服务器安全配置实验
更新时间:2023-09-23 16:25:01 阅读量: IT计算机 文档下载
一、 实验项目名称
服务器的安全配置实验 二、 实验目的
通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施,实现Web服务器和FTP服务器的安全配置 三 、实验内容与实验步骤
1、用IIS建立高安全性的Web服务器 2、FTP服务器的安全配置
3、IIS Lockdown的安装和配置 四、 实验环境
安装Windows 2000/XP操作系统的计算机一台,并且完全安装IIS服务。 五、实验过程与分析
任务一 用IIS建立高安全性的Web服务器 1、删除不必要的虚拟目录
打开“*\\wwwroot”(其中*代表IIS的安装路径),删除在IIS安装之后,默认生成的目 录,包括IISHelp、IISAdmin、IISSamples、MSADC等。这些默认生成的目录是众所周 知的,容易给攻击者留下入侵的机会。
2、停止默认的Web站点
打开控制面板->管理工具->Internet服务管理器,右键单击默认Web站点,在弹出的菜单中单击停止,根据需要启用自己创建的Web站点默认的Web的根目录,默认在inetpub\\wwwroot,还有其它一系列的参数设置也都是众所周知的,如果采用这些默认配置,将大大减小攻击难度。
3、IIS中的文件和目录进行分类,区别设置权限
对于Web主目录中的文件和目录,单击鼠标右键,在属性中按需要给他们分配适当权限。一般情况下,静态文件允许读,拒绝写;ASP脚本文件、exe可执行程序等允许执行,拒绝读写;通常不要开放写权限。此外,所有的文件和目录要将everyone用户组的权限设置为只读权限。
4、删除不必要的应用程序映射
在Internet服务管理器中,右击网站目录,选择属性,在网站目录属性对话框的主目 录页面中,单击配置按钮在弹出“应用程序配置对话框的应用程序映射”页面,删除无用的程序映射。在大多数情况下,只需要留下.asp一项即可,将.ida、.htr等全部删除,以避免攻击者利用这些程序映射存在的漏洞对系统进行攻击。
5、维护日志安全
在“Internet服务管理器”中,右击网站目录,选择属性在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,单击旁边的“属性”按钮在“常规属性”页面中,单击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可。
修改路径后的日志文件要适当设置权限,它的文件权限建议administrator和system用 户为完全控制,everyone为只读,同时,建议与web主目录文件放在不同的分区,以 增加攻击者利用路径浏览日志存放的路径难度,防止攻击者恶意篡改日志。
6、修改端口值
在“Internet服务管理器”中,右击网站目录,选择属性在网站目录属性对话框的“Web”站点页面中,Web服务器默认端口值为 80,这是众所周知的,而端口号是攻击者可以利用的一个便利条件。将端口号改用其他值,可以增加安全性,当然也会给用户访问带来不便,系统管理员根据需要决定是否采用此策略。 任务二 FTP服务器的安全配置 (1)停止默认的FTP站点。
打开控制面板->管理工具->\服务管理器\,右击“默认FTP站点\在弹出的菜单中单击停止按钮,根据需要启用自己的FTP站点,其目的也是避免使用众所周知的默认服务器设置。
(2)FTP页面上,将TCP端口的21改为其他值,改用其他端口值使攻击者无法得到服务器的端口号,从而增大了攻击难度,但同时也会给用户带来不便。
(3)在FTP页面上,选中\启用日志记录\,将日志目录和FTP目录分放在不同的路径下并参照Web服务器的权限设置,设置文件和文件目录的权限,以保护日志的安全性。
(4)在账号安全页面,取消\允许匿名连接\选项,在\站点操作员\只留下系统管理员一个账号,这就要求只有知道账号和密码的用户才可以登录和管理FTP服务器,限制了匿名用户等其他用户的行为。
(5)在“主目录页面”设置FTP主目录
注意:该目录不要与系统路径在同一个磁盘区,删除everyone用户组,设置其他用户的权限为可读不可写,只对管理员保留完全控制权限。
(6)在“目录安全性”页面中添加被拒绝的IP或IP组,其他未提到的IP视为允许访问。在选中“拒绝访问”的情况下。可以添加被允许的IP活IP组,其他未提到的IP视为禁止访问。
这样,我们就对FTP服务器进行了一个初步的安全配置,更安全的FTP服务器配置由IISLockdown工具来完成。
任务三 IISLockdown的安装和配置
在上面两个任务中,分别对IIS的Web服务器和FTP服务器进行了安全配置,但是在IIS的所有选项中,只是设置了少数的安全选项。微软提供了可免费下载的IISLockdown工具,它可以对IIS进行更全面和更严格的安全性配置。IISLockdown的安装过程就是它的配置过程,具体步骤如下:
(1) 运行IISLockdown的可执行文件iislockd.exe,会弹出一个IISLockdown的安装
向导,单击下一步按钮开始安装,选择I agree同意许可证协议,单击下一步按钮则出现服务器模板选项
(2) 这一步是按照需要选择要配置成那种服务器类型,以进行安全性配置。例如:选
择“静态网页服务器”、动态网页服务器”、代理服务器”或者其他,本实验选择Static Web Server,即将此服务器配置为支持静态网页的Web服务器,单击下一步按钮
(3)在弹出的Internet服务对话框中,选择此服务器运行的协议
在本步骤中,未被选中的服务将被关闭,为了后续试验方便,我们再复选框中选中所有4个服务器,然后单击下一步按钮。
(3)在弹出的脚本映射对话框中,选择不支持的脚本映射。
由于.idq、.htr 等都存在安全漏洞,所以尽量保留尽可能少的脚本映射,除了最基本得ASP 外,将其他几项选中,单击下一步按钮,被选中的脚本映射类型将不被配置好的服务器所支持。
(4)在弹出的额外的安全选项中,选中复选框中的所有选项,单击下一步按钮
该步骤是选择需要删除的不必要的虚拟目录,这些目录是 IIS 安装完成后在 wwwroot下默认生成的。此外,还包括禁止某些匿名用户的操作。例如,执行cmd、tftp命令的权限,写目录的权限等。最后,还将存在缓冲区溢出漏洞的WebDav功能禁止了。
(5)在弹出的URLScan选项中,选中Install URLScan filter on the server
UrlScan是一种Internet服务应用程序编程接口筛选器,他可以根据一组规则来筛选或拒绝HTTP请求,从而使Web服务器远离攻击。微软将此工具集成到了IISLockdown,从而通过安装IISLockdown 实现了更全面的安全配置。
(6)检查设置是否符合自己的服务需要和安全要求,如果符合则单击下一步按钮,否则单击上一步按钮,返回,修改设置直到符合要求。
安装开始。由于我们再第一步选中了View template settings,所以,安装过程中窗口会显示每一步设置的实现过程
(7)配置过程完成后,可以单击View Report按钮,查看安装日志文件时安装过程的安全配置细节。如果满足要求,单击下一步,再单击完成按钮,最终完成安装。
六、实验结果总结 本实验中,建立高安全性的web服务器,删除了不必要的虚拟目录,停止默认的web站点,删除不必要的程序映射,修改了端口值,这些都大大提高了攻击者利用漏洞等方式进行攻击的难度。对web主目录的文件和目录进行权限设置,特别是everyone用户组必须将权限设置为只读,对日志进行安全维护,改变路径,设置权限,防止篡改。设置高安全性的FTP服务器配置,包括停止默认站点,设置目录权限,更改端口等。IISLockdown软件会对IIS进行更严格的配置,安装IIS,以便日后的配置。本实验中对IIS进行三方面的配置,都可以减少漏洞攻击、黑客侵入的可能,增强了系统安全性。
正在阅读:
服务器安全配置实验09-23
精选语文学习计划模板集合7篇03-28
家畜遗传育种复习题10-12
轨道交通洞门施工方案05-03
施组一标03-08
补习班宣传单(新)04-16
护理专业个人简历范文-护理专业个人简历范文 护理学个人简历03-12
初中语文教学中如何激发学生的情感07-19
志愿者、民警职责01-19
- 供应商绩效评价考核程序
- 美国加州水资源开发管理历史与现状的启示
- 供应商主数据最终用户培训教材
- 交通安全科普体验教室施工方案
- 井架安装顺序
- 会员积分制度
- 互联网对美容连锁企业的推动作用
- 互联网发展先驱聚首香港
- 公司文档管理规则
- 机电一体化系统设计基础作业、、、参考答案
- 如何选择BI可视化工具
- 互联网产品经理必备文档技巧
- 居家装修风水的布置_家庭风水布局详解
- 全省基础教育信息化应用与发展情况调查问卷
- 中国石油--计算机网络应用基础第三阶段在线作业
- 【知识管理专题系列之五十八】知识管理中如何实现“场景化协同”
- 网络推广方案
- 中国石油--计算机网络应用基础第二阶段在线作业
- 汽车检测与维修技术专业人才培养方案
- 详解胎儿颈透明层
- 配置
- 实验
- 服务器
- 安全
- 初三政治试题精选九年级政治下册专项练习题及参考答案
- 催 缴 学 费 通 知 书- 北京工商大学学生处(武装部) 首页
- 微观经济学试卷8
- 药事管理学期末复习模拟试题收集
- 燕厦小学教学工作总结
- 人教版语文一年级下册全部生字组词(拼音版)
- 2001~2010成考数学试题(文史类)分类题解
- 2015年中国研究型大学排行榜 - 图文
- 用SPSS软件对物流08班的《营销策划》试卷进行统计分析
- 公民科学素质测试100题
- 野兔的生活习惯和活动规律 - 图文
- 关于举办演讲比赛的通知
- 工程管理、造价专业2010级毕业设计安排(定稿)
- SIEMENS与FANUC数控系统复合循环指令在沟槽加工中的运用 - 穆瑞
- 物权法500字小论文
- 初中英语学困生的成因与对策
- 会计专业企业实习总结-实用word文档(4页)
- 四川省建设厅文件川建发112号 - 图文
- 计数函数及字符提取
- 考研英语翻译练习题:出国留学热