第六章 网络应用服务安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以Web站点为例,选择要设定的网站,在右侧"编 辑网站"中选择“绑定”,并单击。选择网站,点击 右侧的“编辑”按钮,出现如图所示的“编辑网站 绑定”界面,选择端口,将默认的“80”端口更改 为“8080”,然后点击“确定”,退出即可。
6.4.5 WEB配置实训
实训题目:配置WEB安全 实训目的: 1、掌握构建WEB服务器的一般方法 2、理解WEB服务的基本概念、特征、是指与提供的主要服务 实训内容:新建网站,进行如下设置: 1、禁止匿名访问网站 2、为用户设置网站的访问权 3、为不同的IP地址或IP地址范围设置拒绝权限。 实训过程:结合实训内容自己写出实训过程。 实训总结:总结实现WEB网站安全的途径。 •
无论使用IIS搭建Web服务还是FTP服务,都应将文 件存储在NTFS分区内,并利用NTFS权限来增加数据 的安全性。
6.3.4 IIS 配置实训
实训题目:安装并设置IIS管理器 实训目的:通过安装IIS服务器,掌握系统服
务的安装方法。 实训内容:安装IIS服务 实训过程:参照6.2.1的IIS安装进行。 实训总结:安装IIS服务器应该注意哪些问题?
在默认情况下,Web服务器启用匿名访问, 网络中的用户无须键入用户名和密码便可任意 访问Web网站的网页。其实,匿名访问也是需 要身份验证的,称其为匿名验证。当用户访问 Web站点的时候,所有Web客户使用"IUSR_计 算机名"账户自动登录。如果允许访问,就向 用户返回网页页面;如果不允许访问,IIS将尝 试使用其他验证方法。但是,对一些安全性要 求高的Web网站,或者Web网站中拥有敏感信 息时,也可以采用多种用户验证方法,对用户 进行身份验证,从而确保只有授权用户才能实 现对Web信息的访问和浏览。
本章通过7个子任务即安装注意事项,选择和配置合 适的文件系统,系统管理员安全设置,部署防御系 统和利用安全配置工具来配置安全策略,
1、设置Windows服务安全 2、设置Windows Server 2003 IIS组件的安全 3、设置WEB安全 4、设置FTP安全 5、设置浏览器安全 6、设置邮件服务器的安全 7、使用运行方式(RunAS)设置用户权限,保证操作系
靠性,添加或删除站点,启动、停止和暂
停站点,备份和还原服务器配置,创建虚 拟目录以改善内容管理等。正是因为IIS具
有如此强大的功能,它的安全问题也更加 受到人们的重视。
6.3.1 IIS的安装
在安装IIS时应注意以下问题: 避免安装在域控制器上。安装IIS之后,在安装的计算机上将生成 "IUSR_计算机名"匿名账户,该账户会被添加到域用户组中,从而把应 用于域用户组的访问权限也会提供给访问IIS服务器的每个匿名用户。 这不仅给IIS带来潜在危险,而且还可能威胁整个域资源的安全。因此, 要尽可能避免把IIS服务器安装在域控制器上。 避免安装在系统分区上。把IIS安装在系统分区上,会使系统文件与 IIS同样面临非法访问,容易使非法用户侵入系统分区,所以在安装IIS 的Web、FTP等服务时,应该尽量避免将IIS服务器安装在系统分区上。 避免安装在非NTFS分区上。相对于FAT32分区而言,NTFS分区拥有 较高的安全性和磁盘利用效率,可以设置复杂的访问权限,以适应不 同信息服务的需求。 只安装必需的组件。除非特别需要,否则不要安装FrontPage服务 器扩展、Internet打印等组件,以避免恶意用户借助相应的组件漏洞或 设置错误,实现对IIS服务器的攻击。
统和应用程序的安全
6.2 Windows服务安全
• 任务描述1:Windows操作系统中内置了大 量以服务方式存在的应用程序,如telnet服 务、DNS client服务等。此外,大量的系统 应用也以这些服务为载体,因此,确保 Windows服务的安全至关重要。怎样设置保 证系统的服务安全呢?
• 技能要求:认识并配置Windows服务,为不 同用户指派不同服务。
通常情况下,Windows服务不与用户桌面 直接进行交互,而是与服务控制管理器 (Service Control Manager, SCM)交互。 SCM拥有一个在注册表中记录的数据库,包 含了所有已安装的服务程序和设备驱动服
务程序的相关信息。它允许系统管理员为 每个服务自定义安全要求和控制访问权限。
6.2.3 删除服务
现今,越来越多的流氓软件、病毒、木马 都将自身的程序做成服务的方式,随着操 作系统的启动而启动。针对非Windows本身 正常的系统服务的监控,我们可以使用第 三方工具来完成。
6.3 配置IIS安全结构
• 任务描述2:利用IIS管理器,管理员可以配 置IIS的安全、性能和可靠性,添加或删除 站点,启动、停止和暂停站点,备份和还 原服务器配置,创建虚拟目录改善内容管 理等。正是因为IIS具有如此强大的功能, 它的安全问题也更加受到人们的重视。怎 样进行IIS的安全安装,进行IIS的授权访问呢?
6.5 设置FTP安全
任务描述4:通过FTP服务,客户端既可以从 服务器下载文件到客户端,也可以上传文 件到服务器中去,利用FTP可以实现软件的 下载、文件的交换与共享,以及Web站点的 内容维护等。如何使用FTP进行文件的下载 和上传,指定相应的IP访问呢?
技能要求:管理FTP站点,设置访问FTP的用 户,设置IP访问FTP站点限制。
第六章 网络应用服务安全
本章描述:Windows 操作系统中内置了大量 以服务方式存在的应用程序,如Web服务、 FTP服务等。此外,大量的系统应用也以这
些服务为载体,因此,确保应用程序服务 的安全至关重要。本章要求在Windows 7 企 业版或者专业版或者旗舰版中实现。
6.1 网络应用服务安全标准
6.3.3 IIS访问安全
NTFS文件系统可以为数据提供安全和访问控制, 可以限制用户和服务对文件及文件夹的访问。使用 NTFS文件系统时,必须为用户账户授予相应的NTFS 权限,该用户才能访问相应的文件或文件夹,否则 就无法访问,从而在一定程度上保护了数据的安全。 需要注意的是,NTFS的安全性在本地计算机或网络 中都是有效的。无论是以用户身份登录到服务器, 还是通过网络访问共享文件夹,NTFS安全性都有效。 因此,从安全性角度考虑,应为IIS设置NTFS权限。
• 技能要求:设置IIS安装安全,设置NTFS权 限,设置用户访问权限
IIS(Internet Information Server),即 Internet信息服务,是一个用于配置应用程 序池、WEB网站、FTP 站点、SMTP或NNTP 站点的工具,功能十分强大。利用IIS管理 器,管理员可以配置IIS的安全、性能和可
FTP服务是IIS的一个重要组件,主要用来 搭建FTP服务器和FTP客户端之间的文件传输。 通过FTP服务,客户端既可以从服务器下载
文件到客户端,也可以上传文件到服务器 中去,利用FTP可以实现软件的下载、文件 的交换与共享,以及Web站点的内容维护等。
6.5.1设置TCP端口
FTP服务默认安装后,IP地址的设置为"全部未 分配",即FTP服务与计算机中所有的IP地址 绑定在一起;监听的TCP端口设置为21。此 时,FTP客户端用户可以使用该服务器中绑 定的任何IP地址和默认的21端口进行访问, 而且服务器允许来自任何IP地址的客户端计 算机进行匿名访问。毫无疑问,FTP服务的 默认设置是很不安全的。为了安全起见, 网络管理员需要更改FTP服务的监听TCP端 口。
6.2.2服务控制台
服务控制台完成本地计算机的服务管理,包括如下内容: 1服务账号权限的设置,服务的启用、停止等操作。 2支持远程管理其他计算机的服务。 3设置服务失败时的故障恢复操作。例如自动重新启动服务或重新
启动计算机(仅在运行Windows XP或Windows 2000的计算机 上)。 4为特定的硬件配置文件启用或禁用服务。 5当停止服务器的服务时,通过网络连接该计算机的所有用户都将 被断开。同时,对受其影响的计算机无法进行远程管理。因此, 必须从本地启动该服务器服务。暂停服务器的服务时,只有本 地计算机管理员和服务器操作员组的用户才能与该计算机建立 新连接。 停止服务器的服务后,除了在"启动类型"中设置"手动"或"已禁用" 以外,停止的服务将会在重新启动计算机时自动启动。
6.3.2用户权限安全
IIS 6.0版本支持以下6种身份验证方法,使用这些方法可以确认任何请求访问网站的 用户的身份,以及授予访问站点公共区域的权限,同时又可防止未经授权的用户访问 专用文件和目录。
1 匿名身份验证。允许网络中的任意用户进行访问,不需要使用用户名和密码登录。 2基本身份验证。需要用户键入用户名和密码,然后通过网络"非加密"将这些信息 传送到服务器,经过验证后方可允许用户访问。 3摘要式身份验证。与"基本身份验证"非常类似,所不同的是将密码作为"哈希"值发 送。摘要式身份验证仅用于Windows域控制器的域。 4高级摘要式身份验证。与"摘要式身份验证"基本相同,所不同的是,"高级摘要式 身份验证"将客户端凭据作为MD5哈希存储在Windows 操作系统的域控制器的Active Directory(活动目录)服务中,从而提高了安全性。 5集成Windows身份验证。使用哈希技术来标识用户,而不通过网络实际发送密码。 6证书。可以用来建立安全套接字层(SSL)连接的数字凭据,也可以用于验证。 当不允许用户匿名访问时,就应当为IIS用户账户设置强密码以实现IIS的访问安全。
在站点的属性对话框中,单击"IP地址和 域名限制"选项区中的"编辑"按钮,
以"授权访问"为例。通过使用"授权访问"来添
加一系列将被拒绝访问的计算机,这些计 算机将不能访问该Web服务器,而其他所有 计算机或域具有访问权限。
6.4.4端口安全
IIS组件中的Web、FTP、NNTP以及SMTP等服务都 有各自监听和接收客户端请求的TCP端口号。通过 修改众所周知的端口号也可以提高IIS服务器的安全 性。如果修改了端口号的设置,那么客户端的用户 必须知道该端口号才能访问服务,而且在访问时也 需要明确指定修改后的端口号。要修改端口号,可 打开站点的属性对话框,在"TCP端口"文本框中键入 新的端口号即可。
6.5.2连接数量限制
在FTP站点设置中,可以设置连接是否受限制、限 制的连接数量以及连接超时等。各选项的含义如下:
不受限制。不限制连接数量。适用于服务器配置 和网络带宽都较高,或者FTP服务仅为企业网络内部 提供访问服务的情况。
连接限制为。限制同时连接到该站点的连接数量, 可指定该FTP站点所允许连接的最大数值。
6.4.2访问权限控制
利用IIS搭建的网站,还可以设置来访用户 及用户账户的权限。对于一些对安全性要 求比较高的网站,应只允许特殊的用户使 用特殊的权限来访问。不过,所控制的目 录必须保存在NTFS分区内,否则便不能设 置权限
6.4.3 IP地址控制
如果使用用户身份验证的方式,每次访问 站点都需要键入用户名和密码,这对于授 权用户而言比较麻烦。由于IIS会检查每个 来访者的IP地址,通过IP地址的访问来防止 或允许某些特定的计算机、域甚至整个网 络访问站点。因此,通过IP地址限制在 Internet上屏蔽未知用户是非常有效的方法。
6.4 设置Web 安全
任务描述3:Web服务是服务器最常用的功能, 包括设置网站首页,哪些用户可以登录网 站,哪些IP和域名的计算机可以访问网站等, 如何进行WEB服务器的安全设置呢?
技能要求:禁止匿名访问网站,为用户设置 网站的访问权,为不同的IP或域名设置拒绝 权限。
6.4.1用户控制安全
ቤተ መጻሕፍቲ ባይዱ
6.2.1服务概述
Windows服务也称为Windows Service,它 是Windows操作系统和Windows网络的基础, 属于系统核心的一部分,支持着整个 Windows的各种操作,诸如DNS客户端、打 印程序、Windows更新服务、计划任务、 Windows时间服务、警告等。服务是否正常 启动关系到计算机系统能否正确运行。如 果不能适当地管理这些服务,就会影响到 计算机的正常操作。
6.4.5 WEB配置实训
实训题目:配置WEB安全 实训目的: 1、掌握构建WEB服务器的一般方法 2、理解WEB服务的基本概念、特征、是指与提供的主要服务 实训内容:新建网站,进行如下设置: 1、禁止匿名访问网站 2、为用户设置网站的访问权 3、为不同的IP地址或IP地址范围设置拒绝权限。 实训过程:结合实训内容自己写出实训过程。 实训总结:总结实现WEB网站安全的途径。 •
无论使用IIS搭建Web服务还是FTP服务,都应将文 件存储在NTFS分区内,并利用NTFS权限来增加数据 的安全性。
6.3.4 IIS 配置实训
实训题目:安装并设置IIS管理器 实训目的:通过安装IIS服务器,掌握系统服
务的安装方法。 实训内容:安装IIS服务 实训过程:参照6.2.1的IIS安装进行。 实训总结:安装IIS服务器应该注意哪些问题?
在默认情况下,Web服务器启用匿名访问, 网络中的用户无须键入用户名和密码便可任意 访问Web网站的网页。其实,匿名访问也是需 要身份验证的,称其为匿名验证。当用户访问 Web站点的时候,所有Web客户使用"IUSR_计 算机名"账户自动登录。如果允许访问,就向 用户返回网页页面;如果不允许访问,IIS将尝 试使用其他验证方法。但是,对一些安全性要 求高的Web网站,或者Web网站中拥有敏感信 息时,也可以采用多种用户验证方法,对用户 进行身份验证,从而确保只有授权用户才能实 现对Web信息的访问和浏览。
本章通过7个子任务即安装注意事项,选择和配置合 适的文件系统,系统管理员安全设置,部署防御系 统和利用安全配置工具来配置安全策略,
1、设置Windows服务安全 2、设置Windows Server 2003 IIS组件的安全 3、设置WEB安全 4、设置FTP安全 5、设置浏览器安全 6、设置邮件服务器的安全 7、使用运行方式(RunAS)设置用户权限,保证操作系
靠性,添加或删除站点,启动、停止和暂
停站点,备份和还原服务器配置,创建虚 拟目录以改善内容管理等。正是因为IIS具
有如此强大的功能,它的安全问题也更加 受到人们的重视。
6.3.1 IIS的安装
在安装IIS时应注意以下问题: 避免安装在域控制器上。安装IIS之后,在安装的计算机上将生成 "IUSR_计算机名"匿名账户,该账户会被添加到域用户组中,从而把应 用于域用户组的访问权限也会提供给访问IIS服务器的每个匿名用户。 这不仅给IIS带来潜在危险,而且还可能威胁整个域资源的安全。因此, 要尽可能避免把IIS服务器安装在域控制器上。 避免安装在系统分区上。把IIS安装在系统分区上,会使系统文件与 IIS同样面临非法访问,容易使非法用户侵入系统分区,所以在安装IIS 的Web、FTP等服务时,应该尽量避免将IIS服务器安装在系统分区上。 避免安装在非NTFS分区上。相对于FAT32分区而言,NTFS分区拥有 较高的安全性和磁盘利用效率,可以设置复杂的访问权限,以适应不 同信息服务的需求。 只安装必需的组件。除非特别需要,否则不要安装FrontPage服务 器扩展、Internet打印等组件,以避免恶意用户借助相应的组件漏洞或 设置错误,实现对IIS服务器的攻击。
统和应用程序的安全
6.2 Windows服务安全
• 任务描述1:Windows操作系统中内置了大 量以服务方式存在的应用程序,如telnet服 务、DNS client服务等。此外,大量的系统 应用也以这些服务为载体,因此,确保 Windows服务的安全至关重要。怎样设置保 证系统的服务安全呢?
• 技能要求:认识并配置Windows服务,为不 同用户指派不同服务。
通常情况下,Windows服务不与用户桌面 直接进行交互,而是与服务控制管理器 (Service Control Manager, SCM)交互。 SCM拥有一个在注册表中记录的数据库,包 含了所有已安装的服务程序和设备驱动服
务程序的相关信息。它允许系统管理员为 每个服务自定义安全要求和控制访问权限。
6.2.3 删除服务
现今,越来越多的流氓软件、病毒、木马 都将自身的程序做成服务的方式,随着操 作系统的启动而启动。针对非Windows本身 正常的系统服务的监控,我们可以使用第 三方工具来完成。
6.3 配置IIS安全结构
• 任务描述2:利用IIS管理器,管理员可以配 置IIS的安全、性能和可靠性,添加或删除 站点,启动、停止和暂停站点,备份和还 原服务器配置,创建虚拟目录改善内容管 理等。正是因为IIS具有如此强大的功能, 它的安全问题也更加受到人们的重视。怎 样进行IIS的安全安装,进行IIS的授权访问呢?
6.5 设置FTP安全
任务描述4:通过FTP服务,客户端既可以从 服务器下载文件到客户端,也可以上传文 件到服务器中去,利用FTP可以实现软件的 下载、文件的交换与共享,以及Web站点的 内容维护等。如何使用FTP进行文件的下载 和上传,指定相应的IP访问呢?
技能要求:管理FTP站点,设置访问FTP的用 户,设置IP访问FTP站点限制。
第六章 网络应用服务安全
本章描述:Windows 操作系统中内置了大量 以服务方式存在的应用程序,如Web服务、 FTP服务等。此外,大量的系统应用也以这
些服务为载体,因此,确保应用程序服务 的安全至关重要。本章要求在Windows 7 企 业版或者专业版或者旗舰版中实现。
6.1 网络应用服务安全标准
6.3.3 IIS访问安全
NTFS文件系统可以为数据提供安全和访问控制, 可以限制用户和服务对文件及文件夹的访问。使用 NTFS文件系统时,必须为用户账户授予相应的NTFS 权限,该用户才能访问相应的文件或文件夹,否则 就无法访问,从而在一定程度上保护了数据的安全。 需要注意的是,NTFS的安全性在本地计算机或网络 中都是有效的。无论是以用户身份登录到服务器, 还是通过网络访问共享文件夹,NTFS安全性都有效。 因此,从安全性角度考虑,应为IIS设置NTFS权限。
• 技能要求:设置IIS安装安全,设置NTFS权 限,设置用户访问权限
IIS(Internet Information Server),即 Internet信息服务,是一个用于配置应用程 序池、WEB网站、FTP 站点、SMTP或NNTP 站点的工具,功能十分强大。利用IIS管理 器,管理员可以配置IIS的安全、性能和可
FTP服务是IIS的一个重要组件,主要用来 搭建FTP服务器和FTP客户端之间的文件传输。 通过FTP服务,客户端既可以从服务器下载
文件到客户端,也可以上传文件到服务器 中去,利用FTP可以实现软件的下载、文件 的交换与共享,以及Web站点的内容维护等。
6.5.1设置TCP端口
FTP服务默认安装后,IP地址的设置为"全部未 分配",即FTP服务与计算机中所有的IP地址 绑定在一起;监听的TCP端口设置为21。此 时,FTP客户端用户可以使用该服务器中绑 定的任何IP地址和默认的21端口进行访问, 而且服务器允许来自任何IP地址的客户端计 算机进行匿名访问。毫无疑问,FTP服务的 默认设置是很不安全的。为了安全起见, 网络管理员需要更改FTP服务的监听TCP端 口。
6.2.2服务控制台
服务控制台完成本地计算机的服务管理,包括如下内容: 1服务账号权限的设置,服务的启用、停止等操作。 2支持远程管理其他计算机的服务。 3设置服务失败时的故障恢复操作。例如自动重新启动服务或重新
启动计算机(仅在运行Windows XP或Windows 2000的计算机 上)。 4为特定的硬件配置文件启用或禁用服务。 5当停止服务器的服务时,通过网络连接该计算机的所有用户都将 被断开。同时,对受其影响的计算机无法进行远程管理。因此, 必须从本地启动该服务器服务。暂停服务器的服务时,只有本 地计算机管理员和服务器操作员组的用户才能与该计算机建立 新连接。 停止服务器的服务后,除了在"启动类型"中设置"手动"或"已禁用" 以外,停止的服务将会在重新启动计算机时自动启动。
6.3.2用户权限安全
IIS 6.0版本支持以下6种身份验证方法,使用这些方法可以确认任何请求访问网站的 用户的身份,以及授予访问站点公共区域的权限,同时又可防止未经授权的用户访问 专用文件和目录。
1 匿名身份验证。允许网络中的任意用户进行访问,不需要使用用户名和密码登录。 2基本身份验证。需要用户键入用户名和密码,然后通过网络"非加密"将这些信息 传送到服务器,经过验证后方可允许用户访问。 3摘要式身份验证。与"基本身份验证"非常类似,所不同的是将密码作为"哈希"值发 送。摘要式身份验证仅用于Windows域控制器的域。 4高级摘要式身份验证。与"摘要式身份验证"基本相同,所不同的是,"高级摘要式 身份验证"将客户端凭据作为MD5哈希存储在Windows 操作系统的域控制器的Active Directory(活动目录)服务中,从而提高了安全性。 5集成Windows身份验证。使用哈希技术来标识用户,而不通过网络实际发送密码。 6证书。可以用来建立安全套接字层(SSL)连接的数字凭据,也可以用于验证。 当不允许用户匿名访问时,就应当为IIS用户账户设置强密码以实现IIS的访问安全。
在站点的属性对话框中,单击"IP地址和 域名限制"选项区中的"编辑"按钮,
以"授权访问"为例。通过使用"授权访问"来添
加一系列将被拒绝访问的计算机,这些计 算机将不能访问该Web服务器,而其他所有 计算机或域具有访问权限。
6.4.4端口安全
IIS组件中的Web、FTP、NNTP以及SMTP等服务都 有各自监听和接收客户端请求的TCP端口号。通过 修改众所周知的端口号也可以提高IIS服务器的安全 性。如果修改了端口号的设置,那么客户端的用户 必须知道该端口号才能访问服务,而且在访问时也 需要明确指定修改后的端口号。要修改端口号,可 打开站点的属性对话框,在"TCP端口"文本框中键入 新的端口号即可。
6.5.2连接数量限制
在FTP站点设置中,可以设置连接是否受限制、限 制的连接数量以及连接超时等。各选项的含义如下:
不受限制。不限制连接数量。适用于服务器配置 和网络带宽都较高,或者FTP服务仅为企业网络内部 提供访问服务的情况。
连接限制为。限制同时连接到该站点的连接数量, 可指定该FTP站点所允许连接的最大数值。
6.4.2访问权限控制
利用IIS搭建的网站,还可以设置来访用户 及用户账户的权限。对于一些对安全性要 求比较高的网站,应只允许特殊的用户使 用特殊的权限来访问。不过,所控制的目 录必须保存在NTFS分区内,否则便不能设 置权限
6.4.3 IP地址控制
如果使用用户身份验证的方式,每次访问 站点都需要键入用户名和密码,这对于授 权用户而言比较麻烦。由于IIS会检查每个 来访者的IP地址,通过IP地址的访问来防止 或允许某些特定的计算机、域甚至整个网 络访问站点。因此,通过IP地址限制在 Internet上屏蔽未知用户是非常有效的方法。
6.4 设置Web 安全
任务描述3:Web服务是服务器最常用的功能, 包括设置网站首页,哪些用户可以登录网 站,哪些IP和域名的计算机可以访问网站等, 如何进行WEB服务器的安全设置呢?
技能要求:禁止匿名访问网站,为用户设置 网站的访问权,为不同的IP或域名设置拒绝 权限。
6.4.1用户控制安全
ቤተ መጻሕፍቲ ባይዱ
6.2.1服务概述
Windows服务也称为Windows Service,它 是Windows操作系统和Windows网络的基础, 属于系统核心的一部分,支持着整个 Windows的各种操作,诸如DNS客户端、打 印程序、Windows更新服务、计划任务、 Windows时间服务、警告等。服务是否正常 启动关系到计算机系统能否正确运行。如 果不能适当地管理这些服务,就会影响到 计算机的正常操作。