第 1页 2011-10-16 山东师范大学管理学院
第 4章 Web网站安全部署
知识要点, Web系统的安全弱点, 系统服务包和安全补丁,
限制用户权限, 文件系统安全, 删除或禁用不必要的组件和
服务, 日志和审核, 系统防病毒策略与案例 。 IIS的安全机制,
设置 IP地址限制, 设置用户身份验证, 设置 Web服务器权限,
控制 IIS应用程序, 审核 IIS日志记录, 安全加固工具及应用 。
防火墙和路由器应用, 使用网络 DMZ,虚拟专用网络 。
重点知识, Web系统的安全弱点, 系统服务包和安全补丁
,删除或禁用不必要的组件和服务, 日志和审核, 系统防病
毒策略, IIS的安全机制, 身份验证, 审核 IIS日志记录, 保
护网络边界 。
难点知识, Web系统的安全弱点分析, 审核 IIS日志记录,
保护网络边界 。
第 2页 2011-10-16 山东师范大学管理学院
4.1 Web系统的安全弱点
4.1.1 影响 Web系统最常见的弱点
?操作系统和应用程序的默认安装
?使用弱口令或空口令的账号
?无备份或者备份不完整
?大量打开的端口
?没有用于更正输入和输出地址的报文筛选
?无日志或者日志不完善
?易受攻击的 CGI程序
?恶意代码
第 3页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?Unicode弱点( Web服务器文件夹遍历)
使用 Microsoft的 Unicode会产生弱点 。 通过将一
个精心构造的包含无效 Unicode UTF-8序列的
URL发送到 IIS服务器, 攻击者可以强制该服务器
遍历某个目录和执行任意的脚本 。 这种类型称为
目录遍历攻击 ( Directory Traversal Attack) 。 如
果攻击者一直前进, 到达标为, executabil”的
Microsoft IIS目录时, 攻击者可以让自己加入的
程序在该服务器上运行 。
第 4页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?缓冲区溢出
有几个 DLL( 如 idq.dll) 中包含了程序设计错误, 这些
错误允许攻击者设置缓冲区溢出攻击, 并安全控制 IIS
Web服务器 。
大块的编码内存在默认时与 IIS 5.0一同安装在 ASP
ISAPL扩展处理的过程中, 会存在远程缓冲区溢出 。
第三个缓冲区溢出情形, 存在于提供限定符安全检查
的方法中 ( 适用于 IIS 5.0与 5.1)
缓冲区溢出弱点, 还存在于服务器对文件名的有效性
与大小检查的过程中 。
当启用 FTP服务时, IIS中会存在 DoS弱点 。
第 5页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?无保护的 Windows网络共享
Windows中的文件共享特性支持网络 ( NetBIOS协议 ) 上
的文件共享 。
使用称为服务器消息块 ( SMB,Server Message Block)
协议 ( 该协议支持 Windows文件共享 ) 的 Windows文件共享,
也被攻击者用来获取敏感的系统信息 。
?通过空会话连接泄漏信息
SYSTEM账号具有事实上无限制的特权, 并且在访问时不
需要口令, 因此管理员不能以 SYSTEM登录 。 SYSTEM有时
需要其他机器上的信息, 如 SMB共享, 用户名等, 即网上邻
居类型的功能 。 因为它不能使用用户 ID和口令登录到其他系
统上, 所以它使用空会话来获取访问权限 。 这样也就给攻击
者提供了以空会话来进行登录的机会 。
第 6页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?安全账号管理器中的弱散列法
LAN Manager散列的主要缺点是它们总是被填充, 或者
截短至 14个字符并被分解成两个部分, 每部分 7个字符,
这种模式使得它们易于破解 。 口令破解程序只须破解两
个 7字符口令, 甚至不需要测试小写字母 。 此外, LAN
Manager 易受口令散列的偷听攻击 。 这种缺陷影响
Microsoft Windows NT和 Windows 2000 计算机 。
?安全警告
一个易受攻击的 Web站点, 应立刻使用能够修复这些问
题的 Microsoft Service Packs 和 Security Updates。
第 7页 2011-10-16 山东师范大学管理学院
源码类 目标码类 一对一
攻击
兑变式
攻击
非法权限类 蠕虫类 (侵占资源 ) 传染类
操作系
统类
文件类
攻击手段
一对一
攻击
兑变式
攻击
蠕虫类 (侵占资源 )
源码类
操作系
统类
文件类
传染类
目标码类

















非法权限类

















安全攻击基本手段
第 8页 2011-10-16 山东师范大学管理学院
非法权限类
?特洛伊木马
?系统欺骗
?拒绝服务
?入侵
?窃取
第 9页 2011-10-16 山东师范大学管理学院
一种未经授权的程序,或
在合法程序中有一段未经授权
的程序代码,或在合法程序中
包含有一段用户不了解的程序
功能 。 上述程序对用户来说具
有恶意的行为 。
特洛伊木马
非法权限类
? 信息窃取类
? 逻辑炸弹类
? 陷阱入口类
? 功能欺骗类
第 10页 2011-10-16 山东师范大学管理学院
信息窃取类
攻击系统权限
对任意用户进行 FINGER请求
对一般用户正常响
应, 保持原功能
第 11页 2011-10-16 山东师范大学管理学院
对 FANG用户进行 FINGER请求
识别是用户 FANG,
将之赋予 ROOT权限
拥有 ROOT权限
信息窃取类 —攻击系统权限 -1
第 12页 2011-10-16 山东师范大学管理学院
LOGOUT前释放权限
LOGOUT LOGOUT LOGOUT
FANG在退出前注销 ROOT
权限,以免被系统人员查出
取消 ROOT权限
信息窃取类 —攻击系统权限 -2
第 13页 2011-10-16 山东师范大学管理学院
攻击口令 信息窃取类
伪造登
录现场
第 14页 2011-10-16 山东师范大学管理学院










捕获口
令退出
信息窃取类 ——攻击口令 -1
第 15页 2011-10-16 山东师范大学管理学院
真实登
录现场








信息窃取类 ——攻击口令 -2
第 16页 2011-10-16 山东师范大学管理学院
信息窃取类 ——攻击口令 -3
第 17页 2011-10-16 山东师范大学管理学院
逻辑炸弹
逻辑炸弹是程序
中的一部分,满足一
定条件时激活某种特
定的程序,并产生系
统自毁,并附带破坏。
第 18页 2011-10-16 山东师范大学管理学院
逻辑炸弹 -1
潜伏代码
满足条
件否?
满足而
爆炸
满足而
第 19页 2011-10-16 山东师范大学管理学院
危害程序
陷阱
正常
正常 正常
正常 正常
陷阱入口
第 20页 2011-10-16 山东师范大学管理学院
4.2 加固操作系统的安全
操作系统是 Web服务器
的基础,虽然操作系统
本身在不断完善,对攻
击的抵抗能力日益提高,
但是要提供完整的系统
安全保证,仍然有许多
安全配置和管理工作要
做。
第 21页 2011-10-16 山东师范大学管理学院
4.2.1系统服务包和安全补丁
微软提供的安全补丁有两类:服务包( Service
Pack) 和热补丁( Hot fixes)。
服务包已经通过回归测试,能够保证安全安装。每一个
Windows的服务包都包含着在此之前所有的安全补丁。微软
公司建议用户及时安装服务包的最新版 。 安装服务包时,应
仔细阅读其自带的 Readme文件并查找已经发现的问题,最
好先安装一个测试系统,进行试验性安装。
安全热补丁的发布更及时,只是没有经过回归测试。
在安装之前,应仔细评价每一个补丁,以确定是否应立即
安装还是等待更完整的测试之后再使用。在 Web服务器上正
式使用热补丁之前,最好在测试系统上对其进行测试。
第 22页 2011-10-16 山东师范大学管理学院






第 23页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
Windows 自动更新是 Windows 的一项功能, 当适用于您
的计算机的重要更新发布时, 它会及时提醒您下载和安装 。
使用自动更新可以在第一时间更新您的操作系统, 修复系
统漏洞, 保护您的计算机安全 。
第 24页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
第 25页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
1,选择, 开
始,,, 运
行,, 输入
gpedit.msc,
打开组策略窗
口 。
第 26页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
2.选择, 管
理模板,,
然后从菜单
中选择, 操
作,,, 添
加 / 删除模
板, 。
第 27页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
3.在, 添加 /删除模板, 窗口中选择, 添加, 。
第 28页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
4.在, 策略模板, 中选择, wuau.adm”,并选择, 打
开, 。
第 29页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
5.选择, 关闭,, 关闭, 添加 /删除模板, 窗口 。
第 30页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
6.选择, 计算机
配置, ->,管理
模板, -
>, Windows 组
件, ->,Windows
Update”,并选择
,配 置 自 动 更
新, 。
第 31页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
7.在, 配置自动更新,
的属性窗口中, 选择
,启用,, 并选择
,确定, 。
第 32页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
8.在, 指定 Intranet Microsoft
更新服务器位置, 的属性窗口中,
选择, 启用,, 并在, 设置检测
更新的 Intranet更新服务:, 框
中输入, http://服务器域名或 IP
地址,, 在, 设置 Intranet统计
服务器:, 框中输入, http://服
务器域名或 IP地址,, 并选择确
定 。
9.关闭组策略窗口 。
第 33页 2011-10-16 山东师范大学管理学院
注意:一般运行完更新脚本后更新并不会立刻开始, 需要
等待一段时间 (30min以内 ),请放心, 您的电脑一旦发现有
新的更新存在会立刻自动给出下载安装的提示以及各种更
新的详细说明 (屏幕右下角会冒出来一个图标 )。
此更新服务目前不提供对 Windows9x/Windows Me/Windows
NT 更新的支持, 以下系统直接支持自动更新,
Microsoft Windows 2000 SP3 或更高版本
Microsoft Windows XP SP1 或更高版本
Microsoft Windows Server(tm) 2003
使用此更新同微软的在线升级并无冲突, 您仍然可以随时
访问 http://www.windowsupdate.com 来进行在线升级 。
Windows Update自动更新服务
第 34页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -1
? 禁止或删除不必要的账户 (如 Guest )
? 设置增强的密码策略
·密码长度至少 9个字符。 ·设置一个与系统或网络相适应的
最短密码存留期(典型的为 1~ 7天)。
·设置一个与系统或网络相适应的最长密码存留期 ( 典型
的不超过 42天 ) 。 ·设置密码历史至少 6个 。 这样可强制系统
记录最近使用过的几个密码 。
第 35页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -2
?设置账户锁定策略
( 1)复位账户锁定计数器。用来设置连续尝试的时限。
( 2) 账户锁定时间。用于定义账户被锁定之后,保持锁定
状态的时间。
( 3) 账户锁定阈阀值。用于设置允许用户连续尝试登录的
次数。
第 36页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -3
?加强管理员账户的安全性
( 1) 将 Administrator重命名, 改为一个不易猜测的名
字 。
( 2) 为 Administrator账户设置一个复杂密码, 由多种
字符类型 ( 字母, 数字和标点符号等 ) 构成, 密码长度
不能少于 9个字符 。
( 3) 建立一个伪账户, 其名字虽然是 Administrator,
但是没有任何权限 。 定期审查事件日志, 查找对该账户
的攻击企图 。
( 4) 使用 Passprop.exe工具设置管理员账户的锁定阀
值 。
( 5) 除管理员账户外, 有必要再增加一个属于管理员
组 ( Administrators) 的账户, 作为备用账户 。
第 37页 2011-10-16 山东师范大学管理学院
? Web服务器的用户账户尽可能少
? 严格控制账户特权
可使用本地安全策略(或域安全策略)管理器来设
置用户权限指派,检查、授予或删除用户账户特权、
组成员以及组特权。
4.2.2 限制用户权限 -4
第 38页 2011-10-16 山东师范大学管理学院
4.2.3加固文件系统的安全
?确保使用 NTFS文件系统
安装 Windows 2000服务器时,
最好将硬盘的所有分区设置为 NTFS
分区,而不要先使用 FAT分区,再转
换为 NTFS分区。 Web服务器软件应
该安装在 NTFS分区上。
?设置 NTFS权限保护文件和目录
要使用 NTFS权限来保护目录或文
件, 必须具备两个条件 。
① 要设置权限的目录或文件必须位于
NTFS分区中 。
② 对于要授予权限的用户或用户组,
应设立有效的 Windows账户。 ?禁用 NTFS的 8.3文件名生成
第 39页 2011-10-16 山东师范大学管理学院
4.2.4删除或禁用不必要的组件和服务
?禁止或删除不必要的系统服务
① ClipBookSewer。 该服务允许通过网络取得系统剪贴板内容的访问权 。 该服务很容易被非
法滥用, 应禁止这项服务 。
② Computer Browser。 该服务会引起网络性能的下降以及名字解析的问题 。 对于 Web服务
器来说没有必要使用该服务, 可以考虑禁止 。
③ Net Logon。 用于网络认证 。 对于 Web服务器来说没有必要, 可以考虑禁止 。
④ Network DDE and DDE DSDM。 如果不需要动态数据交换, 应禁止该项服务 。
⑤ Remote Registor Service。 该服务允许进行远程注册表操作, 应禁止该项服务 。
⑥ Routing and Remote Access Service。 用于支持远程访问及路由功能 。 对于 Web服务器
可考虑禁止该项服务 。
⑦ Schedule。 运行计划作业所需的服务 。 如果不用高度任务, 应禁止该服务 。
⑧ Server。 用于将本系统的资源共享 。 对于 Web服务器来说, 不应当提供文件及打印共享,
应禁止该服务 。
⑨ Elephony Server。 用于支持 RAS。 如果不使用 RAS,应禁止该服务 。
⑩ Time Service。 进行时钟同步的服务, 可以将本地时钟校准成选定的某个远程主机上的当
前时钟 。 如果不需要时钟同步, 可以禁止该服务 。
⑾ UPS。 用于支持不间断电源系统 。 如果服务器不监控 UPS,则禁止该服务 。
⑿ WorkStation。 用于访问其他 Windows 2000系统的共享资源。如果服务器不需要访问其他
Windows 2000系统的共享资源,可考虑禁止该服务。
第 40页 2011-10-16 山东师范大学管理学院
?禁用某项系统服务操作,
在, 计算机管理,
控制台中打开, 服
务, 项目,停止某
项系统服务,并更
改启动类型,最好
设置为, 已禁用,

第 41页 2011-10-16 山东师范大学管理学院
?删除某组件操作,
要彻底清除某些
服务,可通过删
除 Windows组
件的方式来实现
。从控制面板中
选择, 添加 /删
除程序, →, 添
加 /删除
Windows组件
”,启动
Windows组件
向导来删除某些
组件
第 42页 2011-10-16 山东师范大学管理学院
?禁止或删除不必要的网络协议
? Web服务器系统只保留 TCP/IP协议,删除 NetBEUI,IPX/SPX协
议。卸载, Microsoft网络的文件和打印机共享, 。从, 网络和拨号连
接, 文件夹中打开任一连接的属性设置对话框,鼠标单击, 卸载, 按
钮删除该组件。
卸载, 文件和打印机共享,
禁用 TCP/IP上的 NetBIOS
第 43页 2011-10-16 山东师范大学管理学院
?尽可能减少不必要的应用程序
如果不是绝对需要,就应该避免在服务器上安装应用程
序。例如,不要安装 E-mail客户端,Office产品及工具;
或者对于服务器正常运行并不必需的工具。如果已经计划
用服务器提供 Web服务,那么不必为服务器添加外部应用
程序。然而,当配置 Web服务器以及开发 Web站点时,为
了实现其功能,可能会为其添加必要的工具。
?删除不必要的 OS/2和 POSIX子系统
OS/2和 POSIX子系统分别支持为 OS/2和 POSIX开发的应
用程序。在安装 Windows 2000的同时这些子系统也会被
安装,应删除这些子系统。操作系统的任何部分都存在弱
点,可能被攻击,删除这些额外的部分可以堵住可能出现
的漏洞。
第 44页 2011-10-16 山东师范大学管理学院
4.2.5网络共享控制
Web服务是通过 HTTP或 FTP而不是文件共享来进行文件访
问 。 默认情况下, Windows 2000提供不少网络共享资源, 这
对局域网内部的网络管理和网络通信很方便;但对 Web服务
器系统却是一个重大的安全隐患 。 应该删除掉所有不必要的
文件共享, 以避免造成重要信息的泄漏 。
应该取消默认隐藏的管理性共享 ( 如 C$, D$ 等 ), 其办
法是修改注册表 。 在 注 册 表 键 HKEY LOCAL
MACHINE\SYSTEM\CurrentControlSet\Services\LanmanS
erver\Parameters\下面增加一个键值 。 对于 Server版, 添加
键值, AutoShareServer”,类型为, REG DWORD”,值为
,0” 。
第 45页 2011-10-16 山东师范大学管理学院
? 保护注册表
系统注册表存储了关于系统的重要数据, 这些数
据关系到系统正常运行和安全 。 必须有效地保护注
册表, 防止攻击者非法存取和修改注册表, 导致的
系统崩溃或重要信息被窃取 。
?注册表安全设置
( 1) 阻止 SYN泛洪攻击
( 2) 禁止空连接访问
( 3) 禁止 Internet打印
( 4) 禁止匿名登录
4.2.6 保护注册表及安全设置
第 46页 2011-10-16 山东师范大学管理学院
4.2.7 日志和审核
对于系统安全来说,应当启用日志和审核功能,以记录攻击者入
侵安全事件,便于管理员审查和跟踪。 Windows 2000的安全日志可以
记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除
文件等资源使用相关联的事件。管理器可以指定在安全日志中记录事件。
例如,如果已启用登录审核,登录系统的尝试将记录在安全日志里。
设置审核策略 定义审核的事项
第 47页 2011-10-16 山东师范大学管理学院
? 安全事件查看
对审核结果,要通过事件查看器来查看。打
开事件查看器窗口,鼠标双击大目录树中的, 安
全日志,,详细信息窗格中显示安全日志,如下
图所示。
第 48页 2011-10-16 山东师范大学管理学院
4.2.8 文件系统加密
EPS在 Windows 2000中可通过一个高级文件属性使得对文档加密有效。要
加密一个文件夹的内容,在 Windows资源管理器中定位到该文件夹,鼠标
右键单击文件夹,鼠标左键单击, 属性, 打开, 属性, 窗口,如左图所
示。
文件夹属性窗口
加密文件或文件夹窗口
第 49页 2011-10-16 山东师范大学管理学院
4.2.9 系统防病毒策略与案例
?系统防病毒策略
病毒是系统中最常见的安全威胁, 提供有效的病毒防范措
施是系统安全的一项重要任务 。 对于 Web服务器来说, 安
装防病毒软件并对病毒库进行及时更新显然是非常必要的
。 在为 Web服务器选择病毒解决方案时, 应考虑以下几个
方面 。
① 尽可能选择服务器专用版本的防病毒软件, 如瑞星杀毒
软件 ( 网络 ) 服务器版 。
② 注意网络病毒的实时预防和查杀功能 。
③ 考虑是否提供对软盘启动后 NTFS分区病毒的查杀功能
,这样可以解决因系统恶性病毒而导致系统不能正常启动
的问题 。
第 50页 2011-10-16 山东师范大学管理学院
?应用案例 -分布式病毒防御系统
瑞星网络
版的防杀
毒系统
第 51页 2011-10-16 山东师范大学管理学院
4.3 设置 Web服务器的安全
4.3.1 IIS的安全机制
W e b 服务器接受请求
?I P 地址是否允许
?用户是否允许
?N T F S 是否允许访问
?W e b 是否允许访问
W e b 服务器访问拒绝
W e b 服务器访问允许
Yes
Yes
Yes
Yes
No
No
No
No
( 1) 客户端 Web服务器提出请求 。
( 2) 如果服务器需要进行身份验证, 则向客户端
提出身份验证请求信息 。 浏览器既可以提示用户输入
用户名和密码, 也可以自动提供这些信息 。
( 3) 服务器将接收的客户 IP地址同限制访问的 IP地
址进行比较, 如果 IP地址是禁止访问的, 则请求失败;同时用户收到, 403禁止访问, 消息, 否则继续下面
的审查 。
( 4) IIS检查用户是否拥有有效的 Windows用户账
户 。 如果用户没有, 则请求失败;同时用户收到, 403
访问禁 图 4.15 IIS访问控制过程
止, 消息 。 否则继续下面的审查 。
( 5) IIS检查用户是否具有请求资源的 Web权限 。
如果用户没有, 则请求失败;同时用户将得到, 403访
问禁止, 消息 。 否则继续下面的审查 。
( 6) IIS检查资源的 NTFS权限 。 如果用户不具备资
源的 NTFS权限, 则请求失败, 同时用户将得到, 401
访问被拒绝, 消息 。
( 7) 如果用户具有 NTFS权限, 则可完成该请求 。
第 52页 2011-10-16 山东师范大学管理学院
4.3.2 设置 IP地址限制
IIS可以通过设置 IP地址访问限制, 来防止或者允许某
些特定的计算机, 计算机组甚至整个网络访问 Web站点 。
当用户的计算机通过代理服务器或地址转换服务器 ( NAT
) 访问远程 Web服务器时, IIS接受到的是代理服务器或
地址转换服务器的 IP地址, 而不是用户计算机的 IP地址 。
IP地址及域名限制
第 53页 2011-10-16 山东师范大学管理学院
4.3.3 设置用户身份验证
验证
方法
安全
级别
对服务器的要求
对客户端的
要求
注释
匿名

IUSR 计算机名账

任何浏览器
Internet 上的公
共区域
基本

有效账户
输入用户名
和密码
发送未加密的密

简要

所有密码的纯文本
文件, 有效账户
兼容性
可跨代理服务器
和其他防火墙使

集成

有效账户
浏览器支持
证书

获取服务器证书,
配置证书信任列表
浏览器支持
广泛用于 Interner
上的安全交易
第 54页 2011-10-16 山东师范大学管理学院
4.3.3 设置用户身份验证
IIS验证用户身份有三种方式,
第 55页 2011-10-16 山东师范大学管理学院
设置匿名账号
要更改匿名用户账户, 在, 验证方法, 对话框中, 单击, 匿名
访问, 区域中的, 编辑,, 打开如下图所示的, 匿名用户账户
” 对话框, 输入要用于匿名访问的有效 Windows用户账户 。
4.3.3 设置用户身份验证
第 56页 2011-10-16 山东师范大学管理学院
4.3.4 设置 Web服务器权限
应慎重设置 Web