谘商辅导访视.pptVIP

保護Web伺服器安全之方法

限制匿名帳戶存取權限拒絕Web內容目錄的寫入權限，確定此帳戶不可能寫入內容目錄，例如破壞網站外貌。限制存取系統工具，由其是\winnt\system32的命令行工具指派權限給群組而不是個別帳戶。指派給群組然後套用權限到群組，而不是個別帳戶。對於匿名帳戶請建立群組並在其中新增匿名帳戶然後明確拒絕此群組存取重要目錄及檔案。指派權限至群組可讓您更容易變更匿名帳戶或建立其他匿名帳戶，因為不需要重心建立其權限KYU高苑科技大學KaoYuanUniversity保護Web伺服器安全之方法

移除不必要的公用在預設狀態，所有使用者對新建立的檔案共用具有完全控制權限。所以需移除所有不必要的公用。可由電腦管理→公用資料夾→公用中進行限制對必要公用的存取移除everyone群阻改為授予特定的權限。如不允許遠端管理你的伺服器，請移除未使用的系統管理公用，例如C$及Admin$KYU高苑科技大學KaoYuanUniversity保護Web伺服器安全之方法

連接埠限制網際網路端連接埠為TCP80及443加密或限制內部網路資料傳輸。限制其連接埠為TCP80或443限制輸入資料傳輸為HTTP使用連接埠80，而HTTPS(SSL)則為443KYU高苑科技大學KaoYuanUniversity保護Web伺服器安全之方法

站台及虛擬目錄重新配置Web根目錄及虛擬目錄到非系統分割區，以防禦目錄周遊攻擊。Ex：以上方式可以確報攻擊者存取系統檔案的任何未來標準蠕蟲都會失敗。如攻擊者格式化URL使其包含以下路徑就會失敗。/scripts/..%5c…/winnt/system32/cmd.exeKYU高苑科技大學KaoYuanUniversity保護Web伺服器安全之方法

站台及虛擬目錄建議：將網站移到非系統磁碟區停用上層路徑設定移除潛在的危險虛擬目錄IISSamples、IISAdmin、IISHelp、ScriptsKYU高苑科技大學KaoYuanUniversity保護Web伺服器對照表一元件特性補充程式及更新最新ServicePack及隨時安裝windows、IIS、及.NETFramework補充程式服務停用不必要的服務停用NNTP、SMTP、FTP若是真的需要，請以最小權限執行。通訊服務停用NetBIOS、SMBKYU高苑科技大學KaoYuanUniversity保護Web伺服器對照表二元件特性帳戶移除未使用的帳戶停用guest帳戶重新命名Administrator,並提供增強式密碼停用預設匿名帳戶(IUSR_Machine)使用自定匿名帳戶來提供匿名存取強制增強式密碼原則限制遠端登入停用null工作階段限制本機Administrator的成員資格(最好只有兩個)要求Administrator以互動方式登入(或執行安全的遠端系統管理方案)KYU高苑科技大學KaoYuanUniversity保護Web伺服器對照表三元件特性檔案及目錄Everyone群組對系統、Web或工具目錄需設定為沒有權限匿名帳戶不能存取網站內容目錄及系統公用程式保護或移除工具、公用程式和SDK及範例檔。公用從伺服器移除未使用的公用保護必要的公用存取安全如果不需要請將C$及Admin$公用移除連接埠封鎖port80及443以外的所有連接埠，由其是135到139及445KYU高苑科技大學KaoYuanUniversity防止暴力密碼攻擊法原則啟用帳號密碼鎖定原則更改預設系統管理者帳號帳號及密碼至少包含一個以上的特殊字元並符合複雜性Ex：帳號：@adminEx：密碼：2001MiCrOsofT停用不需使用的帳號經常檢視相關記錄檔KYU高苑科技大學KaoYuanUniversity特洛依木馬、電腦病毒解決方案：教育使用者檢視有無異常檔案部署掃毒程式KYU高苑科技大學KaoYuanUniversity封包攔截定義：補捉在網路上傳遞的訊息資料。利用封包監看程式竊取網路資料解決方案：採用加密機制傳送資料採用安全性通訊協定如HTTPSKYU高苑科技大學KaoYuanUniversity偽裝式攻擊利用封包監聽程式攔截網路上所傳送資料，並在讀取後藉由程式修改原發送端位址，混入目的的網路存取資料解決方法採用加密機制傳送資料KYU高苑科技大學KaoYuanUniversity阻斷式攻擊法藉由OS或AP的設計疏失不斷送出無效資料進行攻擊直到服務停止為止主要目的在於防礙目的主機正常