07信息安全知识竞赛培训_应用汇.pptVIP

内容提要 Microsoft IIS服务器安全管理 Apache 服务器安全管理 DNS/Bind服务器安全管理 Micosoft IIS概述 Microsoft 的 IIS 是一个流行的Web服务器，提供 HTTP、FTP、SMTP、NNTP 的服务。尤其是HTTP服务器的功能非常强大。目前Internet有相当数量的HTTP服务器都在运行IIS。但是，正因为IIS功能的强大，如果配置不当，就会带来很多安全问题。 在Windows NT 4.0时代，IIS 4.0是作为Option Pack 4的一部分发行的，需要进行额外的安装才能运行，在Windows 2000中，IIS 5.0应经完全成为操作系统的一个有机组成部分，与上一版本的IIS（IIS 4.0）相比，IIS 5.0引入了许多新特性，也修改并优化了一些功能, 下面从安全性、管理、可编程性、Internet 标准这四个角度分析。 IIS 已完全集成了Kerberos 5 验证协议，从而允许用户在运行 Windows 的计算机之间传递验证凭据。 IIS虚拟安全技术 虚拟服务器 在实际中，可以在一台计算机上安装多个Web网站，在使用中，就好像这些网站分别处于不同的计算机一样，这种称为虚拟服务器。 虚拟服务器的方法主要有3种： IP法：通过多个网卡或者给一个网卡绑定多个IP 的方法实现，如图： 端口法：在同一个IP 下通过分配不同的端口号来实现，IIS中的远程管理就是这样实现的。当然在使用端口号是要分配的范围为： 1024~65535。 主机头法：这个方法是在http1.1版本的基础上，通过一个叫主机头的方法，在同IP同端口的前提下，实现通过完全域名（F.Q.D.N）虚拟主机。 虚拟目录 每一网站在创建时都需要定义一个主目录，作为存放网站信息文件的主要场所。也可以定义一个不相关的目录，使其好像是在主目录下，好像就是主目录下的子目录一样存储网站文件。这些目录叫做虚拟目录。 IIS安全配置最佳实践 不要将IIS安装在系统分区上 使用NTFS文件系统 在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。而在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。 修改IIS的安装默认路径 打上Windows和IIS的必威体育精装版安全补丁 IIS安全配置最佳实践 关闭默认共享　　　　在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。 IIS安全配置最佳实践 共享权限的修改　　　　在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限，不能让Web服务器访问者得到不必要的权限，给服务器带来被攻击的危险。 IIS安全配置最佳实践 为系统管理员账号改名　　　　对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，所以我们需要将管理员账号更名。具体设置方法如下：　　　　鼠标右击“我的电脑”　“管理”，启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（administrator）”,选择“重命名”，将管理员帐号修改为一个很普通的用户名即可。 IIS安全配置最佳实践 删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利