8IIS安全配置优质PPT.ppt

8IIS安全配置优质PPT.ppt

《8IIS安全配置优质PPT.ppt》由会员分享，可在线阅读，更多相关《8IIS安全配置优质PPT.ppt（31页珍藏版）》请在冰豆网上搜索。

IIS安全配置,网站安全性管理,IIS网站安全性管理策略与技术,资源存取控制IP地址/网域名称网页权限NTFS权限身份验证,提升攻击难度关闭不用服务防火墙入侵侦测,网页应用程序安全应用程序锁定原则程序员定期资安教育应用程序隔离原则,网页传输安全SSL/TLS,备份备份网页资料备份网站组态,监控稽核记录存取记录漏洞稽核,目录的安全性,使用IP位址來控制存取,IIS以下列方式控制存取单机电脑组域方式：

@#@白名单合适企业网络黑名单适合禁止特定机器适用环境：

@#@Intranet,Extranet服务器问题：

@#@IP位址易造假,利用域名来控制存取,以域名称来控制存取虽简单直接，但需作反向对应，影响效能,DEMO,网页权限（WebPermission）,网页权限和NTFS使用权限,IIS网页权限的权限等级通常不够细分化，只针对网页对象。

@#@基于更高安全性考虑，需搭配NTFS文件系统的使用权限，才足够建构一个较安全的网站存取环境二者合并使用时，最后的有效权限为二者最严谨的权限（取二者允许权限的交集关系）,不同的网页程序建议使用权限,设定网页目录与文件权限,DEMO,IIS身份验证方法,匿名验证基本验证摘要式验证整合的Windows验证凭证验证,使用IIS验证方法,预设启用匿名及整合的Windows验证。

@#@只有在下列情况下，Web服务器才可使用基本、摘要式或整合的Windows验证方法：

@#@匿名存取并没有被选取。

@#@匿名存取失败或文件及目录的存取受到NTFS权限的限制。

@#@摘要式及整合的Windows验证不能用于FTP站台如果.NETpassport被选中，则无法使用其它验证方法验证方法的使用优先级：

@#@匿名整合的Windows验证摘要式验证基本验证,IIS验证方法比较,设定身份验证方法,顺序匿名整合式摘要式基本,DEMO,IIS验证方法的安全性等级,SSL（SecureSocketsLayer）,源自1994年netscape，架构在TCP之上的安全性通讯协议SSL为目前最广泛应用的网页传输安全性协议，即HTTP+SSL=HTTPSSSL支持的安全性服务：

@#@验证（Authentication）：

@#@使用RSA、DSS和X.509凭证等公开金钥加密技术传输的机密性（Confidentiality）：

@#@使用IDEA、3DES、RC4对称性加密技术完整性（Integrity）：

@#@使用MD5、SHA等杂凑为基础的讯息确认码（MAC）网站启用SSL并无法提供不可否认性证明,SSL實作步驟,IIS管理員向CA管理中心請求SSL证书在需要安全通讯的网站、虛拟或真实目錄或个别网页上启动SSL用户端必须利用https协议存取网页,SSL操作步骤,IS管理员向凭证管理中心请求SSL凭证利用网页服务器凭证建立网站使用的凭证请求文件利用产生出来的凭证请求档向CA申请下载凭证将申请下来的凭证安装在IIS网站在需要安全通讯的网站、虚拟或真实目录或个别网页文件上启动使用安全通道（SSL）大部份的情况均会以目录为启动SSL的对象考虑是否启用128位加密联机客户端必需利用https协议存取网页,使用SSL会影响到效率，故通常建议只有必要的目录才设定启用SSL,DEMO,用户端使用SSL联机,HTTP,HTTPS,备份SSL凭证,管理员必须备份SSL凭证与密钥使用服务器凭证使用凭证工具,客户端凭证,利用凭证取代传统的密码系统来进行验证一种高度安全性的网页验证方法适用在需要高度安全性需求的商业网站使用者需要申请客户端凭证,网站应用程序安全性管理,只启用必要的网页类型、技术与功能移除不必要的应用程序对应,管理IISMIME类型清单,原则：

@#@关闭不使用的档案类型、应用程序功能与技术可被攻击的层面就越小、提升攻击困难度IIS6只接受扩展名有登录在MIME类型清单的档案移除不使用的档案类型管理MIME类型清单服务器层级网站层级目录层级,移除不必要的应用程序对应,网页扩展服务（WebServiceExtensions）,IIS6利用网页服务延伸支持动态网页内容只允许已使用的网页服务延伸,不要启用所有未知的CGI扩充程序与所有未知的ISAPI扩充程序,建立应用程序,在某些情況，可能需要让某个特定应用程序拥有自已独立的环境,其它IIS安全性建议,备份Metabase与网页应用程序IIS记录与稽核使用虚拟目录取代真实目录利用群组原则控制IIS的安装选择安全性的远程管理工具与方式,备份IISMetabase,Metabase维护IIS大部份的组件为了避免不当的组件设定或删除、毁损的意外，管理员需定期或重大变更后备份Metabase,DEMO,

（1）選取備份選項,

（2）執行備份,（3）輸入名稱與密碼保護,IIS记录,IIS记录联机使用者在网站的活动行为，可用来作为网站与网页使用量分析及安全性查核工作。

@#@,选择安全性的远程管理工具与方式,远程桌面联机（RemoteDesktop）使用凭证、设定逾期时间与128位加密因特网信息服务（IIS）管理员（MMC）使用IPSec网页管理工具（HTTPS）文字模式设定管理直接编辑metabase（%systemroot%system32inetsrvmetabase.xml或使用MetabaseExplorer）命令列指令（%systemrootsystem32iis*）,IIS安全管理实务指引,实时更新操作系统与IIS的安全性修正程序关闭不使用的服务符合最低权限赋予原则的存取控制方法IP地址网页权限NTFS权限采用较严谨身份验证方法启动IIS日志功能，作为安全性查核依据,