信息安全管理2.ppt

信息安全管理 二 一 容灾与数据备份 容灾就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为 容灾的目的和实质就是保持信息系统的业务持续性 将灾难损失降到可容忍的范围 容灾方案需要考虑的要点 灾难的类型恢复时间恢复程度实用技术成本 容灾等级 第0级 本地冗余备份 投资少 技术简单 但原始数据和备份数据可能一起被毁第1级 数据介质转移 数据异地存放 安全保管 但无备用系统 会丢失部分数据第2级 应用系统冷备 数据异地存放 有备用系统 系统硬件冷备份 会丢失部分数据第3级 数据电子传送 使用网络传输技术 自动异地备份 提高备份频率第4级 应用系统温备 备份系统处于活动状态 数据恢复达到小时级第5级 应用系统热备 系统镜像 同步更新 灾难发生时需要人工切换 数据恢复达到分钟级第6级 数据零丢失 在线实时镜像 作业动态分配 自动切换 数据备份 数据备份是指为了防止出现因自然灾害 硬件故障 软件错误 认为误操作等造成的数据丢失 而将全部或部分原数据集合复制到其他的存储介质中的过程 当数据丢失或被破坏时 结合其他恢复工具 原数据可以从备份数据中恢复出来 数据备份策略完全备份 每隔一段时间对系统进行一次全面备份增量备份 先对系统进行一次完全备份 然后每隔一段时间进行一次备份 仅仅备份在这个期间更改的内容累计备份 备份从上次进行完全备份后更改的全部数据文件混合应用 设立备份周期 结合不同备份方式的特点 制定策略 备份策略设计周一 完全备份周二 增量备份周三 增量备份周四 增量备份周五 累计备份周六 增量备份周日 增量备份 常用的数据备份技术1 NAS 作为以太网文件服务器 提供文件级数据访问2 远程镜像技术 又叫远程复制 产生同一个数据的镜像视图3 快照技术 在远程存储系统中产生多个逻辑备份4 IPSAN 建立高速子网提供高性能存储环境 可实现动态数据块存储 1 批处理命令实现备份固定路径的备份 mdc date xcopyd 1c date e y c说明 Md新建文件夹Data当前日期XCOPYsource destination 参数 y e source指定要复制的文件 destination指定新文件的位置和 或名称 e复制目录和子目录 包括空的 y禁止提示以确认改写一个现存目标文件 c即使有错误 也继续复制 2 利用SuperFlexible软件备份数据同步文件备份工具 用于在不同位置PC 笔记本电脑和服务器之间备份数据或同步文件支持定时自动备份 可同步文件 支持多配置文件 检测删除的文件 支持计划运行 可用邮件通知 支持完全镜像模式备份 可安全备份数据库文件 支持备份一个文件的多个版本 支持日志 支持备份超过64GB的文件 练习 1 d a与e b之间测试各种备份方式 如完全备份 增量备份 累计备份 删除文件同步等 2 d a与ftp 10 144 0 19 io 之间测试网络备份3 根据需要制定一个合适需求的7天的混合备份策略 并用SuperFlexible实现 数据灾难恢复 数据的灾难恢复是在计算机发生意外故障时 使硬盘上的文件信息丢失的故障降到最低 为了提高灾难恢复的成功率 我们在平时使用电脑时应注意一下几点 1 重要的资料归档分类2 数据存储在硬盘分区的后面几个分区 系统盘读写频繁 容易损坏 恢复困难3 定期备份 最好能做到异地网络备份 数据存储原理及硬盘分区 硬盘是计算机中最重要的数据存储设备 计算机的操作系统 应用软件 驱动程序 数据资料都保存在硬盘中 硬盘的外部结构包括接口 控制电路板和外壳 硬盘接口分为IDE SATA SCSI和光纤通道四种 1 硬盘的内部结构 2 硬盘工作原理 硬盘读写期间 硬盘磁头通常在硬盘盘面上进行读写数据的操作 磁头本身悬浮于盘片上方 与盘片的距离在0 3微米以内 当运行期间驱动器发生物理震动时 驱动器磁头和驱动器盘面可能会直接发生接触 从而造成数据丢失 甚至形成物理坏道 造成硬盘损坏 所以硬盘的损坏通常来自于硬盘的物理震动 发生在硬盘进行读写操作时 对于用户来说个人数据安全非常重要 很多数据是不能丢失的 毫不夸张地说 硬盘上存储的数据的价值甚至要超过电脑本身 因此 安全性 理所当然地成为电脑的重点 3 硬盘分区 分区后将硬盘分成主引导扇区 操作系统引导扇区 FAT表 DIR目录区和Data数据区五部分 其中主引导扇区MBR在一个硬盘中是是唯一的 MBR区的内容只有在硬盘启动时才读取其内容 然后驻留内存 其它4部分则根据硬盘分区的多少而异 主引导扇区MBR位于整个硬盘的0磁道0柱面1扇区 包括硬盘主引导记录MBR MainBootRecord 和分区表DPT DiskPartitionTable 其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区 并在程序结束时把该分区的启动程序 也就是操作系统引导扇区 调入内存加以执行 操作系统引导扇区OBR OSBootRecord 通常位于硬盘的0磁道1柱面1扇区 对于多重引导方式启动的系统则位于相应的主分区 扩展分区的第一个扇区 是操作系统可直接访问的第一个扇区 它也包括一个引导程序和一个被称为BPB BIOSParameterBlock 的本分区参数记录表 文件分配表FAT FileAllocationTable 是DOS Win9x系统的文件寻址系统 目录区DIR是Directory即根目录区的简写 DIR记录着每个文件 目录 的文件名 扩展名 起始单元 这是最重要的 文件的属性 大小 创建日期 修改日期等住处内容 操作系统在读写文件时 根据DIR中的起始单元 结合FAT表就可以知道文件在磁盘的具体位置 然后顺序读取每个簇的内容就可以了 数据区DATA是真正意义上的数据存储区 DATA虽然占据了硬盘的绝大部分空间 但没有了前面的各部分 它对于我们来说只能是一些没有任何意义的二进制代码 我们通常所说的格式化程序Format 并没有把DATA区的数据清除 只是重写了FAT表而已 至于硬盘分区 也只是修改了MBR和OBR 绝大部分的DATA区的数据并没有被改变 这也是许多硬盘数据能够得以修复的原因 如果你经常整理磁盘 那么你的数据区的数据可能是连续的 这样即使MBR FAT DIR全部坏了 我们也可以使用数据恢复软件如Finaldata 只要找到一个文件的起始保存位置 就可以恢复了 硬盘分区表损毁如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候 突如其来的断电有很大可能会产生分区表损坏 造成硬盘所有分区信息丢失 无法进入操作系统 更严重的是由于FAT表被破坏 文件起始地址无法查找 所有数据都不能访问 如果硬盘数据不重要的话 只要重新分区并格式化 硬盘就可以重新使用了 但是 如果里面有比较重要的数据 怎样在保存系统和数据的情况下解决这个问题呢 我们可以用DiskMan这个软件去自动修复分区表 该软件采用图形界面 以图表的形式揭示了分区表的详细结构 具有分区表重建功能 能自动恢复被破坏的分区表 还可以备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息 常见Raid故障及可恢复性分析1 软件故障 a 突然断电造成RAID磁盘阵列卡信息的丢失的数据恢复 b 重新配置RAID阵列信息 导致的数据丢失恢复 c 如果磁盘顺序出错 将会导致系统不能识别数据 d 误删除 误格式化 误分区 误克隆 文件解密 命毒损坏等数据恢复工作 2 硬件损坏 a raid一般都会有几块硬盘 其中某一块硬盘出现损坏 数据将无法读取 b raid出现坏道 导致数据丢失 这种恢复成功率比较大 c 如果硬盘同时出现两块以上的损坏 恢复工作非常复杂 成功率比较低 RAID故障注意事项1 数据丢失后 用户千万不要对硬盘进行任何操作 将硬盘按顺序卸下来 用镜像软件将每块硬盘做成镜像文件 留下备份盘 2 不要对Raid卡进行Rebuild操作 否则会加大恢复数据的难度 3 标记好硬盘在Raid卡上面的顺序 4 一旦出现问题 可以拨打专业数据恢复中心的咨询电话找专业工程师进行咨询 切忌自己试图进行修复 除非你确信自己有足够的技术和经验来处理数据风险 上海数据恢复中心联系电话 800 819916613818281066 FinalDataV2 0超级数据恢复工具 其特性功能包括 支持FAT16 32和NTFS 恢复完全删除的数据和目录 恢复主引导扇区和FAT表损坏丢失的数据 恢复快速格式化的硬盘和软盘中的数据 恢复CIH破坏的数据 恢复硬盘损坏丢失的数据 通过网络远程控制数据恢复等等 在Windows环境下删除一个文件 只有目录信息从FAT或者MFT NTFS 删除 这意味着文件数据仍然留在你的磁盘上 所以 从技术角度来讲 这个文件是可以恢复的 FinalData就是通过这个机制来恢复丢失的数据的 在清空回收站以后也不例外 另外 FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复 甚至在极端的情况下 如果目录结构被部分破坏也可以恢复 只要数据仍然保存在硬盘上 数据恢复工具 RecoverMyFiles可根据文件类型快速恢复数据 恢复步骤 1 选择分区 扫描分区目录表 检测出已删除的文件2 定义恢复文件的簇大小 1Mb 256个簇3 将文件保存到其他分区 数据恢复练习 1 在d 新建一个word文件 输入一些字符后保存 将这个文件删除 并清空回收站 利用finaldata恢复这个文件到c 利用RecoverMyFiles恢复 2 对d 进行格式化利用finaldata恢复原来d盘的文件到c 利用RecoverMyFiles恢复 数据库创建 备份 恢复和调用以SQl2000为例一 1 建立一个数据库abc 创建一个含有id和name字段的数据表123 添加几条记录2 制作备份abc bak 然后删除数据库abc3 新建数据库abc 将备份还原到数据库上 查看数据表中的记录4 建立一个定时备份的维护计划 每天23点定时备份 二 新建一个数据库 名字任意 将一个外部备份文件还原到这个数据库上 查看数据表字段 观察SQL注入攻击型态 Sqlserver数据库备份 数据库自动备份必须要启动TaskScheduler服务 二 操作系统安全设置 操作系统主要负责处理器管理 存储管理 文件管理 设备管理和作业管理 一般分为内核 Kernel 和壳 Shell 操作系统安全要素 用户认证存储器保护文件和I o设备的访问控制共享的实现内部进程通信同步 硬件 硬件抽象层 HAL I O管理器 微内核 对象管理器 安全引用监视器 本地过程调用程序 进程管理器 虚拟内存管理器 图形设备管理器 即插即用管理器 电源管理器 配置管理器 缓存管理器 安全子系统 LSA Win32子系统 其他子系统 Posix RAS 登录过程 Winlogon DOS客户 Win32客户 其他客户 Posix RAS Win16客户 WOW VDM 内核模式 0GB 2GB 用户模式 2GB 4GB Windows2000系统结构 基本功能调度线程执行在线程之间切换设备环境捕获并处理中断和异常对内核对象的管理在处理器之间负责同步 在多处理器系统中 内核进程的特性内核的执行除了中断服务例程 ISR 外 不会被其他线程所抢先内核的大部分代码和数据不会被调页到物理RAM之外内核和执行体 对象管理器 内存管理器等统称为执行体 的关系 两者都在文件C WINNT SYSTEM32 NTOSKRNL EXE中实现执行体具有相对较高的级别内核不能从用户模式调用 其功能是通过执行体来从用户模式下访问的 操作系统微内核 Windows重要的系统文件 硬件 硬件抽象层 HAL I O管理器 微内核 对象管理器 安全引用监视器 本地过程调用程序 进程管理器 虚拟内存管理器 图形设备管理器 即插即用管理器 电源管理器 配置管理器 缓存管理器 安全子系统 LSA Win32子系统 其他子系统 Posix RAS 登录过程 Winlogon DOS客户 Win32客户 其他客户 Posix RAS Win16客户 WOW VDM Windows子系统与文件的对应关系 对应文件NTOSKRNL EXE 对应文件HAL DLL KERNEL32 DLL GDI32 DLL USER32 DLL ADVAPI32 DLL WIN32K SYS PSXSS DLL PSXDLL DLL LSASS EXE NT Win2000启动所需文件 Ntldr 这是一个隐藏的 只读的系统文件 用来装载操作系统Boot ini 这是一个只读的系统文件 用来在基于Intelx86的计算机上建立启动装载操作系统选择菜单的文件Bootsect dos 这是个隐藏的系统文件 如果另外的操作系统被选择 则被Ntldr装载到内存 N 这是个隐藏的 只读系统文件 用于检测可用的硬件并建立一个硬件列表Ntbootddd sys 这个文件仅被从SCSI磁盘启动的系统使用 NT Win2000共同的启动序列文件是 Ntoskrnl exe WindowsNT的内核System 这个文件是系统配置设置的集合 Devicedrivers 这些是支持各种设备驱动器的文件Hal dll 硬件抽象层软件 WINDOWS系统启动所需的文件 NT Win2000启动序列如下 电源自检程序开始运行主引导记录被装入内存 并且程序开始执行活动分区的引导扇区被装入内存Ntldr从引导扇区被装入并初始化将处理器的实模式改为32位平滑内存模式Ntldr开始运行适当的小文件系统驱动程序 小文件系统驱动程序是建立在NTLDR内部的 它能读FAT或NTFS Ntldr读boot ini文件Ntldr装载所选操作系统 如果WindowsNT被选择 Ntldr运行N 对于其他的操作系统 Ntldr装载并运行Bootsect dos然后向它传递控制 windowsNT过程结束 N搜索计算机硬件并将列表传送给Ntldr 以便将这些信息写进HKEY LOCAL MACHINE HARDWARE中 然后Ntldr装载Ntoskrnl exe Hal dll和系统信息集合Ntldr搜索系统信息集合 并装载设备驱动配置以便设备在启动时开始工作Ntldr把控制权交给Ntoskrnl exe 这时 启动程序结束 装载阶段开始 WINDOWS系统启动的过程 基本的系统进程smss exe会话管理器csrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe本地安全性鉴别子系统 系统服务 svchost exe包含很多系统服务spoolsv exe将文件加载到内存中以便迟后打印 系统服务 explorer exe资源管理器internat exe输入法 Windows基本的系统进程 操作系统术语 句柄 用来惟一标识资源 例如文件中注册表项 的值 以便程序可以访问它 线程Threads 被系统独立调度和分派资源的基本单位 线程允许在进程中进行并发操作 并使一个进程能够在不同处理器上同时运行其程序的不同部分 进程Processes 一个可执行程序或者一种服务在计算机上的一次执行活动 当你运行一个程序 你就启动了一个进程 系统首先为该程序进程建立一个默认线程 然后程序可以根据需要自行添加或删除相关的线程 一个进程可以包含若干线程 这些线程可以帮助应用程序同时做几件事 提高运行效率 基本系统进程 其中System和 SS EXE运行在纯内核态 无法结束 Csrss exe 子系统服务器进程 负责控制Windows创建或删除线程以及16位的虚拟DOS环境 Smss exe 会话管理子系统 负责启动用户会话 Lsass exe 本地的安全授权服务 管理IP安全策略以及启动IKE和IP安全驱动程序 Services exe 系统服务的管理工具 Explorer exe 资源管理器 Svchost exe 系统启动的时检查注册表中的位置来创建需要加载的服务列表 如果多个Svchost exe同时运行 则表明当前有多组服务处于活动状态 多个DLL文件正在调用它 winlogon exe管理用户登录SystemIdleProcess 空闲进程 作为单线程运行在每个处理器上并在系统不处理其它线程的时候分派处理器的时间 Spoolsv exe 管理缓冲区中的打印和传真作业 常见病毒进程 Avserve exe 震荡波病毒Diagcfg exe 广外女生木马lexpl0re exe 恶邮差病毒Rundll32 exe 狩猎者病毒Runouce exe 中国黑客病毒Kernel32 exe 冰河木马Krn132 exe 求职信病毒Load exe 尼姆达病毒Msblast exe 冲击波病毒wgavm exe 魔鬼波Fujacks B 熊猫烧香病毒 组策略gpedit msc 组策略是管理员为用户和计算机定义并控制程序 网络资源及操作系统行为的主要工具 通过使用组策略可以设置各种软件 计算机和用户策略 组策略对本地计算机可以进行两个方面的设置 本地计算机配置和本地用户配置 所有策略的设置都将保存到注册表的相关项目中 对计算机策略的设置保存到注册表的HKEY LOCAL MACHINE的相关项中 对用户的策略设置将保存到HKEY CURRENT USER相关项中 这里的 计算机配置 是对整个计算机中的系统配置进行设置的 它对当前计算机中所有用户的运行环境都起作用 而 用户配置 则是对当前用户的系统配置进行设置的 它仅对当前用户起作用 组策略的应用 1 禁止访问 控制面板 如果你不希望其他用户访问计算机的控制面板 你只要运行组策略编辑器 并在左侧窗口中展开 本地计算机策略 用户配置 管理模板 控制面板 分支 然后将右侧窗口的 禁止访问控制面板 策略启用即可 查看注册表 找到键值与组策略的关系 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 下的NoControlPanel2 禁止访问注册表编辑器防止他人修改你的注册表 可以在组策略中禁止访问注册表编辑器 展开 用户配置 管理模板 系统 然后找到并双击 阻止访问注册表编辑器 项 并将其设置为 已启用 这样用户在试图启动注册表编辑器时 系统将提示 注册编辑已被管理员停用 3 安全日志审核Windows的默认安装是不开任何安全审核的 我们可以审核登录尝试 系统关闭或重新启动以及类似的事件 展开 计算机配置 Windows设置 安全设置 本地策略 审核策略 设置相应的审核 如登陆失败 下面的这些审核是必须开启的 其他的可以根据需要增加 策略设置审核系统登陆事件成功 失败审核帐户管理成功 失败审核对象访问成功审核策略更改成功 失败审核特权使用成功 失败审核系统事件成功 失败 Windows的日志系统类型 Windows有三种类型的事件日志 系统日志跟踪各种各样的系统事件 比如跟踪系统启动过程中的事件或者硬件和控制器的故障 应用程序日志跟踪应用程序关联的事件 比如应用程序产生的象装载DLL 动态链接库 失败的信息将出现在日志中 安全日志跟踪事件如登录上网 下网 改变访问权限以及系统启动和关闭 注意 安全日志的默认状态是关闭的 日志在系统的位置是 SYSTEMROOT system32 config SysEvent Evt SYSTEMROOT system32 config SecEvent Evt SYSTEMROOT system32 config AppEvent EvtLOG文件在注册表的位置是 HKEY LOCAL MACHINE System CurrentControlSet Services Eventlog Windows日志系统的存放位置 微软管理控制台MMC MMC是一个集成管理的工作平台 通过它可以创建 保存或打开系统管理工具 从而管理计算机的 软件和系统的网络组件 以及进行系统的维护 MMC本身并不执行管理功能 它只是集成众多的管理工具 接纳并管理执行各种系统功能的工具 通过选择GPE插件来打开各种工具 MMC控制台的界面由两个窗格组成 左边是控制台的目录树 在此显示控制台目前可用的项目 右边的窗格是详细资料窗格 当在树目录下选择某选项时 此窗格将显示相应详细信息 改变左边的选项 右边的详细资料发生相应的改变 向控制台树添加项目要向控制台树添加项目 可以使用MMC主工具栏上 文件 菜单中的 添加 删除管理单元 命令 在 添加 删除管理单元 对话框中 管理单元添加到 决定要添加的新项目位于控制台树上的哪个项目下面 默认值是 控制台根节点 可以单击 管理单元添加到 中的项目来定位控制台树之外的对象 在桌面建立控制台mmc1 要求包含本地用户和组 服务 事件查看器 本地计算机策略等单元 系统帐户管理 一 Windows用户帐户类型域用户帐户 存储在域控制器的ActiveDirectory数据库内 用户可以利用域用户帐户登录域 并利用强访问网络上的资源 如 访问域中其他计算机内的文件 打印机等资源 本地用户帐户 是创建在非域控制器的 本地安全帐户数据库 内 用户可以利用本地用户由帐户登录该帐户所在的计算机 只能够访问这台计算机内的资源 无法访问网络上的资源 如果要访问其他计算机内的资源 则必须输入该计算机内的帐户名称与密码 二 添加用户帐户 设置权限利用控制面板 用户帐户 创建一个受限帐户abc 利用组策略设置用户权限 一个系统中存在多个用户的话可设置不同的用户权限 在编辑器窗口的左侧窗口中逐级展开 计算机配置 Windows设置 安全设置 本地策略 用户权限指派 分支 双击改变装载和卸载驱动程序的用户权限 单击 添加用户或组 按钮 指派给abc账号 最后单击 确定 按钮退出 三 用户配置文件或登录脚本设置用户的工作环境计算机管理 本地用户和组 用户 某个用户属性中选择配置文件 系统服务是通过在后台运行特定的程序来提供控制硬件 实现计算机管理 网络连接和维护 保证系统安全等功能 这些功能我们可以人为进行控制 以达到优化系统和网络 保证安全的目的 这些 服务 有些是必须要运行的 而很多 服务 对于我们一般用户来说是没有价值的 可以关闭 在xp系统中 有近90个服务 默认安装完XP后 系统会开启30多个服务 其中不少对于普通用户根本用不到或暂时用不到 反而浪费了相当多的内存和系统资源 影响了系统启动和运行的速度 我们只需要其中几个就够用了 禁止所有不必要的服务可以节省很多内存和大量系统资源 系统服务services msc Windows系统服务 单击 开始 指向 设置 然后单击 控制面板 双击 管理工具 然后双击 服务 在列表框中显示的是系统可以使用的服务Windows下可以在命令行中输入services msc打开服务列表 服务包括三种启动类型 自动 手动 已禁用 自动 Windows2000启动的时候自动加载服务手动 Windows2000启动的时候不自动加载服务 在需要的时候手动开启已禁用 Windows2000启动的时候不自动加载服务 在需要的时候选择手动或者自动方式开启服务 并重新启动电脑完成服务的配置双击需要进行配置的服务 出现下图所示的属性对话框 Windows系统服务的启动类型 必须的系统服务 DHCPclient 客户端自动获取IP地址时需要EventLog 系统日志纪录服务NetworkConnections 网络连接PlugandPlay 自动查测新装硬件 即插即用PrintSpooler 打印机用ProtectedStorage 储存本地密码和网上服务密码Remoteaccessautoconnectionmanager 宽带 网络共享RemoteProcedureCall RPC 远程过程调用 系统核心服务server 局域网文件 打印共享需要Telephony 拨号服务WindowsAudio 控制音频 关闭就没有声音WindowsManagementInstrumentation 对象管理程序 建议禁用的系统服务 DistributedLinkTrackingClient 分布式连结追踪客户端 4MbDNSClient DNS客户端服务IMAPICD BurningCOMService XP刻牒服务 1 6MbIndexingService 索引服务 严重影响速度Messenger 信使 可中妖刺病毒MSSoftwareShadowCopyProvider 磁盘区阴影复制QoSRSVP 网络质量服务 保留20 带宽Remotedesktophelpsessionmanager 远程帮助服务 4Mbremoteregistry 远程注册表运行修改 大漏洞removablestorage 磁带备份systemrestoreservice 系统还原服务 占有大量内存taskscheduler windows计划服务telnet 远程登陆服务 大漏洞terminalservices 远程终端服务 漏洞Webclient 提供 net服务 帐户策略所有安全策略都是基于计算机的策略 帐户策略定义在计算机上 然而却可影响用户帐户与计算机或域交互作用的方式 帐户策略包含三个子集 1 密码策略 用于域或本地用户帐户 确定密码设置 如强制执行和有效期限 2 帐户锁定策略 用于域或本地用户帐户 确定某个帐户被锁定在系统之外的情况和时间长短 3 Kerberos策略 用于域用户帐户 确定与Kerberos相关的设置 如票的有限期限和强制执行 本地计算机策略中没有Kerberos策略 与帐户策略具有类似行为的 安全选项 有两个策略 它们是 网络访问 允许匿名SID NAME转换网络安全登录时间超时时强制注销 Windows系统近几年的攻击都偏重在IIS上 曾在2001到2002年大肆流行的Nimda CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的 由于NT 2000系统上使用IIS作为WWW服务程序居多 再加上IIS的脆弱性以及与操作系统相关性 整个NT 2000系统的安全性也受到了很大的影响 通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情 所以 配置和管理好你的IIS在整个系统配置里面显得举足轻重了 Windows应用服务器安全 IIS服务安全配置 IIS的配置可以分为以下几方面 1 删除目录映射默认安装的IIS默认的根目录是C inetpub 我们建议你更改到其他分区的目录里面 比如 D inetpub目录 默认在IIS里面有Scripts IISAdmin IISSamples MSADC IISHelp Printers这些目录映射 建议你完全删除掉安装IIS默认映射的目录 包括在服务器上真实的路径 systemroot 是一个环境变量 在具体每台服务器上可能不一样 默认值由安装时候选择目录决定 Scripts对应c inetpub scripts目录IISAdmin对应 systemroot System32 inetsrv iisadmin目录IISSamples对应c inetpub iissamples目录 MSADC对应c programfiles commonfiles system msadc目录 IISHelp对应 systemroot help iishelp目录 Printers对应 systemroot web printers目录 还有一些IIS管理员页面目录 IISADMPWD对应 systemroot system32 inetsrv iisadmpwd目录IISADMIN对应 systemroot system32 inetsrv iisadmin目录 Frontpage扩展服务从控制面板里面打开 添加或删除程序 选择 添加 删除windows组件 选择 Internet信息服务 IIS 点 详细信息 请确认FrontPage2000服务器扩展没有被勾上 如果有 则取消掉 点确定就可以了 提示 微软公司提供了一个叫iislockd的程序 它可以用来帮助你更安全的配置IIS 禁用或删除所有的示例应用程序示例只是示例 在默认情况下 并不安装它们 且从不在生产服务器上安装 请注意一些示例安装 它们只可从http localhost或127 0 0 1访问 但是 它们仍应被删除 下面列出一些示例的默认位置 示例虚拟目录位置IIS示例 IISSamplesc inetpub iissamplesIIS文档 IISHelpc winnt help iishelp数据访问 MSADCc programfiles commonfiles system msadc启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的 应加以删除 特别是 应考虑禁用文件系统对象组件 但是要注意这也会删除Dictionary对象 切记某些程序可能需要您禁用的组件 例如 SiteServer3 0使用FileSystemObject 以下命令将禁用FileSystemObject regsvr32scrrun dll u 删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如 asp和 shtm文件 IIS接收到这些类型的文件请求时 该调用由DLL处理 如果您不使用其中的某些扩展或功能 则应删除该映射 步骤如下 打开Internet服务管理器 右键单击Web服务器 然后从上下文菜单中选择 属性 主属性选择WWW服务 编辑 主目录 配置基于Web的密码重设 htrInternet数据库连接器 所有的IIS5Web站点应使用ADO或类似的技术 idc服务器端包括 stm shtm和 shtmlInternet打印 printer索引服务器 htw ida和 idq 禁用父路径 父路径 选项允许在对诸如MapPath函数调用中使用 在默认情况下 该选项处于启用状态 应该禁用它 禁用该选项的步骤如下 右键单击该Web站点的根 然后从上下文菜单中选择 属性 单击 主目录 选项卡 单击 配置 单击 应用程序选项 选项卡 取消选择 启用父路径 复选框 禁用 内容位置中的IP地址 内容 位置 标头可暴露通常在网络地址转换 NAT 防火墙或代理服务器后面隐藏或屏蔽的内部IP地址 Windows的注册表 一 什么是注册表注册表是Windows系统的一个巨大的树状分层的内部核心数据库 它容纳了应用程序和计算机系统的全部配置信息 系统和应用程序的初始化信息 应用程序和文档文件的关联关系 硬件设备的说明 状态和属性以及各种状态信息和数据 注册表中存放着各种参数 直接控制着Windows的启动 硬件驱动程序的装载以及一些Windows应用程序的运行 从而在整个Windows系统中起着核心作用 注册表在Windows中起到中介的作用 负责系统同软件 硬件 用户之间的沟通 在Windows中运行一个应用程序的时候 系统会从注册表取得相关信息 如数据文件的类型 保存文件的位置 菜单的样式 工具栏的内容 相应软件的安装日期 用户名 版本号 序列号等 用户可以定制应用软件的菜单 工具栏和外观 相关信息即存储在注册表中 注册表会记录应用的设置 并把这些设置反映给系统 注册表会自动记录用户操作的结果 二 注册表的作用 注册表的外部形式是Windows目录下的两个二进制文件System dat和User dat 内部组织结构是一个类似于目录管理的树状分层的结构 三 注册表的结构 注册表子目录树 5个主键 HKEY CLASSES ROOTHKEY CURRENT USERHKEY LOCAL MACHIN