實(shí)驗(yàn)二、Windows中的Web、FTP服務(wù)器的安全配置_第1頁(yè)
實(shí)驗(yàn)二、Windows中的Web、FTP服務(wù)器的安全配置_第2頁(yè)
實(shí)驗(yàn)二、Windows中的Web、FTP服務(wù)器的安全配置_第3頁(yè)
實(shí)驗(yàn)二、Windows中的Web、FTP服務(wù)器的安全配置_第4頁(yè)
實(shí)驗(yàn)二、Windows中的Web、FTP服務(wù)器的安全配置_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1Windows中的Web、FTP服務(wù)器的

安全配置

2一.Web、FTP服務(wù)器安全簡(jiǎn)介(1)一、實(shí)驗(yàn)的目的:

通過(guò)實(shí)驗(yàn)了解Windows操作系統(tǒng)中Web服務(wù)器、FTP服務(wù)器的安全漏洞及其防范措施,實(shí)現(xiàn)Web服務(wù)器和FTP服務(wù)器的安全配置。

3一.Web、FTP服務(wù)器安全簡(jiǎn)介(2)

二、實(shí)驗(yàn)原理

IIS(InternetInformationServer)

是windows系統(tǒng)中的Internet信息和應(yīng)用程序服務(wù)器。利用IIS可以配置windows平臺(tái)方便地提供并且和windows系統(tǒng)管理功能完美的融合在一起,使系統(tǒng)管理人員獲得和windows完全一致的管理。

4一.Web、FTP服務(wù)器安全簡(jiǎn)介(3)

IIS4.0、IIS5.0、IIS6.0的應(yīng)用非常廣,但由于這兩個(gè)版本的IIS存在很多安全漏洞,它的使用也帶來(lái)了很多安全隱患。IIS常見(jiàn)漏洞包括:idc&ida漏洞、“.htr”漏洞、NTSiteServerAdsamples漏洞、.printer漏洞、Unicode解析錯(cuò)誤漏洞、Webdav漏洞等。因此,了解如何加強(qiáng)web服務(wù)器、FTP服務(wù)器的安全性,防范由IIS漏洞造成的入侵就顯得尤為重要。在下面的實(shí)驗(yàn)中通過(guò)對(duì)Web服務(wù)器和FTP服務(wù)器的安全配置,了解其防范方法。

5一.Web、FTP服務(wù)器安全簡(jiǎn)介(4)

我們可以手動(dòng)進(jìn)行IIS的安全配置,包括web服務(wù)器、FTP服務(wù)器和SMTP服務(wù)器,也可以利用一些安全工具來(lái)進(jìn)行。IISlockdown,是由微軟開(kāi)發(fā)的IIS安全配置工具,它按照模板的安全配置選項(xiàng),通過(guò)關(guān)閉IIS服務(wù)器上的某些不必要的特性和服務(wù),從而減少受攻擊的威脅。此工具還與URLscan等協(xié)同工作,提供了多層次的防御和保護(hù)。

三、實(shí)驗(yàn)環(huán)境

安裝windowsserver2003操作系統(tǒng)的計(jì)算機(jī),并且安裝IIS服務(wù)67二.用IIS建立高安全性的Web服務(wù)器(1)四、實(shí)驗(yàn)內(nèi)容與步驟1.IIS要與操作系統(tǒng)安裝于不同分區(qū)為保護(hù)Windows2000Server系統(tǒng)的安全性,確認(rèn)IIS與系統(tǒng)安裝在不同的分區(qū)。如果IIS安裝在系統(tǒng)分區(qū),IIS的安全漏洞可直接威脅到系統(tǒng)的安全,建議卸載重新安裝。

8二.用IIS建立高安全性的Web服務(wù)器(2)2.刪除不必要的虛擬目錄打開(kāi)“*\wwwroot”(其中*代表IIS安裝的路徑),刪除在IIS安裝完成后,默認(rèn)生成的目錄,包括IISHelp、IISAdmin、IISSamples、MSADC等。這些默認(rèn)生成的目錄是眾所周知的,容易給攻擊者留下入侵的機(jī)會(huì)。

9二.用IIS建立高安全性的Web服務(wù)器(3)3.停止默認(rèn)web站點(diǎn)打開(kāi)“控制面板”->“管理工具”->“Internet服務(wù)管理器”,右擊“默認(rèn)web站點(diǎn)”,在彈出的菜單中點(diǎn)擊“停止”,根據(jù)需要啟用自己創(chuàng)建的web站點(diǎn),如下圖所示。默認(rèn)Web的根目錄默認(rèn)在inetpub\wwwroot,還有其他一系列的參數(shù)設(shè)置也都是眾所周知的,如果采用這些默認(rèn)設(shè)置,將大大減小攻擊難度。10二.用IIS建立高安全性的Web服務(wù)器(4)4.IIS中的文件和目錄進(jìn)行分類,區(qū)別設(shè)置權(quán)限

對(duì)于Web主目錄中的文件和目錄,點(diǎn)擊右鍵,在“屬性”中按需要給它們分配適當(dāng)權(quán)限。一般情況下,(1).靜態(tài)文件允許讀、拒絕寫;(2).ASP腳本文件、EXE可執(zhí)行程序等允許執(zhí)行、拒絕讀寫;通常不要開(kāi)放寫入權(quán)限。(3).所有的文件和目錄要將everyone用戶組的權(quán)限設(shè)置為只讀權(quán)限。

11二.用IIS建立高安全性的Web服務(wù)器(5)5.刪除不必要的應(yīng)用程序映射.(1)在“Internet服務(wù)管理器”中,右擊網(wǎng)站目錄,選擇“屬性”,如圖所示。

12二.用IIS建立高安全性的Web服務(wù)器(6)5.刪除不必要的應(yīng)用程序映射.(2)在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁(yè)面中,如圖所示,點(diǎn)擊“配置“按鈕。13二.用IIS建立高安全性的Web服務(wù)器(7)5.刪除不必要的應(yīng)用程序映射.(3)在彈出“應(yīng)用程序配置”對(duì)話框的“應(yīng)用程序映射”頁(yè)面,如圖6-53所示,刪除無(wú)用的程序映射。在大多數(shù)情況下,只需要留下.asp一項(xiàng)即可,將.ida、.idq、.htr等全部刪除,以避免利用這些程序映射存在的漏洞對(duì)系統(tǒng)進(jìn)行攻擊。14二.用IIS建立高安全性的Web服務(wù)器(8)6.維護(hù)日志安全(1)在“Internet服務(wù)管理器”中,右擊網(wǎng)站目錄,選擇“屬性”。在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁(yè)面中,在選中“啟用日志記錄”的情況下,點(diǎn)擊旁邊的“屬性”按鈕,如下圖所示。

15二.用IIS建立高安全性的Web服務(wù)器(9)6.維護(hù)日志安全(2)

在“常規(guī)屬性”頁(yè)面,點(diǎn)擊“瀏覽”按鈕或者直接在輸入框中輸入修改后的日志存放路徑即可,如圖所示。

16二.用IIS建立高安全性的Web服務(wù)器(10)6.維護(hù)日志安全(3)修改路徑后的日志文件要適當(dāng)設(shè)置權(quán)限,它的文件權(quán)限建議administrator和system用戶為完全控制、everyone為只讀;同時(shí),建議與web主目錄文件放在不同的分區(qū),增加攻擊者利用路徑瀏覽得到日志存放路徑的難度,防止攻擊者惡意篡改日志。17二.用IIS建立高安全性的Web服務(wù)器(11)7.修改端口值

在“Internet服務(wù)管理器”中,右擊網(wǎng)站目錄,選擇“屬性”。在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁(yè)面中,如圖所示,Web服務(wù)器默認(rèn)端口值為80,這是眾所周知的,而端口號(hào)是攻擊者可以利用的一個(gè)便利條件。將端口號(hào)改用其它值,可以增加安全性,當(dāng)然也會(huì)給用戶訪問(wèn)帶來(lái)不便,系統(tǒng)管理員根據(jù)需要決定是否采用此條策略。18二.用IIS建立高安全性的Web服務(wù)器(12)

至此,簡(jiǎn)單的Web服務(wù)器安全配置已完成。事實(shí)上,雖然這些安全配置可以在和很大程度上提高我們的Web服務(wù)器的安全性,但作為真正實(shí)用的Web服務(wù)器,每天要接受大量的訪問(wèn)甚至大量的攻擊,只有這些配置是遠(yuǎn)遠(yuǎn)不夠的,還要采用一些列的安全措施例如防火墻技術(shù)等等。

19三.FTP服務(wù)器的安全配置(1)1.停止默認(rèn)FTP站點(diǎn)打開(kāi)“控制面板”->“管理工具”->“Internet服務(wù)管理器”,右擊“默認(rèn)FTP站點(diǎn)”,在彈出的菜單中點(diǎn)擊“停止”,根據(jù)需要啟用啟用自己的FTP站點(diǎn),如下圖所示。其目的也是要避免使用眾所周知的默認(rèn)服務(wù)器設(shè)置。

20三.FTP服務(wù)器的安全配置(2)2.FTP頁(yè)面上,將TCP端口的“21”改為其它值如下圖所示,F(xiàn)TP協(xié)議默認(rèn)端口為21,改用其他的端口值使攻擊者無(wú)法得到服務(wù)器的端口號(hào)從而增大了攻擊難度,但同時(shí)也會(huì)給用戶帶來(lái)一定的不便。

21三.FTP服務(wù)器的安全配置(3)3.啟用日志記錄

在FTP頁(yè)面上,點(diǎn)中“啟用日志記錄”,如上圖所示,單擊“屬性”,彈出下圖對(duì)話框。修改文件日志目錄,將日志目錄和FTP主目錄分放在不同的路徑下,并參照web服務(wù)器的權(quán)限設(shè)置,設(shè)置文件和文件目錄的權(quán)限,以保護(hù)日志的安全性。

22三.FTP服務(wù)器的安全配置(4)4.關(guān)于帳號(hào)在帳號(hào)安全頁(yè)面中,取消“允許匿名連接”選項(xiàng),在“FTP站點(diǎn)操作員”只留下系統(tǒng)管理員一個(gè)帳號(hào)。如下圖所示。

23三.FTP服務(wù)器的安全配置(5)

我們通過(guò)操作系統(tǒng)安全實(shí)驗(yàn),已經(jīng)配置了相對(duì)安全的管理員賬號(hào)和密碼。所以,我們?cè)贔TP站點(diǎn)操作員中只留下系統(tǒng)管理員,這就要求只有知道帳號(hào)和密碼的用戶才可以登錄和管理FTP服務(wù)器,限制了匿名用戶等其他用戶的行為。

24三.FTP服務(wù)器的安全配置(6)5.系統(tǒng)路徑在“主目錄頁(yè)面”設(shè)置FTP主目錄,如下圖所示,注意該目錄不要與系統(tǒng)路徑在同一個(gè)磁盤分區(qū),刪除everyone用戶組,設(shè)置其它用戶的權(quán)限為可讀,不可寫,只對(duì)管理員用戶保留完全控制權(quán)限。

25三.FTP服務(wù)器的安全配置(7)6.目錄安全性在“目錄安全性”頁(yè)面中添加被拒絕或允許訪問(wèn)的IP。

在圖中,在選中“授權(quán)服務(wù)”的情況下,可以添加被拒絕的IP或IP組,其它未提到的IP視為允

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論