電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件_第1頁
電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件_第2頁
電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件_第3頁
電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件_第4頁
電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件_第5頁
已閱讀5頁,還剩83頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

第八章web站點的安全技術

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3數(shù)據(jù)庫安全第八章web站點的安全技術8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系統(tǒng);Internet信息服務(IIS)6.0;Web應用程序;IP安全策略(IPSec);遠程管理與監(jiān)視;SQLServer;用戶與密碼。此處我們主要講解WindowsServer2003、Internet信息服務(IIS)6.0、IP安全策略(IPSec)的安全配置,對于其他方面將在以后的課程逐步講解。8.1WindowsSever2003的安全方案Wi8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);(1)NTFS比FAT分區(qū)多了安全控制功能(2)建議最好一次性全部安裝成NTFS分區(qū)(3)安裝NTFS分區(qū)的潛在危險2.只安裝一種操作系統(tǒng)3.安裝成獨立的域控制器(StandAlone),選擇工作組成員,不選擇域

主域控制器(PDC)是局域網(wǎng)中隊多臺聯(lián)網(wǎng)機器管理的一種方式,用于網(wǎng)站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的分區(qū)分開,并在安裝時最好不要使用系統(tǒng)默認的目錄,如將\WINNT改為其他目錄;5.Windows程序,都要重新安裝一次補丁程序,windows2000下更需要這樣做。(1)最新的補丁程序,表示系統(tǒng)以前有重大漏洞,非補不可了(2)安裝windows2000的SP4有一個潛在威脅(3)安裝ServicePack前應先在測試機器上安裝一次,以防因為例外原因?qū)е聶C器死機,同時做好數(shù)據(jù)備份。6.盡量不安裝與Web站點服務無關的軟件;4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的8.1.2設置安全1.帳號策略(1)帳號盡可能少,且盡可能少用來登錄;(2)除過Administrator外,有必要再增加一個屬于管理員組的帳號(3)所有帳號權(quán)限需嚴格控制,輕易不要給帳號以特殊權(quán)限(4)將Administrator重命名,改為一個不易猜的名字。(5)將Guest帳號禁用,(6)給所有用戶帳號一個復雜的口令(7)口令必須定期更改(8)在帳號屬性中設立鎖定次數(shù)8.1.2設置安全1.帳號策略2.解除NetBios與TCP/IP協(xié)議的綁定

NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務器上卻成了黑客掃描工具的首選目標。方法:控制面版——網(wǎng)絡和撥號連接——本地網(wǎng)絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS。

3.系統(tǒng)啟動的等待時間設置為0秒2.解除NetBios與TCP/IP協(xié)議的綁定4.改NTFS的安全權(quán)限NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執(zhí)行等操作,建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。4.改NTFS的安全權(quán)限E-mail:51god@163.com5.只開放必要的端口,關閉其余端口

現(xiàn)將一些常用端口列表如下E-mail:51god@163.com5.只開放必要的端口6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會被某些黑客工具利用。6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SP7.停掉沒有用的服務,只保留與網(wǎng)站有關的服務和服務器某些必須的服務。有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機,如果確實沒有用處建議禁止掉,同時也能節(jié)約一些系統(tǒng)資源。但要注意有些服務是操作系統(tǒng)必須的服務,建議在停掉前查閱幫助文檔并首先在測試服務器上做一下測試。電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件8.合理修改注冊表(1)隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏(2)防止SYN洪水攻擊(3)禁止響應ICMP路由通告報文(4)防止ICMP重定向報文的攻擊(5)不支持IGMP協(xié)議(6)修改終端服務端口(7)禁止IPC空連接(8)更改TTL值(9)禁止建立空連接(10)刪除默認共享8.合理修改注冊表9.安裝最新的MDACMDAC為數(shù)據(jù)訪問部件,通常程序?qū)?shù)據(jù)庫的訪問都通過它,但它也是黑客攻擊的目標,為防止以前版本的漏洞可能會被帶入升級后的版本,建議卸載后安裝最新的版本。注意:在安裝最新版本前最好先做一下測試,因為有的數(shù)據(jù)訪問方式或許在新版本中不再被支持,這種情況下可以通過修改注冊表來修補漏洞,詳情可以參考微軟公布的漏洞測試文檔。9.安裝最新的MDAC10.加強日志審核

日志任何包括事件查看器中的應用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號審核可以從域用戶管理器——規(guī)則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是,只需選取你真正關心的指標就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對系統(tǒng)資源也是一種浪費。

10.加強日志審核8.1.3關閉服務器端口關閉服務器端口的有三種方法:通過修改注冊表關閉相關端口;通過停止并禁用相關系統(tǒng)服務;通過配置本地IP安全策略實現(xiàn)端口的關閉。這里著重講解通過配置IP安全策略關閉端口的方法。8.1.3關閉服務器端口關閉服務器端口的有三種方法:通過修1.通過停止并禁用相關系統(tǒng)服務關閉端口(1)關閉79等端口:關閉SimpleTCP/IPService,支持以下

TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

(2)關掉25端口:關閉SimpleMailTransportProtocol(SMTP)服務,它提供的功能是跨網(wǎng)傳送電子郵件。(3)關掉21端口:關閉FTPPublishingService,它提供的服務是通過

Internet信息服務的管理單元提供

FTP連接和管理。(4)關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(5)關閉server服務,此服務提供

RPC支持、文件、打印以及命名管道共享。關掉它就關掉了windows的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。1.通過停止并禁用相關系統(tǒng)服務關閉端口(1)關閉79等端口:2.配置IP安全策略關閉端口本部分內(nèi)容在實踐課中進行講解和練習。2.配置IP安全策略關閉端口本部分內(nèi)容在實踐課中進行講解和練8.2IIS的安全配置8.2IIS的安全配置8.2.1加強IIS安全的基本設置1.關閉并刪除默認站點2.建立自己的站點,與系統(tǒng)不在同一分區(qū)3.刪除IIS的部分目錄:IISHelp,C:\winnt\help\iishelp;

IISAdmin,C:\system32\inetsrv\iisadminMSADC,C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.刪除不必要的IIS映射和擴展5.禁用父路徑(有可能導致某些使用相對路徑的子頁面不能打開)8.2.1加強IIS安全的基本設置1.關閉并刪除默認站點6.在虛擬目錄上設置訪問控制權(quán)限7.啟用日志記錄8.備份IIS配置9.修改IIS標志10.重定義錯誤信息

防止數(shù)據(jù)庫不被下載的方法有很多,眾多方法中只要記住一點.不要改成asp就可以了,不然黑客給你放一個簡單的木馬都會讓你陷入極大的麻煩,然后在IIS中將HTTP404、500等ObjectNotFound出錯頁面通過URL重定向到一個定制HTML文件,這樣大多數(shù)的暴庫得到的都是你設置好的文件,自然就掩飾了數(shù)據(jù)庫的地址,還能防止一些sql注入。6.在虛擬目錄上設置訪問控制權(quán)限電子商務網(wǎng)站管理與為維護E-mail:51god@163.com8.2.2服務器硬盤的權(quán)限設置為了提高系統(tǒng)安全性,我們對系統(tǒng)的一些重要文件夾進行正確的權(quán)限設置,這樣可以大大提高系統(tǒng)安全性和可用性。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com服務器硬盤權(quán)限設置表文件用戶權(quán)限

C:/administrators全部權(quán)限iis_wpg只有該文件夾;列出文件夾/讀數(shù)據(jù);讀屬性;讀擴展屬性;讀取權(quán)限電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com提高FSO的安全性1FSO簡介FSO是FileSystemObject的簡稱。FSO組件可以用來處理驅(qū)動器、文件夾以及文件。該組件為ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作,這就給網(wǎng)站的安全帶來巨大的威脅。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com提高FSO的安全性很多服務器都遭受過FSO木馬的侵擾。但是如果禁用FSO組件,那么所有利用這個組件的ASP程序都將無法正常運行,無法滿足客戶的需求。如何既允許FSO組件,又不影響服務器的安全性呢?電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(1)在服務器上打開資源管理器,用鼠標右鍵點擊各個硬盤分區(qū)或卷的盤符,屬性安全,就可以看到有哪些帳號可以訪問這個分區(qū)(卷)及訪問權(quán)限。默認的是“Everyone”具有完全控制的權(quán)限。(2)點“添加”,將“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等幾個組添加進去,并給予“完全控制”或相應的權(quán)限,注意,不要給“Guests”組、“IUSR_機器名”這幾個帳號任何權(quán)限。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(3)將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而ASP執(zhí)行時,是以“IUSR_機器名”的身份訪問硬盤的,這里沒給該用戶帳號權(quán)限,ASP也就不能讀寫硬盤上的文件了。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置下面要做的就是給每個用戶設置一個單獨的用戶帳號,然后再給每個帳號分配一個允許其完全控制的目錄。(1)打開“計算機管理”→“本地用戶和組”→“用戶”,在右欄中點擊鼠標右鍵,在彈出的菜單中選擇“新用戶”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(2)在“新用戶”對話框中輸入“用戶名”、“密碼”、“確認密碼”,并將“用戶下次登錄時須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機的用戶建立一個匿名訪問Internet信息服務的內(nèi)置帳號“IUSR_VHOST1”,即:所有客戶端使用http://xxx.xxx.xxxx/(表示該網(wǎng)站的網(wǎng)址)訪問此網(wǎng)站時,都是以這個身份來訪問的。輸入完成后點“創(chuàng)建”即可。可以根據(jù)實際需要,創(chuàng)建多個用戶,創(chuàng)建完畢后點“關閉”。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(3)現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了,在列表中雙擊該帳號,以便進一步進行設置電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(4)在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號)屬性對話框中點“隸屬于”選項卡,剛建立的帳號默認是屬于“Users”組,選中該組,點“刪除”。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(5)現(xiàn)在出現(xiàn)的是如下圖所示,此時再點“添加”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(6)在彈出的“選擇組”對話框中找到“Guests”,點“添加”,此組就會出現(xiàn)在下方的文本框中,然后點“確定”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(7)打開“Internet信息服務”,開始對虛擬主機進行設置,本例中的以對“第一虛擬主機”設置為例進行說明,右擊該主機名,選擇“屬性”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(8)彈出一個“第一虛擬主機屬性”的對話框,從對話框中可以看到該虛擬主機用戶的使用的是“F:\VHOST1”這個文件夾:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(9)暫時先不管的“第一虛擬主機屬性”對話框,切換到“資源管理器”,找到“F:\VHOST1”這個文件夾,右擊,選“屬性”→“安全”選項卡,此時可以看到該文件夾的默認安全設置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),首先將“允許將來自父系的可繼承權(quán)限傳播給該對象”前面的對號去掉:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(10)點“刪除”安全選項卡中的所有組和用戶都將被清空然后點“添加”。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(11)將如圖中所示的“Administrator”及在前面所創(chuàng)建的新帳號“IUSR_VHOST1”添加進來,將給予完全控制的權(quán)限,還可以根據(jù)實際需要添加其他組或用戶,但一定要將“Guests”組、“IUSR_機器名”這些匿名訪問的帳號添加上去。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(12)切換到前面打開的"第一虛擬主機屬性"的對話框,打開"目錄安全性"選項卡,點匿名訪問和驗證控制的"編輯":電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(13)在彈出的"驗證方法"對方框(如下圖所示),點"編輯",彈出了"匿名用戶帳號",默認的就是"IUSR_機器名",點"瀏覽",在"選擇用戶"對話框中找到前面創(chuàng)建的新帳號"IUSR_VHOST1",雙擊,此時匿名用戶名就改過來了,在密碼框中輸入前面創(chuàng)建時,為該帳號設置的密碼:再確定一遍密碼:

電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置至此針對FSO的安全設置完成了,點確定關閉這些對話框。經(jīng)此設置后,"第一虛擬主機"的用戶,使用ASP的FileSystemObject組件也只能訪問自己的目錄:F:\VHOST1下的內(nèi)容,當試圖訪問其他內(nèi)容時,會出現(xiàn)諸如"沒有權(quán)限"、"硬盤未準備好"、"500服務器內(nèi)部錯誤"等出錯提示了。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c安裝最新的服務包使用Microsoft基線安全性分析器(MBSA)來評估服務器的安全性使用Windows身份驗證模式隔離您的服務器,并定期備份分配一個強健的sa密碼限制SQLServer服務的權(quán)限在防火墻上禁用SQLServer端口使用更加安全的文件系統(tǒng)刪除或保護舊的安裝文件

8.3數(shù)據(jù)庫安全安裝最新的服務包8.3數(shù)據(jù)庫安全審核指向SQLServer的連接修改SQLSERVER內(nèi)置存儲過程

電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件本章結(jié)束ThankYou!本章結(jié)束ThankYou!第八章web站點的安全技術

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3數(shù)據(jù)庫安全第八章web站點的安全技術8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系統(tǒng);Internet信息服務(IIS)6.0;Web應用程序;IP安全策略(IPSec);遠程管理與監(jiān)視;SQLServer;用戶與密碼。此處我們主要講解WindowsServer2003、Internet信息服務(IIS)6.0、IP安全策略(IPSec)的安全配置,對于其他方面將在以后的課程逐步講解。8.1WindowsSever2003的安全方案Wi8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);(1)NTFS比FAT分區(qū)多了安全控制功能(2)建議最好一次性全部安裝成NTFS分區(qū)(3)安裝NTFS分區(qū)的潛在危險2.只安裝一種操作系統(tǒng)3.安裝成獨立的域控制器(StandAlone),選擇工作組成員,不選擇域

主域控制器(PDC)是局域網(wǎng)中隊多臺聯(lián)網(wǎng)機器管理的一種方式,用于網(wǎng)站服務器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點服務器。8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的分區(qū)分開,并在安裝時最好不要使用系統(tǒng)默認的目錄,如將\WINNT改為其他目錄;5.Windows程序,都要重新安裝一次補丁程序,windows2000下更需要這樣做。(1)最新的補丁程序,表示系統(tǒng)以前有重大漏洞,非補不可了(2)安裝windows2000的SP4有一個潛在威脅(3)安裝ServicePack前應先在測試機器上安裝一次,以防因為例外原因?qū)е聶C器死機,同時做好數(shù)據(jù)備份。6.盡量不安裝與Web站點服務無關的軟件;4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應用程序所在的8.1.2設置安全1.帳號策略(1)帳號盡可能少,且盡可能少用來登錄;(2)除過Administrator外,有必要再增加一個屬于管理員組的帳號(3)所有帳號權(quán)限需嚴格控制,輕易不要給帳號以特殊權(quán)限(4)將Administrator重命名,改為一個不易猜的名字。(5)將Guest帳號禁用,(6)給所有用戶帳號一個復雜的口令(7)口令必須定期更改(8)在帳號屬性中設立鎖定次數(shù)8.1.2設置安全1.帳號策略2.解除NetBios與TCP/IP協(xié)議的綁定

NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務器上卻成了黑客掃描工具的首選目標。方法:控制面版——網(wǎng)絡和撥號連接——本地網(wǎng)絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS。

3.系統(tǒng)啟動的等待時間設置為0秒2.解除NetBios與TCP/IP協(xié)議的綁定4.改NTFS的安全權(quán)限NTFS下所有文件默認情況下對所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執(zhí)行等操作,建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。4.改NTFS的安全權(quán)限E-mail:51god@163.com5.只開放必要的端口,關閉其余端口

現(xiàn)將一些常用端口列表如下E-mail:51god@163.com5.只開放必要的端口6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會被某些黑客工具利用。6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SP7.停掉沒有用的服務,只保留與網(wǎng)站有關的服務和服務器某些必須的服務。有些服務比如RAS服務、Spooler服務等會給黑客帶來可乘之機,如果確實沒有用處建議禁止掉,同時也能節(jié)約一些系統(tǒng)資源。但要注意有些服務是操作系統(tǒng)必須的服務,建議在停掉前查閱幫助文檔并首先在測試服務器上做一下測試。電子商務網(wǎng)站管理與維護-第8章-Web站點的安全技術課件8.合理修改注冊表(1)隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏(2)防止SYN洪水攻擊(3)禁止響應ICMP路由通告報文(4)防止ICMP重定向報文的攻擊(5)不支持IGMP協(xié)議(6)修改終端服務端口(7)禁止IPC空連接(8)更改TTL值(9)禁止建立空連接(10)刪除默認共享8.合理修改注冊表9.安裝最新的MDACMDAC為數(shù)據(jù)訪問部件,通常程序?qū)?shù)據(jù)庫的訪問都通過它,但它也是黑客攻擊的目標,為防止以前版本的漏洞可能會被帶入升級后的版本,建議卸載后安裝最新的版本。注意:在安裝最新版本前最好先做一下測試,因為有的數(shù)據(jù)訪問方式或許在新版本中不再被支持,這種情況下可以通過修改注冊表來修補漏洞,詳情可以參考微軟公布的漏洞測試文檔。9.安裝最新的MDAC10.加強日志審核

日志任何包括事件查看器中的應用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號審核可以從域用戶管理器——規(guī)則——審核中選擇指標;NTFS中對文件的審核從資源管理器中選取。要注意的一點是,只需選取你真正關心的指標就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對系統(tǒng)資源也是一種浪費。

10.加強日志審核8.1.3關閉服務器端口關閉服務器端口的有三種方法:通過修改注冊表關閉相關端口;通過停止并禁用相關系統(tǒng)服務;通過配置本地IP安全策略實現(xiàn)端口的關閉。這里著重講解通過配置IP安全策略關閉端口的方法。8.1.3關閉服務器端口關閉服務器端口的有三種方法:通過修1.通過停止并禁用相關系統(tǒng)服務關閉端口(1)關閉79等端口:關閉SimpleTCP/IPService,支持以下

TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

(2)關掉25端口:關閉SimpleMailTransportProtocol(SMTP)服務,它提供的功能是跨網(wǎng)傳送電子郵件。(3)關掉21端口:關閉FTPPublishingService,它提供的服務是通過

Internet信息服務的管理單元提供

FTP連接和管理。(4)關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(5)關閉server服務,此服務提供

RPC支持、文件、打印以及命名管道共享。關掉它就關掉了windows的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。1.通過停止并禁用相關系統(tǒng)服務關閉端口(1)關閉79等端口:2.配置IP安全策略關閉端口本部分內(nèi)容在實踐課中進行講解和練習。2.配置IP安全策略關閉端口本部分內(nèi)容在實踐課中進行講解和練8.2IIS的安全配置8.2IIS的安全配置8.2.1加強IIS安全的基本設置1.關閉并刪除默認站點2.建立自己的站點,與系統(tǒng)不在同一分區(qū)3.刪除IIS的部分目錄:IISHelp,C:\winnt\help\iishelp;

IISAdmin,C:\system32\inetsrv\iisadminMSADC,C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.刪除不必要的IIS映射和擴展5.禁用父路徑(有可能導致某些使用相對路徑的子頁面不能打開)8.2.1加強IIS安全的基本設置1.關閉并刪除默認站點6.在虛擬目錄上設置訪問控制權(quán)限7.啟用日志記錄8.備份IIS配置9.修改IIS標志10.重定義錯誤信息

防止數(shù)據(jù)庫不被下載的方法有很多,眾多方法中只要記住一點.不要改成asp就可以了,不然黑客給你放一個簡單的木馬都會讓你陷入極大的麻煩,然后在IIS中將HTTP404、500等ObjectNotFound出錯頁面通過URL重定向到一個定制HTML文件,這樣大多數(shù)的暴庫得到的都是你設置好的文件,自然就掩飾了數(shù)據(jù)庫的地址,還能防止一些sql注入。6.在虛擬目錄上設置訪問控制權(quán)限電子商務網(wǎng)站管理與為維護E-mail:51god@163.com8.2.2服務器硬盤的權(quán)限設置為了提高系統(tǒng)安全性,我們對系統(tǒng)的一些重要文件夾進行正確的權(quán)限設置,這樣可以大大提高系統(tǒng)安全性和可用性。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com服務器硬盤權(quán)限設置表文件用戶權(quán)限

C:/administrators全部權(quán)限iis_wpg只有該文件夾;列出文件夾/讀數(shù)據(jù);讀屬性;讀擴展屬性;讀取權(quán)限電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com提高FSO的安全性1FSO簡介FSO是FileSystemObject的簡稱。FSO組件可以用來處理驅(qū)動器、文件夾以及文件。該組件為ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作,這就給網(wǎng)站的安全帶來巨大的威脅。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com提高FSO的安全性很多服務器都遭受過FSO木馬的侵擾。但是如果禁用FSO組件,那么所有利用這個組件的ASP程序都將無法正常運行,無法滿足客戶的需求。如何既允許FSO組件,又不影響服務器的安全性呢?電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(1)在服務器上打開資源管理器,用鼠標右鍵點擊各個硬盤分區(qū)或卷的盤符,屬性安全,就可以看到有哪些帳號可以訪問這個分區(qū)(卷)及訪問權(quán)限。默認的是“Everyone”具有完全控制的權(quán)限。(2)點“添加”,將“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等幾個組添加進去,并給予“完全控制”或相應的權(quán)限,注意,不要給“Guests”組、“IUSR_機器名”這幾個帳號任何權(quán)限。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(3)將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而ASP執(zhí)行時,是以“IUSR_機器名”的身份訪問硬盤的,這里沒給該用戶帳號權(quán)限,ASP也就不能讀寫硬盤上的文件了。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置下面要做的就是給每個用戶設置一個單獨的用戶帳號,然后再給每個帳號分配一個允許其完全控制的目錄。(1)打開“計算機管理”→“本地用戶和組”→“用戶”,在右欄中點擊鼠標右鍵,在彈出的菜單中選擇“新用戶”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(2)在“新用戶”對話框中輸入“用戶名”、“密碼”、“確認密碼”,并將“用戶下次登錄時須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機的用戶建立一個匿名訪問Internet信息服務的內(nèi)置帳號“IUSR_VHOST1”,即:所有客戶端使用http://xxx.xxx.xxxx/(表示該網(wǎng)站的網(wǎng)址)訪問此網(wǎng)站時,都是以這個身份來訪問的。輸入完成后點“創(chuàng)建”即可??梢愿鶕?jù)實際需要,創(chuàng)建多個用戶,創(chuàng)建完畢后點“關閉”。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(3)現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了,在列表中雙擊該帳號,以便進一步進行設置電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(4)在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號)屬性對話框中點“隸屬于”選項卡,剛建立的帳號默認是屬于“Users”組,選中該組,點“刪除”。電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(5)現(xiàn)在出現(xiàn)的是如下圖所示,此時再點“添加”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(6)在彈出的“選擇組”對話框中找到“Guests”,點“添加”,此組就會出現(xiàn)在下方的文本框中,然后點“確定”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(7)打開“Internet信息服務”,開始對虛擬主機進行設置,本例中的以對“第一虛擬主機”設置為例進行說明,右擊該主機名,選擇“屬性”:電子商務網(wǎng)站管理與為維護E-mail:51god@163.c電子商務網(wǎng)站管理與為維護E-mail:51god@163.com2FSO的安全設置(8)彈出一個“第一虛擬主機屬性”的對話框,從對話框中可以看到該虛擬主機用戶的使用的是“F:\VHOST1”這個文件夾:電子商

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論