Windows中Web、FTP服务器安全配置.ppt 41页

Windows中的Web、FTP服务器的安全配置 目 录 一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 一. Web、FTP服务器安全简介(1) 实验的目的:通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施，实现Web服务器和FTP服务器的安全配置。 一. Web、FTP服务器安全简介(2)IIS(Internet Information Server) 是windows系统中的Internet信息和应用程序服务器。利用IIS可以配置windows平台方便地提供并且和windows系统管理功能完美的融合在一起，使系统管理人员获得和windows完全一致的管理。 一. Web、FTP服务器安全简介(3)IIS4.0和IIS5.0的应用非常广，但由于这两个版本的IIS存在很多安全漏洞，它的使用也带来了很多安全隐患。IIS常见漏洞包括：idc&ida漏洞、“.htr”漏洞、NT Site Server Adsamples漏洞、.printer漏洞、Unicode解析错误漏洞、Webdav漏洞等。

因此，了解如何加强web服务器、FTP服务器的安全性，防范由IIS漏洞造成的入侵就显得尤为重要。在下面的实验中通过对Web服务器和FTP服务器的安全配置，了解其防范方法。 一. Web、FTP服务器安全简介(4)我们可以手动进行IIS的安全配置，包括web服务器、FTP服务器和SMTP服务器，也可以利用一些安全工具来进行。IISlockdown，是由微软开发的IIS安全配置工具，它按照模板的安全配置选项，通过关闭IIS服务器上的某些不必要的特性和服务，从而减少受攻击的威胁。此工具还与URLscan等协同工作，提供了多层次的防御和保护。 目 录 一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢 二.用IIS建立高安全性的Web服务器(0)总共7项配置： 通过7项安全配置，可以基本保证Web服务器的安全。二.用IIS建立高安全性的Web服务器(1) 1. IIS要与操作系统安装于不同分区为保护Windows 2000 Server系统的安全性，确认IIS与系统安装在不同的分区。

如果IIS安装在系统分区，IIS的安全漏洞可直接威胁到系统的安全，建议卸载重新安装。 二.用IIS建立高安全性的Web服务器(2) 2.删除不必要的虚拟目录打开“*\wwwroot”（其中*代表IIS安装的路径），删除在IIS安装完成后，默认生成的目录，包括IISHelp、IISAdmin、IISSamples、MSADC等。这些默认生成的目录是众所周知的，容易给攻击者留下入侵的机会。 二.用IIS建立高安全性的Web服务器(3)3. 停止默认web站点打开“控制面板”－>“管理工具”－>“Internet服务管理器”，右击“默认web站点”，在弹出的菜单中点击“停止”，根据需要启用自己创建的web站点，如下图所示。默认Web的根目录默认在inetpub\wwwroot，还有其他一系列的参数设置也都是众所周知的，如果采用这些默认设置，将大大减小攻击难度。 二.用IIS建立高安全性的Web服务器(4) 4. IIS中的文件和目录进行分类，区别设置权限对于Web 主目录中的文件和目录，点击右键，在“属性”中按需要给它们分配适当权限。一般情况下， (1). 静态文件允许读、拒绝写； (2). ASP脚本文件、EXE可执行程序等允许执行、拒绝读写； 通常不要开放写入权限。

(3). 所有的文件和目录要将everyone用户组的权限设置为只读权限。 二.用IIS建立高安全性的Web服务器(5) 5. 删除不必要的应用程序映射.(1) 在“Internet服务管理器”中，右击网站目录，选择“属性”，如图所示。 二.用IIS建立高安全性的Web服务器(6) 5. 删除不必要的应用程序映射.(2)在网站目录属性对话框的“主目录”页面中，如图所示，点击“配置“按钮。 二.用IIS建立高安全性的Web服务器(7)5. 删除不必要的应用程序映射.(3)在弹出“应用程序配置”对话框的“应用程序映射”页面，如图6-53所示，删除无用的程序映射。在大多数情况下，只需要留下 .asp一项即可，将.ida、.idq、.htr等全部删除，以避免利用这些程序映射存在的漏洞对系统进行攻击。 二.用IIS建立高安全性的Web服务器(8) 6.维护日志安全(1)在“Internet服务管理器”中，右击网站目录，选择“属性”。在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，如下图所示。 二.用IIS建立高安全性的Web服务器(9) 6.维护日志安全(2)在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可，如图所示。

二.用IIS建立高安全性的Web服务器(10) 6.维护日志安全(3)修改路径后的日志文件要适当设置权限，它的文件权限建议administrator和system用户为完全控制、everyone为只读；同时，建议与web主目录文件放在不同的分区，增加攻击者利用路径浏览得到日志存放路径的难度，防止攻击者恶意篡改日志。 二.用IIS建立高安全性的Web服务器(11) 7.修改端口值在“Internet服务管理器”中，右击网站目录，选择“属性”。 在网站目录属性对话框的“Web站点”页面中，如图所示，Web服务器默认端口值为80，这是众所周知的，而端口号是攻击者可以利用的一个便利条件。将端口号改用其它值，可以增加安全性，当然也会给用户访问带来不便，系统管理员根据需要决定是否采用此条策略。 二.用IIS建立高安全性的Web服务器(12)至此，简单的Web服务器安全配置已完成。事实上，虽然这些安全配置可以在和很大程度上提高我们的Web服务器的安全性，但作为真正实用的Web服务器，每天要接受大量的访问甚至大量的攻击，只有这些配置是远远不够的，还要采用一些列的安全措施例如防火墙技术等等。

目 录 一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢 三. FTP服务器的安全配置(1) 1. 停止默认FTP站点打开“控制面板”－>“管理工具”－>“Internet服务管理器”，右击“默认FTP站点”，在弹出的菜单中点击“停止”，根据需要启用启用自己的FTP站点，如下图所示。其目的也是要避免使用众所周知的默认服务器设置。 三. FTP服务器的安全配置(2) 2. FTP页面上，将TCP端口的“21”改为其它值如下图所示，FTP协议默认端口为21，改用其他的端口值使攻击者无法得到服务器的端口号从而增大了攻击难度，但同时也会给用户带来一定的不便。 三. FTP服务器的安全配置(3) 3. 启用日志记录在FTP页面上，点中“启用日志记录”，如上图所示，单击“属性”，弹出下图对话框。修改文件日志目录，将日志目录和FTP主目录分放在不同的路径下，并参照web服务器的权限设置，设置文件和文件目录的权限，以保护日志的安全性。 三. FTP服务器的安全配置(4) 4. 关于帐号在帐号安全页面中，取消“允许匿名连接”选项，在“FTP站点操作员”只留下系统管理员一个帐号。

如下图所示。 三. FTP服务器的安全配置(5)我们通过操作系统安全实验，已经配置了相对安全的管理员账号和密码。所以，我们在FTP站点操作员中只留下系统管理员，这就要求只有知道帐号和密码的用户才可以登录和管理FTP服务器，限制了匿名用户等其他用户的行为。 三. FTP服务器的安全配置(6) 5. 系统路径在“主目录页面”设置FTP主目录，如下图所示，注意该目录不要与系统路径在同一个磁盘分区，删除everyone用户组，设置其它用户的权限为可读，不可写服务器安全ppt，只对管理员用户保留完全控制权限。 三. FTP服务器的安全配置(7) 6. 目录安全性在“目录安全性”页面中添加被拒绝或允许访问的IP。在图中，在选中“授权服务”的情况下，可以添加被拒绝的IP或IP组，其它未提到的IP视为允许访问。 三. FTP服务器的安全配置(8) 7. 拒绝访问图中，在选中“拒绝访问”的情况下，可以添加被允许的IP或IP组，其它未提到的IP视为禁止访问。 三. FTP服务器的安全配置(9)这样，我们对FTP服务器进行了一个初步的安全配置，更安全的FTP服务器配置由IIS Lockdown工具来完成。 目 录 一. Web、FTP服务器安全简介 二. 用IIS建立高安全性的Web服务器 三. FTP服务器的安全配置 四. IIS lockdown的安装和配置 五. 致谢 四.IIS lockdown的安装和配置(1)在上面两个任务中，分别对IIS的web服务器和FTP服务器进行了安全配置，但是在IIS的所有选项中，只是设置了少数的安全选项。

微软提供了可免费下载的IIS Lockdown工具，它可以对IIS进行更全面和更严格的安全性配置。这里我们来看一下IIS Lockdown的安装，安装的过程就是它的配置过程。 四.IIS lockdown的安装和配置(2) 1. 安装运行iislockd.exe运行IIS Lockdown的可执行文件iislockd.exe，会弹出一个IIS Lockdown的安装向导，单击“下一步”开始安装。.选择“I agree”同意许可证协议，单击“下一步”则出现服务器模板选项，如下图所示。这一步是按照需要选择要配置成哪种服务器类型，以进行安全性配置。例如，选择“静态网页服务器”、“动态网页服务器”、“代理服务器”或者其他，本实验选择“Static Web Server”，即将此服务器配置为支持静态网页的web服务器，单击“下一步”。 四.IIS lockdown的安装和配置(3) 2.选择支持的internet服务在弹出的internet服务对话框中，选择此服务器运行的协议，如图所示。在该步骤中，未被选中的服务将被关闭，为了后续实验方便，我们在复选框中选中所有四个服务器，然后单击“下一步”。

在实际应用中，应根据自己的需要开放服务；例如，如只需ftp服务器，则为安全起见，建议不选中另外三个服务器。 四.IIS lockdown的安装和配置(4) 3. 选择不支持的脚本映射在弹出的脚本映射对话框中，选择不支持的脚本映射，如下图所示。由于.idq、.htr等都存在安全漏洞，所以尽量选择尽可能少的，除了最基本的ASP（Active Server Page）外，将其他几项均选中，单击“下一步”。未被选中的脚本映射类型，将不被配置好的服务器所支持。 四.IIS lockdown的安装和配置(5) 4. 额外的安全选项在弹出的额外的安全选项中，选中复选框中所有选项，单击“下一步”。该步骤是选择需要删除的不必要的虚拟目录，这些目录是IIS安装完成后在wwwroot下默认生成的。此外，还包括禁止某些匿名用户的操作，例如执行cmd、tftp命令的权限，写目录的权限等。最后，还将存在缓冲区溢出漏洞的WebDAV功能禁止了。 四.IIS lockdown的安装和配置(6) 5. URLScan设置在弹出的“URLScan”选项中，选中“Install URLScan filter on the server”。

UrlScan 是一种 Internet 服务应用程序编程接口 (ISAPI) 筛选器，它可以根据一组规则来筛选或拒绝 HTTP 请求，从而使 Web 服务器远离攻击。微软将此工具集成到了IIS Lockdown，从而通过安装IIS Lockdown实现了更全面的安全配置。 四.IIS lockdown的安装和配置(7) 6.检查设置检查设置是否符合自己的服务需要和安全要求，如符合，单击“下一步”，否则单击“上一步”返回，修改设置直至符合要求。安装开始，由于我们在第1步选择了“View template settings”，所以，安装过程中窗口会显示每一步设置的实现过程，如图所示。 四.IIS lockdown的安装和配置(8) 7. 查看安装配置过程完成后，如图所示，可以单击“View Report”，查看图下安装日志文件中安装过程的安全配置细节。如果满足要求，单击“下一步”，单击“完成”，最终完成安装。 四.IIS lockdown的安装和配置(9) 安装报告 四.IIS lockdown的安装和配置(10)如果运行了IIS Lockdown后，对web服务器和FTP服务器的访问出现问题，希望撤销刚刚所作的安全配置，那么只有重新运行IIS Lockdown的安装向导，就可以还原所作的修改。 ** *

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!