服务器系统安全维护ppt演示文稿.pptVIP

4.8 打开审核策略 打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破坏。 安全设置审核策略 策略 设置 审核帐户管理 成功，失败 审核对象访问 成功 审核特权使用 成功，失败 审核系统登录事件 成功，失败 审核登录事件 成功，失败 审核策略更改 成功，失败 审核系统事件 成功，失败 二、安装和配置DNS服务器 1. 准备工作 2. 安装DNS服务 3. 安全配置DNS 1. 准备工作 你的域名（经过Internic批准） 要为其提供名称解析的每台服务器的IP地址和主机名 操作系统配置正确 已经分配了所有可用的磁盘空间 所有现有的磁盘卷都使用NTFS文件系统 2. 安装DNS服务 打开“Windows组件向导”。为此，请执行下列步骤： 单击“开始”，单击“控制面板”，然后单击“添加或删除程序”。 单击“添加/删除Windows组件”。 在“组件”中，选中“网络服务”复选框，然后单击“详细信息”。 在“网络服务子组件”中，选中“域名系统(DNS)”复选框，单击“确定”，然后单击“下一步”。 在得到提示时，在“文件复制来源”中键入分发文件的完整路径，然后单击“确定”。 3. 安全配置DNS 启动“配置你的服务器向导” 在“服务器角色”页上，单击“DNS服务器”，然后单击“下一步” 在“选择摘要”页上，查看并确认你所选择的选项。然后单击“下一步” 在“配置你的服务器”向导中完成对DNS服务器本身的IP地址等参数的配置 在“配置DNS服务器向导” 中完成对DNS区域、转发器等参数的配置，完成DNS的配置过程 服务器系统安全维护 主要内容 一、Windows Server2003 IIS服务器 二、安装和配置DNS服务器 三、Windows Server2003中设置FTP服务器 四、Windows2000中设置FTP服务器 五、设置SMTP安全选项 六、Microsoft SQL Server安全防护 一、Windows Server2003 IIS服务器 1. IIS服务器的安全性 2. 一个IIS远程攻击示例 3. 确保Web服务的安全 4. 确保Web站点的安全 1. IIS服务器的安全性 由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限 为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个Microsoft Internet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害 2. 一个IIS远程攻击示例 WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容 微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启 攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows 2000Server的攻击工程 (1) 启用“X-Scan”扫描器 (2) 发现目标主机中“Webdav”漏洞 (3) 攻击目标主机 (4) 创建管理员用户 net localgroup administrators ccc /add (5) 远程桌面完全控制 3. 确保Web服务的安全 3.1 仅启用必要的Web服务扩展 3.2 仅安装必要的IIS组件 3.3 使用安全工具 3.4 确保IIS全局的设置安全 3.5 确保默认Web站点和管理Web站点的安全 3.6 使FrontPage Server Extension无效 3.1 仅启用必要的Web服务扩展 启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。 仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装Index Server、FrontPage Server Extensions、示例WWW站点等功能。 3.2 仅安装必要的IIS组件 除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用程序服务器，以安装