服务器安全配置实验

一、 实验项目名称

服务器的安全配置实验 二、 实验目的

通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施，实现Web服务器和FTP服务器的安全配置 三 、实验内容与实验步骤

1、用IIS建立高安全性的Web服务器 2、FTP服务器的安全配置

3、IIS Lockdown的安装和配置 四、 实验环境

安装Windows 2000/XP操作系统的计算机一台，并且完全安装IIS服务。 五、实验过程与分析

任务一 用IIS建立高安全性的Web服务器 1、删除不必要的虚拟目录

打开“*\\wwwroot”（其中*代表IIS的安装路径），删除在IIS安装之后，默认生成的目 录，包括IISHelp、IISAdmin、IISSamples、MSADC等。这些默认生成的目录是众所周 知的，容易给攻击者留下入侵的机会。

2、停止默认的Web站点

打开控制面板->管理工具->Internet服务管理器，右键单击默认Web站点，在弹出的菜单中单击停止，根据需要启用自己创建的Web站点默认的Web的根目录，默认在inetpub\\wwwroot,还有其它一系列的参数设置也都是众所周知的，如果采用这些默认配置，将大大减小攻击难度。

3、IIS中的文件和目录进行分类，区别设置权限

对于Web主目录中的文件和目录，单击鼠标右键，在属性中按需要给他们分配适当权限。一般情况下，静态文件允许读，拒绝写；ASP脚本文件、exe可执行程序等允许执行，拒绝读写；通常不要开放写权限。此外，所有的文件和目录要将everyone用户组的权限设置为只读权限。

4、删除不必要的应用程序映射

在Internet服务管理器中，右击网站目录，选择属性，在网站目录属性对话框的主目 录页面中，单击配置按钮在弹出“应用程序配置对话框的应用程序映射”页面，删除无用的程序映射。在大多数情况下，只需要留下.asp一项即可，将.ida、.htr等全部删除，以避免攻击者利用这些程序映射存在的漏洞对系统进行攻击。

5、维护日志安全

在“Internet服务管理器”中，右击网站目录，选择属性在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，单击旁边的“属性”按钮在“常规属性”页面中，单击“浏览”按钮或者直接在输入框中输入修改后的日志存放路径即可。

修改路径后的日志文件要适当设置权限，它的文件权限建议administrator和system用 户为完全控制，everyone为只读，同时，建议与web主目录文件放在不同的分区，以 增加攻击者利用路径浏览日志存放的路径难度，防止攻击者恶意篡改日志。

6、修改端口值

在“Internet服务管理器”中，右击网站目录，选择属性在网站目录属性对话框的“Web”站点页面中，Web服务器默认端口值为 80，这是众所周知的，而端口号是攻击者可以利用的一个便利条件。将端口号改用其他值，可以增加安全性，当然也会给用户访问带来不便，系统管理员根据需要决定是否采用此策略。 任务二 FTP服务器的安全配置 （1）停止默认的FTP站点。

打开控制面板->管理工具->\服务管理器\，右击“默认FTP站点\在弹出的菜单中单击停止按钮，根据需要启用自己的FTP站点，其目的也是避免使用众所周知的默认服务器设置。

（2）FTP页面上，将TCP端口的21改为其他值，改用其他端口值使攻击者无法得到服务器的端口号，从而增大了攻击难度，但同时也会给用户带来不便。

（3）在FTP页面上，选中\启用日志记录\，将日志目录和FTP目录分放在不同的路径下并参照Web服务器的权限设置，设置文件和文件目录的权限，以保护日志的安全性。

（4）在账号安全页面，取消\允许匿名连接\选项，在\站点操作员\只留下系统管理员一个账号，这就要求只有知道账号和密码的用户才可以登录和管理FTP服务器，限制了匿名用户等其他用户的行为。

（5）在“主目录页面”设置FTP主目录

注意：该目录不要与系统路径在同一个磁盘区，删除everyone用户组，设置其他用户的权限为可读不可写，只对管理员保留完全控制权限。

（6）在“目录安全性”页面中添加被拒绝的IP或IP组，其他未提到的IP视为允许访问。在选中“拒绝访问”的情况下。可以添加被允许的IP活IP组，其他未提到的IP视为禁止访问。

这样，我们就对FTP服务器进行了一个初步的安全配置，更安全的FTP服务器配置由IISLockdown工具来完成。

任务三 IISLockdown的安装和配置

在上面两个任务中，分别对IIS的Web服务器和FTP服务器进行了安全配置，但是在IIS的所有选项中，只是设置了少数的安全选项。微软提供了可免费下载的IISLockdown工具，它可以对IIS进行更全面和更严格的安全性配置。IISLockdown的安装过程就是它的配置过程，具体步骤如下：

(1) 运行IISLockdown的可执行文件iislockd.exe，会弹出一个IISLockdown的安装

向导，单击下一步按钮开始安装，选择I agree同意许可证协议，单击下一步按钮则出现服务器模板选项

(2) 这一步是按照需要选择要配置成那种服务器类型，以进行安全性配置。例如：选

择“静态网页服务器”、动态网页服务器”、代理服务器”或者其他，本实验选择Static Web Server，即将此服务器配置为支持静态网页的Web服务器，单击下一步按钮

（3）在弹出的Internet服务对话框中，选择此服务器运行的协议

在本步骤中，未被选中的服务将被关闭，为了后续试验方便，我们再复选框中选中所有4个服务器，然后单击下一步按钮。

（3）在弹出的脚本映射对话框中，选择不支持的脚本映射。

由于.idq、.htr 等都存在安全漏洞，所以尽量保留尽可能少的脚本映射，除了最基本得ASP 外，将其他几项选中，单击下一步按钮，被选中的脚本映射类型将不被配置好的服务器所支持。

（4）在弹出的额外的安全选项中，选中复选框中的所有选项，单击下一步按钮

该步骤是选择需要删除的不必要的虚拟目录，这些目录是 IIS 安装完成后在 wwwroot下默认生成的。此外，还包括禁止某些匿名用户的操作。例如，执行cmd、tftp命令的权限，写目录的权限等。最后，还将存在缓冲区溢出漏洞的WebDav功能禁止了。

（5）在弹出的URLScan选项中，选中Install URLScan filter on the server

UrlScan是一种Internet服务应用程序编程接口筛选器，他可以根据一组规则来筛选或拒绝HTTP请求，从而使Web服务器远离攻击。微软将此工具集成到了IISLockdown，从而通过安装IISLockdown 实现了更全面的安全配置。

（6）检查设置是否符合自己的服务需要和安全要求，如果符合则单击下一步按钮，否则单击上一步按钮，返回，修改设置直到符合要求。

安装开始。由于我们再第一步选中了View template settings,所以，安装过程中窗口会显示每一步设置的实现过程

（7）配置过程完成后，可以单击View Report按钮，查看安装日志文件时安装过程的安全配置细节。如果满足要求，单击下一步，再单击完成按钮，最终完成安装。

六、实验结果总结 本实验中，建立高安全性的web服务器，删除了不必要的虚拟目录，停止默认的web站点，删除不必要的程序映射，修改了端口值，这些都大大提高了攻击者利用漏洞等方式进行攻击的难度。对web主目录的文件和目录进行权限设置，特别是everyone用户组必须将权限设置为只读，对日志进行安全维护，改变路径，设置权限，防止篡改。设置高安全性的FTP服务器配置，包括停止默认站点，设置目录权限，更改端口等。IISLockdown软件会对IIS进行更严格的配置，安装IIS，以便日后的配置。本实验中对IIS进行三方面的配置，都可以减少漏洞攻击、黑客侵入的可能，增强了系统安全性。

本文来源：https://www.bwwdw.com/article/j0zd.html