Web系统安全配置及系统保护

1、单元三网络系统的安全配置与管理项目一Web系统安全配置及系统保护教学目标1理解 WEB系统的安全体系结构、安全需求、安全原则、安全制定策略与配置；2掌握系统安装正确选择、系统安装正确定制；3掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置；4掌握 Web安全的基本配置；教学要求1 认真听讲，专心操作,操作规范，认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2 遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3 教学环境：Windows 7以及 Windows server2003/2008以上操作系统。知识要点

2、1 WEB系统的安全体系结构、安全需求；2 WEB服务器、浏览器的安全体系结构、安全原则、安全制定策略与配置；技术要点1掌握系统安装正确选择、系统安装正确定制；2掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置；3掌握 Web安全的基本配置；技能训练一讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一 ) Web 系统安全概述1 Web的安全体系结构1） Web的安全需求2） Web的安全体系结构2 Web服务器的安全需求1）维护公布信息的真实完整2）维持 Web 服务的安全可用3）保护 W

3、eb 访问者的隐私4）保证 Web服务器不被入侵者作为“跳板”使用3 Web浏览器的安全需求1）保证浏览器系统不被病毒破坏2）保证浏览器端个人安全信息不外泄3）保证所交互的站点的真实性，避免被冒4 Web传输的安全需求1）保证发送者（信息）的真实性2）保证传输信息的完整性3）对特殊的安全性较高的Web，需要传输的保密性4）对认证应用的WEB ，需要信息的不可否认性5）对于防伪要求较高的Web应用，保证信息的不可重用性5 Web系统的典型安全漏洞1）操作系统安全漏洞2）网络系统的安全漏洞3）应用系统的安全漏洞4）网络安全防护系统不健全5）其他安全漏洞(二 )Web 系统的安全原则1浏览器与服务器

4、建立联接的过程IP 地址或代理服务器的IP 地浏览器服务器客户机通过一个域名服务器转换验证 /决定客户权限客户的域名IP 地址设置不正确服务器伪造地址2安全策略制定原则1）基本原则每个 Web 站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。2）服务器记录原则管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。(三 )Web 服务器安全1 Web服务器安全策略1）制定安全政策做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、建立安全培训制度、具有意外事件处理。2）

5、认真组织和管理WEB 服务器选好 WEB 服务器设备和相关软件安全信息。(多查询)、认真配置WEB服务器、安全管理WEB服务器、时刻关注2 Web服务器的安全配置及安全特性1）加强 Web服务器隔离法利用智能HUB 或二层以上交换机隔离Web 服务器，使用防火墙过滤功能将WEB服务器和内网隔离。2） Web服务器备份真实可靠、备份存储的地方是非常可靠和安全的。3）合理配置主机操作系统防止 IP 欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态，不要使用安全性脆弱的自动目录表功能、符号连接功能， 检查驱动器和共享的权限并交系统设为只读状态，将敏感文件放在基本

6、系统中并设二级系统，可将WEB 服务器当作无权的用户运行。4）合配置 WEB服务器软件A访问控制规则要通过IP 地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥加密的方法控制访问；B 相关目录必须设置权限，谨用安全性较差的WEB 服务器功能；C把服务限制在有限的文件空间范围内，记录服务器的安全状态；D 减少远程管理等功能。5）排除站点中的安全漏洞A 物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。B 软件漏洞是由 “错误授权 ”的应用程序引起，它会执行不应执行的功能。C不兼容问题漏洞是由不良系统集成引起。6）安全管理WEB服务器A 更新 WEB 服务器内容采用本

7、地更新安全方式B 监视控制Web 站点出入情况服务器日常受访次数、受访增加次数用户来源、一周最忙的时间、一天内最忙的时间服务器哪类信息被访问、哪张页面最受欢迎每个目录用户访问，访问站点的浏览器、提交方式C测算命中次数确定站点命中次数、确定站点访问者数目D 定期对WEB 服务器进行安全检查(四 )Web 浏览器的安全IE 功能：调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web 服务器取得的各类型信息。1Cookie 的安全1）用途：储存注册口令、用户名、信用卡号等私人信息2）在IE中禁止使用Cookie存储有关信息2 Java及Active X的安全性1） PostScript 文

8、件的命令作用： 能显示简单的文本，也可运用一定的文件系统命令命令： Open、Create、 Copy 、 Delete 等命令能用于引发安全问题或病毒2） Java Applet的安全隐患作用： 减少 Applet 偷看用户私人文档并传回服务器的可能、随意的主机建立连接的能力。隐患： 抢占系统资源，引发资源的浪费，造成拒绝服务攻击的脆弱性3） Java Script的安全漏洞能够截取用户的电子邮件地址和其他信息，截取本地主机上的文件，监视会话过程， 也存在信息泄露和文件上传的安全漏洞4） Active X的安全隐患由于 Active X 对它的控件能够完成的任务不加限制，因此每个Active

9、控件就有可以被利来执行暗中攻击的任务。(五 ) Windows 服务器的安装配置1磁盘的分配1）至少建立两个分区一个系统分区，一个应用程序分区，这是因为，微软的IIS （Internet Ihformation Server）经常会有漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。NTFS文件系统格式化：系统分区、数据分区、日志文件分区（可提高安全性）2）推荐建立三个逻辑驱动器第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或 FTP 出了安全漏洞都不直接影响到系统目录和系统文件。2系统安装正确选择1）尽量安装英文版的操

10、作系统2）不安装无用的组件避免诸如.PRINTER 、 .IDQ 、.IDA 、 WEBDEV等等通过IIS 来进行的外部攻击。根据安全原则“最少的服务+最小的权限=最大的安全”，特别提醒注意是: “Indexing Service“FrontPage2000 ServerExtensions ”、“InternetServiceManager”这几个危险服务。如：IIS”、DHCP、DNS等，导致系统在安装后存在安全漏洞。3）选择安全的文件格式NTFS文件系统是最佳选择；FAT32系统不能限制用户对文件的访问，可能以导致系统的不安全；NTFS系统下的磁盘属性中多了“配额”和“安全”选项卡，用

11、户通过这两选项卡可详细地设置系统中每个用户对该逻辑盘的访问权限。4）安装连接时间WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$ADMIN”的共享，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。因此，在完全安装并配置好WIN2K Server 之前，一定不要把主机接入网络。5）定制系统服务右键单击 “我的电脑管理” “服务和应用程序服务”，关掉那些不必要的服务，以提高系统稳定性、安全性并

12、加快系统运行速度。需要特别说明的是， Remote Registry Service( 远程注册表操作 ) 、 Telnet( 远程登录 ) 等几个高风险的服务是一定要停止的：用鼠标双击相应项目，然后打开的窗口中将它们设置为“手动”或“禁止”即可。( 六 )WEB服务器的系统帐户安全管理在 2008 的域林中有一台根域控制器， 但为了提升网络安全性会交其子域控制器或备份域控制器提提升为根域控制器。还不能单独运行的只读域控制器(RODC)1禁止枚举帐号通过修改注册表禁用空用户连接，操作步骤如下：单击 开始 - 运行 打开 运行 对话框；输入Regedit 并单击确定打开注册表编辑器；在注册表编辑

13、器中逐层进入HKEY_LOCAL_MACHINES SYSTEM CurentControlSet control Lsa； 将 RestrictAnonymous的值设置为1，这样可以禁止空用户连接，如图所示。2 Administrator 账号更名“管理工具”“服务器管理”配置 “本地用户与组”“用户”；在窗口右面使用鼠标右键单击 Administrator ，在右键菜单中选择 重命名 ；重新输入一个名称,。然后另建一个 Administrator 的陷阱帐号，加上一个超过10 位的超级复杂密码，并对该帐户启用审核，不赋予任何权限，即权限设置为最低，特别是其帐号“属性”“拨入”选项卡为“拒

14、绝访问”。3禁止登录屏幕上显示最后登录的用户名方法一： 管理工具 本地安全策略 本地策略 安全选项 “不显示最登录的用户名”，如图 :方法二：Windows2008以下修改注册表实现：HKEY_LOCAL_MACHINESOFTTWARE MicrosoftWindowsNT CurrentVesion Winlogn项中的 DontDisplayLast UserName 串，将其数据修改为 1。4禁用 Guest 帐号Guest 帐号是系统默认提供的来宾帐户，主要为方便局域中的陌生用户访问共享资源。但若启用Guest帐户则可能成为非常危险的漏洞，因为非法用户可使用这个帐号登录你的机器。禁用

15、该帐号的操作步骤如下：“管理工具”“服务器管理”配置 “本地用户与组”“用户” ； 在右侧列表右键单击里的 Guest 帐号，选择 属性 或是双击 Guest 帐号，在 帐户已停用 一项前打勾， 如图所示， 这样就无法用 Guest 帐号登录你的系统了。若还需要提供共享打印服务时，则需要 本地安全策略用户权利指派在本地登录 项里设置Guest 帐号不能登录本机（去掉Guest 项后面的勾） 。5隐藏用户的管理可通过注册表创建隐藏的超级用户，在“用户与组“账户管理器看不到该用户，并且用“net user”也看不到：1）控制面板用户帐户添加一个隐藏帐户admin$ ；用 net user命令看的帐

16、户。我们可以在计算机帐户管理看到这个帐户。2）在注册表中用户帐户的查看开始运行 regedit打开注册表编辑器，找到HKEY_LOCAL_MACHINESAMSAM，没有用户帐户；( 默认情况下我们没有对SAM键的操作权限)3）选中 SAM右键选择权限，选定当前帐户( 如 Administrator)为完全控制后，退出注册表再进入；4）找到键 HKEY_LOCAL _MACHINESAMSAMDomainsAccountUsersNames ，可看到所有帐户的帐户信息。5）恢复系统默认的SAM键值访问权限，就能很好的隐藏创建的隐藏帐户。任务 1隐藏帐户的清除步骤：1）注册表里面查看键值来清除2

17、）系统登录审核日志：gpedit.msc打开“本地组策略编辑器”中的“计算机配置Windows 设置安全设置本地策略审核策略审核帐户登录事件” 。把“审核帐户登录事件“的成功、失败都记录。6管理员帐户口令设置原则 切忌使用简单密码、帐号与密码相面、使用自己的姓名、使用英文词组、特定意义的日期。 密码不要太规则，多使用特殊字符或非打印字符 密码长度应遵循7 位或 14 们的整数倍原则 密码应定期修改，避免重复使用旧密码 建设帐号锁定机制（多次错误后则断开连接并锁定一定时间后才解锁） 设置一次性密码机制，下次登录时必须更换新的密码( 七 ) 用户帐户安全管理主要针对帐户锁定与登录时间、用户帐户密码

18、策略、审核策略、系统帐号数据库的管理等帐户基本管理任务 2用户帐户的基本安全管理步骤：1帐户锁定与登录时间1）用帐户锁定计算机配置Windows 设置安全设置帐户锁定帐户锁定阈值，其值设置6 次2）帐户登录时间计算机配置Windows 设置安全设置帐户锁定帐户锁定阈值，其值设置10 分钟前提：要先设置帐户锁定值2用户帐户密码策略计算机配置Windows 设置安全设置将“密码复杂性要求”设置为“启用”将“密码长度最小值”设置为“7 位”将“密码最短使用期限”设置为“0 天”将“密码最长使用期限”设置为“30 天”将“强制密码历史”设置为“5次”帐户锁定密码策略：3审核策略1）类别Windows

19、设置中的安全设置下本地策略的审核策略。2）审核策略设置默认情况下为“没有定义”审核策略更改：成功失败审核登录事件：成功失败审核访问对象：失败审核目录服务访问：失败审核特权使用：失败审核系统事件：成功失败审核帐户登录事件：成功失败审核帐户管理：成功失败3）调整日志审核文件“管理工具” 事件查看器 Windows 日志 右击“安全” 属性 日志最大大小 1024000 同理改变“应用程序” 、“ Setup ”、“系统”、“转发的事件” 、“服务日志”等日志文件的大小。日志文件的大小必须是64KB的整数倍4系统帐号数据库的管理在系统安装目录system32config的 sam文件是Windows

20、 系统内置的系统帐号数据库，可采用系统内置加密专用工具1）运行“Syskey 进行加密，则别人窃取被加密的sam文件，也无法获取其中的用户名和密码信息。Syskey ” 更新密码启动输入密码 ( 至少 12 个字符 )或者2）运行“ syskey ” 系统产生的密码在软盘上保存启动密钥( 在软盘中生成一StartKey.Key文件 )。系统启动时会提示“启动密钥盘”，要求插入密钥盘才能启动服务器。提问： 如何使用U盘承担密钥盘作为启动？ 如何恢复系统默认状态，不在使用启动密钥盘？( 八 )Internet信息服务安全1 IIS服务器的添加与配置策略1） Windows2008 中 Web服务的

21、添加管理工具服务器管理器角色添加角色服务器角色Web 服务器2）确定 IIS 与系统安装在不同的分区( 某些系统 )3）删除不必要的虚拟目录打开 *wwwroot（ * 代表IIS安装的路径）文件夹，删除在在IIS安装完成后默认生成的目录，包括IISHelp、IISAdmin、IISSamples等。4）停止默认网站或修改主目录在“ Internet服务管理器”中右击“默认Web网站 /Default Web Site”，单击“停止”命令，根据需要起用自己创建的站点；或者在“Internet服务管理器”中右击所选网站，选择其属性或者高级设置，在主目录页面中修改本地路径。5）对 IIS 的文件和

22、目录进行分类，区别设置权限右击 Web主目录中的文件和目录，在“属性”中按需要给它们分配适当的权限（静态文件允许读，拒绝写； ASP和 exe 允许执行，拒绝读写；所有的文件和目录将Everyone 用户组的权限设置为“只读”）。6）删除不必要的应用程序映射7）维护日志安全8）修改端口值在上步操作的“网站”页面中， Web服务器默认的 TCP端口值为 80，如果将该端口改用其它值，可以增强安全，但会给用户访问带来不便，系统管理员可以根据需要决定是否修改。2目录和文件权限的原则NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在进行权限控制时，请记住以下 几个原则 ：1）权限是

23、累计的若一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。2）拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。3）文件权限比文件夹权限高4）利用用户组来进行权限控制是一个成熟系统管理员必具有优良习惯。5）权限的最小化原则是安全的重要保障，只给用户真正需要的权限。3用户操作安全1）用户离开计算机前，应按Ctrl+Alt+Delete进行锁定计算机；2）使用带必密码保护的屏幕保护程序延迟时间应很短。（保护程序设置为空） ；3）将计算机锁定在安全的房问；4）若多名管理员管理系统

24、，则为每个人指派明显不同的用户帐户和密码( 易于跟踪所做的任何更改) ；5）尽快删除或及时删除临时、无用的帐户；6）定期为管理员或高级权限的人员指派新帐户，以降低用户帐户信息受到危害的可能性。二课堂任务实践任务 3Web安全的基本配置步骤：1用户控制安全管理工具Internet信息服务 (IIS)管理器展开“服务器名”“网站”添加网站名称为“沃媒达”、路径为： %目录“ womta”。“沃媒达”主页窗口中“身份验证”编辑“匿名身份验证” 设置输入用户名、密码即系统登录名和密码（密码不能为空）。2访问权限控制1）编辑功能权限选择服务器、站点或目录，主页窗口中双击“处理程序映射”图标“已启用”列表

25、框中显示的是当前站点支持的文件类型。右击需要设置的文件类型，右键“编辑功能权限”：读取：需要对虚拟目录具有讯取访问权限的处理程序。主要针对静态内容、配置默认的文档和目录浏览。默认情况下读取权限处于启用状态；脚本：需要对虚拟目录具有脚本权限的处理程序；执行：需要对虚拟目录具有执行权限的处理程序；只有选定“脚本”才能启用“执行”权限。2）设置请求限制 选择服务器、站点或目录，主页窗口中双击“处理程序映射”图标选择“已启用”列表框中显示的是当前站点支持的文件类型编辑。 单击“请求限制”映射若仅响应针对特定资源类型的请求，则选中“仅当请求映射至以下内容时才调用处理程序” ：文件：用于使处理程序仅在所请求的目标资源是文件时才做出响应；文件夹：用于使处理程序仅在所请求的目标资源是文件夹时才做出响应；文件或文件夹：用于使处理程序仅在所请求的目标资源是文件或文件夹时才做出响应；单击“谓词” 全部谓词：不论请求中发送的谓词是如何，程序均对请求做出响应； 下列谓词之一：程序将响应包含特定谓词的请求单击“访问”访问权限：无、读取、写入、脚本、执行3 IP 地址限制1) 安装“ IIS ： IP 和域限制”若在站点主页中没有“