第 1页 2011-10-16 山东师范大学管理学院
第 4章 Web网站安全部署
知识要点, Web系统的安全弱点, 系统服务包和安全补丁,
限制用户权限, 文件系统安全, 删除或禁用不必要的组件和
服务, 日志和审核, 系统防病毒策略与案例 。 IIS的安全机制,
设置 IP地址限制, 设置用户身份验证, 设置 Web服务器权限,
控制 IIS应用程序, 审核 IIS日志记录, 安全加固工具及应用 。
防火墙和路由器应用, 使用网络 DMZ,虚拟专用网络 。
重点知识, Web系统的安全弱点, 系统服务包和安全补丁
,删除或禁用不必要的组件和服务, 日志和审核, 系统防病
毒策略, IIS的安全机制, 身份验证, 审核 IIS日志记录, 保
护网络边界 。
难点知识, Web系统的安全弱点分析, 审核 IIS日志记录,
保护网络边界 。
第 2页 2011-10-16 山东师范大学管理学院
4.1 Web系统的安全弱点
4.1.1 影响 Web系统最常见的弱点
?操作系统和应用程序的默认安装
?使用弱口令或空口令的账号
?无备份或者备份不完整
?大量打开的端口
?没有用于更正输入和输出地址的报文筛选
?无日志或者日志不完善
?易受攻击的 CGI程序
?恶意代码
第 3页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?Unicode弱点( Web服务器文件夹遍历)
使用 Microsoft的 Unicode会产生弱点 。 通过将一
个精心构造的包含无效 Unicode UTF-8序列的
URL发送到 IIS服务器, 攻击者可以强制该服务器
遍历某个目录和执行任意的脚本 。 这种类型称为
目录遍历攻击 ( Directory Traversal Attack) 。 如
果攻击者一直前进, 到达标为, executabil”的
Microsoft IIS目录时, 攻击者可以让自己加入的
程序在该服务器上运行 。
第 4页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?缓冲区溢出
有几个 DLL( 如 idq.dll) 中包含了程序设计错误, 这些
错误允许攻击者设置缓冲区溢出攻击, 并安全控制 IIS
Web服务器 。
大块的编码内存在默认时与 IIS 5.0一同安装在 ASP
ISAPL扩展处理的过程中, 会存在远程缓冲区溢出 。
第三个缓冲区溢出情形, 存在于提供限定符安全检查
的方法中 ( 适用于 IIS 5.0与 5.1)
缓冲区溢出弱点, 还存在于服务器对文件名的有效性
与大小检查的过程中 。
当启用 FTP服务时, IIS中会存在 DoS弱点 。
第 5页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?无保护的 Windows网络共享
Windows中的文件共享特性支持网络 ( NetBIOS协议 ) 上
的文件共享 。
使用称为服务器消息块 ( SMB,Server Message Block)
协议 ( 该协议支持 Windows文件共享 ) 的 Windows文件共享,
也被攻击者用来获取敏感的系统信息 。
?通过空会话连接泄漏信息
SYSTEM账号具有事实上无限制的特权, 并且在访问时不
需要口令, 因此管理员不能以 SYSTEM登录 。 SYSTEM有时
需要其他机器上的信息, 如 SMB共享, 用户名等, 即网上邻
居类型的功能 。 因为它不能使用用户 ID和口令登录到其他系
统上, 所以它使用空会话来获取访问权限 。 这样也就给攻击
者提供了以空会话来进行登录的机会 。
第 6页 2011-10-16 山东师范大学管理学院
4.1.2 与平台相关的弱点
?安全账号管理器中的弱散列法
LAN Manager散列的主要缺点是它们总是被填充, 或者
截短至 14个字符并被分解成两个部分, 每部分 7个字符,
这种模式使得它们易于破解 。 口令破解程序只须破解两
个 7字符口令, 甚至不需要测试小写字母 。 此外, LAN
Manager 易受口令散列的偷听攻击 。 这种缺陷影响
Microsoft Windows NT和 Windows 2000 计算机 。
?安全警告
一个易受攻击的 Web站点, 应立刻使用能够修复这些问
题的 Microsoft Service Packs 和 Security Updates。
第 7页 2011-10-16 山东师范大学管理学院
源码类 目标码类 一对一
攻击
兑变式
攻击
非法权限类 蠕虫类 (侵占资源 ) 传染类
操作系
统类
文件类
攻击手段
一对一
攻击
兑变式
攻击
蠕虫类 (侵占资源 )
源码类
操作系
统类
文件类
传染类
目标码类

















非法权限类

















安全攻击基本手段
第 8页 2011-10-16 山东师范大学管理学院
非法权限类
?特洛伊木马
?系统欺骗
?拒绝服务
?入侵
?窃取
第 9页 2011-10-16 山东师范大学管理学院
一种未经授权的程序,或
在合法程序中有一段未经授权
的程序代码,或在合法程序中
包含有一段用户不了解的程序
功能 。 上述程序对用户来说具
有恶意的行为 。
特洛伊木马
非法权限类
? 信息窃取类
? 逻辑炸弹类
? 陷阱入口类
? 功能欺骗类
第 10页 2011-10-16 山东师范大学管理学院
信息窃取类
攻击系统权限
对任意用户进行 FINGER请求
对一般用户正常响
应, 保持原功能
第 11页 2011-10-16 山东师范大学管理学院
对 FANG用户进行 FINGER请求
识别是用户 FANG,
将之赋予 ROOT权限
拥有 ROOT权限
信息窃取类 —攻击系统权限 -1
第 12页 2011-10-16 山东师范大学管理学院
LOGOUT前释放权限
LOGOUT LOGOUT LOGOUT
FANG在退出前注销 ROOT
权限,以免被系统人员查出
取消 ROOT权限
信息窃取类 —攻击系统权限 -2
第 13页 2011-10-16 山东师范大学管理学院
攻击口令 信息窃取类
伪造登
录现场
第 14页 2011-10-16 山东师范大学管理学院










捕获口
令退出
信息窃取类 ——攻击口令 -1
第 15页 2011-10-16 山东师范大学管理学院
真实登
录现场








信息窃取类 ——攻击口令 -2
第 16页 2011-10-16 山东师范大学管理学院
信息窃取类 ——攻击口令 -3
第 17页 2011-10-16 山东师范大学管理学院
逻辑炸弹
逻辑炸弹是程序
中的一部分,满足一
定条件时激活某种特
定的程序,并产生系
统自毁,并附带破坏。
第 18页 2011-10-16 山东师范大学管理学院
逻辑炸弹 -1
潜伏代码
满足条
件否?
满足而
爆炸
满足而
第 19页 2011-10-16 山东师范大学管理学院
危害程序
陷阱
正常
正常 正常
正常 正常
陷阱入口
第 20页 2011-10-16 山东师范大学管理学院
4.2 加固操作系统的安全
操作系统是 Web服务器
的基础,虽然操作系统
本身在不断完善,对攻
击的抵抗能力日益提高,
但是要提供完整的系统
安全保证,仍然有许多
安全配置和管理工作要
做。
第 21页 2011-10-16 山东师范大学管理学院
4.2.1系统服务包和安全补丁
微软提供的安全补丁有两类:服务包( Service
Pack) 和热补丁( Hot fixes)。
服务包已经通过回归测试,能够保证安全安装。每一个
Windows的服务包都包含着在此之前所有的安全补丁。微软
公司建议用户及时安装服务包的最新版 。 安装服务包时,应
仔细阅读其自带的 Readme文件并查找已经发现的问题,最
好先安装一个测试系统,进行试验性安装。
安全热补丁的发布更及时,只是没有经过回归测试。
在安装之前,应仔细评价每一个补丁,以确定是否应立即
安装还是等待更完整的测试之后再使用。在 Web服务器上正
式使用热补丁之前,最好在测试系统上对其进行测试。
第 22页 2011-10-16 山东师范大学管理学院






第 23页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
Windows 自动更新是 Windows 的一项功能, 当适用于您
的计算机的重要更新发布时, 它会及时提醒您下载和安装 。
使用自动更新可以在第一时间更新您的操作系统, 修复系
统漏洞, 保护您的计算机安全 。
第 24页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
第 25页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
1,选择, 开
始,,, 运
行,, 输入
gpedit.msc,
打开组策略窗
口 。
第 26页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
2.选择, 管
理模板,,
然后从菜单
中选择, 操
作,,, 添
加 / 删除模
板, 。
第 27页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
3.在, 添加 /删除模板, 窗口中选择, 添加, 。
第 28页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
4.在, 策略模板, 中选择, wuau.adm”,并选择, 打
开, 。
第 29页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
5.选择, 关闭,, 关闭, 添加 /删除模板, 窗口 。
第 30页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
6.选择, 计算机
配置, ->,管理
模板, -
>, Windows 组
件, ->,Windows
Update”,并选择
,配 置 自 动 更
新, 。
第 31页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
7.在, 配置自动更新,
的属性窗口中, 选择
,启用,, 并选择
,确定, 。
第 32页 2011-10-16 山东师范大学管理学院
Windows Update自动更新服务
8.在, 指定 Intranet Microsoft
更新服务器位置, 的属性窗口中,
选择, 启用,, 并在, 设置检测
更新的 Intranet更新服务:, 框
中输入, http://服务器域名或 IP
地址,, 在, 设置 Intranet统计
服务器:, 框中输入, http://服
务器域名或 IP地址,, 并选择确
定 。
9.关闭组策略窗口 。
第 33页 2011-10-16 山东师范大学管理学院
注意:一般运行完更新脚本后更新并不会立刻开始, 需要
等待一段时间 (30min以内 ),请放心, 您的电脑一旦发现有
新的更新存在会立刻自动给出下载安装的提示以及各种更
新的详细说明 (屏幕右下角会冒出来一个图标 )。
此更新服务目前不提供对 Windows9x/Windows Me/Windows
NT 更新的支持, 以下系统直接支持自动更新,
Microsoft Windows 2000 SP3 或更高版本
Microsoft Windows XP SP1 或更高版本
Microsoft Windows Server(tm) 2003
使用此更新同微软的在线升级并无冲突, 您仍然可以随时
访问 http://www.windowsupdate.com 来进行在线升级 。
Windows Update自动更新服务
第 34页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -1
? 禁止或删除不必要的账户 (如 Guest )
? 设置增强的密码策略
·密码长度至少 9个字符。 ·设置一个与系统或网络相适应的
最短密码存留期(典型的为 1~ 7天)。
·设置一个与系统或网络相适应的最长密码存留期 ( 典型
的不超过 42天 ) 。 ·设置密码历史至少 6个 。 这样可强制系统
记录最近使用过的几个密码 。
第 35页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -2
?设置账户锁定策略
( 1)复位账户锁定计数器。用来设置连续尝试的时限。
( 2) 账户锁定时间。用于定义账户被锁定之后,保持锁定
状态的时间。
( 3) 账户锁定阈阀值。用于设置允许用户连续尝试登录的
次数。
第 36页 2011-10-16 山东师范大学管理学院
4.2.2 限制用户权限 -3
?加强管理员账户的安全性
( 1) 将 Administrator重命名, 改为一个不易猜测的名
字 。
( 2) 为 Administrator账户设置一个复杂密码, 由多种
字符类型 ( 字母, 数字和标点符号等 ) 构成, 密码长度
不能少于 9个字符 。
( 3) 建立一个伪账户, 其名字虽然是 Administrator,
但是没有任何权限 。 定期审查事件日志, 查找对该账户
的攻击企图 。
( 4) 使用 Passprop.exe工具设置管理员账户的锁定阀
值 。
( 5) 除管理员账户外, 有必要再增加一个属于管理员
组 ( Administrators) 的账户, 作为备用账户 。
第 37页 2011-10-16 山东师范大学管理学院
? Web服务器的用户账户尽可能少
? 严格控制账户特权
可使用本地安全策略(或域安全策略)管理器来设
置用户权限指派,检查、授予或删除用户账户特权、
组成员以及组特权。
4.2.2 限制用户权限 -4
第 38页 2011-10-16 山东师范大学管理学院
4.2.3加固文件系统的安全
?确保使用 NTFS文件系统
安装 Windows 2000服务器时,
最好将硬盘的所有分区设置为 NTFS
分区,而不要先使用 FAT分区,再转
换为 NTFS分区。 Web服务器软件应
该安装在 NTFS分区上。
?设置 NTFS权限保护文件和目录
要使用 NTFS权限来保护目录或文
件, 必须具备两个条件 。
① 要设置权限的目录或文件必须位于
NTFS分区中 。
② 对于要授予权限的用户或用户组,
应设立有效的 Windows账户。 ?禁用 NTFS的 8.3文件名生成
第 39页 2011-10-16 山东师范大学管理学院
4.2.4删除或禁用不必要的组件和服务
?禁止或删除不必要的系统服务
① ClipBookSewer。 该服务允许通过网络取得系统剪贴板内容的访问权 。 该服务很容易被非
法滥用, 应禁止这项服务 。
② Computer Browser。 该服务会引起网络性能的下降以及名字解析的问题 。 对于 Web服务
器来说没有必要使用该服务, 可以考虑禁止 。
③ Net Logon。 用于网络认证 。 对于 Web服务器来说没有必要, 可以考虑禁止 。
④ Network DDE and DDE DSDM。 如果不需要动态数据交换, 应禁止该项服务 。
⑤ Remote Registor Service。 该服务允许进行远程注册表操作, 应禁止该项服务 。
⑥ Routing and Remote Access Service。 用于支持远程访问及路由功能 。 对于 Web服务器
可考虑禁止该项服务 。
⑦ Schedule。 运行计划作业所需的服务 。 如果不用高度任务, 应禁止该服务 。
⑧ Server。 用于将本系统的资源共享 。 对于 Web服务器来说, 不应当提供文件及打印共享,
应禁止该服务 。
⑨ Elephony Server。 用于支持 RAS。 如果不使用 RAS,应禁止该服务 。
⑩ Time Service。 进行时钟同步的服务, 可以将本地时钟校准成选定的某个远程主机上的当
前时钟 。 如果不需要时钟同步, 可以禁止该服务 。
⑾ UPS。 用于支持不间断电源系统 。 如果服务器不监控 UPS,则禁止该服务 。
⑿ WorkStation。 用于访问其他 Windows 2000系统的共享资源。如果服务器不需要访问其他
Windows 2000系统的共享资源,可考虑禁止该服务。
第 40页 2011-10-16 山东师范大学管理学院
?禁用某项系统服务操作,
在, 计算机管理,
控制台中打开, 服
务, 项目,停止某
项系统服务,并更
改启动类型,最好
设置为, 已禁用,

第 41页 2011-10-16 山东师范大学管理学院
?删除某组件操作,
要彻底清除某些
服务,可通过删
除 Windows组
件的方式来实现
。从控制面板中
选择, 添加 /删
除程序, →, 添
加 /删除
Windows组件
”,启动
Windows组件
向导来删除某些
组件
第 42页 2011-10-16 山东师范大学管理学院
?禁止或删除不必要的网络协议
? Web服务器系统只保留 TCP/IP协议,删除 NetBEUI,IPX/SPX协
议。卸载, Microsoft网络的文件和打印机共享, 。从, 网络和拨号连
接, 文件夹中打开任一连接的属性设置对话框,鼠标单击, 卸载, 按
钮删除该组件。
卸载, 文件和打印机共享,
禁用 TCP/IP上的 NetBIOS
第 43页 2011-10-16 山东师范大学管理学院
?尽可能减少不必要的应用程序
如果不是绝对需要,就应该避免在服务器上安装应用程
序。例如,不要安装 E-mail客户端,Office产品及工具;
或者对于服务器正常运行并不必需的工具。如果已经计划
用服务器提供 Web服务,那么不必为服务器添加外部应用
程序。然而,当配置 Web服务器以及开发 Web站点时,为
了实现其功能,可能会为其添加必要的工具。
?删除不必要的 OS/2和 POSIX子系统
OS/2和 POSIX子系统分别支持为 OS/2和 POSIX开发的应
用程序。在安装 Windows 2000的同时这些子系统也会被
安装,应删除这些子系统。操作系统的任何部分都存在弱
点,可能被攻击,删除这些额外的部分可以堵住可能出现
的漏洞。
第 44页 2011-10-16 山东师范大学管理学院
4.2.5网络共享控制
Web服务是通过 HTTP或 FTP而不是文件共享来进行文件访
问 。 默认情况下, Windows 2000提供不少网络共享资源, 这
对局域网内部的网络管理和网络通信很方便;但对 Web服务
器系统却是一个重大的安全隐患 。 应该删除掉所有不必要的
文件共享, 以避免造成重要信息的泄漏 。
应该取消默认隐藏的管理性共享 ( 如 C$, D$ 等 ), 其办
法是修改注册表 。 在 注 册 表 键 HKEY LOCAL
MACHINE\SYSTEM\CurrentControlSet\Services\LanmanS
erver\Parameters\下面增加一个键值 。 对于 Server版, 添加
键值, AutoShareServer”,类型为, REG DWORD”,值为
,0” 。
第 45页 2011-10-16 山东师范大学管理学院
? 保护注册表
系统注册表存储了关于系统的重要数据, 这些数
据关系到系统正常运行和安全 。 必须有效地保护注
册表, 防止攻击者非法存取和修改注册表, 导致的
系统崩溃或重要信息被窃取 。
?注册表安全设置
( 1) 阻止 SYN泛洪攻击
( 2) 禁止空连接访问
( 3) 禁止 Internet打印
( 4) 禁止匿名登录
4.2.6 保护注册表及安全设置
第 46页 2011-10-16 山东师范大学管理学院
4.2.7 日志和审核
对于系统安全来说,应当启用日志和审核功能,以记录攻击者入
侵安全事件,便于管理员审查和跟踪。 Windows 2000的安全日志可以
记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除
文件等资源使用相关联的事件。管理器可以指定在安全日志中记录事件。
例如,如果已启用登录审核,登录系统的尝试将记录在安全日志里。
设置审核策略 定义审核的事项
第 47页 2011-10-16 山东师范大学管理学院
? 安全事件查看
对审核结果,要通过事件查看器来查看。打
开事件查看器窗口,鼠标双击大目录树中的, 安
全日志,,详细信息窗格中显示安全日志,如下
图所示。
第 48页 2011-10-16 山东师范大学管理学院
4.2.8 文件系统加密
EPS在 Windows 2000中可通过一个高级文件属性使得对文档加密有效。要
加密一个文件夹的内容,在 Windows资源管理器中定位到该文件夹,鼠标
右键单击文件夹,鼠标左键单击, 属性, 打开, 属性, 窗口,如左图所
示。
文件夹属性窗口
加密文件或文件夹窗口
第 49页 2011-10-16 山东师范大学管理学院
4.2.9 系统防病毒策略与案例
?系统防病毒策略
病毒是系统中最常见的安全威胁, 提供有效的病毒防范措
施是系统安全的一项重要任务 。 对于 Web服务器来说, 安
装防病毒软件并对病毒库进行及时更新显然是非常必要的
。 在为 Web服务器选择病毒解决方案时, 应考虑以下几个
方面 。
① 尽可能选择服务器专用版本的防病毒软件, 如瑞星杀毒
软件 ( 网络 ) 服务器版 。
② 注意网络病毒的实时预防和查杀功能 。
③ 考虑是否提供对软盘启动后 NTFS分区病毒的查杀功能
,这样可以解决因系统恶性病毒而导致系统不能正常启动
的问题 。
第 50页 2011-10-16 山东师范大学管理学院
?应用案例 -分布式病毒防御系统
瑞星网络
版的防杀
毒系统
第 51页 2011-10-16 山东师范大学管理学院
4.3 设置 Web服务器的安全
4.3.1 IIS的安全机制
W e b 服务器接受请求
?I P 地址是否允许
?用户是否允许
?N T F S 是否允许访问
?W e b 是否允许访问
W e b 服务器访问拒绝
W e b 服务器访问允许
Yes
Yes
Yes
Yes
No
No
No
No
( 1) 客户端 Web服务器提出请求 。
( 2) 如果服务器需要进行身份验证, 则向客户端
提出身份验证请求信息 。 浏览器既可以提示用户输入
用户名和密码, 也可以自动提供这些信息 。
( 3) 服务器将接收的客户 IP地址同限制访问的 IP地
址进行比较, 如果 IP地址是禁止访问的, 则请求失败;同时用户收到, 403禁止访问, 消息, 否则继续下面
的审查 。
( 4) IIS检查用户是否拥有有效的 Windows用户账
户 。 如果用户没有, 则请求失败;同时用户收到, 403
访问禁 图 4.15 IIS访问控制过程
止, 消息 。 否则继续下面的审查 。
( 5) IIS检查用户是否具有请求资源的 Web权限 。
如果用户没有, 则请求失败;同时用户将得到, 403访
问禁止, 消息 。 否则继续下面的审查 。
( 6) IIS检查资源的 NTFS权限 。 如果用户不具备资
源的 NTFS权限, 则请求失败, 同时用户将得到, 401
访问被拒绝, 消息 。
( 7) 如果用户具有 NTFS权限, 则可完成该请求 。
第 52页 2011-10-16 山东师范大学管理学院
4.3.2 设置 IP地址限制
IIS可以通过设置 IP地址访问限制, 来防止或者允许某
些特定的计算机, 计算机组甚至整个网络访问 Web站点 。
当用户的计算机通过代理服务器或地址转换服务器 ( NAT
) 访问远程 Web服务器时, IIS接受到的是代理服务器或
地址转换服务器的 IP地址, 而不是用户计算机的 IP地址 。
IP地址及域名限制
第 53页 2011-10-16 山东师范大学管理学院
4.3.3 设置用户身份验证
验证
方法
安全
级别
对服务器的要求
对客户端的
要求
注释
匿名

IUSR 计算机名账

任何浏览器
Internet 上的公
共区域
基本

有效账户
输入用户名
和密码
发送未加密的密

简要

所有密码的纯文本
文件, 有效账户
兼容性
可跨代理服务器
和其他防火墙使

集成

有效账户
浏览器支持
证书

获取服务器证书,
配置证书信任列表
浏览器支持
广泛用于 Interner
上的安全交易
第 54页 2011-10-16 山东师范大学管理学院
4.3.3 设置用户身份验证
IIS验证用户身份有三种方式,
第 55页 2011-10-16 山东师范大学管理学院
设置匿名账号
要更改匿名用户账户, 在, 验证方法, 对话框中, 单击, 匿名
访问, 区域中的, 编辑,, 打开如下图所示的, 匿名用户账户
” 对话框, 输入要用于匿名访问的有效 Windows用户账户 。
4.3.3 设置用户身份验证
第 56页 2011-10-16 山东师范大学管理学院
4.3.4 设置 Web服务器权限
应慎重设置 Web
站点目录的访问
权限, 防止攻击
者利用 。 不要对
目录授予, 写入,
和, 目录浏览,
的权限, 更不要
授予, 脚本资源
访问, 权限, 以
防止攻击者从
ASP 应 用 程 序 的
脚本中查看敏感
信息 。 对于脚本
应用程序目录,
不要选中, 索引
此资源, 。
第 57页 2011-10-16 山东师范大学管理学院
4.3.5 控制 IIS应用程序
?设置执行许可
只有在有执行文
件 ( 如 DLL文件 )
时, 才选择, 脚
本和可执程序, 。
对于 ASP文件目
录, 在, 执行许
可, 中 只 授 予
,纯脚本, 的权
限, 不 要 授 予
,执行, 权限 。
第 58页 2011-10-16 山东师范大学管理学院
可以,
我在这里。
?应用程序映射属性页
使用应用程序映射属
性页可以将文件扩展名
映射到处理这些文件的
程序或解释器。映射的
应用程序包括 ASP应用
程序,IDC应用程序等。
例如,当 Web服务器收
到扩展名为,asp的页的
请求时,将通过应用程
序映射,调用可执行文
件 asp.dll 来处理,asp的
页。
第 59页 2011-10-16 山东师范大学管理学院
? 删除不必要的 IIS扩展名映射
一般应删除,htr,.idc、
.stm,shtm,shtml、
.printer,.htw,.ida 和
.idp等脚本映射 。
右图中列出了与可执行
文件和可执行文件名相
关联的文件扩展名 。 如
果, ( all),显示在列
表中, 则所有动作都将
发送到应用程序 。, (
all),不是动作 。
第 60页 2011-10-16 山东师范大学管理学院
?禁止父路径选项
因为该选项允许用户在调用函数 ( 如 MapPath) 时使用,,.”, 这样
会带来安全隐患 。
第 61页 2011-10-16 山东师范大学管理学院
4.3.6 设置目录或文件的 NTFS权限
表 4.2 NTFS权限与 Web服务器权限的比较
NTFS权限
Web服务器权限
针对特定用户账户或用户
组的, 用于拥有 Windows
账户的特定用户或用户组
针对所有用户的, 用于
所有访问 Web站点的用户
控制对服务器物理目录的
访问
控制对 Web站点虚拟目录
的访问
由 Windows操作系统设置
由 Internet服务管理器设

第 62页 2011-10-16 山东师范大学管理学院
?设置目录或文件的 NTFS权限
① 对于根目录, 应拒绝匿名用户账户的访问, 并选中, 允许将来自父系的可继承权限传播
给该对象, 选项, 将此访问权限覆盖子目录中的设置;然后再根据不同子目录中数据的类
型为其设置访问权限, 这样可进一步保障 Web站点的安全 。
② 最好将不同类型的文件存放在不同的目录中, 授予不同的 NTFS权限 。 例如, 将可执行
程序和脚本文件分离 。
③ 对于包含可执行程序 ( 如 CGI程序 ) 的目录, 只授予, 运行, 权限, 不要授予, 读取,
权限, 并拒绝匿名用户访问 。
④ 对于包含脚本文件 ( ASP页面 ) 的目录, 只授予, 运行, 权限, 不要授予, 读取, 权限,
并拒绝匿名用户访问 。
⑤ 对于服务器端包含指令的文件 ( 如 INC,SHTM和 SHTML等 ) 的目录, 只授予, 运行,
权限, 并拒绝匿名用户访问 。
SHTML是一种用于 SSI( Server Side Include) 技术的文件 。 一些 Web Server若有 SSI功能, 则会
对 SHTML文件特殊处理 。 先扫描一次 SHTML文件看没有特殊的 SSI指令存在, 若有就按
Web Server设定规则解释 SSI指令, 解释完后与一般 HTML一起调去客户端 。
⑥ 对于包含静态页面文件 ( 如 HTML,JPG和 GIF等 ) 的目录, 只允许匿名用户有, 读取,
权限 。
⑦ 最好为每个文件类型创建一个新目录, 在每个目录上设置 NTFS权限, 并允许权限传递
给各个文件 。 例如, 静态页面单独一个目录, 图形, 像单独一个目录, 脚本文件单独一个
目录 。
第 63页 2011-10-16 山东师范大学管理学院
4.3.7 审核 IIS日志记录
?设置日志审核步骤
选择日志格式和创建策

在, 日志文件目录, 框
中设置日志的文件路径。
为安全起见,最好不要
使用缺省的目录。应更
换默认的日志路径,并
设置日志文件目录的访
问权限。只允许管理员
和 System账号具有完
全控制权限,只允许对
Everyone组账户授予
读写权限。
第 64页 2011-10-16 山东师范大学管理学院
?对于单个计算机上有
多个 Web站点的情况,
服务器 IP地址和服务器
端口这两个日志选项很
有用 。 Win32状态选项
有利于调试 。 例如, 检
查日志发现有错误代码
,可通过执行命令 net
help msg err_no(
err_no代表错误代号 )
来了解更多的 Win32错
误 。
?日志记录扩充属性设置
第 65页 2011-10-16 山东师范大学管理学院
?日志审核示例
?Web-IA网站分析与管理操作界面
第 66页 2011-10-16 山东师范大学管理学院
4.3.8 IIS选项或相关组件筛选
? 删除 Web服务之外的其他 IIS服务
例如,只保留 HTTP,删除 SMTP,NNTP,FTP和 Indexing Service
( 索引服务)等 。
? 删除 FrontPage服务扩展
FrontPage服务器扩展用于支持通过 FrontPage开发的、具有某
些特殊功能的 Web页面,以及通过 FrontPage Web站点工具发布 Web内
容。如果 Web站点不是通过 FrontPage开发的,或者不需要这些特殊
功能,Web服务器就不需要 FrontPage支持,应当删除 FrontPage服务
器扩展。
? 停止或删除默认站点
在新的目录下新建 Web站点,该目录不要放在 Inetpub\wwwroot下,
最好放在与它不同的分区下 。
? 禁止或删除 IIS的所有示例程序
? 禁止或删除不必要的 COM组件
图 1.5 Web系统的组成结构
第 67页 2011-10-16 山东师范大学管理学院
4.3.9 安全加固工具及应用
图 1.8 Browser/Server三层体系结构
名 称
位 置
HisecwebSecurity
Template(Hisecweb.inf)
Support.micosoft.com/support/misc/kb
lookup.asp?id=Q316347
IIS Lockdown Wizard,V2.1
www.microsoft.com./downloads/detail
s.aspx?FamilyID=dde9efc0-bb30-
47eb-9a61-
fd755d23cdec&DisplayLang=en
IIS 5.0 Baseline Security Checklist
www.microsoft.com/technet/security/
Secure Internet Information Services
5 Checklist
www.microsoft.com/technet/security/
NSA Guide to the Secure
Configuration and Administration of
Microsoft Internet Information
Services 5.0
http.//nsa2.www.conxion.com/win2k/d
ownload.htm
第 68页 2011-10-16 山东师范大学管理学院
?使用 IIS锁定向导加固系统安全
? ① 执行下载的文
件 iislockd.exe,启动
向导进行配置,根据
提示进行操作。
? ② 当出现如右图
所示的对话框时,选
择所需的 服务器模板 。
这里选择,Dynamic
Web Server( ASP
enabled),。 再选中
,View template
settings”复选框,出现
更为详细的配置窗口。
选择服务器模板
第 69页 2011-10-16 山东师范大学管理学院
③ 鼠标单击
,下一步,, 出现
对话框后, 选择要
启动的 IIS服务 。
④ 鼠标单击
,下一步,, 出现
对话框后, 设置要
关闭的脚本映射 。
⑤ 鼠标单击
,下一步,, 出现
对话框后, 设置其
他安全选项 ( 右
图 ) 。
?使用 IIS锁定向导加固系统安全
第 70页 2011-10-16 山东师范大学管理学院
⑥ 鼠标单击, 下一步,, 出现
对话框后, 决定是否安装
URLScan。 默 认 选 中
,Install URLScan filter on
the server”复选框 。
⑦ 鼠标单击, 下一步,, 出现
,IIS Lockdown Wizard要改
变内容, 的提示 。 如果要改
变选项, 可单击, 上一步,,
重新设置 。 如果设置符合要
求, 即单击, 下一步,, 执
行 IIS锁定处理过程 。 如果要
查 看 处 理 细 节, 可 单 击
,View Report”按钮 。
⑧ 执行 IIS锁定处理过程结束后,
出现, Completing the
Internet Information Services
Lockdown Wizard”的对话框
后, 鼠标单击, 完成, 。
?使用 IIS锁定向导加固系统安全
URLScan安装为 ISAPI筛选器
第 71页 2011-10-16 山东师范大学管理学院
4.3.10 使用 ASP保护页面
<HTML>
<HEAD>
<TITLE>Customer Log On< /TITLE>
</HEAD>
<BODY>
<FORM METHOD=“POST”ACTION=“../scripts/logon.asp”>
<TABLE WIDTH=“100%”>
<TR>
<TD>User name:</TD>
<TD><INPUT TYPE=“text”NAME=“Username”SIZE=“30”MAXLENGTH=“30”</TD>
</TR>
<TR>
<TD> password:</TD>
<TD><INPUT TYPE=“password”NAME=“password”size=“16”MAXLENGTH=“16”></TD>
</TR>
<TD COL SPAN=“2”align=“CENTER><INPUT TYPE“=submit”VALUE=“logon”></TD>
</TR>
</TABLE>
</FORM>
</BODY>
</HTML>
创建一个表单用以收集访问者的用户名和密码,以检查他们是否存
在于 Web网站的用户数据库中。
第 72页 2011-10-16 山东师范大学管理学院
4.4保护网络边界
网络边界
第 73页 2011-10-16 山东师范大学管理学院
4.4.1 防火墙和路由器应用 -1
边界安全设备叫做防火墙 。 防火墙阻止试图对组织内部网
络进行扫描, 阻止企图闯入网络的活动, 防止外部进行拒绝
服务 ( DoS,Denial of Service) 攻击, 禁止一定范围内黑
客利用 Internet来探测用户内部网络的行为 。 阻塞和筛选规
则由网管员所在机构的安全策略来决定 。 防火墙也可以用来
保护在 Intranet中的资源不会受到攻击 。 不管在网络中每一
段用的是什么类型的网络 ( 公共的或私有的 ) 或系统, 防火
墙都能把网络中的各个段隔离开并进行保护 。
双防火墙体系结构
第 74页 2011-10-16 山东师范大学管理学院
4.4.1 防火墙和路由器应用 -2
? 防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作
( 下图 ), 边界路由器是安全的第一道屏障 。 通常的做法是, 将路由器设
置为执报文筛选和 NAT,而让防火墙来完成特定的端口阻塞和报文检查, 这
样的配置将整体上提高网络的性能 。
? 根据这个网络结构设置防火墙, 最安全也是最简单的方法就是:首先阻塞
所有的端口号并且检查所有的报文, 然后对需要提供的服务有选择地开放
其端口号 。 通常来说, 要想让一台 Web服务器在 Internet上仅能够被匿名
访问, 只开放 80端口 ( http协议 ) 或 443端口 ( https–SSL协议 ) 即可 。
第 75页 2011-10-16 山东师范大学管理学院
4.4.2 使用网络 DMZ
? 把 Web服务器放在 DMZ中,必须保证 Web服务器与的
Intranet处于不同的子网。这样当网络流量进入路由器时,
连接到 Internet上的路由器和防火墙就能对网络流量进行筛
选和检查了。这样,就证实了 DMZ是一种安全性较高的措施;
所以除了 Web服务器,还应该考虑把 E-mail( SMTP/POP) 服
务器和 FTP服务器等,也一同放在 DMZ中 。
第 76页 2011-10-16 山东师范大学管理学院
4.5 保护远程管理
4.5.1 远程管理的问题
如果服务器在离管理员很远的地方, 特别是当管理员把 Web站点放在
ISP服务商那里时, 当然就会出现不能直接使用 DMZ的情况 。 为了解
决这个问题, 可以采用以下几种办法 。
① 利用 VPN( Virtual Private Network) 链路来运行 Windows IIS
管理器 。 利用点对点隧道协议 ( PPTP) 或网际安全协议 ( IPSec) 封
装到互联网标准的第二层隧道协议 ( L2TP) 中, 就能建立一个加密
的 VPN,通过防火墙到达位于远程的 Web站点 。
② 利用 SSL运行 HTMLA。 互 联网 信 息服 务 管理 器 ( Intranet
Information Services Manager) 以 HTMLA(HTML Administration)
形式在加密的 SSL连接中运行 。
③ 使用 Windows2000终端服务程序 。 该终端服务程序能够在一台远
程工作站上运行 MMC。 通过远程工作站使用加密方法来管理 IIS服务
器 。
第 77页 2011-10-16 山东师范大学管理学院
4.5.2 虚拟专用网络
虚拟专用网络( VPN,Virtual Private Network) 在通信双方之间提供
安全认证和加密的传输信道,保护到远程控制的一个 Web站点的连接,
可以建立自己的 VPN。 以下是建立 VPN的几种选择,
① 使用基于 VPN服务的 Windows 2000。 为了不影响 Web服务器的工作性能,
管理员应该在 Web服务器所在的网络中另外再安装, 配置一台 VPN服务器 。
② 使用那些支持 VPN服务的防火墙和路由器 。 防火墙可以选择 Checkpoint
或天融信的产品, 路由器可以选择 Cisco或华为的产品, 或者其他一些厂家
生产的产品 。
③ 使用一个专门的 VPN服务器, 提供硬件和软件方面的服务平台 。
第 78页 2011-10-16 山东师范大学管理学院
4.5.3 Windows 2000终端服务 -1
( 1) 从 Windows的, 开始, 菜单中访问, 控制面板,, 鼠标单击, 增加 /删
除程序, 图标 。
( 2) 单击左边框架里的, 增加 /删除组件, 图标, 开始运行组件的安装向导 。
( 3) 选择, 终端服务, ( Terminal Services) 项, 鼠标单击, 下一步, 按
钮 。
( 4)待出现如图 4.33所示的配置页面窗口,选择, 远程管理模式,,鼠
标单击, 下一步, 按钮开始安装。
选择, 终端服务,
选择, 远程管理模式,
第 79页 2011-10-16 山东师范大学管理学院
4.5.3 Windows 2000终端服务 -2
选择高加密级 生成终端服务安装磁盘
第 80页 2011-10-16 山东师范大学管理学院
Web系统的安全弱点
系统服务包和安全补丁
删除或禁用不必要的组件和服务
日志和审核
系统防病毒策略
IIS的安全机制
身份验证
审核 IIS日志记录
保护网络边界。
本章小结
第 81页 2011-10-16 山东师范大学管理学院
第 82页 2011-10-16 山东师范大学管理学院
思考与练习
1,影响系统的最常见弱点有哪些?
2,与平台相关的弱点有哪些?
3,操作系统的安全 一般应从哪几方面考虑?
4,Web服务器的安全 一般应从哪几方面考虑?
5,如何保护 网络边界? 并画图说明 。
6,保护 Web服务器远程管理的主要方法是什么?
第 83页 2011-10-16 山东师范大学管理学院
?加固操作系统的安全
( 1) 实验目的 。 了解 Windows 2000 Server系统弱点和漏洞,
掌握加固操作系统安全技术 。
( 2) 实验资源, 工具和准备工作 。 安装与配置好的 Windows
2000 Server服务器 。 连接中国教育和科研安全网站
http://www.ccert.edu.cn,下载 Windows 2000中文版 SP4
和其他安全补丁 。
( 3) 实验内容 。 安装 SP4系统服务包和安全补丁, 限制用户权
限, 设置 NTFS权限保护文件和目录, 删除或禁用不必要的
组件和服务, 设置日志和审核, 文件系统加密 。
( 4) 实验步骤 。 参照 4.2节进行, 实验结束, 写出实验总结报
告 。
网络实验
第 84页 2011-10-16 山东师范大学管理学院
?设置 Web服务器的安
全 ( 1)实验目的。了解 IIS系统漏洞及 IIS的安全机制,掌握 Web
服务器的安全设置技术。
( 2)实验资源、工具和准备工作。 安装与配置好的 Windows
2000 Server服务器,该服务器安装与配置好了 IIS服务。连接
微软下载服务网址(表 4.3),下载 IIS Lockdown Wizard,
V2.1安全加固工具。连接 般若网络科技公司网址
http://www.banruo.net/,下载 Web-IA试用版。
( 3)实验内容。设置 IP地址限制, 设置用户身份验证, 设置
Web服务器权限, 控制 IIS应用程序, 设置目录或文件的 NTFS权
限,采用 Web-IA工具 审核 IIS日志记录,IIS选项或相关组件筛
选,安全加固工具 IIS Lockdown Wizard的使用 。
( 4)实验步骤。(参照 4.3节进行,实验结束,写出实验总结
报告。)
网络实验