WEB服务器安全管理-最佳实践

1、WEB服务器安全管理最佳实践WEB服务器安全管理最佳实践IIS 6.0 Web服务器安全管理最佳实践 IIS 6.0 Web服务器安全管理最佳实践 首先具备的知识掌握 Windows 2000/Windows Server 2003 的日常操作了解 IIS（ Internet Information Server ）或者 IIS 日常操作如果能够了解常见攻击方法或相关内容更佳级别 200首先具备的知识掌握 Windows 2000/Window概览IIS 服务器不仅仅能够提供常见的 WEB 应用而且和很多服务器集合使用在企业中已经非常广泛，如何加固IIS 服务器安全您了解多少？是否安装了系统补

2、丁并配置了防火墙就万无一失了？您是否了解 IIS 6.0 基础架构了解如何保护IIS Web服务器安全、防范攻击以及优化IIS Web服务器的技巧、实践与工具概览IIS 服务器不仅仅能够提供常见的 WEB 应用而且和很内容安排IIS 6.0 基础架构Web Services 面对的主要威胁和攻击常用安全利器场景学习总结 参考资源简单快速有效的安全内容安排IIS 6.0 基础架构简单快速有效的安全DLLHOST.exeISAPIExtensions(ASP, etc.)ISAPI FiltersmetabaseIIS 6.0 架构TCP/IPINETINFOASP.NETISAPIAspnet_

3、wp.exeCLR App DomainCLR App DomainCLR App DomainmetabaseINETINFOHTTP.SYSWASConfig MgrProcess MgrW3WP.EXEApplication Pool 1ASP.NET ISAPICLR App DomainCLR App DomainW3WP.EXEISAPIExtensions(ASP, etc.)ISAPI FiltersApplication Pool 2W3WP.EXEASP.NET ISAPICLR App DomainCLR App DomainW3WP.EXEASP.NET ISAPICL

4、R App DomainCLR App DomainW3WP.EXEASP.NET ISAPICLR App DomainCLR App DomainWeb GardenW3WP.EXEISAPIExtensions(ASP, etc.)ISAPI FiltersDLLHOST.exeISAPIISAPI FiltersmIIS 6.0 必备知识IIS 6.0 必备知识内容安排IIS 6.0 基础架构Web Services 面对的主要威胁和攻击常用安全利器场景学习总结 参考资源简单快速有效的安全内容安排IIS 6.0 基础架构简单快速有效的安全我们将讨论现在应立即采取的安全手段未来要作的事情

5、我们将讨论现在应立即采取的安全手段安全术语资产 （Asset）脆弱性 （Vulnerability）威胁 （Threat）威胁因素 （Association）风险 （Risk）利用/暴露 (Exploits/Exposure)对策 (Countermeasure)安全术语资产 （Asset）Web Services 面对的主要威胁和攻击 Web Services 面对的主要威胁和攻击 Web Services 面对的主要威胁和攻击未授权的访问 漏洞可导致通过 Web Services 进行未授权的访问的漏洞包括：未使用身份验证密码在 SOAP 头信息中以明文形式传递在未加密的通信通道中使用基本

6、身份验证Web Services 面对的主要威胁和攻击未授权的访问 Web Services 面对的主要威胁和攻击参数操纵 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。例如，攻击者可以截获 Web Services 消息（例如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改 Web Services 面对的主要威胁和攻击参数操纵 Web Services 面对的主要威胁和攻击网络窃听 通过网络窃听，当 Web Services 消息在网络中传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软

7、件检索 SOAP 消息中包含的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息 Web Services 面对的主要威胁和攻击网络窃听 Web Services 面对的主要威胁和攻击配置数据的泄漏 Web Services 配置数据的泄漏的方法主要有两种。第一种，Web Services 可能支持动态生成 Web Services 描述语言 (WSDL)，或者可能在 Web 服务器上的可下载文件中提供 WSDL 信息 第二种，如果异常处理不充分，Web Services 可能会泄漏对攻击者有用的敏感的内部实施详细信息 Web Services 面对的主要威胁和攻击配置数据的泄漏Web

8、 Services 面对的主要威胁和攻击消息重播 Web Services 消息可能会在传递过程中经过多个中间服务器。通过消息重播攻击，攻击者可以捕获并复制消息，并模拟客户端将其重播到 Web Services。消息可能被修改，也可能保持不变 Web Services 面对的主要威胁和攻击消息重播 保护 Windows安全安全检查列表所有磁盘分区都是 NTFS的管理员账号必须有一个复杂的密码禁止不需要的服务删除和禁止不必要的账号移除不必要的文件共享在文件、共享和注册表上设置访问权限列表设置严格的安全策略安装最新的service pack 和补丁安装防病毒软件保护 Windows安全安全检查列表

9、所有磁盘分区都是 NT保护 IIS安全手把手教你设置 IIS 安全保护预先的安全安装是必须的组件安装的选择、利用IIS 内置的安全特性设置合适的访问权限列表访问控制和安全策略远程管理的安全配置在IIS log上设置合适的访问权限列表、同时设置合适的验证机制启动日志记录（ W3C Extended Log）规划恢复计划保护 IIS安全手把手教你设置 IIS 安全保护预先的安全演示 手把手教你保护IIS 掌握如何选择正确的IIS 组件在IIS目录上设置合适的访问权限列表启动日志记录演示 手把手教你保护IIS 掌握如何选择正确的IIS 内容安排IIS 6.0 基础架构Web Services 面对的

10、主要威胁和攻击常用安全利器场景学习总结 参考资源简单快速有效的安全内容安排IIS 6.0 基础架构简单快速有效的安全使用安全利器安全配置向导用向导界面完成安全检查完成 IIS 6.0 的配置完全免费，Windows Server 2003 SP1 中内置（从）快速模式高级模式通俗易懂的帮助使用安全利器安全配置向导用向导界面完成安全检查使用安全利器安全配置向导使用安全利器安全配置向导使用系统内置安全利器 windows 防火墙推荐使用单独的防火墙，但是在预算不足的情况下基于端口的过滤内置在操作系统中对绝大多数攻击都有防护作用使用系统内置安全利器 windows 防火墙推荐使用单独的使用系统安全利

11、器IPSECWindows Server 2000 /2003 内置使用系统安全利器IPSECWindows Server 2使用IIS安全利器UrlScan 2.5注意，现在 UrlScan 2.5 已经内置在 IIS 6.0 中URL 的深层防御/kb/820129/en-us使用IIS安全利器UrlScan 2.5注意，现在 Ur使用IIS安全利器URL 授权如何快速有效的进行服务器用户验证安全除了服务器的安全标签，我们还可以配置使用IIS安全利器URL 授权如何快速有效的进行服务器用常见使用工具命令跟踪工具Windows Server 2003:Logman 开始/停止记录Tracer

12、pt 分析跟踪文件M 网站上可以下载:Log Parser 2.2 自定义跟踪分析IISReqMon 分析当前正在执行的请求有用的工具IISTrace 针对记录请求的有用的工具即将发布的 “跟踪诊断工具”Request Monitor Manager 基于用户界面的有用工具常见使用工具命令跟踪工具Windows Server 常见使用工具命令跟踪工具返回:工作进程统计返回所有正在执行进程的统计非常有用的研究工具logman start CurrRequests p IIS: Request Monitor -ets提供者的名称跟踪的文件名常见使用工具命令跟踪工具返回:logman start使

13、用系统安全利器安全模板如何快速有效的进行服务器安全不要忘记我们拥有安全模板使用系统安全利器安全模板如何快速有效的进行服务器安全使用系统安全利器SSL如何保证用户访问服务器的安全性例如用户名、密码、内容使用系统安全利器SSL如何保证用户访问服务器的安全性使用安全利器MBSA众多案例显示利用操作系统安全漏洞入侵从而控制IIS 检查计算机的补丁情况图形化界面的工具使用安全利器MBSA众多案例显示利用操作系统安全漏洞入侵从演示利用安全向导进行服务器安全加固利用 IPSec 进行安全信息传输和进行不安全访问的阻隔利用windows 防火墙阻隔不需要的访问利用URLSCAN2.5 进行IIS 服务器的安全

14、加固演示利用安全向导进行服务器安全加固利用 IPSec 进行内容安排IIS 6.0 基础架构Web Services 面对的主要威胁和攻击常用安全利器场景学习总结 参考资源简单快速有效的安全内容安排IIS 6.0 基础架构简单快速有效的安全今天如何做起配置 Microsoft Active Directory IIS 服务器 OU 结构 步骤 注意： 创建 IIS 服务器部门 (OU)创建增量 IIS 服务器策略 将 GPO 链接至 IIS 服务器 OU 将相应客户端环境的安全模板导入新建的 GPO 例如，用于企业客户端环境的 Enterprise Client IIS Server.inf

15、今天如何做起配置 Microsoft Active Dire今天如何做起IIS 服务器强化步骤 步骤 注意： 安装和配置 Windows Server 2003 安装和配置 IIS 服务仅安装必要的 IIS 组件仅启用必要的 Web Service 扩展将数据保存在专用磁盘空间内配置 NTFS 权限 配置 IIS Web 站点权限 配置 IIS 记录 今天如何做起IIS 服务器强化步骤 步骤 注意： 安装和配置今天如何做起IIS 服务器强化步骤 步骤 注意： 应用所需的所有 Service Pack 和/或更新MBSA 定期运行，以检查操作系统和组件的最新更新 安装和配置病毒保护解决方案 根据

16、要求安装和配置 MOM 代理或类似的监视解决方案 将相应服务器移至对应的 IIS 服务器 OU 确保已知帐户安全 重命名内置管理员帐户，指定复杂密码。确保已经禁用来宾帐户。更改默认帐户说明 今天如何做起IIS 服务器强化步骤 步骤 注意： 应用所需的今天如何做起IIS 服务器强化步骤 步骤 注意： 确保服务帐户安全 考虑实施 IPSec 筛选器 运行 GPUPDATE.EXE /FORCE 重新启动服务器 检查事件日志，查找错误 定期查看日志例如通过日志增长就可以发现一些拒绝攻击今天如何做起IIS 服务器强化步骤 步骤 注意： 确保服务帐谈论安全 今天如何做起发送mail 到 microsof

17、t_security-subscribe-request安装和运行升级通知工具订阅或登陆下载 Security tool kit谈论安全 今天如何做起发送mail 到 microsoftcontoso.corpSQLDCIISDCIISDMZ企业内网ISA场景学习Internetcontoso.corpSQLDCIIScontoso.co场景回顾步骤 1：熟悉 IIS 基本架构步骤 2：根据企业具体要求配置相关安全配置选项步骤 3：使用前面介绍的安全利器 步骤 4：配置防火墙保护相关服务器步骤 5：定期查看日志制度的建立步骤 6：制定相关灾难恢复计划步骤 7：测试步骤 8：重复以上步骤场景回顾步骤 1：熟悉 IIS 基本架构 讲座总结检视一遍安全清单应用最新的补丁经常检查你的网络安全性 讲座总结检视一遍安全清单答疑答疑WEB服务器安全管理最佳实践WEB服务器安全管理最佳实践WEB服务器安全管理最佳实践WEB服务器安全管理最佳实践TechNet是什么?只需轻轻点击，答案就在您的指尖对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，