《网络安全防护项目教程》 课件 任务3-1 IIS安全措施规划.pptx

了解Web的基本概念及工作原理

掌握IIS组件的配置和管理方法

掌握虚拟主机及虚拟目录的配置方法

掌握客户端测试Web网站的操作方法

学习目标：

会安装IIS组件、会配置与管理默认网站

能新建Web网站并进行相关设置

能配置与管理虚拟主机、虚拟目录、网站的安全

能解决Web服务器配置中出现的问题

培养认真细致的工作态度和工作作风

养成刻苦、勤奋、好问、独立思考和细心检查的学习习惯

能与组员精诚合作，能正确面对他人的成功或失败

具有一定自学能力，分析问题、解决问题能力和创新的能力

新天教育培训集团曾提出为实现企业信息化、数字化和现代化，需要将现行的许多管理实现无纸化、网络化，其中包括对外建立一个门户网站进行产品的宣传和有关的服务，内部管理和办公也需要采用网络平台进行交流，还有就是各部门也得有自己的主页，个别员工也想建立个人网站，而中心现在只要一个公网IP，此时，谢立夫在服务器中应该进行哪些配置才能为天一研发中心解决上述问题呢？

唐宇经过凭借所学的知识他马上想到了要满足以上要求需要配置Web服务器。

首先应根据网络拓扑和网络规模合理规划服务器，并采取合适的服务器配置与管理流程。然后为研发中心配置虚拟主机。

本任务主要能针对站点使用IIS进行安全加固。具体包括日志记录检查、目录执行权限、脚本映射等。

1.检查是否启用了日志记录

当希望确定服务器是否被攻击时，日志记录就显得极其重要。默认的日志不会为搜索黑客记录提供很大的帮助，因此必须扩展W3C日志记录格式。

鼠标单击选择需要确认的站点，如图3-1-1所示。在中间窗格中显示“shil主页”信息，在其中选中“日志”。

1.检查是否启用了日志记录

图3-1-1“服务器管理器-IIS-日志”项

双击“日志”，打开如图3-1-2所示窗口，查看日志文件下“格式（M）：”项和“目录（Y）：”项，记住将Web日志文件放在非网站目录和非操作系统分区，并定期对Web日志进行异地备份。

图3-1-2“Internet信息服务（IIS）管理器-日志”对话框

日志记录是计算机被入侵后惟一能够找到自身漏洞的地方。就比如“动网文件”漏洞，如果能在日志当中发现“HTTPGET200（文件上传成功）”，则肯定是没有升级补丁或者开放了上传权限。

2.限制目录执行权限

步骤1：在IIS中设置需要上传文件的目录。在如图3-1-3所示的对话框中，双击“处理程序映射”图标。

图3-1-3“Internet信息服务（IIS）管理器-处理程序映射”项

步骤2：打开图3-1-3所示的对话框右侧窗格，在如图3-1-4所示的“操作”中，选择“编辑功能权限…”并单击。

图3-1-4“编辑功能权限…”菜单项

步骤3：打开如图3-1-5所示的“编辑功能权限”对话框，在该对话框中，去掉“脚本（S）”复选框中的勾，单击“确定”按钮。

图3-1-5“编辑功能权限…”对话框

设置成功后，即使上传了木马文件在此目录中，该木马也无法执行，就失去了木马的作用。

3.删除不必要的脚本映射

打开IIS服务管理器，选择需要设置的站点，找到“处理程序映射”双击，从列表中删除以下不必要的脚本，如.asa.cer.cdx.idq.htw.ida.shtml.stm.idc.htr.printer等，只保留需要的脚本映射。

根据需要可以在已经存在的脚本上单击右键进行编辑和删除，也可以自定义添加映射，如图3-1-6所示。

3.删除不必要的脚本映射

图3-1-6“处理程序映射”对话框