電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件_第1頁
電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件_第2頁
電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件_第3頁
電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件_第4頁
電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件_第5頁
已閱讀5頁,還剩83頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第八章web站點(diǎn)的安全技術(shù)

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3數(shù)據(jù)庫安全第八章web站點(diǎn)的安全技術(shù)8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系統(tǒng);Internet信息服務(wù)(IIS)6.0;Web應(yīng)用程序;IP安全策略(IPSec);遠(yuǎn)程管理與監(jiān)視;SQLServer;用戶與密碼。此處我們主要講解WindowsServer2003、Internet信息服務(wù)(IIS)6.0、IP安全策略(IPSec)的安全配置,對(duì)于其他方面將在以后的課程逐步講解。8.1WindowsSever2003的安全方案Wi8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);(1)NTFS比FAT分區(qū)多了安全控制功能(2)建議最好一次性全部安裝成NTFS分區(qū)(3)安裝NTFS分區(qū)的潛在危險(xiǎn)2.只安裝一種操作系統(tǒng)3.安裝成獨(dú)立的域控制器(StandAlone),選擇工作組成員,不選擇域

主域控制器(PDC)是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式,用于網(wǎng)站服務(wù)器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開,并在安裝時(shí)最好不要使用系統(tǒng)默認(rèn)的目錄,如將\WINNT改為其他目錄;5.Windows程序,都要重新安裝一次補(bǔ)丁程序,windows2000下更需要這樣做。(1)最新的補(bǔ)丁程序,表示系統(tǒng)以前有重大漏洞,非補(bǔ)不可了(2)安裝windows2000的SP4有一個(gè)潛在威脅(3)安裝ServicePack前應(yīng)先在測(cè)試機(jī)器上安裝一次,以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī),同時(shí)做好數(shù)據(jù)備份。6.盡量不安裝與Web站點(diǎn)服務(wù)無關(guān)的軟件;4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的8.1.2設(shè)置安全1.帳號(hào)策略(1)帳號(hào)盡可能少,且盡可能少用來登錄;(2)除過Administrator外,有必要再增加一個(gè)屬于管理員組的帳號(hào)(3)所有帳號(hào)權(quán)限需嚴(yán)格控制,輕易不要給帳號(hào)以特殊權(quán)限(4)將Administrator重命名,改為一個(gè)不易猜的名字。(5)將Guest帳號(hào)禁用,(6)給所有用戶帳號(hào)一個(gè)復(fù)雜的口令(7)口令必須定期更改(8)在帳號(hào)屬性中設(shè)立鎖定次數(shù)8.1.2設(shè)置安全1.帳號(hào)策略2.解除NetBios與TCP/IP協(xié)議的綁定

NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法:控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS。

3.系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為0秒2.解除NetBios與TCP/IP協(xié)議的綁定4.改NTFS的安全權(quán)限NTFS下所有文件默認(rèn)情況下對(duì)所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對(duì)文件做增加、刪除、執(zhí)行等操作,建議對(duì)一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改,建議在做更改前先在測(cè)試機(jī)器上作測(cè)試,然后慎重更改。4.改NTFS的安全權(quán)限E-mail:51god@163.com5.只開放必要的端口,關(guān)閉其余端口

現(xiàn)將一些常用端口列表如下E-mail:51god@163.com5.只開放必要的端口6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個(gè)只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會(huì)被某些黑客工具利用。6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SP7.停掉沒有用的服務(wù),只保留與網(wǎng)站有關(guān)的服務(wù)和服務(wù)器某些必須的服務(wù)。有些服務(wù)比如RAS服務(wù)、Spooler服務(wù)等會(huì)給黑客帶來可乘之機(jī),如果確實(shí)沒有用處建議禁止掉,同時(shí)也能節(jié)約一些系統(tǒng)資源。但要注意有些服務(wù)是操作系統(tǒng)必須的服務(wù),建議在停掉前查閱幫助文檔并首先在測(cè)試服務(wù)器上做一下測(cè)試。電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件8.合理修改注冊(cè)表(1)隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏(2)防止SYN洪水攻擊(3)禁止響應(yīng)ICMP路由通告報(bào)文(4)防止ICMP重定向報(bào)文的攻擊(5)不支持IGMP協(xié)議(6)修改終端服務(wù)端口(7)禁止IPC空連接(8)更改TTL值(9)禁止建立空連接(10)刪除默認(rèn)共享8.合理修改注冊(cè)表9.安裝最新的MDACMDAC為數(shù)據(jù)訪問部件,通常程序?qū)?shù)據(jù)庫的訪問都通過它,但它也是黑客攻擊的目標(biāo),為防止以前版本的漏洞可能會(huì)被帶入升級(jí)后的版本,建議卸載后安裝最新的版本。注意:在安裝最新版本前最好先做一下測(cè)試,因?yàn)橛械臄?shù)據(jù)訪問方式或許在新版本中不再被支持,這種情況下可以通過修改注冊(cè)表來修補(bǔ)漏洞,詳情可以參考微軟公布的漏洞測(cè)試文檔。9.安裝最新的MDAC10.加強(qiáng)日志審核

日志任何包括事件查看器中的應(yīng)用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號(hào)審核可以從域用戶管理器——規(guī)則——審核中選擇指標(biāo);NTFS中對(duì)文件的審核從資源管理器中選取。要注意的一點(diǎn)是,只需選取你真正關(guān)心的指標(biāo)就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對(duì)系統(tǒng)資源也是一種浪費(fèi)。

10.加強(qiáng)日志審核8.1.3關(guān)閉服務(wù)器端口關(guān)閉服務(wù)器端口的有三種方法:通過修改注冊(cè)表關(guān)閉相關(guān)端口;通過停止并禁用相關(guān)系統(tǒng)服務(wù);通過配置本地IP安全策略實(shí)現(xiàn)端口的關(guān)閉。這里著重講解通過配置IP安全策略關(guān)閉端口的方法。8.1.3關(guān)閉服務(wù)器端口關(guān)閉服務(wù)器端口的有三種方法:通過修1.通過停止并禁用相關(guān)系統(tǒng)服務(wù)關(guān)閉端口(1)關(guān)閉79等端口:關(guān)閉SimpleTCP/IPService,支持以下

TCP/IP服務(wù):CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

(2)關(guān)掉25端口:關(guān)閉SimpleMailTransportProtocol(SMTP)服務(wù),它提供的功能是跨網(wǎng)傳送電子郵件。(3)關(guān)掉21端口:關(guān)閉FTPPublishingService,它提供的服務(wù)是通過

Internet信息服務(wù)的管理單元提供

FTP連接和管理。(4)關(guān)掉23端口:關(guān)閉Telnet服務(wù),它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(5)關(guān)閉server服務(wù),此服務(wù)提供

RPC支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了windows的默認(rèn)共享,比如ipc$、c$、admin$等等,此服務(wù)關(guān)閉不影響您的共他操作。1.通過停止并禁用相關(guān)系統(tǒng)服務(wù)關(guān)閉端口(1)關(guān)閉79等端口:2.配置IP安全策略關(guān)閉端口本部分內(nèi)容在實(shí)踐課中進(jìn)行講解和練習(xí)。2.配置IP安全策略關(guān)閉端口本部分內(nèi)容在實(shí)踐課中進(jìn)行講解和練8.2IIS的安全配置8.2IIS的安全配置8.2.1加強(qiáng)IIS安全的基本設(shè)置1.關(guān)閉并刪除默認(rèn)站點(diǎn)2.建立自己的站點(diǎn),與系統(tǒng)不在同一分區(qū)3.刪除IIS的部分目錄:IISHelp,C:\winnt\help\iishelp;

IISAdmin,C:\system32\inetsrv\iisadminMSADC,C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.刪除不必要的IIS映射和擴(kuò)展5.禁用父路徑(有可能導(dǎo)致某些使用相對(duì)路徑的子頁面不能打開)8.2.1加強(qiáng)IIS安全的基本設(shè)置1.關(guān)閉并刪除默認(rèn)站點(diǎn)6.在虛擬目錄上設(shè)置訪問控制權(quán)限7.啟用日志記錄8.備份IIS配置9.修改IIS標(biāo)志10.重定義錯(cuò)誤信息

防止數(shù)據(jù)庫不被下載的方法有很多,眾多方法中只要記住一點(diǎn).不要改成asp就可以了,不然黑客給你放一個(gè)簡(jiǎn)單的木馬都會(huì)讓你陷入極大的麻煩,然后在IIS中將HTTP404、500等ObjectNotFound出錯(cuò)頁面通過URL重定向到一個(gè)定制HTML文件,這樣大多數(shù)的暴庫得到的都是你設(shè)置好的文件,自然就掩飾了數(shù)據(jù)庫的地址,還能防止一些sql注入。6.在虛擬目錄上設(shè)置訪問控制權(quán)限電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com8.2.2服務(wù)器硬盤的權(quán)限設(shè)置為了提高系統(tǒng)安全性,我們對(duì)系統(tǒng)的一些重要文件夾進(jìn)行正確的權(quán)限設(shè)置,這樣可以大大提高系統(tǒng)安全性和可用性。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com服務(wù)器硬盤權(quán)限設(shè)置表文件用戶權(quán)限

C:/administrators全部權(quán)限iis_wpg只有該文件夾;列出文件夾/讀數(shù)據(jù);讀屬性;讀擴(kuò)展屬性;讀取權(quán)限電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com提高FSO的安全性1FSO簡(jiǎn)介FSO是FileSystemObject的簡(jiǎn)稱。FSO組件可以用來處理驅(qū)動(dòng)器、文件夾以及文件。該組件為ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力,可以對(duì)服務(wù)器硬盤上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作,這就給網(wǎng)站的安全帶來巨大的威脅。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com提高FSO的安全性很多服務(wù)器都遭受過FSO木馬的侵?jǐn)_。但是如果禁用FSO組件,那么所有利用這個(gè)組件的ASP程序都將無法正常運(yùn)行,無法滿足客戶的需求。如何既允許FSO組件,又不影響服務(wù)器的安全性呢?電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(1)在服務(wù)器上打開資源管理器,用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤分區(qū)或卷的盤符,屬性安全,就可以看到有哪些帳號(hào)可以訪問這個(gè)分區(qū)(卷)及訪問權(quán)限。默認(rèn)的是“Everyone”具有完全控制的權(quán)限。(2)點(diǎn)“添加”,將“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等幾個(gè)組添加進(jìn)去,并給予“完全控制”或相應(yīng)的權(quán)限,注意,不要給“Guests”組、“IUSR_機(jī)器名”這幾個(gè)帳號(hào)任何權(quán)限。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(3)將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而ASP執(zhí)行時(shí),是以“IUSR_機(jī)器名”的身份訪問硬盤的,這里沒給該用戶帳號(hào)權(quán)限,ASP也就不能讀寫硬盤上的文件了。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置下面要做的就是給每個(gè)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號(hào),然后再給每個(gè)帳號(hào)分配一個(gè)允許其完全控制的目錄。(1)打開“計(jì)算機(jī)管理”→“本地用戶和組”→“用戶”,在右欄中點(diǎn)擊鼠標(biāo)右鍵,在彈出的菜單中選擇“新用戶”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(2)在“新用戶”對(duì)話框中輸入“用戶名”、“密碼”、“確認(rèn)密碼”,并將“用戶下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問Internet信息服務(wù)的內(nèi)置帳號(hào)“IUSR_VHOST1”,即:所有客戶端使用http://xxx.xxx.xxxx/(表示該網(wǎng)站的網(wǎng)址)訪問此網(wǎng)站時(shí),都是以這個(gè)身份來訪問的。輸入完成后點(diǎn)“創(chuàng)建”即可??梢愿鶕?jù)實(shí)際需要,創(chuàng)建多個(gè)用戶,創(chuàng)建完畢后點(diǎn)“關(guān)閉”。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(3)現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號(hào)列表中了,在列表中雙擊該帳號(hào),以便進(jìn)一步進(jìn)行設(shè)置電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(4)在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號(hào))屬性對(duì)話框中點(diǎn)“隸屬于”選項(xiàng)卡,剛建立的帳號(hào)默認(rèn)是屬于“Users”組,選中該組,點(diǎn)“刪除”。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(5)現(xiàn)在出現(xiàn)的是如下圖所示,此時(shí)再點(diǎn)“添加”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(6)在彈出的“選擇組”對(duì)話框中找到“Guests”,點(diǎn)“添加”,此組就會(huì)出現(xiàn)在下方的文本框中,然后點(diǎn)“確定”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(7)打開“Internet信息服務(wù)”,開始對(duì)虛擬主機(jī)進(jìn)行設(shè)置,本例中的以對(duì)“第一虛擬主機(jī)”設(shè)置為例進(jìn)行說明,右擊該主機(jī)名,選擇“屬性”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(8)彈出一個(gè)“第一虛擬主機(jī)屬性”的對(duì)話框,從對(duì)話框中可以看到該虛擬主機(jī)用戶的使用的是“F:\VHOST1”這個(gè)文件夾:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(9)暫時(shí)先不管的“第一虛擬主機(jī)屬性”對(duì)話框,切換到“資源管理器”,找到“F:\VHOST1”這個(gè)文件夾,右擊,選“屬性”→“安全”選項(xiàng)卡,此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),首先將“允許將來自父系的可繼承權(quán)限傳播給該對(duì)象”前面的對(duì)號(hào)去掉:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(10)點(diǎn)“刪除”安全選項(xiàng)卡中的所有組和用戶都將被清空然后點(diǎn)“添加”。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(11)將如圖中所示的“Administrator”及在前面所創(chuàng)建的新帳號(hào)“IUSR_VHOST1”添加進(jìn)來,將給予完全控制的權(quán)限,還可以根據(jù)實(shí)際需要添加其他組或用戶,但一定要將“Guests”組、“IUSR_機(jī)器名”這些匿名訪問的帳號(hào)添加上去。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(12)切換到前面打開的"第一虛擬主機(jī)屬性"的對(duì)話框,打開"目錄安全性"選項(xiàng)卡,點(diǎn)匿名訪問和驗(yàn)證控制的"編輯":電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(13)在彈出的"驗(yàn)證方法"對(duì)方框(如下圖所示),點(diǎn)"編輯",彈出了"匿名用戶帳號(hào)",默認(rèn)的就是"IUSR_機(jī)器名",點(diǎn)"瀏覽",在"選擇用戶"對(duì)話框中找到前面創(chuàng)建的新帳號(hào)"IUSR_VHOST1",雙擊,此時(shí)匿名用戶名就改過來了,在密碼框中輸入前面創(chuàng)建時(shí),為該帳號(hào)設(shè)置的密碼:再確定一遍密碼:

電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置至此針對(duì)FSO的安全設(shè)置完成了,點(diǎn)確定關(guān)閉這些對(duì)話框。經(jīng)此設(shè)置后,"第一虛擬主機(jī)"的用戶,使用ASP的FileSystemObject組件也只能訪問自己的目錄:F:\VHOST1下的內(nèi)容,當(dāng)試圖訪問其他內(nèi)容時(shí),會(huì)出現(xiàn)諸如"沒有權(quán)限"、"硬盤未準(zhǔn)備好"、"500服務(wù)器內(nèi)部錯(cuò)誤"等出錯(cuò)提示了。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c安裝最新的服務(wù)包使用Microsoft基線安全性分析器(MBSA)來評(píng)估服務(wù)器的安全性使用Windows身份驗(yàn)證模式隔離您的服務(wù)器,并定期備份分配一個(gè)強(qiáng)健的sa密碼限制SQLServer服務(wù)的權(quán)限在防火墻上禁用SQLServer端口使用更加安全的文件系統(tǒng)刪除或保護(hù)舊的安裝文件

8.3數(shù)據(jù)庫安全安裝最新的服務(wù)包8.3數(shù)據(jù)庫安全審核指向SQLServer的連接修改SQLSERVER內(nèi)置存儲(chǔ)過程

電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件本章結(jié)束ThankYou!本章結(jié)束ThankYou!第八章web站點(diǎn)的安全技術(shù)

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3數(shù)據(jù)庫安全第八章web站點(diǎn)的安全技術(shù)8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系統(tǒng);Internet信息服務(wù)(IIS)6.0;Web應(yīng)用程序;IP安全策略(IPSec);遠(yuǎn)程管理與監(jiān)視;SQLServer;用戶與密碼。此處我們主要講解WindowsServer2003、Internet信息服務(wù)(IIS)6.0、IP安全策略(IPSec)的安全配置,對(duì)于其他方面將在以后的課程逐步講解。8.1WindowsSever2003的安全方案Wi8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);(1)NTFS比FAT分區(qū)多了安全控制功能(2)建議最好一次性全部安裝成NTFS分區(qū)(3)安裝NTFS分區(qū)的潛在危險(xiǎn)2.只安裝一種操作系統(tǒng)3.安裝成獨(dú)立的域控制器(StandAlone),選擇工作組成員,不選擇域

主域控制器(PDC)是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式,用于網(wǎng)站服務(wù)器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。8.1.1安裝安全1.硬盤分區(qū)為NTFS分區(qū);4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的分區(qū)分開,并在安裝時(shí)最好不要使用系統(tǒng)默認(rèn)的目錄,如將\WINNT改為其他目錄;5.Windows程序,都要重新安裝一次補(bǔ)丁程序,windows2000下更需要這樣做。(1)最新的補(bǔ)丁程序,表示系統(tǒng)以前有重大漏洞,非補(bǔ)不可了(2)安裝windows2000的SP4有一個(gè)潛在威脅(3)安裝ServicePack前應(yīng)先在測(cè)試機(jī)器上安裝一次,以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī),同時(shí)做好數(shù)據(jù)備份。6.盡量不安裝與Web站點(diǎn)服務(wù)無關(guān)的軟件;4.將操作系統(tǒng)文件所在分區(qū)與Web數(shù)據(jù)包括其他應(yīng)用程序所在的8.1.2設(shè)置安全1.帳號(hào)策略(1)帳號(hào)盡可能少,且盡可能少用來登錄;(2)除過Administrator外,有必要再增加一個(gè)屬于管理員組的帳號(hào)(3)所有帳號(hào)權(quán)限需嚴(yán)格控制,輕易不要給帳號(hào)以特殊權(quán)限(4)將Administrator重命名,改為一個(gè)不易猜的名字。(5)將Guest帳號(hào)禁用,(6)給所有用戶帳號(hào)一個(gè)復(fù)雜的口令(7)口令必須定期更改(8)在帳號(hào)屬性中設(shè)立鎖定次數(shù)8.1.2設(shè)置安全1.帳號(hào)策略2.解除NetBios與TCP/IP協(xié)議的綁定

NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法:控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS。

3.系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為0秒2.解除NetBios與TCP/IP協(xié)議的綁定4.改NTFS的安全權(quán)限NTFS下所有文件默認(rèn)情況下對(duì)所有人(EveryOne)為完全控制權(quán)限,這使黑客有可能使用一般用戶身份對(duì)文件做增加、刪除、執(zhí)行等操作,建議對(duì)一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改,建議在做更改前先在測(cè)試機(jī)器上作測(cè)試,然后慎重更改。4.改NTFS的安全權(quán)限E-mail:51god@163.com5.只開放必要的端口,關(guān)閉其余端口

現(xiàn)將一些常用端口列表如下E-mail:51god@163.com5.只開放必要的端口6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個(gè)只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會(huì)被某些黑客工具利用。6.只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SP7.停掉沒有用的服務(wù),只保留與網(wǎng)站有關(guān)的服務(wù)和服務(wù)器某些必須的服務(wù)。有些服務(wù)比如RAS服務(wù)、Spooler服務(wù)等會(huì)給黑客帶來可乘之機(jī),如果確實(shí)沒有用處建議禁止掉,同時(shí)也能節(jié)約一些系統(tǒng)資源。但要注意有些服務(wù)是操作系統(tǒng)必須的服務(wù),建議在停掉前查閱幫助文檔并首先在測(cè)試服務(wù)器上做一下測(cè)試。電子商務(wù)網(wǎng)站管理與維護(hù)-第8章-Web站點(diǎn)的安全技術(shù)課件8.合理修改注冊(cè)表(1)隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏(2)防止SYN洪水攻擊(3)禁止響應(yīng)ICMP路由通告報(bào)文(4)防止ICMP重定向報(bào)文的攻擊(5)不支持IGMP協(xié)議(6)修改終端服務(wù)端口(7)禁止IPC空連接(8)更改TTL值(9)禁止建立空連接(10)刪除默認(rèn)共享8.合理修改注冊(cè)表9.安裝最新的MDACMDAC為數(shù)據(jù)訪問部件,通常程序?qū)?shù)據(jù)庫的訪問都通過它,但它也是黑客攻擊的目標(biāo),為防止以前版本的漏洞可能會(huì)被帶入升級(jí)后的版本,建議卸載后安裝最新的版本。注意:在安裝最新版本前最好先做一下測(cè)試,因?yàn)橛械臄?shù)據(jù)訪問方式或許在新版本中不再被支持,這種情況下可以通過修改注冊(cè)表來修補(bǔ)漏洞,詳情可以參考微軟公布的漏洞測(cè)試文檔。9.安裝最新的MDAC10.加強(qiáng)日志審核

日志任何包括事件查看器中的應(yīng)用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號(hào)審核可以從域用戶管理器——規(guī)則——審核中選擇指標(biāo);NTFS中對(duì)文件的審核從資源管理器中選取。要注意的一點(diǎn)是,只需選取你真正關(guān)心的指標(biāo)就可以了,如果全選,則記錄數(shù)目太大,反而不利于分析;另外太多對(duì)系統(tǒng)資源也是一種浪費(fèi)。

10.加強(qiáng)日志審核8.1.3關(guān)閉服務(wù)器端口關(guān)閉服務(wù)器端口的有三種方法:通過修改注冊(cè)表關(guān)閉相關(guān)端口;通過停止并禁用相關(guān)系統(tǒng)服務(wù);通過配置本地IP安全策略實(shí)現(xiàn)端口的關(guān)閉。這里著重講解通過配置IP安全策略關(guān)閉端口的方法。8.1.3關(guān)閉服務(wù)器端口關(guān)閉服務(wù)器端口的有三種方法:通過修1.通過停止并禁用相關(guān)系統(tǒng)服務(wù)關(guān)閉端口(1)關(guān)閉79等端口:關(guān)閉SimpleTCP/IPService,支持以下

TCP/IP服務(wù):CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

(2)關(guān)掉25端口:關(guān)閉SimpleMailTransportProtocol(SMTP)服務(wù),它提供的功能是跨網(wǎng)傳送電子郵件。(3)關(guān)掉21端口:關(guān)閉FTPPublishingService,它提供的服務(wù)是通過

Internet信息服務(wù)的管理單元提供

FTP連接和管理。(4)關(guān)掉23端口:關(guān)閉Telnet服務(wù),它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(5)關(guān)閉server服務(wù),此服務(wù)提供

RPC支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了windows的默認(rèn)共享,比如ipc$、c$、admin$等等,此服務(wù)關(guān)閉不影響您的共他操作。1.通過停止并禁用相關(guān)系統(tǒng)服務(wù)關(guān)閉端口(1)關(guān)閉79等端口:2.配置IP安全策略關(guān)閉端口本部分內(nèi)容在實(shí)踐課中進(jìn)行講解和練習(xí)。2.配置IP安全策略關(guān)閉端口本部分內(nèi)容在實(shí)踐課中進(jìn)行講解和練8.2IIS的安全配置8.2IIS的安全配置8.2.1加強(qiáng)IIS安全的基本設(shè)置1.關(guān)閉并刪除默認(rèn)站點(diǎn)2.建立自己的站點(diǎn),與系統(tǒng)不在同一分區(qū)3.刪除IIS的部分目錄:IISHelp,C:\winnt\help\iishelp;

IISAdmin,C:\system32\inetsrv\iisadminMSADC,C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.刪除不必要的IIS映射和擴(kuò)展5.禁用父路徑(有可能導(dǎo)致某些使用相對(duì)路徑的子頁面不能打開)8.2.1加強(qiáng)IIS安全的基本設(shè)置1.關(guān)閉并刪除默認(rèn)站點(diǎn)6.在虛擬目錄上設(shè)置訪問控制權(quán)限7.啟用日志記錄8.備份IIS配置9.修改IIS標(biāo)志10.重定義錯(cuò)誤信息

防止數(shù)據(jù)庫不被下載的方法有很多,眾多方法中只要記住一點(diǎn).不要改成asp就可以了,不然黑客給你放一個(gè)簡(jiǎn)單的木馬都會(huì)讓你陷入極大的麻煩,然后在IIS中將HTTP404、500等ObjectNotFound出錯(cuò)頁面通過URL重定向到一個(gè)定制HTML文件,這樣大多數(shù)的暴庫得到的都是你設(shè)置好的文件,自然就掩飾了數(shù)據(jù)庫的地址,還能防止一些sql注入。6.在虛擬目錄上設(shè)置訪問控制權(quán)限電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com8.2.2服務(wù)器硬盤的權(quán)限設(shè)置為了提高系統(tǒng)安全性,我們對(duì)系統(tǒng)的一些重要文件夾進(jìn)行正確的權(quán)限設(shè)置,這樣可以大大提高系統(tǒng)安全性和可用性。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com服務(wù)器硬盤權(quán)限設(shè)置表文件用戶權(quán)限

C:/administrators全部權(quán)限iis_wpg只有該文件夾;列出文件夾/讀數(shù)據(jù);讀屬性;讀擴(kuò)展屬性;讀取權(quán)限電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com提高FSO的安全性1FSO簡(jiǎn)介FSO是FileSystemObject的簡(jiǎn)稱。FSO組件可以用來處理驅(qū)動(dòng)器、文件夾以及文件。該組件為ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力,可以對(duì)服務(wù)器硬盤上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作,這就給網(wǎng)站的安全帶來巨大的威脅。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com提高FSO的安全性很多服務(wù)器都遭受過FSO木馬的侵?jǐn)_。但是如果禁用FSO組件,那么所有利用這個(gè)組件的ASP程序都將無法正常運(yùn)行,無法滿足客戶的需求。如何既允許FSO組件,又不影響服務(wù)器的安全性呢?電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(1)在服務(wù)器上打開資源管理器,用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤分區(qū)或卷的盤符,屬性安全,就可以看到有哪些帳號(hào)可以訪問這個(gè)分區(qū)(卷)及訪問權(quán)限。默認(rèn)的是“Everyone”具有完全控制的權(quán)限。(2)點(diǎn)“添加”,將“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等幾個(gè)組添加進(jìn)去,并給予“完全控制”或相應(yīng)的權(quán)限,注意,不要給“Guests”組、“IUSR_機(jī)器名”這幾個(gè)帳號(hào)任何權(quán)限。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(3)將“Everyone”組從列表中刪除,這樣,就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了,而ASP執(zhí)行時(shí),是以“IUSR_機(jī)器名”的身份訪問硬盤的,這里沒給該用戶帳號(hào)權(quán)限,ASP也就不能讀寫硬盤上的文件了。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置下面要做的就是給每個(gè)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號(hào),然后再給每個(gè)帳號(hào)分配一個(gè)允許其完全控制的目錄。(1)打開“計(jì)算機(jī)管理”→“本地用戶和組”→“用戶”,在右欄中點(diǎn)擊鼠標(biāo)右鍵,在彈出的菜單中選擇“新用戶”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(2)在“新用戶”對(duì)話框中輸入“用戶名”、“密碼”、“確認(rèn)密碼”,并將“用戶下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問Internet信息服務(wù)的內(nèi)置帳號(hào)“IUSR_VHOST1”,即:所有客戶端使用http://xxx.xxx.xxxx/(表示該網(wǎng)站的網(wǎng)址)訪問此網(wǎng)站時(shí),都是以這個(gè)身份來訪問的。輸入完成后點(diǎn)“創(chuàng)建”即可。可以根據(jù)實(shí)際需要,創(chuàng)建多個(gè)用戶,創(chuàng)建完畢后點(diǎn)“關(guān)閉”。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(3)現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號(hào)列表中了,在列表中雙擊該帳號(hào),以便進(jìn)一步進(jìn)行設(shè)置電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(4)在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號(hào))屬性對(duì)話框中點(diǎn)“隸屬于”選項(xiàng)卡,剛建立的帳號(hào)默認(rèn)是屬于“Users”組,選中該組,點(diǎn)“刪除”。電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(5)現(xiàn)在出現(xiàn)的是如下圖所示,此時(shí)再點(diǎn)“添加”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(6)在彈出的“選擇組”對(duì)話框中找到“Guests”,點(diǎn)“添加”,此組就會(huì)出現(xiàn)在下方的文本框中,然后點(diǎn)“確定”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(7)打開“Internet信息服務(wù)”,開始對(duì)虛擬主機(jī)進(jìn)行設(shè)置,本例中的以對(duì)“第一虛擬主機(jī)”設(shè)置為例進(jìn)行說明,右擊該主機(jī)名,選擇“屬性”:電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.c電子商務(wù)網(wǎng)站管理與為維護(hù)E-mail:51god@163.com2FSO的安全設(shè)置(8)彈出一個(gè)“第一虛擬主機(jī)屬性”的對(duì)話框,從對(duì)話框中可以看到該虛擬主機(jī)用戶的使用的是“F:\VHOST1”這個(gè)文件夾:電子商

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論