收藏
下载资源

windows中的web、ftp服务器的安全配置剖析

上传人:今*** 文档编号:107707614 上传时间:2019-10-20 格式:PPT 页数:41 大小:945.50KB
返回 下载 相关 举报
windows中的web、ftp服务器的安全配置剖析_第1页
第1页 / 共41页
windows中的web、ftp服务器的安全配置剖析_第2页
第2页 / 共41页
windows中的web、ftp服务器的安全配置剖析_第3页
第3页 / 共41页
windows中的web、ftp服务器的安全配置剖析_第4页
第4页 / 共41页
windows中的web、ftp服务器的安全配置剖析_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《windows中的web、ftp服务器的安全配置剖析》由会员分享,可在线阅读,更多相关《windows中的web、ftp服务器的安全配置剖析(41页珍藏版)》请在金锄头文库上搜索。

1、1,Windows中的Web、FTP服务器的 安全配置,2,目 录,一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置,3,一. Web、FTP服务器安全简介(1),实验的目的: 通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施,实现Web服务器和FTP服务器的安全配置。,4,一. Web、FTP服务器安全简介(2),IIS(Internet Information Server) 是windows系统中的Internet信息和应用程序服务器。利用IIS可以配

2、置windows平台方便地提供并且和windows系统管理功能完美的融合在一起,使系统管理人员获得和windows完全一致的管理。,5,一. Web、FTP服务器安全简介(3),IIS4.0和IIS5.0的应用非常广,但由于这两个版本的IIS存在很多安全漏洞,它的使用也带来了很多安全隐患。IIS常见漏洞包括:idc&ida漏洞、“.htr”漏洞、NT Site Server Adsamples漏洞、.printer漏洞、Unicode解析错误漏洞、Webdav漏洞等。因此,了解如何加强web服务器、FTP服务器的安全性,防范由IIS漏洞造成的入侵就显得尤为重要。在下面的实验中通过对Web服务器

3、和FTP服务器的安全配置,了解其防范方法。,6,一. Web、FTP服务器安全简介(4),我们可以手动进行IIS的安全配置,包括web服务器、FTP服务器和SMTP服务器,也可以利用一些安全工具来进行。IISlockdown,是由微软开发的IIS安全配置工具,它按照模板的安全配置选项,通过关闭IIS服务器上的某些不必要的特性和服务,从而减少受攻击的威胁。此工具还与URLscan等协同工作,提供了多层次的防御和保护。,7,目 录,一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢,8,

4、二.用IIS建立高安全性的Web服务器(0),总共7项配置: 通过7项安全配置,可以基本保证Web服务器的安全。,9,二.用IIS建立高安全性的Web服务器(1),1. IIS要与操作系统安装于不同分区 为保护Windows 2000 Server系统的安全性,确认IIS与系统安装在不同的分区。如果IIS安装在系统分区,IIS的安全漏洞可直接威胁到系统的安全,建议卸载重新安装。,10,二.用IIS建立高安全性的Web服务器(2),2.删除不必要的虚拟目录 打开“*wwwroot”(其中*代表IIS安装的路径),删除在IIS安装完成后,默认生成的目录,包括IISHelp、IISAdmin、IIS

5、Samples、MSADC等。这些默认生成的目录是众所周知的,容易给攻击者留下入侵的机会。,11,二.用IIS建立高安全性的Web服务器(3),3. 停止默认web站点 打开“控制面板”“管理工具”“Internet服务管理器”,右击“默认web站点”,在弹出的菜单中点击“停止”,根据需要启用自己创建的web站点,如下图所示。默认Web的根目录默认在inetpubwwwroot,还有其他一系列的参数设置也都是众所周知的,如果采用这些默认设置,将大大减小攻击难度。,12,二.用IIS建立高安全性的Web服务器(4),4. IIS中的文件和目录进行分类,区别设置权限 对于Web 主目录中的文件和目

6、录,点击右键,在“属性”中按需要给它们分配适当权限。一般情况下, (1). 静态文件允许读、拒绝写; (2). ASP脚本文件、EXE可执行程序等允许执行、拒绝读写; 通常不要开放写入权限。 (3). 所有的文件和目录要将everyone用户组的权限设置为只读权限。,13,二.用IIS建立高安全性的Web服务器(5),5. 删除不必要的应用程序映射.(1) 在“Internet服务管理器”中,右击网站目录,选择“属性”,如图所示。,14,二.用IIS建立高安全性的Web服务器(6),5. 删除不必要的应用程序映射.(2) 在网站目录属性对话框的“主目录”页面中,如图所示,点击“配置“按钮。,1

7、5,二.用IIS建立高安全性的Web服务器(7),5. 删除不必要的应用程序映射.(3) 在弹出“应用程序配置”对话框的“应用程序映射”页面,如图6-53所示,删除无用的程序映射。在大多数情况下,只需要留下 .asp一项即可,将.ida、.idq、.htr等全部删除,以避免利用这些程序映射存在的漏洞对系统进行攻击。,16,二.用IIS建立高安全性的Web服务器(8),6.维护日志安全(1) 在“Internet服务管理器”中,右击网站目录,选择“属性”。 在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,如下图所示。,17,二.用IIS建立高安

8、全性的Web服务器(9),6.维护日志安全(2) 在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可,如图所示。,18,二.用IIS建立高安全性的Web服务器(10),6.维护日志安全(3) 修改路径后的日志文件要适当设置权限,它的文件权限建议administrator和system用户为完全控制、everyone为只读; 同时,建议与web主目录文件放在不同的分区,增加攻击者利用路径浏览得到日志存放路径的难度,防止攻击者恶意篡改日志。,19,二.用IIS建立高安全性的Web服务器(11),7.修改端口值 在“Internet服务管理器”中,右击网站目录,选择“

9、属性”。 在网站目录属性对话框的“Web站点”页面中,如图所示,Web服务器默认端口值为80,这是众所周知的,而端口号是攻击者可以利用的一个便利条件。将端口号改用其它值,可以增加安全性,当然也会给用户访问带来不便,系统管理员根据需要决定是否采用此条策略。,20,二.用IIS建立高安全性的Web服务器(12),至此,简单的Web服务器安全配置已完成。事实上,虽然这些安全配置可以在和很大程度上提高我们的Web服务器的安全性,但作为真正实用的Web服务器,每天要接受大量的访问甚至大量的攻击,只有这些配置是远远不够的,还要采用一些列的安全措施例如防火墙技术等等。,21,目 录,一. Web、FTP服务

10、器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢,22,三. FTP服务器的安全配置(1),1. 停止默认FTP站点 打开“控制面板”“管理工具”“Internet服务管理器”,右击“默认FTP站点”,在弹出的菜单中点击“停止”,根据需要启用启用自己的FTP站点,如下图所示。其目的也是要避免使用众所周知的默认服务器设置。,23,三. FTP服务器的安全配置(2),2. FTP页面上,将TCP端口的“21”改为其它值 如下图所示,FTP协议默认端口为21,改用其他的端口值使攻击者无法得到服务器的端口号从而增

11、大了攻击难度,但同时也会给用户带来一定的不便。,24,三. FTP服务器的安全配置(3),3. 启用日志记录 在FTP页面上,点中“启用日志记录”,如上图所示,单击“属性”,弹出下图对话框。修改文件日志目录,将日志目录和FTP主目录分放在不同的路径下,并参照web服务器的权限设置,设置文件和文件目录的权限,以保护日志的安全性。,25,三. FTP服务器的安全配置(4),4. 关于帐号 在帐号安全页面中,取消“允许匿名连接”选项,在“FTP站点操作员”只留下系统管理员一个帐号。如下图所示。,26,三. FTP服务器的安全配置(5),我们通过操作系统安全实验,已经配置了相对安全的管理员账号和密码。

12、所以,我们在FTP站点操作员中只留下系统管理员,这就要求只有知道帐号和密码的用户才可以登录和管理FTP服务器,限制了匿名用户等其他用户的行为。,27,三. FTP服务器的安全配置(6),5. 系统路径 在“主目录页面”设置FTP主目录,如下图所示,注意该目录不要与系统路径在同一个磁盘分区,删除everyone用户组,设置其它用户的权限为可读,不可写,只对管理员用户保留完全控制权限。,28,三. FTP服务器的安全配置(7),6. 目录安全性 在“目录安全性”页面中添加被拒绝或允许访问的IP。 在图中,在选中“授权服务”的情况下,可以添加被拒绝的IP或IP组,其它未提到的IP视为允许访问。,29

13、,三. FTP服务器的安全配置(8),7. 拒绝访问 图中,在选中“拒绝访问”的情况下,可以添加被允许的IP或IP组,其它未提到的IP视为禁止访问。,30,三. FTP服务器的安全配置(9),这样,我们对FTP服务器进行了一个初步的安全配置,更安全的FTP服务器配置由IIS Lockdown工具来完成。,31,目 录,一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢,32,四.IIS lockdown的安装和配置(1),在上面两个任务中,分别对IIS的web服务器和FTP服务器进行

14、了安全配置,但是在IIS的所有选项中,只是设置了少数的安全选项。微软提供了可免费下载的IIS Lockdown工具,它可以对IIS进行更全面和更严格的安全性配置。这里我们来看一下IIS Lockdown的安装,安装的过程就是它的配置过程。,33,四.IIS lockdown的安装和配置(2),1. 安装运行iislockd.exe 运行IIS Lockdown的可执行文件iislockd.exe,会弹出一个IIS Lockdown的安装向导,单击“下一步”开始安装。.选择“I agree”同意许可证协议,单击“下一步”则出现服务器模板选项,如下图所示。 这一步是按照需要选择要配置成哪种服务器类

15、型,以进行安全性配置。例如,选择“静态网页服务器”、“动态网页服务器”、“代理服务器”或者其他,本实验选择“Static Web Server”,即将此服务器配置为支持静态网页的web服务器,单击“下一步”。,34,四.IIS lockdown的安装和配置(3),2.选择支持的internet服务 在弹出的internet服务对话框中,选择此服务器运行的协议,如图所示。 在该步骤中,未被选中的服务将被关闭,为了后续实验方便,我们在复选框中选中所有四个服务器,然后单击“下一步”。在实际应用中,应根据自己的需要开放服务;例如,如只需ftp服务器,则为安全起见,建议不选中另外三个服务器。,35,四.

16、IIS lockdown的安装和配置(4),3. 选择不支持的脚本映射 在弹出的脚本映射对话框中,选择不支持的脚本映射,如下图所示。 由于.idq、.htr等都存在安全漏洞,所以尽量选择尽可能少的,除了最基本的ASP(Active Server Page)外,将其他几项均选中,单击“下一步”。未被选中的脚本映射类型,将不被配置好的服务器所支持。,36,四.IIS lockdown的安装和配置(5),4. 额外的安全选项 在弹出的额外的安全选项中,选中复选框中所有选项,单击“下一步”。 该步骤是选择需要删除的不必要的虚拟目录,这些目录是IIS安装完成后在wwwroot下默认生成的。此外,还包括禁止某些匿名用户的操作,例如执行cmd、tftp命令的权限,写目录的权限等。最后,还将存在缓冲区溢出漏洞的WebDAV功能禁止了。,37,四.IIS lockdown的安装和配置(6),5. URLScan设置 在弹出的“URLScan”选项中,选中“Install URLScan filter on the server

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号