第5章_网站管理与维护祥解.ppt

局域网组建、管理与维护 杨 威 山西师范大学网络信息中心 问题思考 回顾使用Internet的经历，思考Web网站安全弱点有哪些？ 联想Internet安全，思考如何保护Web网站安全？ 学习目标 （1）理解Web系统安全弱点及产生原因，理解操作系统服务包和安全补丁的作用。掌握Windows Server 2008的系统帐号安全设置、文件系统安全，以及安全模板创建与使用。会使用安全配置与分析与安全配置向导，加固操作系统的安全。 （2）理解IIS的安全机制。掌握Windows Server 2008的IP地址限制、用户身份验证、授权规则、SSL证书验证、文件的NTFS权限设置的方法。了解IIS日志记录内容，学会IIS日志审核方法。 （3）理解Windows Server 2008高级安全防火墙作用，会使用高级安全防火墙保护服务器的安全。理解使用路由器、防火墙协同保护内网及服务器安全的方法，掌握使用路由器的ACL建立防火墙，保护内网及服务器安全的配置方法。 5.1 Web系统的安全弱点 操作系统和应用程序的默认安装 使用弱口令或空口令的账号 无备份或者备份不完整 大量打开的端口 没有用于更正输入和输出地址的报文筛选 无日志或者日志不完善 易受攻击的CGI程序 恶意代码 网站挂马 从“挂马”这个词中可以知道，这和木马脱离不了关系。挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。 挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是对某些网站实施拒绝服务攻击或达到其他目的。另一类是键盘记录木马，通常称其为盗号木马，这类木马用于盗取用户的游戏账号或者银行账号。 非法权限类 特洛伊木马 信息窃取类攻击系统权限 信息窃取类—攻击系统权限-1 信息窃取类—攻击系统权限-2 攻击口令 信息窃取类——攻击口令-1 信息窃取类——攻击口令-2 信息窃取类——攻击口令-3 逻辑炸弹 逻辑炸弹-1 陷阱入口 5.2 加固操作系统的安全 操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。 5.2 加固操作系统的安全 系统服务包和安全补丁 系统账户安全配置 文件系统安全设置 安全模板创建与使用 使用安全配置和分析 使用安全配置向导 5.2.1系统服务包和安全补丁 5.2.2 系统账户安全配置 禁止或删除不必要的账户 （如Guest ） 设置增强的密码策略 ·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。 ·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。 加强管理员账户的安全性 Web服务器的用户账户尽可能少严格控制账户特权 可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。 5.2.4 安全模板创建与使用 Windows Server 2008的安全模板是一种用文件形式定义安全策略的方法。 安全模板能够配置账户策略、本地策略、事件日志、受限制的组、文件系统、注册表和系统服务等项目的安全设置。 安全模板采用.inf格式的文件，将操作系统安全属性集合成文档。管理员可以方便地复制、粘贴、导入和导出安全模板，以及快速批量修改安全选项。 1.添加安全配置管理单元 2.创建与保存安全模板 在MMC中展开“安全模板”项，右键单击准备创建安全模板的路径“C:\Users\ Administrator\Documents\Security\Templantes”，在弹出菜单中选择“新添模板”命令，打开创建模板对话框，在对话框内输入模板名称（如anquan_1）和描述，单击“确定”按钮，完成安全模板的创建，如图5.6所示。 5.2.5 使用安全配置和分析 “安全配置和分析”是配置与分析本地计算机系统安全性的一个工具。 该工具可以将“安全模板”应用效果与本地计算机定义的安全设置进行比较。 该工具允许管理员进行快速安全分析。 在安全分析过程中，在其视窗中显示当前配置与建议，包括不安全区域。也可以使用该工具配置本地计算机系统的安全。 1.添加安全配置和分析管理单元 单击“开始”→“运行”→“打开”→“MMC”，进入操作系统管理控制台（MMC）。单击MMC菜单栏中的“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置