Web系统安全配置及系统保护VIP

单元三网络系统的平安配置与管理

项目一Web系统平安配置及系统爱护

教学目标

1.理解WEB系统的平安体系结构、平安需求、平安原则、平安制定策略与配置；

2.驾驭系统安装正确选择、系统安装正确定制；

3.驾驭分区和逻辑盘的安排、安装依次的选择、书口和文件权限、账号平安配置；

4.驾驭Web平安的基本配置；

教学要求

1.细致听讲，用心操作，操作规范，细致记录试验过程，总结操作阅历和写好试验报告，在试验中培

育亚谨科学的实践操作习惯；

2.遵守学校的试验室纪律，留意人身和设备的平安操作，爱惜试验设备、刚好上缴作业；

3.教学环境：Windows7以及Windowsserver2023/2023以上操作系统。

学问要点

1.阳用系统的平安体系结构、平安需求；

2.阳用服务器、阅读器的平安体系结构、平安原则、平安制定策略与配置；

技术要点

1.驾驭系统安装正确选择、系统安装正确定制；

2.驾驭分区和逻辑盘的安排、安装依次的选择、书目和文件权限、账号平安配置；

3.驾驭Web平安的基本配置；

技能训练

一.讲授与示范

正确启动计算机，在最终一个磁盘上建立以学号为名的文件夹,从指定的共享文件夹中将“实习指导书”

和其他内容复制到该文件夹中。

（一）Web系统平安概述

1.Web的平安体系结构

1）Web的平安需求

2）Web的平安体系结构

2.Web服务器的平安需求

1）维护公布信息的真实完整

2）维持Web服务的平安可月

3）爱护Web访问者的隐私

4）保证Web服务器不被入侵者作为“跳板”运用

3.Web阅读器的平安需求

1）保证阅读器系统不被病毒破坏

2）保证阅读器端个人平安信息不外泄

3）保证所交互的站点的真实性，避开被冒

4.Web传输的平安需求

1）保证发送者（信息）的真实性

2）保证传输信息的完整性

3）对特殊的平安性较高的Web,须要传输的保密性

4）对认证应用的WEB,须要信息的不行否认性

5）对于防伪要求较高的Web应用，保证信息的不行重用性

5.Web系统的典型平安漏洞

1）操作系统平安漏洞

2）网络系统的平安漏洞

3）应用系统的平安漏洞

4）网络平安防护系统不健仝

5）其他平安漏洞

（-）Web系统的平安原则

1.阅读器与服务器建立联接的过程

2.平安策略制定原则

1）基本原则

每个Web站点都应有一个平安策略，这些策略因需而异。依据威逼程度的大小评价分析，以作为设计网

络平安系统的基本依据。

2）服务器记录原则

管理者不得打开或查看客户或用户的统计资料，一般状况必需具有最高权限的管理者；能进行。

（H）Web服务器平安

1.Web服务器平安策略

1）制定平安政策

做好平安威逼的分析、网络平安资源并进行重要等级划分、进行平安风险评估、制定平安策略的基本原

则、建立平安培训制度、具有意外事务处理。

2）细致组织和管理WEB服务器

选好WEB服务器设备和相关软件（多杳询）、细致配置WEB服务器、平安管理WEB服务器、时刻关注

平安信息。

2.Web服务器的平安配置及平安特性

1）加强Wob服务器隔离法

利用智能HUB或二层以上交换机隔离Web服务器，运用防火墙过滤功能将WEB服务器和内网隔离。

2）Web服务器备份

真实牢靠、备份存储的地方是特别牢靠和平安的。

3）合理配置主机操作系统

防止IP欺瞒，避开口令泄露，不要运用弱口令，权限应合理设置，禁止远程管理，记录服务器的平安状

态，不要运用平安性脆弱的自动书目表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态,

将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行。

4）合配置WEB服务器软件

A.访问限制规则要通过IP地址、子网域名来限制，并用用户名和口令限制限制访问，最好用公用密钥

加密的方法限制访问；

B.相关书目必需设置权限，谨用平安性较差的WEB服务器功能；

C.把服务限制在有限的文件空间范围内，记录服务器的平安状态；

D.削减远程管理等功能。

5）解除站点中的平安漏洞

A.物理的漏洞由未授权人员访问引起，他们能阅读那些不被允许的地方。

B.软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。

C.不兼容问题漏洞是由不良系统集成引起。

6）平安管理WEB服务器

A.更新WEB服务器内容采纳本地更新平安方式

B.监视限制Web站点出入状况

服务器日常受访次数、受访增加次数

用户来源、一周最忙的时间、一天内最忙的时间

服务器哪类信息被访问、哪张页面最受欢迎

每个书目用户访问，访问站点的阅读器、提交方式

C.测算命中次数

确定站点命中次数、确定站点访问者数目

D.定期对WEB服务器进行平安检查

3）选择平安的文件格式

NTFS文件系统是最佳选择；

FAT32系统不能限制用户对文件的访问，可能以导致系统的担心全：

NTFS系统下的磁盘属性中多了“配额”和“平安”选项卡，用户通过这两选项卡可具体地设置系统中每

个用户对该逻辑盘的访问权限。

4）安装连接时间

WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$AD\1IN”的共享，但

是并没有用刚输入的密码来爱护它，这种状况始终会持续到计算机再次启动.在此期间,任何人都可以通过

"SADMIN"进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，特

别笥洁从外部侵入。因此，在完全安装并配置好WIN2KServer之前，肯定不要把主机接入网络。

5）定制系统服务

右键单击“我的电脑一管理”一“服务和应用程序一服务”，关掉那些不必要的服务，以提高系统稳

定性、平安性并加快系统运行速度。

须要特殊说明的是，RemoteRegistryService（远程注册表操作）、Telnet（远程登录）等几个高风险的服

务是肯定要停止的：用鼠标双击相应项目，然后打开的窗II中将它们设置为“手动”或“禁止”即可。

（六）WEB服务器的系统帐户平安管理

在2023的域林中有一台根域限制器，但为了提升网络平安性会交其子域限制器或备份域限制器提提升为

根域限制器。还不能单独运行的只读域限制器（RODC）

1.禁止枚举帐号

通过修改注册表禁用空用户连接，操作步骤如下：

单击“起先运行“打开"运行'对话框；输入”Regedit”并单击确定打开注册表编辑器；在注册表编辑器中

逐层进入HKEY_LOCAL_MACHINESSYSTEM-*CurcntControlSet-*control-*Lsa；将RcstrictAnonymous

的值设置为1,这样可以禁止空用户连接，如图所示。

，；.编能富

注册表（B）编辑（0吏君收做（£）帮助（H

日马我的电脑名标类型数据

倒_|

HKEY_CLASSES_ROOT西《默认)较辑双字节值

SOHKEY_CURRENT_USERfedauditbaseobjects

E)_l<flFEY_LOCAL_MAChinjE>@AuthenticationPa.数值名称@)

(flCJHARDWARE

Bounds|restrictanonymous

(SOSAM

段)crashonajdtfM

•OSECURITY

Jlpriv4egeaudltinc

(SCJSOFTWAREc十六进制出）

践pmcompatibmyleve

L-1r十进制也）

初LaPki

由(_JControlSetOOl

四匕.

fflCJ巴ttrolSetOOZ_ZotiticationP“

M由正在r；ctdnonymo^g确定I取消I

EJ(_^£ontra>磔|5ecure6ootKCLU_・，■・，-

国二JArbiters阂SecurityPackagesREG_MULTI_5Zherberosm$vl_0schannel

G0二JBockupResto

(fl_JIDConl-igDe

EOKeyboardLa-

E•_|Keyboardla,

B丑(重^>

2.Administrator账号更名

“管理工具”一“服务器管理“一“配置“一“本地用户与组”一“用户”；在窗口右面运用鼠标右

键单击Administrator,在右键菜单中选择"重命名"；重新输入一个名称,。

然后另建一个“Administrator"的陷阱帐号，加上一个超过10位的超级困难密码，并对该帐户启用审核，

不给予任何权限，即权限设置为最低，特殊是其帐号“属性”一“拨入”选项卡为“拒绝访问”。

3.禁止登录屏幕上显示最终登录的用户名

方法一：“管理工具"一'本地平安策略”本地策略"='平安选项”一“不显示最登录的用户名"，如图:

方法二：Windows2023以下修改注册表实现：HKEY_LOCAL_MACHINE-SOFTTWARE-*Microsoft->

WindowsNT-*CurrentVesion-*Winlogn项中的DontDisplayLastUserName串，将其数据修改

为1。

4.禁用Guest帐号

Guest帐号是系统默认供应的来宾帐户，主要为便利局域中的生疏用户访问共享资源。但若启用Guest

帐户则可能成为特别危急的漏洞，因为非法用户可运用这个帐号登录你的机器。禁用该帐号的操作步骤如下：

“管理工具”一“服务器管理“一“配置”一“本地用户与组”一“用户”；在右侧列表右键单击里

的“Guesl”帐号，选择“属性"或是双击"Guesl”帐号，在“帐户已停用”一项前打勾，如图所示，这样就无法用Guest

帐号登录你的系统了。

若还须要供应共享打印服务时，则须要"”本地平安策略一用户权利指派f在本地登录”项里设置Guest帐

号不能登录本机（去掉Guest项后面的勾）。

5.隐藏用户的管理

可通过注册表创建隐藏的超级用户，在“用户与组“账户管理器看不到该用户，并且用“neluser”也看

不到：

1）限制面板一用户帐户添加一个隐藏帐户adminS；

用netuser吩咐看的帐户。我们可以在计算机帐户管理看到这个帐户。

2）在注册表中用户帐户的杳看

起先一运行一regedil-打开注册表编辑器，找到HKEY」,OCAL_MACHINE\SAM\SAM,没有用户帐户；（默

认状况下我们没有对SAM键的操作权限）

3）选中SAM右键选择权限，选定当前帐户（如Administrator）为完全限制后，退出注册表再进入；

4）找到键HKEY_LOCALMAC丑NE\SAM\SAM\Domains\Account\Users\Nanies,可看到全部帐户的帐户信息。

5）复原系统默认的SAM键值访问权限，就能很好的隐藏创建的隐藏帐户。

任务1隐藏帐户的清除

步骤：

1）注册表里面查看键值来清除

2）系统登录审核日志：gpedit.msc打开“本地组策略编辑器”中的“计算机配置一Windows设置一平

安设置f本地策略一审核策略一审核帐户登录事务北把“亩核帐户登录事务”的胜利、失败都记录。

6.管理员帐户口令设置原则

♦切忌运用简洁密码、帐号与密码相面、运用自己的姓名、运用英文词组、特定意义的日期。

♦密码不要太规则，多运用特殊字符或非打印字符

♦密码长度应遵循7位或14们的整数倍原则

♦密码应定期修改，避开重复运用旧密码

♦建设帐号锁定机制（多次错误后则断开连接并锁定肯定时间后才解锁）

♦设置一次性密码机制，下次登录时必需更换新的密码

（七）用户帐户平安管理

主要针对帐户锁定与登录时间、用户帐户密码策略、审核策略、系统帐号数据库的管理等帐户基本管理

任务2用户帐户的基本平安管理

步骤：

1.帐户锁定与登录时间

1）用帐户锁定

计算机配置一Windows设置一平安设置一帐户锁定一帐户锁定阈值，其值设置6次

2）帐户登录时间

计算机配置一Windows设置一平安设置一帐户锁定一帐户锁定阈值，其值设置10分钟

前提：要先设置帐户锁定值

2.用户帐户密码策略

计算机配置一Windows设置一平安设置一帐户锁定i密蚂策略:

将“密码困难性要求”设置为“启用”

将“密码长度最小值”设置为“7位”

将“密码最短运用期限”设置为“0天”

将“密码最长运用期限”设置为“30天”

将“强制密码历史”设置为“5次”

3.审核策略

1）类别

Windows设置中的平安设置下本地策略的审核策略。

文件伊）操作（A）查看（V）帮助00

71X三日K

s4计算机倒置上J।安全设置

核

审

,软件设愚审核策略更改无

核

审

无

S_.Windows设置审核登录事件

核

审

无

脚本侬动/关机）审核对象访问

审

核

玄安全设置无

0市核进程跟踪

审

核

无

的逼帐户策晞审核目录服务访问

审

核

无

各密日策略审核特权使用

核

无

Q帐户桢定箫略审

市核系线事件

核

无

Fa本地笫略审

审核帐户登录事件

核

无

市核最略市

j"/市横秣广管理

2）审核策略设置

默认状况下为“没有定义”

审核策略更改：胜利+失败

审核登录事务：胜利+失败

审核访问对象：失败

审核书目服务访问：失败

审核特权运用：失败

审核系统事务：胜利+失败

审核帐户登录事务：胜利+失败

审核帐户管理：胜利+失败

3）调整日志审核文件

“管理工具”一事务查看器一Windows日志一右击“平安”一属性一日志最大大小1024000

同理变更“应用程序”、“Setup"、“系统”、“转发的事务”、“服务日志”等日志文件的大小。

日志文件的大小必需是64KB的整数倍

4.系统帐号数据库的管理

在系统安装书目\system32\config的sam文件是Windows系统内置的系统帐号数据库，可采纳系统内置

加密专用工具Syskey进行加密，则别人窃取被加密的sam文件，也无法获得其中的用户名和密码信息。

1）运行“Syskey”一更新一密码启动一输入密码（至少12个字符）

或者

2）运行“syskoy”一系统产生的密码一在软盘上保存启动密钥（在软盘中生成一StartKey.Koy文件）。

系统启动时会提示“启动密钥盘”，要求插入密钥盘才能启动服务器。

提问：

♦如何运用U盘担当密钥盘作为启动？

♦如何复:原系统默认状态，不在运用启动密钥盘？

（71）Internet信息服务平安

1.IIS服务器的添加与配置策略

1）Windows2023中Web服务的添加

管理工具一服务器管理器一角色一添加角色一服务器角色一Web服务器

2）确定IIS与系统安装在不同的分区（某些系统）

3）删除不必要的虚拟书目

打开*\wwwroot（*代表IIS安装的路径）文件夹，删除在在HS安装完成后默认生成的书目，包括IISHolp.

IISAdmin、HSSamples等。

4）停止默认网站或修改主书目

在“Internet服务管理器”中右击“默认Web网站/DefaultNobSite”，单击“停止”吩咐，依据须要

起用自己创建的站点；或者在“Internet服务管理器”中右击所选网站，选择其属性或者高级设置，在主书

目页面中修改本地路径。

5）对IIS的文件和书目进行分类，区分设置权限

右击Web主书目中的文件和书目，在“属性”中按须要给它们安排适当的权限（静态文件允许读，拒绝

写；ASP和exe允许执行，拒绝读写；全部的文件和书目将Everyone用户组的权限设置为“只读”）。

6）删除不必要的应用程序映射

7）维护口志平安

8）修改端口值

在上步操作的“网站”页面中，Web服务器默认的TCP端口值为80,假如将该端口改用其它值，可以增

加平安，但会给用户访问带来不便，系统管理员可以依据须要确定是否修改。

2.书目和文件权限的原则

NT的访问权限分为：读取、写入、读取及执行、修改、列书目、完全限制。在进行权限限制时，请记住

以下几个原则：

1）权限是累计的

若一个用户同时属于两个组，那么他就有了这两个组所允许的全部权限。

2）拒绝的权限要比允许的权限高（拒绝策略会先执行）。

假如一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也

肯定不能访问这个资源。

3）文件权限比文件夹权限高

4）利用用户组来进行权限限制是一个成熟系统管理员必具有优良习惯.

5）权限的最小化原则

是平安的重要保障，只给用户真正须要的权限。

3.用户操作平安

1）用户离开计算机前,应按Ctrl+Alt+Delete进行锁定计算机;

2）运用带必密码爱护的屏幕爱护程序延迟时间应很短。（爱护程序设置为空）；

3）将计算机锁定在平安的房间；

4）若多名管理员管理系统，则为每个人指派明显不同的用户帐户和密码（易于跟踪所做的任何更改）:

5）尽快删除或刚好删除临时、无用的帐户；

6）定期为管理员或高级权限的人员指派新帐户，以降低用户帐户信息受到危害的可能性，

一.课堂任务实践

任务3Web平安的基本配置

步骤：

1.用户限制平安

管理工具一Internet信息服务（IIS）管理器一绽开“服务器名”一“网站”一添加网站一名称为“沃

媒达"、路径为:%书目％\“womta”。

“沃媒达”一主页窗口中“身份验证”一编辑“匿名身份验证”一设置一输入用户名、密码即

系统登录名和密码（密码不能为空）。

2.访问权限限制

D编辑功能权限

选择服务器、站点或书目，主页窗II中双击“处理程序映射”图标一“已启用”列表框中显示的是当前

站点支持的文件类型。右击须要设置的文件类型，右键“编辑功能权限”：

读取：须要对虚拟书目具有讯取访问权限的处理程序。主要针对静态内容、配置默认的文档和书目阅读。

默认状况下读取权限处于启用状态：

脚本：须要对虚拟书目具有脚本权限的处理程序；

执行：须要对虚拟书目具有执行权限的处理程序；只有选定“脚本”才能启用“执行”权限。

2）设置恳求限制

①选择服务器、站点或书目，主页窗II中双击”处理程序映射”图标-*选择“已启用”列表框中显示

的是当前站点支持的文件类型一编辑。

②单击“恳求限制”一映射

若仅响应针对特定资源类型的恳求，则选中“仅当恳求映射至以下内容时才调用处理程序”：

♦文件：用于使处理程序仅在所恳求的目标资源是文件时才做出响应；

♦文件夹：用丁•使处理程序仅在所恳求的目标资源是文件夹时才做出响应；

♦文件或文件夹：用于使处理程序仅在所恳求的目标资源是文件或文件夹时才做出响应；

③单击“谓词”

♦全部谓词：不论恳求中发送的谓词是如何，程序均对恳求做出响应；

♦