Web服务器安全管理.ppt

TNT2006-0512,IIS 6.0 Web服务器安全管理 最佳实践,姓名 职务 公司名称,首先具备的知识,掌握 Windows 2000/Windows Server 2003 的日常操作 了解 IIS（ Internet Information Server ）或者 IIS 日常操作 如果能够了解常见攻击方法或相关内容更佳,级别 200,概览,IIS 服务器不仅仅能够提供常见的 WEB 应用而且和很多服务器集合使用在企业中已经非常广泛，如何加固IIS 服务器安全您了解多少？ 是否安装了系统补丁并配置了防火墙就万无一失了？ 您是否了解 IIS 6.0 基础架构 了解如何保护IIS Web服务器安全、防范攻击以及优化IIS Web服务器的技巧、实践与工具,内容安排,IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源,metabase,IIS 6.0 架构,TCP/IP,INETINFO,ASP.NET ISAPI,Aspnet_wp.exe,CLR App Domain,CLR App Domain,CLR App Domain,IIS 6.0 必备知识,内容安排,IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源,我们将讨论,现在应立即采取的安全手段 未来要作的事情,安全术语,资产 （Asset） 脆弱性 （Vulnerability） 威胁 （Threat） 威胁因素 （Association） 风险 （Risk） 利用/暴露 (Exploits/Exposure) 对策 (Countermeasure),Web Services 面对的主要威胁和攻击,Web Services 面对的主要威胁和攻击,未授权的访问 漏洞 可导致通过 Web Services 进行未授权的访问的漏洞包括： 未使用身份验证 密码在 SOAP 头信息中以明文形式传递 在未加密的通信通道中使用基本身份验证,Web Services 面对的主要威胁和攻击,参数操纵 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。例如，攻击者可以截获 Web Services 消息（例如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改,Web Services 面对的主要威胁和攻击,网络窃听 通过网络窃听，当 Web Services 消息在网络中传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软件检索 SOAP 消息中包含的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息,Web Services 面对的主要威胁和攻击,配置数据的泄漏 Web Services 配置数据的泄漏的方法主要有两种。 第一种，Web Services 可能支持动态生成 Web Services 描述语言 (WSDL)，或者可能在 Web 服务器上的可下载文件中提供 WSDL 信息 第二种，如果异常处理不充分，Web Services 可能会泄漏对攻击者有用的敏感的内部实施详细信息,Web Services 面对的主要威胁和攻击,消息重播 Web Services 消息可能会在传递过程中经过多个中间服务器。通过消息重播攻击，攻击者可以捕获并复制消息，并模拟客户端将其重播到 Web Services。消息可能被修改，也可能保持不变,保护 Windows安全 安全检查列表,所有磁盘分区都是 NTFS的 管理员账号必须有一个复杂的密码 禁止不需要的服务 删除和禁止不必要的账号 移除不必要的文件共享 在文件、共享和注册表上设置访问权限列表 设置严格的安全策略 安装最新的service pack 和补丁 安装防病毒软件,保护 IIS安全 手把手教你设置 IIS 安全保护,预先的安全安装是必须的 组件安装的选择、利用IIS 内置的安全特性 设置合适的访问权限列表 访问控制和安全策略 远程管理的安全配置 在IIS log上设置合适的访问权限列表、同时设置合适的验证机制 启动日志记录（ W3C Extended Log） 规划恢复计划,演示 手把手教你保护IIS 掌握如何选择正确的IIS 组件 在IIS目录上设置合适的访问权限列表 启动日志记录,内容安排,IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源,使用安全利器 安全配置向导,用向导界面完成安全检查 完成 IIS 6.0 的配置 完全免费，Windows Server 2003 SP1 中内置 （从） 快速模式 高级模式 通俗易懂的帮助,使用安全利器 安全配置向导,使用系统内置安全利器 windows 防火墙,推荐使用单独的防火墙，但是在预算不足的情况下 基于端口的过滤 内置在操作系统中 对绝大多数攻击都有防护作用,使用系统安全利器 IPSEC,Windows Server 2000 /2003 内置,使用IIS安全利器UrlScan 2.5,注意，现在 UrlScan 2.5 已经内置在 IIS 6.0 中 URL 的深层防御,/kb/820129/en-us,使用IIS安全利器URL 授权,如何快速有效的进行服务器用户验证安全 除了服务器的安全标签，我们还可以配置,常见使用工具命令跟踪工具,Windows Server 2003: Logman 开始/停止记录 Tracerpt 分析跟踪文件 M 网站上可以下载: Log Parser 2.2 自定义跟踪分析 IISReqMon 分析当前正在执行的请求有用的工具 IISTrace 针对记录请求的有用的工具 即将发布的 “跟踪诊断工具” Request Monitor Manager 基于用户界面的有用工具,常见使用工具命令跟踪工具,返回: 工作进程统计 返回所有正在执行进程的统计 非常有用的研究工具,logman start CurrRequests p “IIS: Request Monitor“ -ets,提供者的名称,跟踪的文件名,使用系统安全利器安全模板,如何快速有效的进行服务器安全 不要忘记我们拥有安全模板,使用系统安全利器SSL,如何保证用户访问服务器的安全性 例如用户名、密码、内容,使用安全利器 MBSA,众多案例显示利用操作系统安全漏洞入侵从而控制IIS 检查计算机的补丁情况 图形化界面的工具,演示 利用安全向导进行服务器安全加固 利用 IPSec 进行安全信息传输和进行不安全访问的阻隔 利用windows 防火墙阻隔不需要的访问 利用URLSCAN2.5 进行IIS 服务器的安全加固,内容安排,IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源,今天如何做起,配置 Microsoft Active Directory IIS 服务器 OU 结构,今天如何做起,IIS 服务器强化步骤,今天如何做起,IIS 服务器强化步骤,今天如何做起,IIS 服务器强化步骤,谈论安全 今天如何做起,发送mail 到 microsoft_ 安装和运行升级通知工具 订阅或登陆下载 Security tool kit,contoso.corp,SQL,DC,IIS,,DC,IIS,DMZ,企业内网,ISA,场景学习,Internet,场景回顾,步骤 1：熟悉 IIS 基本架构 步骤 2：根据企业具体要求配置相关安全配置选项 步骤 3：使用前面介绍的安全利器 步骤 4：配置防火墙保护相关服务器 步骤 5：定期查看日志制度的建立 步骤 6：制定相关灾难恢复计划 步骤 7：测试 步骤 8：重复以上步骤,讲座总结,检视一遍安全清单 应用最新的补丁 经常检查你的网络安全性,/technet/ security/bulletin/notify.asp,答疑,参考资源,/forums/ShowForum.aspx?ForumID=144,参考资源,微软安全中心 /china/security/default.mspx 在线IIS 学习资源 /windowsserver2003/iis/support/webcasts.mspx 为 IWAM 帐户配置的标识不正确 /?id=297989,参考资源,Security Configuration Wizard: /windowsserver2003/technologies/security/configwiz/default.mspx Troubleshooting IIS 6.0 with Tracing: /technet/prodtechnol/WindowsServer2003/Library/IIS/f4535a1e-09da-4347-86ee-f51aef0dabbe.mspx IISReqMon (Windows Hosting Solution): /downloads/info.aspx?na=46&p=8&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=1cb154f4-2b88-45e8-8a6d-bf41ccbf386b&genscs=&u=http%3a&2f%2%2fdownload%2fe%2fc%2f5%2fec553d88-0bec-4255-97a3-a914f0ea8d92%2fWebHosting.zip IIS Diagnostics Toolkit: /windowsserver2003/IIS/diagnogstictools/default.mspx,参考资源,IIS 5.0基本安全性检查清单 /china/security/tools/iis5cl.asp Learn what else is new in Service Pack 1 for IIS 6.0 /CUI/WebCastEventDetails.aspx?EventID=1032279399&EventCategory=4&culture=en-US&CountryCode=US,TechNet是什么?,只需轻轻点击，答案就在您的指尖 对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源,每月发放包含最新信息的 DVD或者CD 这是最权威的资源，可以帮助你评估、配置和维护微软产品。,订阅TechNet,可以访问该站点 /china/technet 在线资源和社区 订户-仅仅提供在线服务,TechNet 网站,两周发放一次的中文电子快报 安全更新, 新的资源等等,TechNet 中文电子快报,有关最新微软产品介绍和技术的简报 上机试验, “如何操作”等信息,TechNet 活动 和网站消息,用户群 可管理的新闻组,中文社区,我们从哪里可以了解到 TechNet?,访问TechNet的官方网站 www.micro