分区(3)安装NTFS分区的潜在危险 2.只安装一种操作系统只安装一种操作系统 3.安装成独立的域控制器(安装成独立的域控制器(Stand Alone),选择选择工作组成员,不选择域工作组成员,不选择域 主域控制器(主域控制器(PDC)是局域网中队多台联网机器管)是局
3、域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器有可能利用域方式的漏洞攻击站点服务器。任课教师:孙博 4.将操作系统文件所在分区与将操作系统文件所在分区与Web数据包括其他应数据包括其他应用程序所在的分区分开,并在安装时最好不要使用用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将系统默认的目录,如将WINNT改为其他目录;改为其他目录;5.Windows程序,都要重新安装一次补丁程序,程序,都要重新安装一次补丁程序,windows2000下更需要这样做。下更需要这样做。
4、(1)最新的补丁程序,表示系统以前有重大漏洞,非补 不可了(2)安装windows2000的SP4有一个潜在威胁(3)安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。6.尽量不安装与尽量不安装与Web站点服务无关的软件;站点服务无关的软件;任课教师:孙博8.1.2 设置安全设置安全 1.帐号策略帐号策略(1)帐号尽可能少,且尽可能少用来登录;(2)除过Administrator外,有必要再增加一个属于管理员组的帐号 (3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限(4)将Administrator重命名,改为一个不易猜的名字。(5)
5、将Guest帐号禁用,(6)给所有用户帐号一个复杂的口令(7)口令必须定期更改(8)在帐号属性中设立锁定次数 任课教师:孙博 2.解除解除NetBios与与TCP/IP协议的绑定协议的绑定 NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NETBIOS。3.系统启动的等待时间设置为系统启动的等待时间设置为0秒秒 任课教师:孙博 4.改改NTFS的安全权限的安全权限 NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文
6、件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。任课教师:孙博E-mail: 5.只只开放开放必要必要的端的端口,口,关闭关闭其余其余端口端口 现将一现将一些常些常用端用端口列口列表如表如下下 任课教师:孙博 6.只保留只保留TCP/IP协议,删除协议,删除NETBEUI、IPX/SPX协议协议 网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,I
7、PX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。任课教师:孙博 7.停掉没有用的服务,只保留与网站有关的服务停掉没有用的服务,只保留与网站有关的服务和服务器某些必须的服务。和服务器某些必须的服务。有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机,如果确实没有用处建议禁止掉,同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务,建议在停掉前查阅帮助文档并首先在测试服务器上做一下测试。任课教师:孙博 8.合理修改注册表合理修改注册表(1)隐藏重要文件/目录可以修改注册表实现完全隐藏(2)防止SYN洪水攻击(3)禁止响应ICMP路由通告报文(
8、4)防止ICMP重定向报文的攻击 (5)不支持IGMP协议 (6)修改终端服务端口(7)禁止IPC空连接(8)更改TTL值 (9)禁止建立空连接(10)删除默认共享任课教师:孙博 9.安装最新的安装最新的MDAC MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来修补漏洞,详情可以参考微软公布的漏洞测试文档。任课教师:孙博 10.加强日志审核加强日志审核 日志任何包括事件查看器中
9、的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQL SERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录,帐号审核可以从域用户管理器规则审核中选择指标;NTFS中对文件的审核从资源管理器中选取。要注意的一点是,只需选取你真正关心的指标就可以了,如果全选,则记录数目太大,反而不利于分析;另外太多对系统资源也是一种浪费。任课教师:孙博8.1.3 关闭服务器端口关闭服务器端口 关闭服务器端口的有三种方法:通过修改注关闭服务器端口的有三种方法:通过修改注册表关闭相关端口;通过停止并禁用相关系册表关闭相关端口;通过停止并禁
10、用相关系统服务;通过配置本地统服务;通过配置本地IP安全策略实现端口安全策略实现端口的关闭。的关闭。这里着重讲解通过配置这里着重讲解通过配置IP安全策略关闭端口安全策略关闭端口的方法。的方法。任课教师:孙博1.通过停止并禁用相关系统服务关闭端口通过停止并禁用相关系统服务关闭端口(1)关闭79等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator,Daytime,Discard,Echo,以及 Quote of the Day。(2)关掉25端口:关闭Simple Mail Transport Protocol(SMTP)服务
11、,它提供的功能是跨网传送电子邮件。(3)关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(4)关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。(5)关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了windows的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。任课教师:孙博2.配置配置IP安全策略关闭端口安全策略关闭端口 本部分内容在实践课中进行讲解和练习。本部分内容在实践课中进行讲解
12、和练习。任课教师:孙博8.2 IIS的安全配置的安全配置任课教师:孙博8.2.1加强加强IIS安全的基本设置安全的基本设置 1.关闭并删除默认站点关闭并删除默认站点 2.建立自己的站点,与系统不在同一分区建立自己的站点,与系统不在同一分区 3.删除删除IIS的部分目录的部分目录:IISHelp,C:winnthelpiishelp;IISAdmin,C:system32inetsrviisadmin MSADC,C:Program FilesCommon FilesSystemmsadc C:inetpub 4.删除不必要的删除不必要的IIS映射和扩展映射和扩展 5.禁用父路径禁用父路径(有可
13、能导致某些使用相对路(有可能导致某些使用相对路径的子页面不能打开)径的子页面不能打开)任课教师:孙博 6.在虚拟目录上设置访问控制权限在虚拟目录上设置访问控制权限 7.启用日志记录启用日志记录 8.备份备份IIS配置配置 9.修改修改IIS标志标志 10.重定义错误信息重定义错误信息 防止数据库不被下载的方法有很多防止数据库不被下载的方法有很多,众多方法中只要记众多方法中只要记住一点住一点.不要改成不要改成asp就可以了就可以了,不然黑客给你放一个简不然黑客给你放一个简单的木马都会让你陷入极大的麻烦单的木马都会让你陷入极大的麻烦,然后在然后在IIS中将中将HTTP404、500等等 Objec
14、t Not Found出错页面通过出错页面通过URL重定向到一个定制重定向到一个定制HTML文件文件,这样大多数的暴库这样大多数的暴库得到的都是你设置好的文件得到的都是你设置好的文件,自然就掩饰了数据库的地自然就掩饰了数据库的地址,还能防止一些址,还能防止一些sql注入。注入。任课教师:孙博电子商务网站管理与为维护E-mail:8.2.2服务器硬盘的权限设置服务器硬盘的权限设置 为了提高系统安全性,我们对系统的一些重为了提高系统安全性,我们对系统的一些重要文件夹进行正确的权限设置,这样可以大要文件夹进行正确的权限设置,这样可以大大提高系统安全性和可用性。大提高系统安全性和可用性。任课教师:孙博
15、电子商务网站管理与为维护E-mail:服务器硬盘权限设置表服务器硬盘权限设置表文件文件用户用户权限权限 C:/administrators 全部权限iis_wpg只有该文件夹;列出文件夹/读数据;读属性;读扩展属性;读取权限任课教师:孙博电子商务网站管理与为维护E-mail:提高提高FSO的安全性的安全性 1 FSO简介简介 FSO是是FileSystemObject的简称。的简称。FSO组件可以用来处理驱动器、文件夹以及组件可以用来处理驱动器、文件夹以及文件。该组件为文件。该组件为ASP提供了强大的文件系统提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件访问能力,可以对服务器硬盘上
16、的任何文件进行读、写、复制、删除、改名等操作,这进行读、写、复制、删除、改名等操作,这就给网站的安全带来巨大的威胁。就给网站的安全带来巨大的威胁。任课教师:孙博电子商务网站管理与为维护E-mail:提高提高FSO的安全性的安全性 很多服务器都遭受过很多服务器都遭受过FSO木马的侵扰。但是木马的侵扰。但是如果禁用如果禁用FSO组件,那么所有利用这个组件组件,那么所有利用这个组件的的ASP程序都将无法正常运行,无法满足客程序都将无法正常运行,无法满足客户的需求。户的需求。如何既允许如何既允许FSO组件,又不影响服务器的安组件,又不影响服务器的安全性呢?全性呢?任课教师:孙博电子商务网站管理与为维护
17、E-mail:2 FSO的安全设置的安全设置(1)在服务器上打开资源管理器,用鼠标右键在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,点击各个硬盘分区或卷的盘符,属性属性安安全,就可以看到有哪些帐号可以访问这个分全,就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认的是区(卷)及访问权限。默认的是“Everyone”具有完全控制的权限。具有完全控制的权限。(2)点点“添加添加”,将,将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去,并给予等几个组添加进去,并给予“完全完全控制控制”或相应
18、的权限,注意,不要给或相应的权限,注意,不要给“Guests”组、组、“IUSR_机器名机器名”这几个帐这几个帐号任何权限。号任何权限。任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(3)将将“Everyone”组从列表中删除,这样,组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区就只有授权的组和用户才能访问此硬盘分区了,而了,而ASP 执行时,是以执行时,是以“IUSR_机器名机器名”的身份访问硬盘的,这里没给该用户帐号权的身份访问硬盘的,这里没给该用户帐号权限,限,ASP也就不能读写硬盘上的文件了。也就不能读写硬盘上的文件了。任课教师:孙博电
19、子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置 下面要做的就是给每个用户设置一个单独的下面要做的就是给每个用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。其完全控制的目录。(1)打开打开“计算机管理计算机管理”“本地用户和本地用户和组组”“用户用户”,在右栏中点击鼠标右键,在右栏中点击鼠标右键,在弹出的菜单中选择在弹出的菜单中选择“新用户新用户”:任课教师:孙博电子商务网站管理与为维护E-mail:任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(2)在在“新用户新用户”对话框
20、中输入对话框中输入“用户名用户名”、“密码密码”、“确认确认密码密码”,并将,并将“用户下次登录时用户下次登录时须更改密码须更改密码”前的对号去掉,选前的对号去掉,选中中“用户不能更改密码用户不能更改密码”和和“密密码永不过期码永不过期”。本例是给第一虚。本例是给第一虚拟主机的用户建立一个匿名访问拟主机的用户建立一个匿名访问Internet信息服务的内置帐号信息服务的内置帐号“IUSR_VHOST1”,即:所有,即:所有客户端使用客户端使用 http:/xxx.xxx.xxxx/(表示该网(表示该网站的网址)访问此网站时,都是站的网址)访问此网站时,都是以这个身份来访问的。输入完成以这个身份来
21、访问的。输入完成后点后点“创建创建”即可。可以根据实即可。可以根据实际需要,创建多个用户,创建完际需要,创建多个用户,创建完毕后点毕后点“关闭关闭”。任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(3)现在新建立的用户已经出现在帐号列表中现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行了,在列表中双击该帐号,以便进一步进行设置设置 任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(4)在弹出的在弹出的“IUSR_VHOST1”(即刚才创建的新(即刚才创建的新帐号)属性对话框中点帐号)属性对话框中点“
22、隶属于隶属于”选项卡,刚建立选项卡,刚建立的帐号默认是属于的帐号默认是属于“Users”组,选中该组,点组,选中该组,点“删删除除”。任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(5)现在出现的是如下图所示,此时再点现在出现的是如下图所示,此时再点“添添加加”:任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(6)在弹出的在弹出的“选择组选择组”对话框中找到对话框中找到“Guests”,点点“添加添加”,此组就会出现在下方的文本框中,然,此组就会出现在下方的文本框中,然后点后点“确定确定”:任课教师:孙博电子商务网站管理与
23、为维护E-mail:2 FSO的安全设置的安全设置(7)打开打开“Internet信息服务信息服务”,开始对虚拟主机进行,开始对虚拟主机进行设置,本例中的以对设置,本例中的以对“第一虚拟主机第一虚拟主机”设置为例进行设置为例进行说明,右击该主机名,选择说明,右击该主机名,选择“属性属性”:任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(8)弹出一个弹出一个“第一虚拟主机第一虚拟主机属性属性”的对话框,的对话框,从对话框中可以从对话框中可以看到该虚拟主机看到该虚拟主机用户的使用的是用户的使用的是“F:VHOST1”这个文件夹:这个文件夹:任课教师:孙博电子商务
24、网站管理与为维护E-mail:2 FSO的安全设置的安全设置(9)暂时先不管的暂时先不管的“第一虚拟主机属性第一虚拟主机属性”对话对话框,切换到框,切换到“资源管理器资源管理器”,找到,找到“F:VHOST1”这个文件夹,右击,选这个文件夹,右击,选“属属性性”“安全安全”选项卡,此时可以看到该文选项卡,此时可以看到该文件夹的默认安全设置是件夹的默认安全设置是“Everyone”完全控完全控制(视不同情况显示的内容不完全一样),制(视不同情况显示的内容不完全一样),首先将首先将“允许将来自父系的可继承权限传播允许将来自父系的可继承权限传播给该对象给该对象”前面的对号去掉:前面的对号去掉:任课教
25、师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(10)点点“删除删除”安全选项卡中的所有组和用户都将安全选项卡中的所有组和用户都将被清空然后点被清空然后点“添加添加”。任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(11)将如图中所示的将如图中所示的“Administrator”及在前面所创建的新及在前面所创建的新帐号帐号“IUSR_VHOST1”添加进来,将给予完全控制的权限,添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但
26、一定要将还可以根据实际需要添加其他组或用户,但一定要将“Guests”组、组、“IUSR_机器名机器名”这些匿名访问的帐号添加这些匿名访问的帐号添加上去。上去。任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(12)切换到前面打开的切换到前面打开的第一虚拟主机属性第一虚拟主机属性的对话的对话框,打开框,打开目录安全性目录安全性选项卡,点匿名访问和验证选项卡,点匿名访问和验证控制的控制的编辑编辑:任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置(13)在弹出的在弹出的验证方法验证方法对方框(如下图所示),对方框(如下图所示),点
27、点编辑编辑,弹出了弹出了匿名用户帐号匿名用户帐号,默认的就是,默认的就是IUSR_机器名机器名,点,点浏览浏览,在在选择用户选择用户对话框对话框中找到前面创建的新帐号中找到前面创建的新帐号IUSR_VHOST1,双击,双击,此时匿名用户名就改过来了,在密码框中输入前面此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:再确定一遍密码:创建时,为该帐号设置的密码:再确定一遍密码:任课教师:孙博电子商务网站管理与为维护E-mail:2 FSO的安全设置的安全设置 至此针对至此针对FSO的安全设置完成了,点确定关的安全设置完成了,点确定关闭这些对话框。闭这些对话框。经此设置后,经
28、此设置后,第一虚拟主机第一虚拟主机的用户,使用的用户,使用 ASP 的的 FileSystemObject组件也只能访问组件也只能访问自己的目录:自己的目录:F:VHOST1 下的内容,当试图下的内容,当试图访问其他内容时,会出现诸如访问其他内容时,会出现诸如没有权限没有权限、硬盘未准备好硬盘未准备好、500 服务器内部错误服务器内部错误等出等出错提示了。错提示了。任课教师:孙博 安装最新的服务包安装最新的服务包 使用使用 Microsoft 基线安全性分析器(基线安全性分析器(MBSA)来评估服务器)来评估服务器的安全性的安全性 使用使用 Windows 身份验证模式身份验证模式 隔离您的服务器,并定期备份隔离您的服务器,并定期备份 分配一个强健的分配一个强健的sa密码密码 限制限制 SQL Server服务的权限服务的权限 在防火墙上禁用在防火墙上禁用 SQL Server 端口端口 使用更加安全的文件系统使用更加安全的文件系统 删除或保护旧的安装文件删除或保护旧的安装文件 8.3 数据库安全数据库安全任课教师:孙博 审核指向审核指向 SQL Server 的连接的连接 修改修改SQL SERVER内置存储过程内置存储过程 任课教师:孙博本章结束本章结束
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。