WEB服務(wù)器安全畢業(yè)設(shè)計(jì)

1、xx 學(xué)院畢業(yè)設(shè)計(jì)論文 i 安全計(jì)算機(jī)機(jī)房的構(gòu)建與評(píng)測(cè)web 服務(wù)器安全部分 摘 要 隨著計(jì)算機(jī)普及、互聯(lián)網(wǎng) internet 飛速發(fā)展，許多企業(yè)都開發(fā)了自己的 web 網(wǎng) 站。web 服務(wù)器是 intranet（企業(yè)內(nèi)部網(wǎng)）網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要， 一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好 web 服務(wù) 器中的資源，是一項(xiàng)至關(guān)重要的工作。安全部署 web 服務(wù)器是企業(yè)面臨的一項(xiàng)重要 工作，其中系統(tǒng)安裝、安全策略和 iis 安全策略對(duì)企業(yè) web 服務(wù)器安全、穩(wěn)定、高 效地運(yùn)行至關(guān)重要，該文是基于 windows 2003 平臺(tái)來介紹。 關(guān)鍵詞：web，服務(wù)

2、器安全，協(xié)議安全，iis 設(shè)置 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 ii the security of the computer room construction and evaluation-web server security section abstract with the popularization of computers, the internet internet rapid development, many companies have developed their own web site. the web server is intranet ( intranet ) s

3、ites on the core, wherein the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the web server resources, is an important task. deployment of the security web server is an enterprise is facing an important task, the system installation

4、, security policy and security strategy of enterprise iis web server security, stable, efficient operation is very important, this article is based on the windows 2003 platform to introduce. keywords: web, server security, security protocol, iis set xx 學(xué)院畢業(yè)設(shè)計(jì)論文 iii 目錄 第 1 章 前言.1 1.1 本文目的及意義.1 1.2 本文

5、主要內(nèi)容.1 第 2 章 web 服務(wù)器介紹.2 2.1 web 服務(wù)器概念.2 2.2 web 服務(wù)器存在的安全問題.2 第 3 章 web 服務(wù)器安全設(shè)置.4 3.1 選用 ntfs 文件系統(tǒng).4 3.2 選用單操作系統(tǒng).4 3.3 關(guān)閉 windows2003 不必要的服務(wù).5 3.4 禁用不必要的協(xié)議.5 3.5 設(shè)置磁盤訪問權(quán)限.5 3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口.6 3.7 限制匿名訪問本機(jī)用戶.8 3.8 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問.8 3.9 限制 netmeeting 及禁用 netmeeting.9 3.10 注冊(cè)表防止小規(guī)模 ddos 攻擊.9 3.11

6、防火墻及自動(dòng)更新設(shè)置.10 第 4 章 iis 策略應(yīng)用.13 4.1 不使用默認(rèn)的 web 站點(diǎn)將 iis 與系統(tǒng)盤分開.13 4.2 刪除不要的 iis 擴(kuò)展名映射.13 4.3 更改 iis 日志的路徑.13 4.4 只選擇網(wǎng)站和 web 所必需的服務(wù)和子組件.14 4.5 刪除未使用的帳戶及設(shè)置強(qiáng)密碼.14 4.6 使用應(yīng)用程序池.15 4.7 將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池.16 第 5 章 web 服務(wù)器安全評(píng)測(cè).17 結(jié)束語.20 參考文獻(xiàn).21 致 謝.22 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 1 第 1 章 前言 1.1 本文目的及意義 隨著計(jì)算機(jī)技術(shù)的突飛猛進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)的日新月異，

7、網(wǎng)絡(luò)已經(jīng)深入到我們生 活的各個(gè)角落。小到個(gè)人的生活、工作，大至國家的發(fā)展以致整個(gè)文明的進(jìn)步。計(jì) 算機(jī)網(wǎng)絡(luò)在扮演著越來越重要的角色，越來越多的企業(yè)及個(gè)人都開發(fā)了自己的 web 網(wǎng)站。然而，在如今技術(shù)發(fā)達(dá)的時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展黑客越來越猖獗。web 服務(wù)器被攻擊，網(wǎng)站首頁被篡改，各種各樣的不安全因素存在我們周圍，如何更好 的保證 web 服務(wù)器安全更好的防止黑客的入侵、攻擊是每一個(gè)人都很關(guān)心的話題。 可是我們?nèi)绾未_定采取的措施能夠創(chuàng)建一個(gè)安全的 web 服務(wù)器，使其不太可能受到 外部黑客或內(nèi)部不良分子的破壞呢？本文以 windows 系統(tǒng)為基礎(chǔ)進(jìn)行表述。 1.2 本文主要內(nèi)容 web 服務(wù)器

8、存在的安全問題從來就不是獨(dú)立的，系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境 （如 arp 等）、網(wǎng)絡(luò)端口管理以及來自 web 服務(wù)器應(yīng)用的安全，iis 本身的配置、權(quán) 限等，這個(gè)直接影響訪問網(wǎng)站的效率和結(jié)果。 本文介紹了什么是 web 服務(wù)器，web 服務(wù)器安裝需要注意的問題以及如何更好的 保證 web 服務(wù)器的安全。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 2 第 2 章 web 服務(wù)器介紹 2.1 web 服務(wù)器概念 web 服務(wù)器是指駐留于因特網(wǎng)上某種類型計(jì)算機(jī)的程序。當(dāng) web 瀏覽器（客戶端） 連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附 帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類型

9、） 。服務(wù)器使用 http（超文本傳 輸協(xié)議）進(jìn)行信息交流，這就是人們常把它們稱為 http 的服務(wù)器的原因，web 服務(wù) 器應(yīng)用實(shí)例如圖 1-1 所示。 圖 1-1 web 服務(wù)器的應(yīng)用 web 服務(wù)器不僅能夠存儲(chǔ)信息，還能在用戶通過 web 瀏覽器提供的信息的基礎(chǔ)上 運(yùn)行腳本和程序。 2.2 web 服務(wù)器存在的安全問題 internet 的發(fā)展給企業(yè)和個(gè)人帶來了革命性的改革和開放。他們正努力通過利 用 internet 來提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過 internet，企 業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) internet 開放帶來的數(shù)據(jù)安全的新挑戰(zhàn) 和新危險(xiǎn)：

10、即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問；以及保 護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 3 隨著 internet 的廣泛應(yīng)用，許多企業(yè)開發(fā)了自己的 web 網(wǎng)站。然而由于人為的 無意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進(jìn)行搗亂 的各種病毒等，使得開發(fā)的網(wǎng)站存在多方面的安全問題。要保證企業(yè)的 web 網(wǎng)站的 安全，僅選擇一個(gè)適合企業(yè)特點(diǎn)的防火墻、適合 win2003 的殺毒軟件是不夠的。更 主要的要在企業(yè)內(nèi)部 web 服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的 免疫力。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 4 第 3 章 web

11、服務(wù)器安全設(shè)置 由于本篇文章以 windows 為基礎(chǔ)進(jìn)行研究的，所以在此 linux 系統(tǒng)不再敘述。 windows 系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只有充分利用其自身的功能實(shí)現(xiàn)對(duì)系統(tǒng)的安全控制 才能保證網(wǎng)站及數(shù)據(jù)的安全。 3.1 選用 ntfs 文件系統(tǒng) ntfs 文件系統(tǒng)比 fat 系統(tǒng)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的 訪問權(quán)限，因此擁有更強(qiáng)大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒有 提供對(duì)軟盤啟動(dòng)后 ntfs 分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不 能正常啟動(dòng)時(shí)，后果比較嚴(yán)重，因此平時(shí)應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。另 外將系統(tǒng)盤與網(wǎng)站程序分開放置。 3.2

12、 選用單操作系統(tǒng) 作為 web 服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)，否則黑客會(huì)利用其攻擊 windows 2003 系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操 作系統(tǒng)文件所在分區(qū)與 web 數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開，并在安裝 時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的 iis 漏洞）導(dǎo) 致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與 web 站點(diǎn)服務(wù)無 關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏 洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來可乘之機(jī)。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 5 3.3 關(guān)閉 windows200

13、3 不必要的服務(wù) windows2003 系統(tǒng)中包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲 服務(wù)器能暴漏賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱的情況下可以取得賬號(hào)的密碼。當(dāng) 這兩種服務(wù)都開通時(shí)，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)， 可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為 web 網(wǎng)站的 win2003 系統(tǒng)，必須停掉沒有用的服務(wù)。 3.4 禁用不必要的協(xié)議 netbios 協(xié)議在 web 服務(wù)器上是黑客掃描工具的首選目標(biāo)，因此，必須解除 netbios 與 tcp/ip 協(xié)議的綁定。方法“設(shè)置控制面板網(wǎng)絡(luò)連接本地連接屬 性tcp/ip屬性高級(jí)w

14、ins禁用 tcp/ip 上的 netbios。另外， netbios、ipx/spx 協(xié)議對(duì) web 網(wǎng)站也沒有任何用處，只會(huì)被某些黑客工具利用，也 必須禁用或刪除（操作如圖 3-1）。 圖 3-1 禁用不必要協(xié)議 3.5 設(shè)置磁盤訪問權(quán)限 系統(tǒng)磁盤只賦予 administrators 和 system 權(quán)限，系統(tǒng)所在目錄（默認(rèn)時(shí)為 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 6 windows）要加上 users 的默認(rèn)權(quán)限，以保障 asp 和 aspx 等應(yīng)用程序正常運(yùn)行。其 他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加 system 用戶 權(quán)限，否則啟動(dòng)不成功。 3.6 關(guān)閉不必要的端口

15、及更改遠(yuǎn)程連接端口 在 internet 上，各主機(jī)間通過 tcp/ip 協(xié)議發(fā)送和接收 數(shù)據(jù)包，各個(gè)數(shù)據(jù)包 根據(jù)其目的主機(jī)的 ip 地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇?？梢?，把數(shù)據(jù)包順利的 傳送到目的主機(jī)是沒有問題的。問題出在哪里呢 ?我們知道大多數(shù) 操作系統(tǒng)都支 持多程序（進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同 時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問題有待解決，端口機(jī)制便由此被引入進(jìn) 來。 本地操作系統(tǒng)會(huì)給那些有需求的進(jìn)程分配協(xié)議端口（ protocol port，即我 們常說的端口） ，每個(gè)協(xié)議端口由一個(gè)正整數(shù)標(biāo)識(shí)，如： 80，139，445，等等。 當(dāng)目的主機(jī)接收到數(shù)據(jù)

16、包后，將根據(jù) 報(bào)文首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng) 端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。 如果攻擊者使用軟件掃描目標(biāo)計(jì)算機(jī)，得到目標(biāo)計(jì)算機(jī)打開的端口，也就了 解了目標(biāo)計(jì)算機(jī)提供了哪些服務(wù)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏 洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。如果計(jì)算機(jī)的端口打 開太多，而管理者不知道，那么，有兩種情況：一種是提供了服務(wù)而管理者沒有 注意，比如安裝 iis 的時(shí)候，軟件就會(huì)自動(dòng)增加很多服務(wù)，而 管理者可能沒有 注意到；一種是服務(wù)器被攻擊者安裝 木馬，通過特殊的端口進(jìn)行通信。這兩種情 況都是很危險(xiǎn)的，說到底，就是管理員不了解

17、服務(wù)器提供的服務(wù)，減小了系統(tǒng)安 全系數(shù)。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 7 圖 3-2 常用端口 常用端口圖 3-2 在缺省情況下，所有的端口將對(duì)外開放，而有些黑客工具可以 掃描那些可以利用的端口，所以為了系統(tǒng)安全關(guān)閉不用的端口為最佳。常用端口(見 圖 3-2).關(guān)閉端口具體操作如下。 本地連接屬性internet 協(xié)議(tcp/ip) 屬性高級(jí)選項(xiàng)tcp/ip 篩選 屬性把勾打上，操作如圖 3-3，添加需要的端口(如: 21、80)。 圖 3-3 關(guān)閉不必要端口 更改遠(yuǎn)程連接端口：開始運(yùn)行輸入 regedit 查找 3389：將 hkey_local_machinesystemcurrentcon

18、trolsetcontrolterminalserverwdsrd pwdtdstcp 和 hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp 下的 portnumber=3389 改為自寶義的端口號(hào)并重新啟 動(dòng)服務(wù)器（如圖 3-4 所示）。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 8 圖 3-4 更改遠(yuǎn)程端口 3.7 限制匿名訪問本機(jī)用戶 “開始”“程序”“管理工具”“本地安全策略”“本地策略” “安全選項(xiàng)”雙擊“對(duì)匿名連接的額外限制”在下拉菜單中選擇“不允許 sam 賬戶的匿名枚舉”“確定”（如

19、圖 3-5 所示）。 圖 3-5 限制匿名用戶 3.8 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問 “開始”“程序”“管理工具”“本地安全策略”“本地策略”“ 安全選項(xiàng)”雙擊“只有本地登錄用戶才能訪問軟盤”在單選按鈕中選擇“已啟 用(e)” “確定” （操作如圖 3-6 所示）。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 9 圖 3-6 限制遠(yuǎn)程用戶對(duì)光驅(qū)軟驅(qū)訪問 3.9 限制 netmeeting 及禁用 netmeeting 運(yùn)行“gpedit.msc” “計(jì)算機(jī)配置”“管理模板”“windows 組件” “netmeeting” “禁用遠(yuǎn)程桌面共享”右鍵在單選按鈕中選擇“啟用(e)” “確定”（操作如圖 3-7 所示

20、）。 圖 3-7 限制共享 3.10 注冊(cè)表防止小規(guī)模 ddos 攻擊 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameter s 新建 dword 值名為 synattackprotect 數(shù)值為1（操作如圖 3-8 所示）。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 10 圖 3-8 更改 dword 值 3.11 防火墻及自動(dòng)更新設(shè)置 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并 通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防 火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知

21、的不安全的 nfs 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部 網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 ip 選項(xiàng)中的源路由攻擊和 icmp 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知 防火墻管理員。 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身 份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防 火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份 認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下

22、這些訪問并作出日志 記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行 適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的 使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊 者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分 析和威脅分析等而言也是非常重要的。 1安裝企業(yè)級(jí) 360 軟件如圖 3-9 所示。經(jīng)常對(duì)服務(wù)器進(jìn)行定期的掃描殺毒等。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 11 圖 3-9 360 安裝 2開啟自動(dòng)更新，網(wǎng)上鄰居-屬性-本地連接-屬性-高級(jí)-設(shè)置，如圖 3-10 所示。 3-10 開啟自動(dòng)更新 3

23、防火墻的安全設(shè)置。 添加防火墻規(guī)則有兩種方法，一種是通過 windows 安全警報(bào)對(duì)話框，windows 防火墻中的通知機(jī)制允許本地管理員在得到相應(yīng)提示后自動(dòng)將新程序添加到例外程 序列表。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加，自動(dòng)添加這里不再多說。手動(dòng)添 加也有兩種方式，一種是添加程序的文件名，一種是添加端口。添加端口的方式非 常簡(jiǎn)單，點(diǎn)擊添加端口，然后給這個(gè)要開放端口起個(gè)名字，比如這個(gè)端口是被 qq 使 用的，我們就可以起個(gè)名字叫 qq，然后填上對(duì)應(yīng)的端口號(hào)如 8000，接著選擇通訊協(xié) 議，默認(rèn)只有 tcp 和 udp，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了。如圖 3-11 所示。 xx

24、 學(xué)院畢業(yè)設(shè)計(jì)論文 12 圖 3-11 添加端口 事實(shí)上這就是我們的防火墻規(guī)則，每創(chuàng)建一條允許或禁止的防火墻規(guī)則都會(huì)被 放入列表中，每條規(guī)則前面的復(fù)選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明 這是條禁止規(guī)則。默認(rèn)情況下系統(tǒng)有四條配置好的訪問規(guī)則，如圖 3-12 所示，其中 遠(yuǎn)程協(xié)助是默認(rèn)允許的。點(diǎn)擊添加程序按鈕，然后選擇一個(gè)合適的程序。當(dāng)然，可 能列表中沒有您想要的程序，這時(shí)您可以單擊瀏覽并定位到程序的具體位置把它添 加進(jìn)來。以后，當(dāng)程序運(yùn)行時(shí)，windows 防火墻會(huì)監(jiān)視程序偵聽的端口，并把它們 自動(dòng)添加到例外通信的列表中。這個(gè)方式創(chuàng)建的規(guī)則將更具靈活性和簡(jiǎn)易性。并且 只有在應(yīng)用程序與外部

25、通信時(shí)端口才是開放的，一旦連接斷開，端口也會(huì)隨之關(guān)閉。 這比通過直接添加端口的方式安全性要高很多。 圖 3-12 添加程序規(guī)則 經(jīng)過這些設(shè)置 web 服務(wù)器安全就有了基本的安全保障，另外需要更多的技術(shù)設(shè) 備上的發(fā)展才能滿足更多企業(yè)及個(gè)人用的對(duì)安全的需求。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 13 第 4 章 iis 策略應(yīng)用 4.1 不使用默認(rèn)的 web 站點(diǎn)將 iis 與系統(tǒng)盤分開 將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的 inetpubwwwroot 目錄，以 減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 web 服務(wù)器的目錄結(jié)構(gòu)）帶來的危險(xiǎn)（一定 要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器）。 4.2 刪除不

26、要的 iis 擴(kuò)展名映射 右鍵單擊“默認(rèn) web 站點(diǎn)屬性主目錄配置”，打開應(yīng)用程序窗口，去掉 不必要的應(yīng)用程序映射，主要為 shtml、shtm、stm（如圖 4-1 所示）。 圖 4-1 刪除 iis 映射 4.3 更改 iis 日志的路徑 右鍵單擊“默認(rèn) web 站點(diǎn)屬性網(wǎng)站在啟用日志記錄下點(diǎn)擊屬性更改設(shè) 置（操作如圖 4-2 所示）。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 14 圖 4-2 更改 iis 路徑 4.4 只選擇網(wǎng)站和 web 所必需的服務(wù)和子組件 開始控制面板 添加或刪除程序添加/刪除 windows 組件應(yīng)用程序服務(wù) 器詳細(xì)信息 internet 信息服務(wù) (iis) 詳細(xì)信息然后通

27、過選擇或清除相應(yīng) 組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的 iis 組件和服務(wù)。 iis 子組件和服務(wù) 的推薦設(shè)置；禁用后臺(tái)智能傳輸服務(wù) (bits) 服務(wù)器擴(kuò)展、ftp 服務(wù)、frontpage 2 002 server extensions、internet 打印、nntp 服務(wù)。啟用公用文件、internet 信息服務(wù)管理器、萬維網(wǎng)服務(wù)（操作如圖 4-3 所示） 。 圖 4-3 選擇組件 4.5 刪除未使用的帳戶及設(shè)置強(qiáng)密碼 避免攻擊者通過使用以高級(jí)特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 限 制對(duì)服務(wù)器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個(gè)強(qiáng)密碼 xx 學(xué)院畢業(yè)設(shè)計(jì)論

28、文 15 以增強(qiáng)安全性，重命名 iusr 帳戶。 在 iis 元數(shù)據(jù)庫中更改 iusr 賬戶的值： “管理工具”“internet 信息服 務(wù) (iis) 管理器” 右鍵單擊“本地計(jì)算機(jī)”“屬性”選中“允許直接編輯 配置數(shù)據(jù)庫”復(fù)選框“確定” 瀏覽至 metabase.xml 文件的位置，默認(rèn)情況下 為 c:windowssystem32inetsrv 右鍵單擊 metabase.xml 文件“編輯” 搜索“anonymoususername”屬性，鍵入 iuser 賬戶的新名稱在“文件”菜單上 單擊“退出”單擊“是” （操作如圖 4-4、4-5 所示） 。 圖 4-4 更改 iuser 帳戶

29、值 圖 4-5 更改 iuser 帳戶值 4.6 使用應(yīng)用程序池 應(yīng)用程序池用來隔離應(yīng)用程序，提高 web 服務(wù)器的可靠性和安全性。創(chuàng)建應(yīng) 用程序池： “管理工具”“internet 信息服務(wù) (iis) 管理器” 本地計(jì)算機(jī) 右鍵單擊“應(yīng)用程序池”“新建”“應(yīng)用程序池”在“應(yīng)用程序池 id”框 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 16 中，為應(yīng)用程序池鍵入一個(gè)新 id“應(yīng)用程序池設(shè)置” “use default settings for the new application pool” （使用新應(yīng)用程序池的默認(rèn)設(shè)置） “確定” （操作如圖 4-6 所示） 。 圖 4-6 應(yīng)用程序池的設(shè)置 4.7 將網(wǎng)

30、站或應(yīng)用程序分配到應(yīng)用程序池 因?yàn)閼?yīng)用程序池中的應(yīng)用程序與其他應(yīng)用程序被工作進(jìn)程邊界分隔，所以某 個(gè)應(yīng)用程序池中的應(yīng)用程序不會(huì)受到其他應(yīng)用程序池中應(yīng)用程序所產(chǎn)生的問題的 影響。 步驟：“管理工具”“internet 信息服務(wù) (iis) 管理器” 右鍵單擊您 想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序“屬性”“主目錄” 、 “虛擬目錄”或 “目錄”選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證“應(yīng)用程序名” 是否包含正確的網(wǎng)站或應(yīng)用程序名稱， （如果在“應(yīng)用程序名”框中沒有名稱，則單 擊“創(chuàng)建” ，然后鍵入網(wǎng)站或應(yīng)用程序的名稱）“應(yīng)用程序池”列表框單擊您想 要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名

31、稱“確定” 。 經(jīng)過以上設(shè)置， web 服務(wù)器安全性有了很大的提升，但一些不法攻擊者會(huì)不斷 尋找新漏洞來攻擊 web 服務(wù)系統(tǒng)，所以我們一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣， 并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保 web 服務(wù)器有一個(gè)安全、穩(wěn)定、高效的 運(yùn)行環(huán)境。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 17 第 5 章 web 服務(wù)器安全評(píng)測(cè) 經(jīng)過以上設(shè)置服務(wù)器的所有分區(qū)均采用了 ntfs 格式進(jìn)行設(shè)置并且系統(tǒng)盤與網(wǎng)站 程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機(jī)會(huì)。開啟防火墻能確 保基本的防毒，安裝自動(dòng)更新能及時(shí)的檢查系統(tǒng)及時(shí)更新微軟發(fā)布的安全補(bǔ)丁，及 時(shí)給系統(tǒng)填補(bǔ)漏洞。僅安裝必要的 iis 組件

32、，開啟必要的端口及協(xié)議防止黑客利用 掃描工具進(jìn)行掃描。設(shè)置用戶權(quán)限，可以防止非法用戶的進(jìn)入。設(shè)置相應(yīng)的策略審 核，可以及時(shí)的記錄系統(tǒng)的狀態(tài)，事件的發(fā)生。經(jīng)過這些設(shè)置，一個(gè)基本安全的服 務(wù)器就正常運(yùn)行了。 經(jīng)過自動(dòng)更新的設(shè)置，一旦微軟有新的漏洞補(bǔ)丁發(fā)布如圖 5-1 所示，服務(wù)器立 即就會(huì)自動(dòng)更新，防止部分不法分子利用漏洞就行服務(wù)器掃描攻擊等。 圖 5-1 自動(dòng)修補(bǔ)漏洞 利用 x-scan 進(jìn)行漏洞掃描，x-scan 是國內(nèi)最著名的綜合掃描器之一。它完全 免費(fèi)，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和 命令行方式。主要由國內(nèi)著名的民間黑客組織“安全焦點(diǎn)”完成，最值得一提的

33、是， x-scan 把掃描報(bào)告和安全焦點(diǎn)網(wǎng)站相連接，對(duì)掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)” 評(píng)估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測(cè)試、修補(bǔ)漏洞，x-scan 運(yùn)行于 windows 操作系統(tǒng)。采用多線程方式對(duì)指定 ip 地址段（或單機(jī)）進(jìn)行安全漏洞檢測(cè)， 具有插件功能。 安裝 x-scan 后，對(duì)剛才設(shè)置過的服務(wù)器進(jìn)行評(píng)測(cè)安全系數(shù)。首先獲取服務(wù)器的 ip 地址，該服務(wù)器對(duì)應(yīng)的網(wǎng)站為 ，首先在 ping 一些下這個(gè)域名以獲 得該網(wǎng)站服務(wù)器的 ip 地址 69（如圖 5-2 所示） 。. xx 學(xué)院畢業(yè)設(shè)計(jì)論文 18 圖 5-2 獲取服務(wù)器的 ip 地址 參數(shù)設(shè)置，雙擊

34、xscan_gui，會(huì)打開 x-scan v3.2 gui 的界面，點(diǎn)擊設(shè)置-掃描 參數(shù)，設(shè)置要掃描網(wǎng)絡(luò)的 ip 地址，也可以是地址段，把得到的信息工程學(xué)院的 ip 地址 0 填到指定 ip 地址范圍處。再對(duì)“全局設(shè)置”和“插件設(shè)置”進(jìn) 行相關(guān)的設(shè)置，界面如圖 5-3 所示。點(diǎn)擊“確定” ，返回到 x-scan v3.2 gui 的界面。 圖 5-3 x-scan 界面 掃描，點(diǎn)擊工具欄上的開始按鈕，就進(jìn)行掃描了，這時(shí)，在進(jìn)程里會(huì)出現(xiàn) 10 個(gè) checkhost.exe 進(jìn)程，掃描是會(huì)出現(xiàn)如圖 5-4 畫面。 圖 5-2 掃描界面 這是加載攻擊測(cè)試腳本的界面，只有把所有的腳本文件都加載進(jìn)去，才能進(jìn)行 全面而準(zhǔn)確的掃描。 xx 學(xué)院畢業(yè)設(shè)計(jì)論文 19 以下圖 5-5 所示是正式掃描的界面，對(duì)相應(yīng)的端口和服務(wù)等進(jìn)行掃描。 圖 5-3 正式掃描 當(dāng)掃描完成后，會(huì)自動(dòng)生成被檢測(cè)主機(jī)的詳細(xì)漏洞信息的報(bào)表，報(bào)表的上部給 出了掃描時(shí)間，檢測(cè)結(jié)果，主機(jī)列表，分析主機(jī)：69，四項(xiàng)信息，如圖 給出了安全設(shè)置前后掃描信息對(duì)比如圖 5-6 及 5-7 所示。 圖 5-4 服務(wù)器沒有安全設(shè)置前掃描信息 圖 5-7 安全設(shè)置后的掃描信息 結(jié)果分析從報(bào)表可以看到，報(bào)表給出了 10 個(gè)提示數(shù)量，3 個(gè)