网站安全策略.docVIP

PAGE

PAGE1

网站安全策略

教学要求：把握利用IIS建立的Web网站和FTP服务的平安策略。教学重点：Web网站和FTP服务的平安策略。教学难点：WEB和FTP服务的建立方法。教学过程：一、Web服务器系统平安策略的应用无论是Internet或者Intranet，它的核心是Web服务器。管理好、使用好、爱护好Web服务器中的资源，是网管人员的重要职责。Web服务器网站的开发，除了集中开发外，还有一个长期的维护和积累过程；因此，Web中的数据资料特别重要。假如消失问题，就会造成不行弥补的损失。本文依据开发和维护Web服务器的过程，介绍Web服务器平安策略的综合应用方法。(一)系统安装的平安策略目前，Web服务器基本采纳Windows平台，对Windows0的系统进行管理是一个日积月累、不断完善的过程。作为Web服务器。需要留意以下几点。（1）安装系统时，不要把系统安装在默认名目下，也不要安装多余的服务和多余的协议，由于有的服务存在漏洞，多余的协议会占用资源，因此，无用的服务和协议不要安装。（2）安装Windows补丁。（3）安装防病毒软件。（4）选择合适的网卡驱动和显示器驱动程序。(二)系统平安策略的配置（1）限制匿名访问本机用户选择“开头”—〉“程序”—〉“管理工具”—〉“本地平安策略”—〉“本地策略”—〉“平安选项”—〉双击“对匿名连接的额外限制”——〉在下拉菜单中选择“不允许枚举SAM帐号和共享”—〉“确定”。（2）限制远程用户对光驱或软驱的访问。选择“开头”—〉“程序”—〉“管理工具”—〉“本地平安策略”—〉“本地策略”—〉“平安选项”—〉双击“只有本地登录用户才能访问软盘”—〉在单选按钮中选择“已启用(E)”—“确定”。（3）限制远程用户对NetMeeting的共享,禁用NetMeeting的远程桌面共享功能，用户就不能利用NetMeeting掌握该计算机。选择“开头”—〉“运行”—〉在对话框中输入“gpedit.msc”—〉“计算机配置”—〉“管理模板”—〉“Windows组件”—〉“NetMeeting”—〉“禁用远程桌面共享”—〉右键—〉在单选按钮中选择“启用(E)”—〉“确定”。（4）限制用户执行Windows安装任务。这个策略可以防止用户在系统上安装软件。设置方法与（3）相同。(三)IIS平安策略的应用在配置Internet信息服务（IIS）时，应当进行以下工作。一般不使用默认的Web站点，避开外界对网站的攻击，详细做法如下。（1）停止默认的Web站点“开头”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“TLJWEB(计算机名称)”—〉选择—〉“默认Web站点”—〉右键—〉“停止”。（2）建立新的Web站点“开头”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“TLJWEB(计算机名称)”—〉右键—〉“新建”—〉“Web站点”—〉“下—〉步”—〉输入Web站点说明“yyyddd”—〉“下—〉步”—〉选择站点主名目路径—〉“下—步”—〉选择对该Web站点的访问权限—〉“下—步”—〉“完成”。(4)完成新建的Web站点yyyddd后．要对该站点主名目权限进行设置。一般状况下设置成SYSTEM和Administrator两个用户可完全掌握．IUSR可以读取文件。(四)审核日志策略的配置系统日志对于Windows2000的作用就犹如“黑匣子”对于飞机的作用。当Windows2000消失问题的时候，首先应当查看系统日志，通过对系统日志的分析，可以了解故障发生前系统的运行状况，作为推断故障缘由的依据。通过日志不仅可以了解本机的平安性能和用户的操作状况，也可以发觉系统自身的问题。Windows2000的日志系统在默认安装下。平安审核是关闭的。—〉般状况下需要对常用的3种日志(用户登录日志、Http和ftp)进行配置。1、设置登录审核日志“开头”—〉“程序”—〉“管理工具”—〉“本地平安策略”—〉“本地策略”—〉“审核策略”—〉双击“审核账户登录大事”—〉在复选框中选择“胜利(S)，失败(F)”。审核大事分为胜利大事和失败大事。胜利大事表示一个用户胜利地获得了访问某种资源的权限．而失败大事则表明用户的尝试失败。太多的失败大事可解释为攻击行为．但胜利大事解释起来就比较困难。尽管大多数胜利的审核大事仅表明活动是正常的，但获得了访问权的攻击者也会生成一个胜利大事。例如，一系列失败大事后面跟着一个胜利大事可能表示企图进行的攻击最终是胜利的。对审核项进行如表1的设置，可便于日志分析。假如对登录大事进行审核，那么每次用户在计算机上登录或注销时，都会在平安日志中生成一个大事。可以使用大事ID对登录状况进行推断。A．本地登录尝试失败：下列大事ID都说明登录失败：529，530