实验五 服务器安全配置实验.pdfVIP

实验五 服务器的安全配置实验 一、实验目的及要求 （一）实验目的 通过实验了解 Windows 操作系统中 Web 服务器、FTP 服务器的安全漏洞及其防范措施， 实现 Web 服务器和 FTP 服务器的安全配置 （二）实验要求 (1) 根据实验内容对自己的 Web 服务器和 FTP 服务器做一个安全评测，并按照实验步骤 对计算机进行安全配置，分析每一步骤的设置原因 （2）在配置过程中分别保留和删除存在安全隐患的脚本映射，采用缓冲区溢出实验中的入 侵方法进行入侵，比较结果的异同 (3) 按要求写出实验报告,并给出实验过程的截图。 二、 实验环境 安装 Windows 2000/XP 操作系统的计算机一台，并且完全安装 IIS 服务。 三、实验内容 1、用 IIS 建立高安全性的 Web 服务器 2、FTP 服务器的安全配置 3、IIS Lockdown 的安装和配置 四、实验步骤 任务一 用 IIS 建立高安全性的 Web 服务器 为保护 Windows2000 Server 系统的安全性，确认 IIS 与系统安装在不同的分区。如果 IIS 安装在系统分区，IIS 的安全漏洞可直接威胁到系统的安全，建议卸载重新安装。 1、删除不必要的虚拟目录 打开“*\wwwroot”（其中*代表 IIS 的安装路径），删除在 IIS 安装之后，默认生成的目 录，包括 IISHelp、IISAdmin、IISSamples、MSADC 等。这些默认生成的目录是众所周 知的，容易给攻击者留下入侵的机会。 2、停止默认的 Web 站点 打开控制面板-管理工具-Internet 服务管理器，右键单击默认 Web 站点，在弹出的菜 单中单击停止，根据需要启用自己创建的 Web 站点 默认的 Web 的根目录，默认在 inetpub\wwwroot,还有其它一系列的参数设置也都是众所 周知的，如果采用这些默认配置，将大大减小攻击难度。 3、IIS 中的文件和目录进行分类，区别设置权限 对于 Web 主目录中的文件和目录，单击鼠标右键，在属性中按需要给他们分配适当权 限。一般情况下，静态文件允许读，拒绝写；ASP 脚本文件、exe 可执行程序等允许执 行，拒绝读写；通常不要开放写权限。此外，所有的文件和目录要将 everyone 用户组 的权限设置为只读权限。 4、删除不必要的应用程序映射 在 Internet 服务管理器中，右击网站目录，选择属性，在网站目录属性对话框的主目 录页面中，单击配置按钮 在弹出“应用程序配置对话框的应用程序映射”页面，删除无用的程序映射。在大多 数情况下，只需要留下.asp 一项即可，将.ida、.htr 等全部删除，以避免攻击者利用这些 程序映射存在的漏洞对系统进行攻击。 5、维护日志安全 在“Internet 服务管理器”中，右击网站目录，选择属性 在网站目录属性对话框的“Web 站点”页面中，在选中“启用日志记录”的情况下， 单击旁边的“属性”按钮 在“常规属性”页面中，单击“浏览”按钮或者直接在输入框中输入修改后的日志存 放路径即可。 修改路径后的日志文件要适当设置权限，它的文件权限建议 administrator 和 system 用 户为完全控制，everyone 为只读，同时，建议与 web 主目录文件放在不同的分区，以 增加攻击者利用路径浏览日志存放的路径难度，防止攻击者恶意篡改日志。