网站组建管理与维护课件第4章.ppt

第4章 Web网站安全部署 ;4.1 Web系统的安全弱点 ;4.1.2 与平台相关的弱点 ;4.1.2 与平台相关的弱点 ;4.1.2 与平台相关的弱点 ;4.1.2 与平台相关的弱点 ;源码类; 非法权限类; 一种未经授权的程序，或在合法程序中有一段未经授权的程序代码，或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。;信息窃取类攻击系统权限;对FANG用户进行FINGER请求;LOGOUT前释放权限;攻击口令; ; ; ;逻辑炸弹;逻辑炸弹-1;危害程序;4.2 加固操作系统的安全 ;4.2.1系统服务包和安全补丁;安全补丁下载;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;Windows Update自动更新服务;注意：一般运行完更新脚本后更新并不会立刻开始，需要等待一段时间(30min以内)，请放心，您的电脑一旦发现有新的更新存在会立刻自动给出下载安装的提示以及各种更新的详细说明(屏幕右下角会冒出来一个图标)。 此更新服务目前不提供对 Windows9x/Windows Me/Windows NT 更新的支持，以下系统直接支持自动更新： Microsoft Windows 2000 SP3 或更高版本 Microsoft Windows XP SP1 或更高版本 Microsoft Windows Server(tm) 2003 使用此更新同微软的在线升级并无冲突，您仍然可以随时访问 来进行在线升级。;4.2.2 限制用户权限-1;4.2.2 限制用户权限-2; ;Web服务器的用户账户尽可能少 严格控制账户特权 可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。; 4.2.3加固文件系统的安全 ; ;禁用某项系统服务操作： ;删除某组件操作： ;禁止或删除不必要的网络协议 ;尽可能减少不必要的应用程序;4.2.5网络共享控制; ;4.2.7 日志和审核 ; 安全事件查看 ;4.2.8 文件系统加密 ;4.2.9 系统防病毒策略与案例 ;应用案例-分布式病毒防御系统 ;4.3 设置Web服务器的安全;4.3.2 设置IP地址限制 ; 4.3.3 设置用户身份验证; 4.3.3 设置用户身份验证;设置匿名账号 要更改匿名用户账户，在“验证方法”对话框中，单击“匿名访问”区域中的“编辑”，打开如下图所示的“匿名用户账户”对话框，输入要用于匿名访问的有效Windows用户账户。;4.3.4 设置Web服务器权限;4.3.5 控制IIS应用程序; 可以， 我在这里。 ; 删除不必要的IIS扩展名映射;禁止父路径选项 ;4.3.6 设置目录或文件的NTFS权限 ;设置目录或文件的NTFS权限 ;4.3.7 审核IIS日志记录 ;对于单个计算机上有多个Web站点的情况，服务器IP地址和服务器端口这两个日志选项很有用。Win32状态选项有利于调试。例如，检查日志发现有错误代码，可通过执行命令net help msg err_no（err_no代表错误代号）来了解更多的Win32错误。;日志审核示例;4.3.8 IIS选项或相关组件筛选 ;4.3.9 安全加固工具及应用 ;使用IIS锁定向导加固系统安全 ;③ 鼠标单击“下一步”，出现对话框后，选择要启动的IIS服务。 ④ 鼠标单击“下一步”，出现对话框后，设置要关闭的脚本映射。 ⑤ 鼠标单击“下一步”，出现对话框后，设置其他安全选项（右图）。;⑥ 鼠标单击“下一步”，出现对话框后，决定是否安装URLScan。默认选中“Install URLScan filter on the server”复选框。 ⑦ 鼠标单击“下一步”，出现“IIS Lockdown Wizard要改变内容”的提示。如果要改变选???，可单击“上一步”，重新设置。如果设置符合要求，即单击“下一步”，执行IIS锁定处理过程。如果要查看处理细节，可单击“View Report”按钮。 ⑧ 执行IIS锁定处理过程结束后，出现“Completing the Internet Information Services Lockdown Wizard”的对话框后，鼠标单击“完成”。 ;4.3.10 使用ASP保护页面 ;4.4保护网络边界;4.4.1 防火墙和