Web服务器安全管理(精品).ppt

http:/ 6.0 Web服务器安全管理服务器安全管理最佳实践最佳实践 姓名姓名职务职务公司名称公司名称http:/ Windows 2000/Windows Server 2003 Windows 2000/Windows Server 2003 的日的日的日的日常操作常操作常操作常操作uu了解了解了解了解 IISIIS（Internet Information Server）或者）或者）或者）或者 IIS IIS 日常操作日常操作日常操作日常操作uu如果能够了解常见攻击方法或相关内容更佳如果能够了解常见攻击方法或相关内容更佳如果能够了解常见攻击方法或相关内容更佳如果能够了解常见攻击方法或相关内容更佳级别级别 200http:/ 服务器不仅仅能够提供常见的服务器不仅仅能够提供常见的 WEB 应用应用而且和很多服务器集合使用在企业中已经非常而且和很多服务器集合使用在企业中已经非常广泛，如何加固广泛，如何加固IIS 服务器安全您了解多少？服务器安全您了解多少？uu是否安装了系统补丁并配置了防火墙就万无一是否安装了系统补丁并配置了防火墙就万无一失了？失了？uu您是否了解您是否了解 IIS 6.0 基础架构基础架构uu了解如何保护了解如何保护IIS Web服务器安全、防范攻击服务器安全、防范攻击以及优化以及优化IIS Web服务器的技巧、实践与工具服务器的技巧、实践与工具http:/ 6.0 基础架构基础架构uuWeb Services 面对的主要威胁和攻击面对的主要威胁和攻击uu常用安全利器常用安全利器uu场景学习场景学习uu总结总结 uu参考资源参考资源http:/ 6.0 架构架构INETINFOINETINFOAspnet_wp.exeAspnet_wp.exemetabasemetabaseINETINFOINETINFOWASWASW3WP.EXEW3WP.EXEApplication Pool 1W3WP.EXEW3WP.EXEApplication Pool 2W3WP.EXEW3WP.EXEW3WP.EXEW3WP.EXEW3WP.EXEW3WP.EXEWeb GardenW3WP.EXEW3WP.EXEhttp:/ 6.0 必备知识必备知识http:/ 6.0 基础架构基础架构uuWeb Services 面对的主要威胁和攻击面对的主要威胁和攻击uu常用安全利器常用安全利器uu场景学习场景学习uu总结总结 uu参考资源参考资源http:/ （AssetAsset）uu脆弱性脆弱性 （VulnerabilityVulnerability）uu威胁威胁 （ThreatThreat）uu威胁因素威胁因素 （AssociationAssociation）uu风险风险 （RiskRisk）uu利用利用/暴露暴露 (ExploitsExploits/Exposure)Exposure)uu对策对策 (Countermeasure)http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击 http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击uu未授权的访问未授权的访问 uu漏洞漏洞可导致通过可导致通过可导致通过可导致通过 Web Services Web Services 进行未授权的访问的进行未授权的访问的进行未授权的访问的进行未授权的访问的漏洞包括：漏洞包括：漏洞包括：漏洞包括：未使用身份验证未使用身份验证未使用身份验证未使用身份验证密码在密码在密码在密码在 SOAP SOAP 头信息中以明文形式传递头信息中以明文形式传递头信息中以明文形式传递头信息中以明文形式传递在未加密的通信通道中使用基本身份验证在未加密的通信通道中使用基本身份验证在未加密的通信通道中使用基本身份验证在未加密的通信通道中使用基本身份验证http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击uu参数操纵参数操纵 参数操纵是指对参数操纵是指对参数操纵是指对参数操纵是指对 Web Services Web Services 客户与客户与客户与客户与 Web Web Services Services 之间发送的数据进行未经授权的修改。之间发送的数据进行未经授权的修改。之间发送的数据进行未经授权的修改。之间发送的数据进行未经授权的修改。例如，攻击者可以截获例如，攻击者可以截获例如，攻击者可以截获例如，攻击者可以截获 Web Services Web Services 消息（例消息（例消息（例消息（例如，在通过中间节点到达目标的路由中），然后如，在通过中间节点到达目标的路由中），然后如，在通过中间节点到达目标的路由中），然后如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改在将其发送到目标终结点前对其进行修改在将其发送到目标终结点前对其进行修改在将其发送到目标终结点前对其进行修改 http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击uu网络窃听网络窃听 通过网络窃听，当通过网络窃听，当通过网络窃听，当通过网络窃听，当 Web Services Web Services 消息在网络中消息在网络中消息在网络中消息在网络中传输时，攻击者可以查看这些消息。例如，攻击传输时，攻击者可以查看这些消息。例如，攻击传输时，攻击者可以查看这些消息。例如，攻击传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软件检索者可以使用网络监视软件检索者可以使用网络监视软件检索者可以使用网络监视软件检索 SOAP SOAP 消息中包含消息中包含消息中包含消息中包含的敏感数据。其中有可能包括敏感的应用程序级的敏感数据。其中有可能包括敏感的应用程序级的敏感数据。其中有可能包括敏感的应用程序级的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息别的数据或凭据信息别的数据或凭据信息别的数据或凭据信息 http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击uu配置数据的泄漏配置数据的泄漏 Web Services Web Services 配置数据的泄漏的方法主要有两配置数据的泄漏的方法主要有两配置数据的泄漏的方法主要有两配置数据的泄漏的方法主要有两种。种。种。种。第一种，第一种，第一种，第一种，Web Services Web Services 可能支持动态生成可能支持动态生成可能支持动态生成可能支持动态生成 Web Web Services Services 描述语言描述语言描述语言描述语言 (WSDL)(WSDL)，或者可能在，或者可能在，或者可能在，或者可能在 Web Web 服服服服务器上的可下载文件中提供务器上的可下载文件中提供务器上的可下载文件中提供务器上的可下载文件中提供 WSDL WSDL 信息信息信息信息 第二种，如果异常处理不充分，第二种，如果异常处理不充分，第二种，如果异常处理不充分，第二种，如果异常处理不充分，Web Services Web Services 可可可可能会泄漏对攻击者有用的敏感的内部实施详细信能会泄漏对攻击者有用的敏感的内部实施详细信能会泄漏对攻击者有用的敏感的内部实施详细信能会泄漏对攻击者有用的敏感的内部实施详细信息息息息 http:/ Services 面对的主要威胁和攻击面对的主要威胁和攻击uu消息重播消息重播 Web Services Web Services 消息可能会在传递过程中经过多个消息可能会在传递过程中经过多个消息可能会在传递过程中经过多个消息可能会在传递过程中经过多个中间服务器。通过消息重播攻击，攻击者可以捕中间服务器。通过消息重播攻击，攻击者可以捕中间服务器。通过消息重播攻击，攻击者可以捕中间服务器。通过消息重播攻击，攻击者可以捕获并复制消息，并模拟客户端将其重播到获并复制消息，并模拟客户端将其重播到获并复制消息，并模拟客户端将其重播到获并复制消息，并模拟客户端将其重播到 Web Web ServicesServices。消息可能被修改，也可能保持不变。消息可能被修改，也可能保持不变。消息可能被修改，也可能保持不变。消息可能被修改，也可能保持不变 http:/ Windows安全安全安全检查列表安全检查列表所有磁盘分区都是所有磁盘分区都是 NTFS的的管理员账号必须有一个复杂的密码管理员账号必须有一个复杂的密码禁止不需要的服务禁止不需要的服务删除和禁止不必要的账号删除和禁止不必要的账号移除不必要的文件共享移除不必要的文件共享在文件、共享和注册表上设置访问权限列表在文件、共享和注册表上设置访问权限列表设置严格的安全策略设置严格的安全策略安装最新的安装最新的service pack 和补丁和补丁安装防病毒软件安装防病毒软件http:/ IIS安全安全手把手教你设置手把手教你设置 IIS 安全保护安全保护预先的安全安装是必须的预先的安全安装是必须的预先的安全安装是必须的预先的安全安装是必须的组件安装的选择、利用组件安装的选择、利用组件安装的选择、利用组件安装的选择、利用IIS IIS 内置的安全特性内置的安全特性内置的安全特性内置的安全特性设置合适的访问权限列表设置合适的访问权限列表访问控制和安全策略访问控制和安全策略访问控制和安全策略访问控制和安全策略远程管理的安全配置远程管理的安全配置远程管理的安全配置远程管理的安全配置在在IIS log上设置合适的访问权限列表、同时设上设置合适的访问权限列表、同时设置合适的验证机制置合适的验证机制启动日志记录（启动日志记录（W3C Extended Log）规划规划规划规划恢复计划恢复计划恢复计划恢复计划http:/ 手把手教你保护手把手教你保护IIS 掌握如何选择正确的掌握如何选择正确的IIS IIS 组件组件在在IISIIS目录上设置合适的访问权限列表目录上设置合适的访问权限列表启动日志记录启动日志记录http:/ 6.0 基础架构基础架构uuWeb Services 面对的主要威胁和攻击面对的主要威胁和攻击uu常用安全利器常用安全利器uu场景学习场景学习uu总结总结 uu参考资源参考资源http:/ IIS 6.0 的配置的配置uu完全免费，完全免费，Windows Server 2003 SP1 中内置中内置（从（从）uu快速模式快速模式uu高级模式高级模式uu通俗易懂的帮助通俗易懂的帮助http:/ windows 防火墙防火墙uu推荐使用单独的防火墙，但是在预算不足推荐使用单独的防火墙，但是在预算不足的情况下的情况下uu基于端口的过滤基于端口的过滤uu内置在操作系统中内置在操作系统中uu对绝大多数攻击都有防护作用对绝大多数攻击都有防护作用http:/ Server 2000/2003 内置内置http:/ 2.5uu注意，现在注意，现在 UrlScan 2.5 已经内置在已经内置在 IIS 6.0 中中uuURL 的深层防御的深层防御uuhttp:/ 授权授权uu如何快速有效的进行服务器用户验证安全如何快速有效的进行服务器用户验证安全除了服务器的安全标签，我们还可以配置除了服务器的安全标签，我们还可以配置除了服务器的安全标签，我们还可以配置除了服务器的安全标签，我们还可以配置http:/ Server 2003:Windows Server 2003:LogmanLogman 开始开始/停止记录停止记录TracerptTracerpt 分析跟踪文件分析跟踪文件uuM M 网站上可以下载网站上可以下载网站上可以下载网站上可以下载:Log Parser 2.2Log Parser 2.2 自定义跟踪分析自定义跟踪分析自定义跟踪分析自定义跟踪分析IISReqMonIISReqMon 分析当前正在执行的请求有用的工具分析当前正在执行的请求有用的工具分析当前正在执行的请求有用的工具分析当前正在执行的请求有用的工具IISTraceIISTrace 针对记录请求的有用的工具针对记录请求的有用的工具uu即将发布的即将发布的“跟踪诊断工具跟踪诊断工具”Request Monitor ManagerRequest Monitor Manager 基于用户界面的有用工具基于用户界面的有用工具http:/ start CurrRequests p IIS:Request Monitor-etslogman start CurrRequests p IIS:Request Monitor-ets提供者的名称提供者的名称提供者的名称提供者的名称跟踪的文件名跟踪的文件名跟踪的文件名跟踪的文件名http:/ uu检查计算机的补丁情况检查计算机的补丁情况uu图形化界面的工具图形化界面的工具http:/ IPSec 进行安全信息传输和进行进行安全信息传输和进行不安全访问的阻隔不安全访问的阻隔利用利用windows 防火墙阻隔不需要的访防火墙阻隔不需要的访问问利用利用URLSCAN2.5 进行进行IIS 服务器的服务器的安全加固安全加固http:/ 6.0 基础架构基础架构uuWeb Services 面对的主要威胁和攻击面对的主要威胁和攻击uu常用安全利器常用安全利器uu场景学习场景学习uu总结总结 uu参考资源参考资源http:/ Microsoft Active Directory IIS Microsoft Active Directory IIS 服务器服务器服务器服务器 OU OU 结构结构结构结构 步骤步骤步骤步骤 注意：注意：注意：注意：创建创建创建创建 IIS IIS 服务器部门服务器部门服务器部门服务器部门 (OU)(OU)创建增量创建增量创建增量创建增量 IIS IIS 服务器策略服务器策略服务器策略服务器策略 将将将将 GPO GPO 链接至链接至链接至链接至 IIS IIS 服务服务服务服务器器器器 OUOU 将相应客户端环境的安将相应客户端环境的安将相应客户端环境的安将相应客户端环境的安全模板导入新建的全模板导入新建的全模板导入新建的全模板导入新建的 GPOGPO 例如，用于企业客户端例如，用于企业客户端例如，用于企业客户端例如，用于企业客户端环境的环境的环境的环境的 Enterprise Enterprise Client IIS Client IIS Server.infServer.inf http:/ 服务器强化步骤服务器强化步骤 步骤步骤步骤步骤 注意：注意：注意：注意：安装和配置安装和配置安装和配置安装和配置 Windows Windows Server 2003Server 2003 安装和配置安装和配置安装和配置安装和配置 IIS IIS 服务服务服务服务仅安装必要的仅安装必要的仅安装必要的仅安装必要的 IIS IIS 组件组件组件组件仅启用必要的仅启用必要的仅启用必要的仅启用必要的 Web Web Service Service 扩展扩展扩展扩展将数据保存在专用磁盘空间将数据保存在专用磁盘空间将数据保存在专用磁盘空间将数据保存在专用磁盘空间内内内内配置配置配置配置 NTFS NTFS 权限权限权限权限 配置配置配置配置 IIS Web IIS Web 站点权限站点权限站点权限站点权限 配置配置配置配置 IIS IIS 记录记录记录记录 http:/ 服务器强化步骤服务器强化步骤 步骤步骤步骤步骤 注意：注意：注意：注意：应用所需的所有应用所需的所有应用所需的所有应用所需的所有 Service Pack Service Pack 和和和和/或或或或更新更新更新更新MBSA MBSA 定期运行，以检定期运行，以检定期运行，以检定期运行，以检查操作系统和组件的最查操作系统和组件的最查操作系统和组件的最查操作系统和组件的最新更新新更新新更新新更新 安装和配置病毒保护解决方案安装和配置病毒保护解决方案安装和配置病毒保护解决方案安装和配置病毒保护解决方案 根据要求安装和配置根据要求安装和配置根据要求安装和配置根据要求安装和配置 MOM MOM 代理或代理或代理或代理或类似的监视解决方案类似的监视解决方案类似的监视解决方案类似的监视解决方案 将相应服务器移至对应的将相应服务器移至对应的将相应服务器移至对应的将相应服务器移至对应的 IIS IIS 服务服务服务服务器器器器 OUOU 确保已知帐户安全确保已知帐户安全确保已知帐户安全确保已知帐户安全 重命名内置管理员帐户，指定复杂重命名内置管理员帐户，指定复杂重命名内置管理员帐户，指定复杂重命名内置管理员帐户，指定复杂密码。确保已经禁用来宾帐户。更密码。确保已经禁用来宾帐户。更密码。确保已经禁用来宾帐户。更密码。确保已经禁用来宾帐户。更改默认帐户说明改默认帐户说明改默认帐户说明改默认帐户说明 http:/ 服务器强化步骤服务器强化步骤 步骤步骤步骤步骤 注意：注意：注意：注意：确保服务帐户安全确保服务帐户安全确保服务帐户安全确保服务帐户安全 考虑实施考虑实施考虑实施考虑实施 IPSec IPSec 筛选器筛选器筛选器筛选器 运行运行运行运行 GPUPDATE.EXE/FORCEGPUPDATE.EXE/FORCE 重新启动服务器重新启动服务器重新启动服务器重新启动服务器 检查事件日志，查找错误检查事件日志，查找错误检查事件日志，查找错误检查事件日志，查找错误 定期查看日志定期查看日志定期查看日志定期查看日志例如通过日志增长就可以发现一些拒绝攻例如通过日志增长就可以发现一些拒绝攻例如通过日志增长就可以发现一些拒绝攻例如通过日志增长就可以发现一些拒绝攻击击击击http:/ 今天如何做起今天如何做起uu发送发送mail 到到 microsoft_security-subscribe-uu安装和运行升级通知工具安装和运行升级通知工具uu订阅或登陆下载订阅或登陆下载 Security tool kithttp:/ 1：熟悉：熟悉 IIS 基本架构基本架构uu步骤步骤 2：根据企业具体要求配置相关安全配置：根据企业具体要求配置相关安全配置选项选项uu步骤步骤 3：使用前面介绍的安全利器：使用前面介绍的安全利器 uu步骤步骤 4：配置防火墙保护相关服务器：配置防火墙保护相关服务器uu步骤步骤 5：定期查看日志制度的建立：定期查看日志制度的建立uu步骤步骤 6：制定相关灾难恢复计划制定相关灾难恢复计划uu步骤步骤 7：测试测试uu步骤步骤 8：重复以上步骤：重复以上步骤http:/ 讲座总结讲座总结uu检视一遍安全清单检视一遍安全清单uu应用最新的补丁应用最新的补丁uu经常检查你的网络安全性经常检查你的网络安全性 http:/ xuu在线在线在线在线IIS IIS 学习资源学习资源学习资源学习资源http:/ IWAM IWAM 帐户配置的标识不正确帐户配置的标识不正确帐户配置的标识不正确帐户配置的标识不正确 http:/http:/ Configuration Wizard:Security Configuration Wizard:http:/ uuTroubleshooting IIS 6.0 with Tracing:Troubleshooting IIS 6.0 with Tracing:http:/ uuIISReqMonIISReqMon(Windows Hosting Solution):(Windows Hosting Solution):http:/ uuIIS Diagnostics Toolkit:IIS Diagnostics Toolkit:http:/ http:/ 5.0基本安全性检查清单基本安全性检查清单 http:/ iis5cl.asp uuLearn what else is new in Service Pack 1 for IIS 6.0http:/ http:/ IT 专业人员来说，专业人员来说，专业人员来说，专业人员来说，TechNet TechNet 是一个知识的宝库，你可是一个知识的宝库，你可是一个知识的宝库，你可是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源uu每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的 DVD DVD或者或者或者或者CDCD这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅订阅TechNetuu可以访问该站点可以访问该站点可以访问该站点可以访问该站点 网站网站uu两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报安全更新安全更新安全更新安全更新,新的资源等等新的资源等等新的资源等等新的资源等等TechNet 中文电子快报中文电子快报uu有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报uu上机试验上机试验上机试验上机试验,“,“如何操作如何操作如何操作如何操作”等信息等信息等信息等信息TechNet 活动活动和网站消息和网站消息uu用户群用户群用户群用户群uu可管理的新闻组可管理的新闻组可管理的新闻组可管理的新闻组中文社区中文社区http:/ TechNet?uu访问访问访问访问TechNetTechNet的官方网站的官方网站的官方网站的官方网站 http:/ TechNetTechNet的订户的订户的订户的订户