实训任务8校园网服务器的安全检测与防护.DOC

实训任务8 校园网服务器安全 8.1 任务需求 某高等职业学院已经组建了校园园区网，校园各区域均已连通，校园网有两条出口线路分别与CHINANET和CERNET连接，已实现了校园网所有用户对外访问，同时校园网的WEB、FTP、DNS、教务信息系统等较多服务器提供了校内外用户访问，为了保障校园网络安全，需要对校园网的服务器操作系统进行安全防护，请进行校园网服务器的安全检测和防护。 8.2 实训目的 了解操作系统安全的概念和原理，掌握操作系统安全的检测与防护方法。 8.3 实训环境 二台或两台以上装有Windows Server 2003计算机、微软安全扫描工具MBSA 8.4 相关知识点 （1）系统漏洞 系统漏洞是指操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机。漏洞影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒入侵。漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统 提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的安全隐患不能采取有效措施并及时的消除。MBSA MBSA（Microsoft Baseline Security Analyzer ）是微软公司提供的免费安全扫描工具，系统管理员可以通过它来对一些常用的微软安全漏洞进行评估，包括缺少的安全更新。MBSA 将扫描基于 Windows 的计算机，并检查操作系统和已安装的其他组件（如：Internet Information Services（IIS）和 SQL Server），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。IIS的安全分析检查将确定MSADC（样本数据访问脚本）和脚本虚拟目录是否已安装在被扫描的 IIS计算机上。检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。检查将确定IIS是否在一个作为域控制器的系统上运行。检查将确定IIS锁定工具是否已经在被扫描的计算机上运行。检查将确定IIS日志记录是否已启用，以及W3C扩展日志文件格式是否已使用。检查将确定在被扫描的计算机上是否启用了ASP EnableParentPaths设置。检查将确定下列IIS示例文件目录是否安装在计算机上。安装Windows Vista 、Windows Server 2008、SQL Server 2005等的支持。 MBSA的安装非常简单，打开下载的安装文件MBSASetup-x86-EN.Exe，根据向导提示单击“下一步”即可完成软件的安装，在安装过程中需要选择接受微软公司的“软件许可协议”。 （2）MBSA使用 1．安装MBSA软件后，运行即打开程序主界面，在这里可以选择是检测一台计算机还是检测多台计算机。 图8-1 MBSA计算机安全检测主界面 提醒：要扫描一台计算机，需要管理员访问权。在进行自动扫描时，用来运行MBSA的帐户必须是管理员或者是本地管理员组的一个成员。在要扫描多台计算机的情况下，也必须是每台计算机的管理员或者是域管理员。 2．如果要检测一台（通常是当前计算机，也可以是网络中其他计算机），则单击Scan a computer链接，打开如图所示对话框。在User name栏中默认显示的当前计算机名。用户也可以更改，或者在下面的IP address栏中输入要检测的其他计算机IP地址。 图8-2 选择需要安全检测的目标计算机 对话框下面有许多复选框。其中主要涉及到选择要扫描检测的项目，包括Windows系统本身、IIS和SQL等相关选项，也就是MBSA的3大主要功能。根据所检测的计算机系统中所安装的程序系统和实际需求来确定即可。 3．输入要检测的计算机，并选择好要检测的项目后，单击窗口下方【Start scan】按钮，程序则自动开始检测已选择的项目，显示“Scanning”窗口，如图8-3所示。 图8-3 安全检测过程 4．检测完成后会形成一个报告