第 8 章 网络应用服务安全配置.pptVIP

8.5 域控制器的安全架设 8.5.1 域控制器的物理安全 有一些准则： （1）移除所有的可移动存储设备驱动器，如光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序（如病毒）或下载数据的难度。如果你不使用这些设备，你也可以移除这些外部设备需要使用的端口（从BIOS中关闭或物理移除）。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。 （2）将机箱锁好，以防止未授权用户盗窃硬盘，或损坏机器组件。 （3）将服务器放在密闭带锁的服务器机架中（确保提供良好的通风设备），电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。 8.5.2 防止域控制器的远程入侵 1.保障域账号的安全 2.重定向活动目录数据库 3. 使用Syskey保障密码信息的安全 2.重定向活动目录数据库 （1）重新启动域控制器。 （2）在启动的时候按下F8键，以访问高级选项菜单。 （3）在菜单中选择 目录服务恢复模式。 （4）如果你装有一个以上的Windows Server 2003，选择正确的那个，按回车键继续。 （5）在登陆提示的时候，使用当时你提升服务器时指定的活动目录恢复账号的用户密码登陆。 （6）点击 开始 | 运行，输入CMD，运行命令提示行。 （7）在命令提示行中，输入NTDSUTIL.EXE，并执行。 （8）在NTDSUTIL的提示行中，输入FILES。 （9）选择你想要移动的数据库或者日志文件，输入MOVE DB TO或者MOVE LOGS TO。 （10）输入两次QUIT，退出NTDSUTIL，返回到命令提示行，并关闭命令提示行窗口。 （11）再次重新启动域控制器，以正常模式进入Windows Server 2003。 3.使用Syskey保障密码信息的安全 （1）所有Windows Server 2003中默认采用的，计算机随机产生一个系统密钥（system key），并将密钥加密后保存在本地。 （2）系统密钥使用和模式一中同样的生成方式和存储方式，但是它使用一个由管理员指定的附加密码以提供更进一步的安全性。 （3）安全性最高的操作方法。 创建system key （1）点击 开始 | 运行，输入CMD，运行命令提示行。 （2）在命令提示行中，输入SYSKEY，并执行。 （3）点击 UPDATE。选中ENCRYPTION ENABLED。 （4）如果需要一个syskey的开始密码，点击PASSWORD STARTUP。 （5）输入一个强健的密码（密码可以含有12到128个字符）。 （6）如果你不需要开始密码，点击 SYSTEM GENERATED PASSWORD。 （7）默认的选项是STORE STARTUP KEY LOCALLY。如果你想要将密码保存在光盘中，选中STORE STARTUP KEY ON FLOOPY DISK。 小结 网络应用服务的安全是网络与信息安全中重要组成部分。在本文中，我们讨论了保证IIS自身的安全性，IIS Web服务器的安全架设，FTP服务器的安全架设，匿名FTP的安全设定，文件服务器的安全搭建，如何保障域控制器的物理安全，如何保障域账号的安全性，重定位活动目录的数据库文件，以及如何使用Syskey工具来保护存储在域控制器中的账号密码信息。 几种存在的安全问题以及防范措施 3.保护密码(Protecting Passwords) （1）漏洞 ①在FTP标准[PR85]中，FTP服务器允许无限次输入密码。 ②“PASS”命令以明文传送密码。 （2）攻击 （3）防范措施 （4）遗留问题 几种存在的安全问题以及防范措施 4.私密性(Privacy) 5.保护用户名(Usernames) （1）漏洞 （2）攻击 （3）防范措施 6.端口盗用(Port Stealing) （1）漏洞 （2）攻击 （3）防范措施 7.结论 8.3.2 匿名FTP的安全设定 设定匿名FTP （1）FTP daemon （2）设定匿名FTP的目录 （3）使用合适的密码与群组文件 1. 修正过的FTP daemon （1）限定上传的文件无法再被存取， 如此可由系统管理者检测后，再放至于适当位置供人下载。 （2）限制每个联机的上传资料大小。 （3）依照现有的磁盘大小限制数据传输的总量。 （4）增加登录记录以提前发现不当的使用。 2. 使用保护的目录 为了保护上层的目录(~ftp/incoming)， 我们只给匿名的使用者进入目录的权限(chmod 751 ~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd)，但不允许使用者检视目录内容。Ex: drwxr-x--x 4 root system 5