实训任务8校园网服务器的安全检测与防护.docx

实训任务8校园网服务器的安全检测与防护.docx

《实训任务8校园网服务器的安全检测与防护.docx》由会员分享，可在线阅读，更多相关《实训任务8校园网服务器的安全检测与防护.docx（7页珍藏版）》请在冰豆网上搜索。

实训任务8校园网服务器的安全检测与防护

实训任务8校园网服务器安全

8.1任务需求

某高等职业学院已经组建了校园园区网，校园各区域均已连通，校园网有两条出口线路分别与CHINANET和CERNET连接，已实现了校园网所有用户对外访问，同时校园网的WEB、FTP、DNS、教务信息系统等较多服务器提供了校内外用户访问，为了保障校园网络安全，需要对校园网的服务器操作系统进行安全防护，请进行校园网服务器的安全检测和防护。

8.2实训目的

了解操作系统安全的概念和原理，掌握操作系统安全的检测与防护方法。

8.3实训环境

二台或两台以上装有WindowsServer2003计算机、微软安全扫描工具MBSA

8.4相关知识点

（1）系统漏洞

系统漏洞是指网络操作系统本身所存在的技术缺陷。

系统漏洞往往会被病毒利用侵入并攻击用户计算机。

漏洞影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

Windows系统漏洞问题是与时间紧密相关的。

一个windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。

而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。

Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒、黑客入侵。

一般情况下，在网络边界处企业都会部署硬件或软件防火墙，能根据企业的安全策略控制出入网络的信息流，防火墙本身具有较强的抗攻击能力。

但是防火墙也存在一定的局限性：

●防火墙不能解决来自内部网络的攻击和安全问题，对于防火墙内部各主机间的攻击行为，防火墙也无法处理；

●防火墙无法解决TCP/IP等协议的漏洞，例如Dos攻击（拒绝服务攻击）。

●防火墙对于合法开发端口的攻击无法阻止。

例如利用开放的FTP、远程桌面端口漏洞提升权限问题。

●防火墙不能防止受病毒感染文件或木马文件的传输。

防火墙本身不具备查杀病毒、木马的功能。

●防火墙不能防止数据驱动式的攻击。

有些数据邮寄或传输到内部主机被执行时，可能会发生数据驱动式的攻击。

●防火墙不能防止内部的泄密行为以及自身安全漏洞的问题。

（2）漏洞扫描

漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。

其目标是服务器、工作站、交换机、数据库应用、WEB应用等各种应用设施，然后根据扫描结果向网络管理员提供可靠的安全性评估分析报告，以便管理员能及时进行漏洞修补和加强安全防护，从而提高网络安全整体水平。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：

在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。

若模拟攻击成功，则表明目标主机系统存在安全漏洞。

在网络安全体系的建设中，安全扫描是一种花费低、效果好、见效快、独立于网络运行、安装运行简单的网络工具，可以减少网络管理员大量的手工重复劳动，有利于保持全网安全的稳定和统一标准。

目前市场上有很多漏洞扫描工具，按照不同的技术（基于网络、基于主机、基于代理、Client/Server）、不同的特征、不同的报告方式和不同的监听模式，可以分为很多种。

在选择漏洞扫描工具时要充分考虑各种技术和漏洞库信息，漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。

如果漏洞库信息不全面或得不到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的安全隐患不能采取有效措施并及时的消除。

目前常用的漏洞扫描工具有：

（3）微软安全扫描工具MBSA

MBSA（MicrosoftBaselineSecurityAnalyzer）是微软公司提供的免费安全扫描工具，系统管理员可以通过它来对一些常用的微软安全漏洞进行评估，包括缺少的安全更新。

MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他组件（如：

InternetInformationServices（IIS）和SQLServer），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。

MBSA目前可以运行在Windows2000、WindowsXP和WindowsServer2003环境中。

该软件可以检查到Windows2000、WindowsXP、WindowsServer2003、InternetInformationServer（IIS）、SQLServer、InternetExplorer和Office等软件包中的结构性错误，还可以检查出Windows2000、WindowsXP、WindowsServer2003、IIS、SQLServer、InternetExplorer、Office、ExchangeServer、WindowsMediaPlayer、MicrosoftDataAccessComponents（MDAC）、MSXML、MicrosoftVirtualMachine、CommerceServer、ContentManagementServer、BizTalkServer、HostIntegrationServer中遗漏的安全更新。

MBSA2.0.检查Windows操作系统的安全内容：

●检查将确定并列出属于LocalAdministrators组的用户账户。

●检查将确定在被扫描的计算机上是否启用了审核。

●检查将确定在被扫描的计算机上是否启用了“自动登录”功能。

●检查是否有不必要的服务。

●检查将确定正在接受扫描的计算机是否为一个域控制器。

●检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是NTFS文件系统。

●检查将确定在被扫描的计算机上是否启用了内置的来宾账户。

●检查将找出使用了空白密码或简单密码的所有本地用户账户。

●检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的IE区域安全设置。

●检查将确定在被扫描的计算机上运行的是哪一个操作系统。

●检查将确定是否有本地用户账户设置了永不过期的密码。

●检查将确定被扫描的计算机上是否使用了RestrictAnonymous注册表项来限制匿名连接ServicePack和即时修复程序。

MBSA2.0.检查IIS的安全分析：

●检查将确定MSADC（样本数据访问脚本）和脚本虚拟目录是否已安装在被扫描的IIS计算机上。

●检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。

●检查将确定IIS是否在一个作为域控制器的系统上运行。

●检查将确定IIS锁定工具是否已经在被扫描的计算机上运行。

●检查将确定IIS日志记录是否已启用，以及W3C扩展日志文件格式是否已使用。

●检查将确定在被扫描的计算机上是否启用了ASPEnableParentPaths设置。

●检查将确定下列IIS示例文件目录是否安装在计算机上。

MBSA2.0的SQLServer安全分析功能：

●检查将确定Sysadmin角色的成员的数量，并将结果显示在安全报告中。

●检查将确定是否有本地SQLServer账户采用了简单密码（如空白密码）。

●检查将确定被扫描的SQLServer上使用的身份验证模式。

●检查将验证SQLServer目录是否都将访问权只限制到SQL服务账户和本地Administrators。

●检查将确定SQLServer7.0和SQLServer2000sa账户密码是否以明文形式写到%temp%\sqlstp.log和%temp%\setup.iss文件中。

●检查将确定SQLServerGuest账户是否具有访问数据库（MASTER、TEMPDB和MSDB除外）的权限。

●检查将确定SQLServer是否在一个担任域控制器的系统上运行。

●检查将确保Everyone组对"HKLM\Software\Microsoft\MicrosoftSQLServer"和"HKLM\Software\Microsoft\MSSQLServer"两注册表项的访问权被限制为读取权限。

如果Everyone组对这些注册表项的访问权限高于读取权限，那么这种情况将在安全扫描报告中被标记为严重安全漏洞。

●检查将确定SQLServer服务账户在被扫描的计算机上是否为本地或DomainAdministrators组的成员，或者是否有SQLServer服务账户在LocalSystem上下文中运行。

MBSA2.0版本使用WindowsUpdateAgent（WUA）2.0连接扫描结果。

如果找到某个产品有新版本或更新，它会提供相关更新信息和下载连接。

此外，MBSA还能识别出操作系统版本和服务包。

扫描报告还能列出需要升级的最近安装的更新。

8.5实训内容与步骤

（1）MBSA安装

MBSA作为免费的微软安全检测工具，可以从微软网站免费下载。

MBSA的当前最新版本为V2.1，提供了对WindowsVista、WindowsServer2008、SQLServer2005等的支持。

MBSA的安装非常简单，打开下载的安装文件MBSASetup-x86-EN.Exe，根据向导提示单击“下一步”即可完成软件的安装，在安装过程中需要选择接受微软公司的“软件许可协议”。

（2）MBSA使用

1．安装MBSA软件后，运行即打开程序主界面，在这里可以选择是检测一台计算机还是检测多台计算机，如图8-1所示。

图8-1MBSA计算机安全检测主界面

提醒：

要扫描一台计算机，需要管理员访问权。

在进行自动扫描时，用来运行MBSA的帐户必须是管理员或者是本地管理员组的一个成员。

在要扫描多台计算机的情况下，也必须是每台计算机的管理员或者是域管理员。

2．如果要检测一台（通常是当前计算机，也可以是网络中其他有管理权限的计算机），则单击"Scanacomputer"链接，打开如图8-2所示对话框。

在"Username"栏中默认显示的当前计算机名。

用户也可以更改，或者在下面的"IPaddress"栏中输入要检测的其他计算机IP地址。

计算机名和IP地址仅需要选择一种即可。

图8-2选择需要安全检测的目标计算机

对话框下面有许多复选框。

其中主要涉及到选择要扫描检测的项目，包括Windows系统本身、IIS和SQL等相关选项，也就是MBSA的3大主要功能。

根据所检测的计算机系统中所安装的程序系统和实际需求来确定即可。

3．输入要检测的计算机，并选择好要检测的项目后，单击窗口下方【Startscan】按钮，程序则自动开始检测已选择的项目，显示“Scanning”窗口，如图8-3所示。

图8-3安全检测过程

4．检测完成后会形成一个报告，如图8-4所示。

图8-4操作系统安全检测结果

在报告中凡是检测到存在严重安全隐患的则以红色的“×”显示，中等级别的则以黄色的“×”显示。

而且用户还可以单击“Howtocorrectthis”链接，得知该如何配置才能纠正这些不正当的设置。

安装、部署一套服务器操作