Web系统安全配置及系统保护

单元三网络系统的平安配置与管理项目一系统平安配置及系统爱护Web教学目标

1.理解WEB系统的平安体系结构、平安需求、平安原则、平安制定策略与配置；

2.驾驭系统安装正确选择、系统安装正确定制；

3.驾驭分区和逻辑盘的安排、安装依次的选择、书目和文件权限、账号平安配置；

4.驾驭Web平安的基本配置；教学要求

1.细致听讲，用心操作，操作规范，细致记录试验过程，总结操作阅历和写好试验报告，在试验中培育严谨科学的实践操作习惯；

2.遵守学校的试验室纪律，留意人身和设备的平安操作，爱惜试验设备、刚好上缴作业；

3.教学环境Windows7以及Windows server2023/2023以上操作系统学问要点

1.阳用系统的平安体系结构、平安需求；

2.也用服务器、阅读器的平安体系结构、平安原则、平安制定策略与配置；技术要点

1.驾驭系统安装正确选择、系统安装正确定制；

2.驾驭分区和逻辑盘的安排、安装依次的选择、书目和文件权限、账号平安配置；

3.驾驭Web平安的基本配置；技能训练一.讲授与示范正确启动计算机，在最终一个磁盘上建立以学号为名的文件夹,从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中

（一）Web系统平安概述

1.Web的平安体系结构1）Web的平安需求2）Web的平安体系结构

2.Web服务器的平安需求1）维护公布信息的真实完整2）维持Web服务的平安可用3）爱护Web访问者的隐私4）保证Web服务器不被入侵者作为“跳板”运用

3.用户操作平安1）用户离开计算机前,应按Ctrl+Alt+Delete进行锁定计算机；2）运用带必密码爱护的屏幕爱护程序延迟时间应很短（爱护程序设置为空）；3）将计算机锁定在平安的房间；4）若多名管理员管理系统，则为每个人指派明显不同的用户帐户和密码（易于跟踪所做的任何更改）:5）尽快删除或刚好删除临时、无用的帐户；6）定期为管理员或高级权限的人员指派新帐户，以降低用户帐户信息受到危害的可能性二.课堂任务实践任务3Web平安的基本配置步骤

1.用户限制平安管理工具一Internet信息服务（IIS）管理器一绽开“服务器名”一“网站”一添加网站一名称为“沃媒达、路径为:%书目%\womta”“沃媒达”一主页窗口中“身份验证”一编辑“匿名身份验证”一设置一输入用户名、密码即系统登录名和密码（密码不能为空）

2.访问权限限制D编辑功能权限选择服务器、站点或书目，主页窗I I中双击”处理程序映射”图标一“已启用”列表框中显示的是当前站点支持的文件类型右击须要设置的文件类型，右键“编辑功能权限”读取须要对虚拟书目具有讯取访问权限的处理程序主要针对静态内容、配置默认的文档和书目阅读默认状况下读取权限处r启用状态；脚本须要对虚拟书目具有脚本权限的处理程序；执行须要对虚拟书目具有执行权限的处理程序；只有选定“脚本”才能启用“执行”权限3）设置恳求限制

①选择服务器、站点或书目，主页窗II中双击”处理程序映射”图标一选择“已启用”列表框中显示的是当前站点支持的文件类型一编辑

②单击“恳求限制”一映射若仅响应针对特定资源类型的恳求，则选中“仅当恳求映射至以下内容时才调用处理程序”文件用于使处理程序仅在所恳求的目标资源是文件时才做出响应；♦文件夹用F使处理程序仅在所恳求的目标资源是文件夹时才做出响应；♦文件或文件夹用于使处理程序仅在所恳求的目标资源是文件或文件夹时才做出响应；♦

③单击“谓词”全部谓词不论恳求中发送的谓词是如何，程序均对恳求做出响应；♦下列谓词之一程序将响应包含特定谓词的恳求♦

④单击“访问”访问权限无、读取、写入、脚本、执行

3.IP地址限制1）安装“IISIP和域限制”若在站点主页中没有“Ipv4地址和域限制”图标，则安装“Web平台应用程序wpilauncher-产品一服务器一IISIP和域限制~添加2）添加允许访问地址站点主页“IPv4地址和域限制”一操作“添加允许条目”可添加单个IP地址和多个IP地址〜3）添加拒绝访问地址4）编辑功能设置进行“允许”与“拒绝”的修改“启用域名限制”启用后会通过域名限制访关会要求DNS反向查找每一个连接，将影响服务器的性能5）复原为继承的项复原功能以从父配置中继承设置将为当前功能删除本地配置设置

4.端口平安常用端口号Web是80,FTP是21,SMPT是25,SSL是443,通过修改端口可提高I IS服务器的平安性，但用户访问时必需知道该服务的端口IIS管理器窗口中右击“Default WebSite一编辑绑定一网站绑定一编辑一输入新的端口

5.SSL平安利用SSL实现加密传输，须在Web服务器上安装用于SSL加密的证书向证书服务器申请证书、创建域证书、创建自签名证书（HS

7.5）1）创建自签名证书启动IIS

7.5服务管理器一服务器名一服务器证书一操作窗口中“创建自签名证书”一名称SSLtest一确定，则证书创建胜利2创建网站右击网站f添加网站~名称SSLtest,路径womela,绑定类型s,SSL证书SSLtesl—确定3SSL设置选定网站SSLtest-“SSLtest主页”窗口中的“SSL设置-SSL设置选定为“要求SSL”、“接受”~操作窗口中“应用”三.课堂小结

1.本课的纪律评价

2.实习操作状况分析及出现的常用操作强调

3.提出要求要主动参加，细致理解，增加主动性，才能有所收获四.作业要求完成FTP平安设置端口、连接数量限制、IP地址访问限制、用户身份验证、基于NTFS权限设置的访问限制以及限制用户的上传空间？检查下次课对本次课的内容进行提问，回答效果好的在期末成果上干脆2-3分

4.Web阅读器的平安需求1）保证阅读器系统不被病毒破坏2）保证阅读器端个人平安信息不外泄3）保证所交互的站点的真实性，避开被冒

5.Web传输的平安需求1）保证发送者（信息）的真实性2）保证传输信息的完整性3）对特殊的平安性较高的Web,须要传输的保密性4）对认证应用的WEB,须要信息的不行否认性5）对于防伪要求较高的Web应用，保证信息的不行重用性

6.Web系统的典型平安漏洞1）操作系统平安漏洞2）网络系统的平安漏洞3）应用系统的平安漏洞4）网络平安防护系统不健全5）其他平安漏洞（-）Web系统的平安原则

1.阅读器与服务器建立联接的过程

2.平安策略制定原则1）基本原则每个Web站点都应有一个平安策略，这些策略因需而异依据威逼程度的大小评价分析，以作为设计网络平安系统的基本依据2）服务器记录原则管理者不得打开或查看客户或用户的统计资料，一般状况必需具有最高权限的管理者才能进行（H）Web服务器平安

1.Web服务器平安策略1）制定平安政策做好平安威逼的分析、网络平安资源并进行重要等级划分、进行平安风险评估、制定平安策略的基本原则、建立平安培训制度、具有意外事务处理2）细致组织和管理WEB服务器选好WEB服务器设备和相关软件（多杳询）、细致配置WEB服务器、平安管理WEB服务器、时刻关注平安信息

2.Web服务器的平安配置及平安特性1）加强Web服务器隔离法利用智能HUB或二层以上交换机隔离Web服务器，运用防火墙过滤功能将WEB服务器和内网隔离2）Web服务器备份真实牢靠、备份存储的地方是特别牢靠和平安的3）合理配置主机操作系统防止IP欺瞒，避开口令泄露，不要运用弱口令，权限应合理设置，禁止远程管理，记录服务器的平安状态，不要运用平安性脆弱的自动书目表功能、符号连接功能，检查驱动器和共享的权限并交系统设为只读状态,将敏感文件放在基本系统中并设二级系统，可将WEB服务器当作无权的用户运行4）合配置WEB服务器软件A.访问限制规则要通过【P地址、子网域名来限制，并用用户名和口令限制限制访问，最好用公用密钥加密的方法限制访问；B.相关书目必需设置权限，谨用平安性较差的WEB服务器功能；C.把服务限制在有限的文件空间范围内，记录服务器的平安状态；D.削减远程管理等功能5）解除站点中的平安漏洞A.物理的漏洞由未授权人员访问引起，他们能阅读那些不被允许的地方B.软件漏洞是由“错误授权的应用程序引起，它会执行不应执行的功能C.不兼容问题漏洞是由不良系统集成引起6）平安管理WEB服务器A.更新WEB服务器内容采纳本地更新平安方式B.监视限制Web站点出入状况服务器日常受访次数、受访增加次数用户来源、一周最忙的时间、一天内最忙的时间服务器哪类信息被访问、哪张页面最受欢迎每个书目用户访问，访问站点的阅读器、提交方式C.测算命中次数确定站点命中次数、确定站点访问者数目D.定期对WEB服务器进行平安检查

（四）Web阅读器的平安IE功能调用主机或服务器的系统中的有关的应用程序，以便正确显示从Web服务器取得的各类型信息

1.Cookie的平安1）用途储存注册口令、用户名、信用卡号等私人信息2）在IE中禁止运用Cookie存储有关信息

2.Java及Active X的平安性1）PostScript文件的吩咐作用能显示简洁的文本，也可运川肯定的文件系统吩咐吩咐Open、Create.Copy.Delete等吩咐能用于引发平安问题或病毒2）Java Applet的平安隐患作用削减Applet偷看用户私人文档并传回服务器的可能、随意的主机建立连接的实力隐患抢占系统资源，引发资源的奢侈，造成拒绝服务攻击的脆弱性3）Java Script的平安漏洞能够截取用户的电子邮件地址和其他信息，截取本地主机上的文件，监视会话过程，也存在信息泄露和文件上传的平安漏洞4）Active X的平安隐患由于Active X对它的控件能够完成的任务不加限制，因此每个Active控件就有可以被利来执行暗中攻击的任务

（五）Windows服务器的安装配置

1.磁盘的安排1）至少建立两个分区一个系统分区，一个应用程序分区，这是因为，微软的IIS（Internet informationServer）常常会有漏洞，假如把系统和IIS放在同•个驱动器会导致系统文件的泄漏，甚至让入侵者远程获得管理权NTFS文件系统格式化系统分区、数据分区、日志文件分区（可提高平安性）2）举荐建立三个逻辑驱动器第一个用来装系统和重要的日志文件；其次个放IIS；第三个放FTP,这样无论IIS或FTP出了平安漏洞都不干脆影响到系统书FI和系统文件

2.系统安装正确选择1）尽量安装英文版的操作系统2）担心装无用的组件避开诸如.PRINTER、.IDQ.IDA WEBDEV等等通过IIS来进行的外部攻击依据平安原则“最少的服务+最小的权限=最大的平安”，特殊提示留意是“Indexing Service”、MFrontpage2000Server ExtensionsvInternet ServiceManager”这几个危急服务如IIS、DHCP、DNS等，导致系统在安装后存在平安漏洞3）选择平安的文件格式NTFS文件系统是最佳选择；FAT32系统不能限制用户对文件的访问，可能以导致系统的担心全NTFS系统下的磁盘属性中多了“配额”和“平安”选项卡，用户通过这两选项卡可具体地设置系统中每个用户对该逻辑盘的访问权限4）安装连接时间WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$AD\IIN”的共享，但是并没有用刚输入的密码来爱护它，这种状况始终会持续到计算机再次启动在此期间，任何人都可以通过“$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，特别简洁从外部侵入因此，在完全安装并配置好WIN2K Server之前，肯定不要把主机接入网络5）定制系统服务右键单击“我的电脑一管理”一“服务和应用程序一服务”，关掉那些不必要的服务，以提高系统稳定性、平安性并加快系统运行速度须要特殊说明的是，Remote RegistryService（远程注册表操作）、Telnet（远程登录）等几个高风险的服务是肯定要停止的用鼠标双击相应项目，然后打开的窗II中将它们设置为“手动”或“禁止”即可

（六）WEB服务器的系统帐户平安管理在2023的域林中有一台根域限制器，但为了提升网络平安性会交其子域限制器或备份域限制器提提升为根域限制器还不能单独运行的只读域限制器（RODC）

1.禁止枚举帐号通过修改注册表禁用空用户连接，操作步骤如下单击”起先运行“打开“运行”对话框；输入“Regedit”并单击确定打开注册表编辑器；在注册表编辑器中逐层进入HKEY_LOCAL_MACHINESf SYSTEM—CurentControlSet-*controlfLsa将RcstrictAnonymous的值设置为1,这样可以禁止空用户连接，如图所示日且我的电脑Jill倒_|HKEY_CLASSES_ROOT⑷《默认）数据SCJHKEY_CURRENT_USERfe3auditbaseobjectsE）_lflTFY_LOCAL_MAChinjE数值名称[^AuthenticationPa.用CJHARDWARE Bounds|restrictanonymous（SOSAM峻）crashonaudtfM殿）•OSECURITY（SCJSOFTWARE ftlprlWegeaudllicc（m）c十六进制出）r[-1_KSYSTEPr由（_J ln¥ompatibfityleve殴）十进制也）0Rd^NotificationControlSetOOlfflCJ巴ttrolSetOOZ_Packa.曲由@在匕确定I取清Inonymo^g圆EJUSontr京国二J|5ecure6oot KEkArbitersffi二J阂SecurityPackages REG_MULTI_5Zkerberosm$vl_0schannelBockupResto⑼IDConl-igDeEOKeyboardLa-E0•_|Keyboardla,（B）注册表编辐（

④克君收被，

2.Administrator账号更名“管理工具”一“服务器管理“一“配置“一“本地用户与组”一“用户”；在窗口右面运用鼠标右键单击Administrator,在右键菜单中选择“重命名”；重新输入一个名称,然后另建一个“Administrator”的陷阱帐号，加上一个超过10位的超级困难密码，并对该帐户启用审核，不给予任何权限，即权限设置为最低，特殊是其帐号“属性”一“拨入”选项卡为“拒绝访问”

3.禁止登录屏幕上显示最终登录的用户名方法一“管理工具一本地平安策略”本地策略平安选项”一“不显示最登录的川户名”，如图:方法二Windows2023以下修改注册表实现HKEY_LOCAL_MACHINE-SOFTTWARE-Microsoft-WindowsNT-*CurrentVesion-*Winlogn项中的DontDisplayLast UserName串，将其数据修改为

14.禁用Guest帐号Guest帐号是系统默认供应的来宾帐户，主要为便利局域中的生疏用户访问共享资源但若启用Guest帐户则可能成为特别危急的漏洞，因为非法用户可运用这个帐号登录你的机器禁用该帐号的操作步骤如下“管理工具”一“服务器管理“一“配置”一“本地用户与组”一“用户”；在右侧列表右键单击里的Guesl”帐号，选择“属性“或是双击Guesl”帐号，在帐户已停用”一项前打勾，如图所示，这样就无法用Guest帐号登录你的系统了若还须要供应共享打印服务时，则须要“本地平安策略一用户权利指派一在本地登录”项里设置Guest帐号不能登录本机（去掉Guest项后面的勾）

5.隐藏用户的管理可通过注册表创建隐藏的超级用户，在“用户与组“账户管理器看不到该用户，并且用“neluser”也看不到1）限制面板一用户帐户添加一个隐藏帐户admin$；用net user吩咐看的帐户我们可以在计算机帐户管理看到这个帐户2）在注册表中用户帐户的查看起先一运行一regedil-打开注册表编辑器，找到HKEY_LOCAL_MACH【NE\SAM\SAM,没有用户帐户；（默认状况下我们没有对SAM键的操作权限）3）选中SAM右键选择权限，选定当前帐户（如Administrator）为完全限制后，退出注册表再进入；4）找到键HKEY_LOCAL MACHINE\SAM\SAM\Domains\Account\Users\Names,可看到全部帐户的帐户信息5）复原系统默认的SAM键值访问权限，就能很好的隐藏创建的隐藏帐户任务1隐藏帐户的清除步骤1）注册表里面查看键值来清除2）系统登录审核日志gpedit.msc打开“本地组策略编辑器”中的“计算机配置一Windows设置一平安设置f本地策略一审核策略一审核帐户登录事务、把“审核帐户登录事务”的胜利、失败都记录

6.管理员帐户口令设置原则切忌运用简洁密码、帐号与密码相面、运用自己的姓名、运用英文词组、特定意义的日期♦密码不要太规则，多运用特殊字符或非打印字符♦密码长度应遵循7位或14们的整数倍原则♦密码应定期修改，避开重复运用旧密码♦建设帐号锁定机制（多次错误后则断开连接并锁定肯定时间后才解锁）♦设置一次性密码机制，下次登录时必需更换新的密码♦

（七）用户帐户平安管理主要针对帐户锁定与登录时间、用户帐户密码策略、审核策略、系统帐号数据库的管理等帐户基本管理任务2用户帐户的基本平安管理步骤

1.帐户锁定与登录时间1）用帐户锁定计算机配置一Windows设置一平安设置一帐户锁定一帐户锁定阈值，其值设置6次2）帐户登录时间计算机配置一Windows设置一平安设置一帐户锁定一帐户锁定阈值，其值设置10分钟前提要先设置帐户锁定值

2.用户帐户密码策略计算机配置一Windows设置一平安设置一帐户锁定i密码策略:将“密码困难性要求”设置为“启用”将“密码长度最小值”设置为“7位”将“密码最短运用期限”设置为“0天”将“密码最长运用期限”设置为“30天”将“强制密码历史”设置为“5次”

3.审核策略1）类别s4计苴机倒置±J.软件设愚审核茶路更改审核核市核S_.Windows设置登录事件审核对象核然脚本侬动/关机）审访问市核进程跟踪核审0玄安全设置审核目录服办访问审核三通帐户策晞核审N密码策略审核特权使用审核审核1帐户桢定箫略系统事件审核帐户审核核Fa本地策晞登录事件审核眯户审管理市市核最昭H-JT1±1Windows设置中的平安设置下本地策略的审核策略2）审核策略设置文件伊）操作（A）查看（V）帮助00默认状况下为“没有定义”♦♦I力卮|*目1日牖审核策略更改胜利+失败安全设置审核登录事务胜利+失败审核访问对象失败审核书目服务访问失败审核特权运用失败审核系统事务胜利+失败审核帐户登录事务胜利+失败审核帐户管理胜利+失败3）调整日志审核文件“管理工具”一事务查看器一Windows日志一右击“平安”一属性一日志最大大小1024000同理变更“应用程序”、“Setup、“系统”、“转发的事务”、“服务日志”等日志文件的大小日志文件的大小必需是64KB的整数倍

4.系统帐号数据库的管理在系统安装书Fl\system32\config的sam文件是Windows系统内置的系统帐号数据库，可采纳系统内置加密专用工具Syskey进行加密，则别人窃取被加密的sam文件，也无法获得其中的用户名和密码信息1）运行“Syskey”一更新一密码启动一输入密码（至少12个字符）或者2）运行“syskey”一系统产生的密码一在软盘上保存启动密钥（在软盘中生成一StartKey.Key文件）系统启动时会提示“启动密钥盘”，要求插入密钥盘才能启动服务器提问如何运用U盘担当密钥盘作为启动？♦如何复原系统默认状态，不在运用启动密钥盘？♦（A）Internet信息服务平安

1.IIS服务器的添加与配置策略1）Windows2023中Web服务的添加管理工具一服务器管理器一角色一添加角色一服务器角色一Neb服务器2）确定IIS与系统安装在不同的分区（某些系统）3）删除不必要的虚拟书目打开*\wwwroot（*代表IIS安装的路径）文件夹，删除在在IIS安装完成后默认生成的书目，包括IISHelp.IISAdmin HSSamples等4）停止默认网站或修改主书目在“Internet服务管理器”中右击“默认Web网站/Default WebSite”，单击“停止”吩咐，依据须要起用自己创建的站点；或者在“Internet服务管理器”中右击所选网站，选择其属性或者高级设置，在主书目页面中修改本地路径5）对IIS的文件和书目进行分类，区分设置权限右击Web主书目中的文件和书目，在“属性”中按须要给它们安排适当的权限（静态文件允许读，拒绝写；ASP和exe允许执行，拒绝读写；全部的文件和书目将Everyone用户组的权限设置为“只读”）6）删除不必要的应用程序映射7）维护口志平安8）修改端口值在上步操作的“网站”页面中，Web服务器默认的TCP端口值为80,假如将该端口改用其它值，可以增加平安，但会给用户访问带来不便，系统管理员可以依据须要确定是否修改

2.书目和文件权限的原则NT的访问权限分为读取、写入、读取及执行、修改、列书目、完全限制在进行权限限制时，请记住以下几个原则1）权限是累计的若一个用户同时属于两个组，那么他就有了这两个组所允许的全部权限2）拒绝的权限要比允许的权限高（拒绝策略会先执行）假如一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也肯定不能访问这个资源3）文件权限比文件夹权限高4）利用用户组来进行权限限制是一个成熟系统管理员必具有优良习惯5）权限的最小化原则是平安的重要保障，只给用户真正须要的权限。