Web系统安全配置及系统保护.docx

1、Web系统安全配置及系统保护单元三 网络系统的安全配置与管理项目一Web系统安全配置及系统保护教学目标1理解WEB系统的安全体系结构、安全需求、安全原则、安全制定策略与配置；2掌握系统安装正确选择、系统安装正确定制；3掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置；4掌握Web安全的基本配置；教学要求 1认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3教学环境： Windows 7以及Windows server2003/

2、2008以上操作系统。知识要点 1WEB系统的安全体系结构、安全需求； 2WEB服务器、浏览器的安全体系结构、安全原则、安全制定策略与配置；技术要点1掌握系统安装正确选择、系统安装正确定制；2掌握分区和逻辑盘的分配、安装顺序的选择、目录和文件权限、账号安全配置；3掌握Web安全的基本配置；技能训练一讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一) Web系统安全概述1Web的安全体系结构1）Web的安全需求2）Web的安全体系结构2Web服务器的安全需求1）维护公布信息的真实完整2）维持Web服务的安全可用

3、3）保护Web访问者的隐私4）保证Web服务器不被入侵者作为“跳板”使用3Web浏览器的安全需求1）保证浏览器系统不被病毒破坏2）保证浏览器端个人安全信息不外泄3）保证所交互的站点的真实性，避免被冒4Web传输的安全需求1）保证发送者（信息）的真实性2）保证传输信息的完整性3）对特殊的安全性较高的Web，需要传输的保密性4）对认证应用的WEB，需要信息的不可否认性5）对于防伪要求较高的Web应用，保证信息的不可重用性5Web系统的典型安全漏洞1）操作系统安全漏洞2）网络系统的安全漏洞3）应用系统的安全漏洞4）网络安全防护系统不健全5）其他安全漏洞(二)Web系统的安全原则1浏览器与服务器建立联

4、接的过程 2安全策略制定原则1）基本原则每个Web站点都应有一个安全策略，这些策略因需而异。根据威胁程度的大小评价分析，以作为设计网络安全系统的基本依据。2）服务器记录原则管理者不得打开或查看客户或用户的统计资料，一般情况必须具有最高权限的管理者才能进行。(三)Web服务器安全1Web服务器安全策略1）制定安全政策做好安全威胁的分析、网络安全资源并进行重要等级划分、进行安全风险评估、制定安全策略的基本原则、建立安全培训制度、具有意外事件处理。2）认真组织和管理WEB服务器选好WEB服务器设备和相关软件(多查询)、认真配置WEB服务器、安全管理WEB服务器、时刻关注安全信息。2Web服务器的安全

5、配置及安全特性1）加强Web服务器隔离法利用智能HUB或二层以上交换机隔离Web服务器，使用防火墙过滤功能将WEB服务器和内网隔离。2）Web服务器备份真实可靠、备份存储的地方是非常可靠和安全的。3）合理配置主机操作系统防止IP欺骗，避免口令泄露，不要使用弱口令，权限应合理设置，禁止远程管理，记录服务器的安全状态，不要使用安全性脆弱的自动目录表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态，将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行。4）合配置WEB服务器软件A访问控制规则要通过IP地址、子网域名来控制，并用用户名和口令限制控制访问，最好用公用密钥

6、加密的方法控制访问；B相关目录必须设置权限，谨用安全性较差的WEB服务器功能；C把服务限制在有限的文件空间范围内，记录服务器的安全状态；D减少远程管理等功能。5）排除站点中的安全漏洞A物理的漏洞由未授权人员访问引起，他们能浏览那些不被允许的地方。B软件漏洞是由“错误授权”的应用程序引起，它会执行不应执行的功能。C不兼容问题漏洞是由不良系统集成引起。 6）安全管理WEB服务器A更新WEB服务器内容采用本地更新安全方式B监视控制Web站点出入情况服务器日常受访次数、受访增加次数用户来源、一周最忙的时间、一天内最忙的时间服务器哪类信息被访问、哪张页面最受欢迎每个目录用户访问，访问站点的浏览器、提交方

7、式C测算命中次数确定站点命中次数、确定站点访问者数目D定期对WEB服务器进行安全检查(四)Web浏览器的安全IE功能：调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web服务器取得的各类型信息。1Cookie的安全1）用途：储存注册口令、用户名、信用卡号等私人信息2）在IE中禁止使用Cookie存储有关信息2Java及Active X的安全性1）PostScript文件的命令作用：能显示简单的文本，也可运用一定的文件系统命令命令：Open、Create、Copy、Delete等命令能用于引发安全问题或病毒2）Java Applet的安全隐患作用：减少Applet偷看用户私人文档并传回

8、服务器的可能、随意的主机建立连接的能力。隐患：抢占系统资源，引发资源的浪费，造成拒绝服务攻击的脆弱性3）Java Script的安全漏洞能够截取用户的电子邮件地址和其他信息，截取本地主机上的文件，监视会话过程，也存在信息泄露和文件上传的安全漏洞4）Active X的安全隐患由于Active X对它的控件能够完成的任务不加限制，因此每个Active 控件就有可以被利来执行暗中攻击的任务。(五) Windows服务器的安装配置1磁盘的分配1）至少建立两个分区 一个系统分区，一个应用程序分区，这是因为，微软的IIS（Internet Ihformation Server）经常会有漏洞，如果把系统和I

9、IS放在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。NTFS文件系统格式化：系统分区、数据分区、日志文件分区（可提高安全性）2）推荐建立三个逻辑驱动器第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不直接影响到系统目录和系统文件。2系统安装正确选择1）尽量安装英文版的操作系统2）不安装无用的组件避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。根据安全原则“最少的服务+最小的权限=最大的安全”， 特别提醒注意是:“Indexing Service”、“FrontPage 2000

10、 Server Extensions”、“ Internet Service Manager”这几个危险服务。如：IIS、DHCP、DNS等，导致系统在安装后存在安全漏洞。3）选择安全的文件格式NTFS文件系统是最佳选择；FAT32系统不能限制用户对文件的访问，可能以导致系统的不安全；NTFS系统下的磁盘属性中多了“配额”和“安全”选项卡，用户通过这两选项卡可详细地设置系统中每个用户对该逻辑盘的访问权限。4）安装连接时间WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$ADMIN”的共享，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启

11、动。在此期间，任何人都可以通过“$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。因此，在完全安装并配置好WIN2K Server之前，一定不要把主机接入网络。5）定制系统服务右键单击 “我的电脑管理” “服务和应用程序服务”，关掉那些不必要的服务，以提高系统稳定性、安全性并加快系统运行速度。需要特别说明的是，Remote Registry Service(远程注册表操作)、Telnet(远程登录)等几个高风险的服务是一定要停止的：用鼠标双击相应项目，然后打开的窗口中将它们设置为“手动”或“禁止”即可。(六)WEB服务器的系统帐

12、户安全管理在2008的域林中有一台根域控制器，但为了提升网络安全性会交其子域控制器或备份域控制器提提升为根域控制器。还不能单独运行的只读域控制器(RODC)1禁止枚举帐号通过修改注册表禁用空用户连接，操作步骤如下：单击开始-运行打开运行对话框；输入Regedit并单击确定打开注册表编辑器；在注册表编辑器中逐层进入HKEY_LOCAL_MACHINESSYSTEMCurentControlSetcontrolLsa； 将RestrictAnonymous的值设置为1，这样可以禁止空用户连接，如图所示。2Administrator账号更名“管理工具” “服务器管理” 配置“本地用户与组” “用户”

13、；在窗口右面使用鼠标右键单击Administrator，在右键菜单中选择重命名；重新输入一个名称,。然后另建一个Administrator的陷阱帐号，加上一个超过10位的超级复杂密码，并对该帐户启用审核，不赋予任何权限，即权限设置为最低，特别是其帐号“属性” “拨入”选项卡为“拒绝访问”。3禁止登录屏幕上显示最后登录的用户名方法一： 管理工具本地安全策略本地策略安全选项“不显示最登录的用户名”，如图:方法二：Windows2008以下修改注册表实现：HKEY_LOCAL_MACHINESOFTTWAREMicrosoftWindowsNTCurrentVesionWinlogn项中的DontD

14、isplayLast UserName串，将其数据修改为1。4禁用Guest帐号Guest帐号是系统默认提供的来宾帐户，主要为方便局域中的陌生用户访问共享资源。但若启用Guest帐户则可能成为非常危险的漏洞，因为非法用户可使用这个帐号登录你的机器。禁用该帐号的操作步骤如下：“管理工具” “服务器管理” 配置“本地用户与组” “用户”； 在右侧列表右键单击里的Guest帐号，选择属性或是双击Guest帐号，在帐户已停用一项前打勾，如图所示，这样就无法用Guest帐号登录你的系统了。若还需要提供共享打印服务时，则需要 本地安全策略用户权利指派在本地登录项里设置Guest帐号不能登录本机（去掉Gue

15、st项后面的勾）。5隐藏用户的管理可通过注册表创建隐藏的超级用户，在“用户与组“账户管理器看不到该用户，并且用“net user”也看不到：1）控制面板 用户帐户添加一个隐藏帐户admin$；用net user命令看的帐户。我们可以在计算机帐户管理看到这个帐户。2）在注册表中用户帐户的查看开始 运行 regedit打开注册表编辑器，找到HKEY_LOCAL_MACHINESAMSAM，没有用户帐户；(默认情况下我们没有对SAM键的操作权限)3）选中SAM右键选择权限，选定当前帐户(如Administrator)为完全控制后，退出注册表再进入；4）找到键HKEY_LOCAL_MACHINESAM

16、SAMDomainsAccountUsersNames，可看到所有帐户的帐户信息。5）恢复系统默认的SAM键值访问权限，就能很好的隐藏创建的隐藏帐户。任务1隐藏帐户的清除步骤：1）注册表里面查看键值来清除2）系统登录审核日志：gpedit.msc打开“本地组策略编辑器”中的“计算机配置 Windows设置安全设置 本地策略 审核策略 审核帐户登录事件”。把“审核帐户登录事件“的成功、失败都记录。6管理员帐户口令设置原则 切忌使用简单密码、帐号与密码相面、使用自己的姓名、使用英文词组、特定意义的日期。 密码不要太规则，多使用特殊字符或非打印字符 密码长度应遵循7位或14们的整数倍原则 密码应定期

17、修改，避免重复使用旧密码 建设帐号锁定机制（多次错误后则断开连接并锁定一定时间后才解锁） 设置一次性密码机制，下次登录时必须更换新的密码(七)用户帐户安全管理主要针对帐户锁定与登录时间、用户帐户密码策略、审核策略、系统帐号数据库的管理等帐户基本管理任务2用户帐户的基本安全管理步骤：1帐户锁定与登录时间1）用帐户锁定计算机配置 Windows设置 安全设置 帐户锁定 帐户锁定阈值，其值设置6次2）帐户登录时间计算机配置 Windows设置 安全设置 帐户锁定 帐户锁定阈值，其值设置10分钟前提：要先设置帐户锁定值2用户帐户密码策略计算机配置 Windows设置 安全设置 帐户锁定密码策略：将“密

18、码复杂性要求”设置为“启用”将“密码长度最小值”设置为“7位”将“密码最短使用期限”设置为“0天”将“密码最长使用期限”设置为“30天”将“强制密码历史”设置为“5次”3审核策略1）类别Windows设置中的安全设置下本地策略的审核策略。2）审核策略设置默认情况下为“没有定义”审核策略更改：成功失败审核登录事件：成功失败审核访问对象：失败审核目录服务访问：失败审核特权使用：失败审核系统事件：成功失败审核帐户登录事件：成功失败审核帐户管理：成功失败3）调整日志审核文件“管理工具” 事件查看器 Windows日志右击“安全” 属性日志最大大小1024000同理改变“应用程序”、“Setup”、“系

19、统”、“转发的事件”、“服务日志”等日志文件的大小。日志文件的大小必须是64KB的整数倍4系统帐号数据库的管理在系统安装目录system32config的sam文件是Windows系统内置的系统帐号数据库，可采用系统内置加密专用工具Syskey进行加密，则别人窃取被加密的sam文件，也无法获取其中的用户名和密码信息。1）运行“Syskey” 更新 密码启动 输入密码(至少12个字符) 或者2）运行“syskey” 系统产生的密码 在软盘上保存启动密钥(在软盘中生成一StartKey.Key文件)。系统启动时会提示“启动密钥盘”，要求插入密钥盘才能启动服务器。提问： 如何使用U盘承担密钥盘作为启

20、动？ 如何恢复系统默认状态，不在使用启动密钥盘？(八)Internet信息服务安全1IIS服务器的添加与配置策略1） Windows2008中Web服务的添加管理工具 服务器管理器 角色 添加角色 服务器角色 Web服务器2）确定IIS与系统安装在不同的分区(某些系统)3）删除不必要的虚拟目录打开*wwwroot（*代表IIS安装的路径）文件夹，删除在在IIS安装完成后默认生成的目录，包括IISHelp、IISAdmin、IISSamples等。4）停止默认网站或修改主目录在“Internet服务管理器”中右击“默认Web网站/Default Web Site”，单击“停止”命令，根据需要起用

21、自己创建的站点；或者在“Internet服务管理器”中右击所选网站，选择其属性或者高级设置，在主目录页面中修改本地路径。5）对IIS的文件和目录进行分类，区别设置权限右击Web主目录中的文件和目录，在“属性”中按需要给它们分配适当的权限（静态文件允许读，拒绝写；ASP和exe允许执行，拒绝读写；所有的文件和目录将Everyone用户组的权限设置为“只读”）。6）删除不必要的应用程序映射7）维护日志安全8）修改端口值在上步操作的“网站”页面中，Web服务器默认的TCP端口值为80，如果将该端口改用其它值，可以增强安全，但会给用户访问带来不便，系统管理员可以根据需要决定是否修改。2目录和文件权限的

22、原则NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在进行权限控制时，请记住以下几个原则： 1）权限是累计的若一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。 2）拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。3）文件权限比文件夹权限高4）利用用户组来进行权限控制是一个成熟系统管理员必具有优良习惯。5）权限的最小化原则是安全的重要保障，只给用户真正需要的权限。3用户操作安全1）用户离开计算机前，应按Ctrl+Alt+Delete进行锁定计算机；2）

23、使用带必密码保护的屏幕保护程序延迟时间应很短。（保护程序设置为空）；3）将计算机锁定在安全的房问；4）若多名管理员管理系统，则为每个人指派明显不同的用户帐户和密码(易于跟踪所做的任何更改)；5）尽快删除或及时删除临时、无用的帐户；6）定期为管理员或高级权限的人员指派新帐户，以降低用户帐户信息受到危害的可能性。二课堂任务实践任务3Web安全的基本配置步骤：1用户控制安全管理工具 Internet信息服务(IIS)管理器 展开“服务器名” “网站” 添加网站名称为“沃媒达”、路径为：%目录%“womta”。“沃媒达” 主页窗口中“身份验证” 编辑“匿名身份验证” 设置 输入用户名、密码即系统登录名

24、和密码（密码不能为空）。2访问权限控制1）编辑功能权限选择服务器、站点或目录，主页窗口中双击“处理程序映射”图标 “已启用”列表框中显示的是当前站点支持的文件类型。右击需要设置的文件类型，右键“编辑功能权限”：读取：需要对虚拟目录具有讯取访问权限的处理程序。主要针对静态内容、配置默认的文档和目录浏览。默认情况下读取权限处于启用状态；脚本：需要对虚拟目录具有脚本权限的处理程序；执行：需要对虚拟目录具有执行权限的处理程序；只有选定“脚本”才能启用“执行”权限。2）设置请求限制 选择服务器、站点或目录，主页窗口中双击“处理程序映射”图标 选择“已启用”列表框中显示的是当前站点支持的文件类型 编辑。

25、单击“请求限制” 映射若仅响应针对特定资源类型的请求，则选中“仅当请求映射至以下内容时才调用处理程序”：文件：用于使处理程序仅在所请求的目标资源是文件时才做出响应；文件夹：用于使处理程序仅在所请求的目标资源是文件夹时才做出响应；文件或文件夹：用于使处理程序仅在所请求的目标资源是文件或文件夹时才做出响应；单击“谓词” 全部谓词：不论请求中发送的谓词是如何，程序均对请求做出响应； 下列谓词之一：程序将响应包含特定谓词的请求单击“访问”访问权限：无、读取、写入、脚本、执行3IP地址限制1)安装“IIS：IP和域限制”若在站点主页中没有“Ipv4地址和域限制”图标，则安装“Web平台应用程序” wpi

26、launcher产品服务器IIS：IP和域限制添加2）添加允许访问地址站点主页“Ipv4地址和域限制” 操作“添加允许条目”可添加单个IP地址和多个IP地址：192.168.100.100192.168.100.1993）添加拒绝访问地址4）编辑功能设置进行“允许”与“拒绝”的修改“启用域名限制”:启用后会通过域名限制访关会要求DNS反向查找每一个连接，将影响服务器的性能。5）恢复为继承的项恢复功能以从父配置中继承设置：将为当前功能删除本地配置设置4端口安全常用端口号：Web是80，FTP是21，SMPT是25，SSL是443，通过修改端口可提高IIS服务器的安全性，但用户访问时必须知道该服务

27、的端口。IIS管理器窗口中右击“Default Web Site” 编辑绑定 网站绑定 编辑 输入新的端口。5SSL安全利用SSL实现加密传输，须在Web服务器上安装用于SSL加密的证书：向证书服务器申请证书、创建域证书、创建自签名证书(IIS7.5)1）创建自签名证书启动IIS7.5服务管理器 服务器名服务器证书 操作窗口中“创建自签名证书” 名称：SSLtest 确定，则证书创建成功。2）创建网站右击网站 添加网站 名称：SSLtest，路径：wometa，绑定：类型https，SSL证书：SSLtest确定3）SSL设置选定网站SSLtest “SSLtest主页”窗口中的“SSL设置” SSL设置选定为“要求SSL”、“接受” 操作窗口中“应用”三课堂小结1本课的纪律评价。2实习操作情况分析及出现的常用操作强调。3提出要求：要积极参与，仔细理解，增加主动性，才能有所收获。四作业要求：完成FTP安全设置：端口、连接数量限制、IP地址访问限制、用户身份验证、基于NTFS权限设置的访问控制以及限制用户的上传空间？检查：下次课对本次课的内容进行提问，回答效果好的在期末成绩上直接2-3分