网站安全策略.docx
《网站安全策略.docx》由会员分享,可在线阅读,更多相关《网站安全策略.docx(9页珍藏版)》请在冰豆网上搜索。
网站安全策略
掌握利用IIS建立的Web网站和FTP服务的安全策略。
教学重点:
Web网站和FTP服务的安全策略。
教学难点:
WEB和FTP服务的建立方法。
教学过程:
一、Web服务器系统安全策略的应用
无论是Internet或者Intranet,它的核心是Web服务器。
管理好、使用好、保护好Web服务器中的资源,是网管人员的重要职责。
Web服务器网站的开发,除了集中开发外,还有一个长期的维护和积累过程;因此,Web中的数据资料非常重要。
如果出现问题,就会造成不可弥补的损失。
本文根据开发和维护Web服务器的过程,介绍Web服务器安全策略的综合应用方法。
(一)系统安装的安全策略
目前,Web服务器基本采用Windows平台,对Windows0的系统进行管理是一个日积月累、不断完善的过程。
作为Web服务器。
需要注意以下几点。
安装系统时,不要把系统安装在默认目录下,也不要安装多余的服务和多余的协议,因为有的服务存在漏洞,多余的协议会占用资源,因此,无用的服务和协议不要安装。
安装Windows补丁。
安装防病毒软件。
选择合适的网卡驱动和显示器驱动程序。
(二)系统安全策略的配置
限制匿名访问本机用户
选择“开始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全选项”—〉双击“对匿名连接的额外限制”——〉在下拉菜单中选择“不允许枚举SAM帐号和共享”—〉“确定”。
限制远程用户对光驱或软驱的访问。
选择“开始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全选项”—〉双击“只有本地登录用户才能访问软盘”—〉在单选按钮中选择“已启用(E)”—“确定”。
限制远程用户对NetMeeting的共享,禁用NetMeeting的远程桌面共享功能,用户就不能利用NetMeeting控制该计算机。
选择“开始”—〉“运行”—〉在对话框中输入“gpedit.msc”—〉“计算机配置”—〉“管理模板”—〉“Windows组件”—〉“NetMeeting”—〉“禁用远程桌面共享”—〉右键—〉在单选按钮中选择“启用(E)”—〉“确定”。
限制用户执行Windows安装任务。
这个策略可以防止用户在系统上安装软件。
设置方法与相同。
(三)IIS安全策略的应用
在配置Internet信息服务(IIS)时,应该进行以下工作。
一般不使用默认的Web站点,避免外界对网站的攻击,具体做法如下。
停止默认的Web站点
“开始”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“TLJWEB(计算机名称)”—〉选择—〉“默认Web站点”—〉右键—〉“停止”。
建立新的Web站点
“开始”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“TLJWEB(计算机名称)”—〉右键—〉“新建”—〉“Web站点”—〉“下—〉步”—〉输入Web站点说明“yyyddd”—〉“下—〉步”—〉选择站点主目录路径—〉“下—步”—〉选择对该Web站点的访问权限—〉“下—步”—〉“完成”。
完成新建的Web站点yyyddd后.要对该站点主目录权限进行设置。
一般情况下设置成SYSTEM和Administrator两个用户可完全控制.IUSR可以读取文件。
(四)审核日志策略的配置
系统日志对于Windows2020的作用就如同“黑匣子”对于飞机的作用。
当Windows2020出现问题的时候,首先应该查看系统日志,通过对系统日志的分析,可以了解故障发生前系统的运行情况,作为判断故障原因的根据。
通过日志不仅可以了解本机的安全性能和用户的操作情况,也可以发现系统自身的问题。
Windows2020的日志系统在默认安装下。
安全审核是关闭的。
—〉般情况下需要对常用的3种日志(用户登录日志、Http和ftp)进行配置。
设置登录审核日志
“开始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“审核策略”—〉双击“审核账户登录事件”—〉在复选框中选择“成功(S),失败(F)”。
审核事件分为成功事件和失败事件。
成功事件表示一个用户成功地获得了访问某种资源的权限.而失败事件则表明用户的尝试失败。
太多的失败事件可解释为攻击行为.但成功事件解释起来就比较困难。
尽管大多数成功的审核事件仅表明活动是正常的,但获得了访问权的攻击者也会生成一个成功事件。
例如,一系列失败事件后面跟着一个成功事件可能表示企图进行的攻击最后是成功的。
对审核项进行如表1的设置,可便于日志分析。
如果对登录事件进行审核,那么每次用户在计算机上登录或注销时,都会在安全日志中生成一个事件。
可以使用事件ID对登录情况进行判断。
A.本地登录尝试失败:
下列事件ID都说明登录失败:
529,530,531,532,533,534和537,如果一个攻击者试图使用本地帐户的用户名和密码但未成功,就会有529和534发生。
B.帐户误用:
事件530,531,532和533都表示帐户误用。
C.帐户锁定:
事件539表示帐户被锁定。
D.终端服务攻击:
事件683表示用户没有从“终端服务”会话注销,事件682表示用户连接到先前断开的连接中。
设置HTTP审核日志
A.设置日志的属性
“开始”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“计算机名称”选择站点名称“yyyddd”—〉右键—〉“属性”在Web选项卡中,选择“W3C扩充日志文件格式”的“属性”—〉对“常规属性”和“扩充的属性”进行设置。
B.改日志的存放位置
与上面A的操作相同,在“常规属性”选项卡中。
选择“日志文件目录(L):
”的“浏览”指定一个目录后。
选“确定”。
设置FTP审核日志
Web服务器上的内容。
经常要按照领导和用户的要求进行修改,维护工作相当频繁。
因此,要制定完善的维护策略,才能保证Web服务器的安全。
(一)设置administrator用户口令
对administrator设置较复杂的口令,以防止外界的口令攻击。
有时,复杂口令使网管人员感觉不方便,还容易忘记。
为避免网管人员忘记口令,除了修改后及时记录下口令外,还可以另外建立一个具有Administrator特权的管理用户,起一个比较生僻的用户名。
设置一个自己容易记忆的口令。
这样,就可以对其他用户进行维护,包括口令修改等。
(二)网页发布和下载的安全策略
一般情况下。
一台Web服务器上安装有几个部门的网页,并由各部门自己维护。
多数网管人员采用共享目录的方法让各部门进行网页的下载和发布,这种方法很不安全。
因此,在Web服务器上,要取消所有的共享目录,避免其他没有授权的计算机通过共享目录查看或删除重要的数据和文件。
网页的更新采用FTP方法进行,不仅可以使各部门维护人员之间的网页和数据互相独立,而且比共享目录直观方便。
FTP的配置方法如下。
“开始”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“TLJWEB(计算机名称)”—〉右键—〉“新建”—〉“FTP站点”—〉“下—步”—〉输入FTP站点说明“bbbgggFTP”—〉“下一步”—〉“输入FTP站点的IP地址”(例如10.96.74.250)—〉“下一步”—〉“输入主目录的路径”(输入d:
\bbbggg)—〉“下—步”—〉选择对该FTP站点的访问权限“读取、写入”—〉“下—步”—〉“完成”。
FTP安全策略设置如下。
选中刚建立的FTP站点(bbbgggFTP)—〉“右键”—〉“属性”—〉“目录安全性”—〉在“拒绝访问”对话框中选择“添加”—〉“单机”或“—组计算机”输入IP地址(如:
10.96.74.240)—〉“确定”(可以增加多个IP地址)。
这样。
就只有10.96.74.240的计算机可以访问该FTP站点。
也只能对d:
\bbbggg目录进行读写。
在服务器上添加FTP的IP地址
选择“网上邻居”—〉右键—〉“属性”“本地连接”—〉右键—〉“属性”—〉“Internet协议(TCP/IP)”—〉“属性”—〉“高级”—〉在“IP设置”选项卡中选择“添加”—〉输入IP地址(10.96.74.250)和子网掩码—〉“添加”—〉“确定”—〉“确定”—〉“确定”。
在服务器上添加用户
在服务器上。
为某部门的网页维护人员添加用户。
例如用户名为bbbggg,口令为bbbgggxt。
FTP访问服务器的方法
在浏览器地址栏输入ftp:
//bbbggg:
bbbgggxt@10.96.74.250。
即可看到Web服务器上的内容。
(三)网页维护过程
根据用户要求。
软件下载功能经常需要更新,其更新维护方法如下。
不要直接修改Web服务器上的内容,先在自己的机器上进行修改。
按照要求修改rjxz.htm网页,连接增加的下载内容。
在浏览器地址栏输入ftp:
//rjwh:
rjwh@10.96.74.250。
即可看到Web服务器上download目录中的内容。
把本机上修改过的网页和要下载的内容复制到download目录下。
查询试验,用浏览器打开网页进行查看,观察运行结果是否正常。
为了安全,使用完后,要在IE浏览器属性中,清除历史记录。
Web服务器的资源对于用户来说是有价值的东西。
如果Web服务器没有及时维护,它上面的东西就没有任何价值,那么就不值得花费财力和精力来保证它的安全。
为保证Web的安全,不仅要综合应用各种安全策略,还要采取了其他安全措施。
如在系统安全方面,建立系统盘的镜像备份,建立详细文档资料;在应用安全方面,修改数据库默认扩展名,使用虚拟目录而不使用实际目录,如制定聊天室的安全策略等。
一般来说,方便使用和安全措施是一对矛盾。
如果对系统安全策略设置的很完善,在开始时你会感觉不方便,但如果你是遵章守纪的维护人员,你会感觉很安全且很方便。
二、FTP服务安全策略
windows2020系统的iis6.0提供了ftp服务功能,由于它的简单易用,与windows系统本身结合紧密,深受广大用户的喜爱。
但使用iis6.0架设的ftp服务器真的安全吗?
它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。
如何让ftp服务器更加安全,只要我们稍加改造,就能做到。
(一)取消匿名访问功能
默认情况下,windows2020系统的ftp服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。
用户不需要申请合法的账号,就能访问你的ftp服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的ftp服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在windows2020系统中,点击“开始→程序→管理工具→internet服务管理器”,弹出管理控制台窗口。
然后展开窗口左侧的本地计算机选项,就能看到iis6.0自带的ftp服务器,下面笔者以默认ftp站点为例,介绍如何取消匿名访问功能。
右键点击“默认ftp站点”项,在右键菜单中选择“属性”,接着弹出默认ftp站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问ftp服务器了,必须拥有合法账号。
(二)启用日志记录
windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了ftp服务器日志记录功能,这是万万要不得的。
ftp服务器日志记录着所有用户的访问信息,如访问时间、客户机ip地址、使用的登录账号等,这些信息对于ftp服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看ftp日志,找到故障所在,及时排除。
因此一定要启用ftp日志记录。
在默认ftp站点属性对话框中,切换到“ftp站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看ftp日志记录了。
(三)正确设置用户访问权限
每个ftp用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致ftp服务器出现安全隐患。
如服务器中的cce文件夹,只允许cceuser账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对cce文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。
右键点击cce文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除everyone用户账号,接着点击“添加”按钮,将cceuser账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。
这样一来,cce文件夹只有cceuser用户才能访问。
(四)启用磁盘配额
ftp服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位ftp用户使用的磁盘空间进行限制。
下面笔者以cceuser用户为例,将其限制为只能使用100m磁盘空间。
在资源管理器窗口中,右键点击cce文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页,选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些ftp用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。
然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“mb”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”,容量单位也选择为“mb”,这样就完成了默认配额设置。
此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到windows日志中。
点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中cceuser用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为cceuser用户设置配额参数,选择“将磁盘空间限制为”单选项,在后面的栏中输入“100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“mb”,最后点击“确定”按钮,完成磁盘配额设置,这样cceuser用户就只能使用100mb磁盘空间,超过96mb就会发出警告。
(五)TCP/IP访问限制
为了保证ftp服务器的安全,我们还可以拒绝某些ip地址的访问。
在默认ftp站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里我们可以拒绝单个ip地址或一组ip地址访问,以单个ip地址为例,选中“单机”选项,然后在“ip地址”栏中输入该机器的ip地址,最后点击“确定”按钮。
这样添加到列表中的ip地址都不能访问ftp服务器了。
(六)合理设置组策略
通过对组策略项目的修改,也可以增强ftp服务器的安全性。
在windows2020系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1.审核账户登录事件
在本地安全设置窗口中,依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。
该策略生效后,ftp用户的每次登录都会被记录到日志中。
2.增强账号密码的复杂性
一些ftp账号的密码设置的过于简单,就有可能被“不法之徒”所破解。
为了提高ftp服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为ftp账号密码设置最短字符限制。
这样以来,密码的安全性就大大增强了。
3.账号登录限制
有些非法用户使用黑客工具,反复登录ftp服务器,来猜测账号密码。
这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。
接着打开“账户锁定时间”项,设置ftp账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过以上几步设置后,我们的ftp服务器就会更加安全,再也不用怕被非法入侵了。
升级会员 