您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > 实验二Windows中的WebFTP服务器的安全配置
1Windows中的Web、FTP服务器的安全配置2一.Web、FTP服务器安全简介(1)一、实验的目的:通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施,实现Web服务器和FTP服务器的安全配置。3一.Web、FTP服务器安全简介(2)二、实验原理IIS(InternetInformationServer)是windows系统中的Internet信息和应用程序服务器。利用IIS可以配置windows平台方便地提供并且和windows系统管理功能完美的融合在一起,使系统管理人员获得和windows完全一致的管理。4一.Web、FTP服务器安全简介(3)IIS4.0、IIS5.0、IIS6.0的应用非常广,但由于这两个版本的IIS存在很多安全漏洞,它的使用也带来了很多安全隐患。IIS常见漏洞包括:idc&ida漏洞、“.htr”漏洞、NTSiteServerAdsamples漏洞、.printer漏洞、Unicode解析错误漏洞、Webdav漏洞等。因此,了解如何加强web服务器、FTP服务器的安全性,防范由IIS漏洞造成的入侵就显得尤为重要。在下面的实验中通过对Web服务器和FTP服务器的安全配置,了解其防范方法。5一.Web、FTP服务器安全简介(4)我们可以手动进行IIS的安全配置,包括web服务器、FTP服务器和SMTP服务器,也可以利用一些安全工具来进行。IISlockdown,是由微软开发的IIS安全配置工具,它按照模板的安全配置选项,通过关闭IIS服务器上的某些不必要的特性和服务,从而减少受攻击的威胁。此工具还与URLscan等协同工作,提供了多层次的防御和保护。三、实验环境安装windowsserver2003操作系统的计算机,并且安装IIS服务67二.用IIS建立高安全性的Web服务器(1)四、实验内容与步骤1.IIS要与操作系统安装于不同分区为保护Windows2000Server系统的安全性,确认IIS与系统安装在不同的分区。如果IIS安装在系统分区,IIS的安全漏洞可直接威胁到系统的安全,建议卸载重新安装。8二.用IIS建立高安全性的Web服务器(2)2.删除不必要的虚拟目录打开“*\”(其中*代表IIS安装的路径),删除在IIS安装完成后,默认生成的目录,包括IISHelp、IISAdmin、IISSamples、MSADC等。这些默认生成的目录是众所周知的,容易给攻击者留下入侵的机会。9二.用IIS建立高安全性的Web服务器(3)3.停止默认web站点打开“控制面板”-“管理工具”-“Internet服务管理器”,右击“默认web站点”,在弹出的菜单中点击“停止”,根据需要启用自己创建的web站点,如下图所示。默认Web的根目录默认在inetpub\,还有其他一系列的参数设置也都是众所周知的,如果采用这些默认设置,将大大减小攻击难度。10二.用IIS建立高安全性的Web服务器(4)4.IIS中的文件和目录进行分类,区别设置权限对于Web主目录中的文件和目录,点击右键,在“属性”中按需要给它们分配适当权限。一般情况下,(1).静态文件允许读、拒绝写;(2).ASP脚本文件、EXE可执行程序等允许执行、拒绝读写;通常不要开放写入权限。(3).所有的文件和目录要将everyone用户组的权限设置为只读权限。11二.用IIS建立高安全性的Web服务器(5)5.删除不必要的应用程序映射.(1)在“Internet服务管理器”中,右击网站目录,选择“属性”,如图所示。12二.用IIS建立高安全性的Web服务器(6)5.删除不必要的应用程序映射.(2)在网站目录属性对话框的“主目录”页面中,如图所示,点击“配置“按钮。13二.用IIS建立高安全性的Web服务器(7)5.删除不必要的应用程序映射.(3)在弹出“应用程序配置”对话框的“应用程序映射”页面,如图6-53所示,删除无用的程序映射。在大多数情况下,只需要留下.asp一项即可,将.ida、.idq、.htr等全部删除,以避免利用这些程序映射存在的漏洞对系统进行攻击。14二.用IIS建立高安全性的Web服务器(8)6.维护日志安全(1)在“Internet服务管理器”中,右击网站目录,选择“属性”。在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,如下图所示。15二.用IIS建立高安全性的Web服务器(9)6.维护日志安全(2)在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可,如图所示。16二.用IIS建立高安全性的Web服务器(10)6.维护日志安全(3)修改路径后的日志文件要适当设置权限,它的文件权限建议administrator和system用户为完全控制、everyone为只读;同时,建议与web主目录文件放在不同的分区,增加攻击者利用路径浏览得到日志存放路径的难度,防止攻击者恶意篡改日志。17二.用IIS建立高安全性的Web服务器(11)7.修改端口值在“Internet服务管理器”中,右击网站目录,选择“属性”。在网站目录属性对话框的“Web站点”页面中,如图所示,Web服务器默认端口值为80,这是众所周知的,而端口号是攻击者可以利用的一个便利条件。将端口号改用其它值,可以增加安全性,当然也会给用户访问带来不便,系统管理员根据需要决定是否采用此条策略。18二.用IIS建立高安全性的Web服务器(12)至此,简单的Web服务器安全配置已完成。事实上,虽然这些安全配置可以在和很大程度上提高我们的Web服务器的安全性,但作为真正实用的Web服务器,每天要接受大量的访问甚至大量的攻击,只有这些配置是远远不够的,还要采用一些列的安全措施例如防火墙技术等等。19三.FTP服务器的安全配置(1)1.停止默认FTP站点打开“控制面板”-“管理工具”-“Internet服务管理器”,右击“默认FTP站点”,在弹出的菜单中点击“停止”,根据需要启用启用自己的FTP站点,如下图所示。其目的也是要避免使用众所周知的默认服务器设置。20三.FTP服务器的安全配置(2)2.FTP页面上,将TCP端口的“21”改为其它值如下图所示,FTP协议默认端口为21,改用其他的端口值使攻击者无法得到服务器的端口号从而增大了攻击难度,但同时也会给用户带来一定的不便。21三.FTP服务器的安全配置(3)3.启用日志记录在FTP页面上,点中“启用日志记录”,如上图所示,单击“属性”,弹出下图对话框。修改文件日志目录,将日志目录和FTP主目录分放在不同的路径下,并参照web服务器的权限设置,设置文件和文件目录的权限,以保护日志的安全性。22三.FTP服务器的安全配置(4)4.关于帐号在帐号安全页面中,取消“允许匿名连接”选项,在“FTP站点操作员”只留下系统管理员一个帐号。如下图所示。23三.FTP服务器的安全配置(5)我们通过操作系统安全实验,已经配置了相对安全的管理员账号和密码。所以,我们在FTP站点操作员中只留下系统管理员,这就要求只有知道帐号和密码的用户才可以登录和管理FTP服务器,限制了匿名用户等其他用户的行为。24三.FTP服务器的安全配置(6)5.系统路径在“主目录页面”设置FTP主目录,如下图所示,注意该目录不要与系统路径在同一个磁盘分区,删除everyone用户组,设置其它用户的权限为可读,不可写,只对管理员用户保留完全控制权限。25三.FTP服务器的安全配置(7)6.目录安全性在“目录安全性”页面中添加被拒绝或允许访问的IP。在图中,在选中“授权服务”的情况下,可以添加被拒绝的IP或IP组,其它未提到的IP视为允许访问。26三.FTP服务器的安全配置(8)7.拒绝访问图中,在选中“拒绝访问”的情况下,可以添加被允许的IP或IP组,其它未提到的IP视为禁止访问。27三.FTP服务器的安全配置(9)这样,我们对FTP服务器进行了一个初步的安全配置,更安全的FTP服务器配置由IISLockdown工具来完成。
本文标题:实验二Windows中的WebFTP服务器的安全配置
链接地址:https://www.777doc.com/doc-2459043 .html