教學(xué)要求：掌握利用IIS建立的Web網(wǎng)站和FTP服務(wù)的安全策略。

教學(xué)重點：Web網(wǎng)站和FTP服務(wù)的安全策略。

教學(xué)難點：WEB和FTP服務(wù)的建立方法。

教學(xué)過程：

一、Web服務(wù)器系統(tǒng)安全策略的應(yīng)用

    無論是Internet或者Intranet，它的核心是Web服務(wù)器。管理好、使用好、保護好Web服務(wù)器中的資源，是網(wǎng)管人員的重要職責(zé)。Web服務(wù)器網(wǎng)站的開發(fā)，除了集中開發(fā)外，還有一個長期的維護和積累過程；因此，Web中的數(shù)據(jù)資料非常重要。如果出現(xiàn)問題，就會造成不可彌補的損失。本文根據(jù)開發(fā)和維護Web服務(wù)器的過程，介紹Web服務(wù)器安全策略的綜合應(yīng)用方法。

    (一)系統(tǒng)安裝的安全策略

    目前，Web服務(wù)器基本采用Windows平臺，對Windows0的系統(tǒng)進行管理是一個日積月累、不斷完善的過程。作為Web服務(wù)器。需要注意以下幾點。

    （1）安裝系統(tǒng)時，不要把系統(tǒng)安裝在默認(rèn)目錄下，也不要安裝多余的服務(wù)和多余的協(xié)議，因為有的服務(wù)存在漏洞，多余的協(xié)議會占用資源，因此，無用的服務(wù)和協(xié)議不要安裝。

    （2）安裝Windows補丁。

    （3）安裝防病毒軟件。

    （4）選擇合適的網(wǎng)卡驅(qū)動和顯示器驅(qū)動程序。

    (二)系統(tǒng)安全策略的配置

    （1）限制匿名訪問本機用戶

     選擇“開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項”—〉雙擊“對匿名連接的額外限制”——〉在下拉菜單中選擇“不允許枚舉SAM帳號和共享”—〉“確定”。

    （2）限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問 。選擇“開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“安全選項”—〉雙擊“只有本地登錄用戶才能訪問軟盤”—〉在單選按鈕中選擇“已啟用(E)”— “確定”。

    （3）限制遠(yuǎn)程用戶對NetMeeting的共享,禁用NetMeeting的遠(yuǎn)程桌面共享功能，用戶就不能利用NetMeeting控制該計算機。選擇“開始”—〉“運行”—〉在對話框中輸入“gpedit.msc” —〉“計算機配置”—〉“管理模板”—〉“Windows組件” —〉“NetMeeting” —〉“禁用遠(yuǎn)程桌面共享”—〉右鍵—〉在單選按鈕中選擇“啟用(E)”—〉“確定”。

    （4）限制用戶執(zhí)行Windows安裝任務(wù)。這個策略可以防止用戶在系統(tǒng)上安裝軟件。設(shè)置方法與（3）相同。

    (三)IIS安全策略的應(yīng)用

    在配置Internet信息服務(wù)（IIS）時，應(yīng)該進行以下工作。

    一般不使用默認(rèn)的Web站點，避免外界對網(wǎng)站的攻擊，具體做法如下。

    （1）停止默認(rèn)的Web站點

    “開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB (計算機名稱)”—〉選擇—〉“默認(rèn)Web站點”—〉右鍵—〉“停止”。

    （2）建立新的Web站點   

    “開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計算機名稱)”—〉右鍵—〉“新建”—〉“Web站點” —〉“下—〉步”—〉輸入Web站點說明“yyyddd”—〉“下—〉步”—〉選擇站點主目錄路徑—〉“下—步”—〉選擇對該Web站點的訪問權(quán)限 —〉“下—步”—〉“完成”。

    (4)完成新建的Web站點yyyddd后．要對該站點主目錄權(quán)限進行設(shè)置。一般情況下設(shè)置成SYSTEM和Administrator兩個用戶可完全控制．IUSR可以讀取文件。

    (四)審核日志策略的配置

    系統(tǒng)日志對于Windows 2000的作用就如同“黑匣子”對于飛機的作用。當(dāng)Windows 2000出現(xiàn)問題的時候，首先應(yīng)該查看系統(tǒng)日志，通過對系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運行情況，作為判斷故障原因的根據(jù)。

    通過日志不僅可以了解本機的安全性能和用戶的操作情況，也可以發(fā)現(xiàn)系統(tǒng)自身的問題。Windows 2000的日志系統(tǒng)在默認(rèn)安裝下。安全審核是關(guān)閉的?！蛋闱闆r下需要對常用的3種日志(用戶登錄日志、Http和ftp)進行配置。

    1、設(shè)置登錄審核日志

    “開始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“審核策略”—〉雙擊“審核賬戶登錄事件”—〉在復(fù)選框中選擇“成功(S)，失敗(F)”。

    審核事件分為成功事件和失敗事件。成功事件表示一個用戶成功地獲得了訪問某種資源的權(quán)限．而失敗事件則表明用戶的嘗試失敗。太多的失敗事件可解釋為攻擊行為．但成功事件解釋起來就比較困難。盡管大多數(shù)成功的審核事件僅表明活動是正常的，但獲得了訪問權(quán)的攻擊者也會生成一個成功事件。例如，一系列失敗事件后面跟著一個成功事件可能表示企圖進行的攻擊最后是成功的。對審核項進行如表1的設(shè)置，可便于日志分析。

    如果對登錄事件進行審核，那么每次用戶在計算機上登錄或注銷時，都會在安全日志中生成一個事件。可以使用事件ID對登錄情況進行判斷。

    A．本地登錄嘗試失?。合铝惺录蘒D都說明登錄失敗：529，530，531，532，533，534和537，如果一個攻擊者試圖使用本地帳戶的用戶名和密碼但未成功，就會有529和534發(fā)生。

    B．帳戶誤用：事件530，531，532和533都表示帳戶誤用。

    C．帳戶鎖定：事件539表示帳戶被鎖定。

    D．終端服務(wù)攻擊：事件683表示用戶沒有從“終端服務(wù)”會話注銷，事件682表示用戶連接到先前斷開的連接中。   

    2、 設(shè)置HTTP審核日志

    A．設(shè)置日志的屬性

    “開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“計算機名稱”選擇站點名稱“yyyddd”—〉右鍵—〉“屬性”在Web選項卡中，選擇“W3C擴充日志文件格式”的“屬性”—〉對“常規(guī)屬性”和“擴充的屬性”進行設(shè)置。

    B．改日志的存放位置

    http審核日志的默認(rèn)位置在安裝目錄的＼system32＼LogFiles下。更改日志的存放位置可以加強日志自身的安全性，方法如下。

    與上面A的操作相同，在“常規(guī)屬性”選項卡中。選擇“日志文件目錄(L)：”的“瀏覽”指定一個目錄后。選“確定”。

    3、設(shè)置FTP審核日志

    設(shè)置方法同http的設(shè)置基本一樣。選擇FTP站點。對其屬性進行設(shè)置。然后修改日志的存放位置。

    Web服務(wù)器上的內(nèi)容。經(jīng)常要按照領(lǐng)導(dǎo)和用戶的要求進行修改，維護工作相當(dāng)頻繁。因此，要制定完善的維護策略，才能保證Web服務(wù)器的安全。

    (一)設(shè)置administrator用戶口令

    對administrator設(shè)置較復(fù)雜的口令，以防止外界的口令攻擊。有時，復(fù)雜口令使網(wǎng)管人員感覺不方便，還容易忘記。為避免網(wǎng)管人員忘記口令，除了修改后及時記錄下口令外，還可以另外建立一個具有Administrator特權(quán)的管理用戶，起一個比較生僻的用戶名。設(shè)置一個自己容易記憶的口令。這樣，就可以對其他用戶進行維護，包括口令修改等。

    (二)網(wǎng)頁發(fā)布和下載的安全策略

    一般情況下。一臺Web服務(wù)器上安裝有幾個部門的網(wǎng)頁，并由各部門自己維護。多數(shù)網(wǎng)管人員采用共享目錄的方法讓各部門進行網(wǎng)頁的下載和發(fā)布，這種方法很不安全。因此，在Web服務(wù)器上，要取消所有的共享目錄,避免其他沒有授權(quán)的計算機通過共享目錄查看或刪除重要的數(shù)據(jù)和文件。

    （1）網(wǎng)頁的更新采用FTP方法進行，不僅可以使各部門維護人員之間的網(wǎng)頁和數(shù)據(jù)互相獨立，而且比共享目錄直觀方便。FTP的配置方法如下。

    “開始”—〉“程序”—〉“管理工具”—〉“Internet服務(wù)管理器”—〉“TLJWEB(計算機名稱)”—〉右鍵—〉“新建”—〉“FTP站點” —〉“下—步”—〉輸入FTP站點說明“bbbgggFTP”—〉“下一步”—〉“輸入FTP站點的IP地址”(例如10．96．74．250)—〉“下一步”—〉“輸入主目錄的路徑”(輸入d：\bbbggg)—〉“下—步” —〉選擇對該FTP站點的訪問權(quán)限“讀取、寫入”—〉“下—步”—〉“完成”。

    （2）FTP安全策略設(shè)置如下。

    選中剛建立的FTP站點(bbbgggFTP) —〉“右鍵”—〉“屬性”—〉“目錄安全性”—〉在“拒絕訪問”對話框中選擇“添加”—〉“單機”或“—組計算機”輸入IP地址(如：10．96．74．240)—〉“確定”(可以增加多個IP地址)。這樣。就只有10．96．74．240的計算機可以訪問該FTP站點。也只能對d：\bbbggg目錄進行讀寫。

    （3）在服務(wù)器上添加FTP的IP地址

    選擇“網(wǎng)上鄰居”—〉右鍵—〉“屬性”“本地連接”—〉右鍵—〉“屬性”—〉“Internet協(xié)議(TCP/IP)”—〉“屬性”—〉“高級”—〉在“IP設(shè)置”選項卡中選擇“添加”—〉輸入IP地址(10．96．74．250)和子網(wǎng)掩碼—〉“添加”—〉“確定”—〉“確定”—〉“確定”。

    （4）在服務(wù)器上添加用戶

    在服務(wù)器上。為某部門的網(wǎng)頁維護人員添加用戶。例如用戶名為bbbggg，口令為bbbgggxt。

    （5）FTP訪問服務(wù)器的方法

    在瀏覽器地址欄輸入ftp：//bbbggg：bbbgggxt@10．96．74．250。即可看到Web服務(wù)器上的內(nèi)容。

    (三)網(wǎng)頁維護過程

    根據(jù)用戶要求。軟件下載功能經(jīng)常需要更新，其更新維護方法如下。

    （1）不要直接修改Web服務(wù)器上的內(nèi)容，先在自己的機器上進行修改。按照要求修改rjxz．htm網(wǎng)頁，連接增加的下載內(nèi)容。

    （2）在瀏覽器地址欄輸入ftp：//rjwh：rjwh@10．96．74．250。即可看到Web 服務(wù)器上download目錄中的內(nèi)容。

    （3）把本機上修改過的網(wǎng)頁和要下載的內(nèi)容復(fù)制到download目錄下。

    （4）查詢試驗，用瀏覽器打開網(wǎng)頁進行查看，觀察運行結(jié)果是否正常。

    （5）為了安全，使用完后，要在IE瀏覽器屬性中，清除歷史記錄。

    Web服務(wù)器的資源對于用戶來說是有價值的東西。如果Web服務(wù)器沒有及時維護，它上面的東西就沒有任何價值，那么就不值得花費財力和精力來保證它的安全。

     為保證Web的安全，不僅要綜合應(yīng)用各種安全策略，還要采取了其他安全措施。如在系統(tǒng)安全方面，建立系統(tǒng)盤的鏡像備份，建立詳細(xì)文檔資料；在應(yīng)用安全方面，修改數(shù)據(jù)庫默認(rèn)擴展名，使用虛擬目錄而不使用實際目錄，如制定聊天室的安全策略等。

    一般來說，方便使用和安全措施是一對矛盾。如果對系統(tǒng)安全策略設(shè)置的很完善，在開始時你會感覺不方便，但如果你是遵章守紀(jì)的維護人員，你會感覺很安全且很方便。

 二、FTP服務(wù)安全策略

   windows 2003系統(tǒng)的iis6.0提供 了ftp服務(wù)功能，由于它的簡單易用，與windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶的喜愛。但使用iis6.0架設(shè)的ftp服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實存在很多安全隱患，很容易成為黑客們的攻擊目標(biāo)。如何讓ftp服務(wù)器更加安全，只要我們稍加改造，就能做到。

　　 (一)取消匿名訪問功能

　　 默認(rèn)情況下，windows 2003系統(tǒng)的ftp服務(wù)器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請合法的賬號，就能訪問你的ftp服務(wù)器，甚至還可以上傳、下載文件，特別對于一些存儲重要資料的ftp服務(wù)器，很容易出現(xiàn)泄密的情況，因此建議用戶取消匿名訪問功能。

　　 在windows 2003系統(tǒng)中，點擊“開始→程序→管理工具→internet服務(wù)管理器”，彈出管理控制臺窗口。然后展開窗口左側(cè)的本地計算機選項，就能看到iis6.0自帶的ftp服務(wù)器，下面筆者以默認(rèn)ftp站點為例，介紹如何取消匿名訪問功能。

　　 右鍵點擊“默認(rèn)ftp站點”項，在右鍵菜單中選擇“屬性”，接著彈出默認(rèn)ftp站點屬性對話框，切換到“安全賬號”標(biāo)簽頁，取消“允許匿名連接”前的勾選，最后點擊“確定”按鈕，這樣用戶就不能使用匿名賬號訪問ftp服務(wù)器了，必須擁有合法賬號。

　　 (二)啟用日志記錄

　　 windows日志記錄著系統(tǒng)運行的一切信息，但很多管理員對日志記錄功能不夠重視，為了節(jié)省服務(wù)器資源，禁用了ftp服務(wù)器日志記錄功能，這是萬萬要不得的。ftp服務(wù)器日志記錄著所有用戶的訪問信息，如訪問時間、客戶機ip地址、使用的登錄賬號等，這些信息對于ftp服務(wù)器的穩(wěn)定運行具有很重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看ftp日志，找到故障所在，及時排除。因此一定要啟用ftp日志記錄。

　　 在默認(rèn)ftp站點屬性對話框中，切換到“ftp站點”標(biāo)簽頁，一定要確?！皢⒂萌罩居涗洝边x項被選中，這樣就可以在“事件查看器”中查看ftp日志記錄了。

　　 (三)正確設(shè)置用戶訪問權(quán)限

　　 每個ftp用戶賬號都具有一定的訪問權(quán)限，但對用戶權(quán)限的不合理設(shè)置，也能導(dǎo)致ftp服務(wù)器出現(xiàn)安全隱患。如服務(wù)器中的cce文件夾，只允許cceuser賬號對它有讀、寫、修改、列表的權(quán)限，禁止其他用戶訪問，但系統(tǒng)默認(rèn)設(shè)置，還是允許其他用戶對cce文件夾有讀和列表的權(quán)限，因此必須重新設(shè)置該文件夾的用戶訪問權(quán)限。

　　 右鍵點擊cce文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁，首先刪除everyone用戶賬號，接著點擊“添加”按鈕，將cceuser賬號添加到名稱列表框中，然后在“權(quán)限”列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項，最后點擊“確定”按鈕。這樣一來，cce文件夾只有cceuser用戶才能訪問。

　　 (四)啟用磁盤配額

　　 ftp服務(wù)器磁盤空間資源是寶貴的，無限制的讓用戶使用，勢必造成巨大的浪費，因此要對每位ftp用戶使用的磁盤空間進行限制。下面筆者以cceuser用戶為例，將其限制為只能使用100m磁盤空間。

　　 在資源管理器窗口中，右鍵點擊cce文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標(biāo)簽頁，選中“啟用配額管理”復(fù)選框，激活“配額”標(biāo)簽頁中的所有配額設(shè)置選項，為了不讓某些ftp用戶占用過多的服務(wù)器磁盤空間，一定要選中“拒絕將磁盤空間給超過配額限制的用戶” 復(fù)選框。 　　

　　 然后在“為該卷上的新用戶選擇默認(rèn)配額限制”框中選擇“將磁盤空間限制為”單選項，接著在后面的欄中輸入100，磁盤容量單位選擇為“mb”，然后進行警告等級設(shè)置，在“將警告等級設(shè)置為”欄中輸入“96”， 容量單位也選擇為“mb”，這樣就完成了默認(rèn)配額設(shè)置。此外，還要選中“用戶超出配額限制時記錄事件”和“用戶超過警告等級時記錄事件”復(fù)選框，以便將配額告警事件記錄到windows日志中。

　　 點擊配額標(biāo)簽頁下方的“配額項”按鈕，打開磁盤配額項目對話框，接著點擊“配額→新建配額項”，彈出選擇用戶對話框，選中cceuser用戶后，點擊“確定”按鈕，接著在“添加新配額項”對話框中為cceuser用戶設(shè)置配額參數(shù)，選擇“將磁盤空間限制為” 單選項，在后面的欄中輸入“100”，接著在“將警告等級設(shè)置為”欄中輸入“96”，它們的磁盤容量單位為“mb”，最后點擊“確定”按鈕，完成磁盤配額設(shè)置，這樣cceuser用戶就只能使用100 mb磁盤空間，超過96mb就會發(fā)出警告。

　　 (五)TCP/IP訪問限制

　　 為了保證ftp服務(wù)器的安全，我們還可以拒絕某些ip地址的訪問。在默認(rèn)ftp站點屬性對話框中，切換到“目錄安全性”標(biāo)簽頁，選中“授權(quán)訪問”單選項，然后在“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪問”對話框，這里我們可以拒絕單個ip地址或一組ip地址訪問，以單個ip地址為例，選中“單機”選項，然后在“ip地址”欄中輸入該機器的ip地址，最后點擊“確定”按鈕。這樣添加到列表中的ip地址都不能訪問ftp服務(wù)器了。

　　 (六)合理設(shè)置組策略

　　 通過對組策略項目的修改，也可以增強ftp服務(wù)器的安全性。在windows 2003系統(tǒng)中，進入到“控制面板→管理工具”，運行本地安全策略工具。

　　 1. 審核賬戶登錄事件

　　 在本地安全設(shè)置窗口中，依次展開“安全設(shè)置→本地策略→審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項目，雙擊打開該項目，在設(shè)置對話框中選中“成功”和“失敗”這兩項，最后點擊“確定”按鈕。該策略生效后，ftp用戶的每次登錄都會被記錄到日志中。

　　 2. 增強賬號密碼的復(fù)雜性

　　 一些ftp賬號的密碼設(shè)置的過于簡單，就有可能被“不法之徒”所破解。為了提高ftp服務(wù)器的安全性，必須強制用戶設(shè)置復(fù)雜的賬號密碼。

　　 在本地安全設(shè)置窗口中，依次展開“安全設(shè)置→賬戶策略→密碼策略”，在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項，雙擊打開后，選中“已啟用”單選項，最后點擊“確定”按鈕。

　　 然后，打開“密碼長度最小值”項，為ftp賬號密碼設(shè)置最短字符限制。這樣以來，密碼的安全性就大大增強了。

　　 3. 賬號登錄限制

　　 有些非法用戶使用黑客工具，反復(fù)登錄ftp服務(wù)器，來猜測賬號密碼。這是非常危險的，因此建議大家對賬號登錄次數(shù)進行限制。

　　 依次展開“安全設(shè)置→賬戶策略→賬戶鎖定策略”，在右側(cè)框體中找到“賬戶鎖定閾值”項，雙擊打開后，設(shè)置賬號登錄的最大次數(shù)，如果超過此數(shù)值，賬號會被自動鎖定。接著打開“賬戶鎖定時間”項，設(shè)置ftp賬號被鎖定的時間，賬號一旦被鎖定，超過這個時間值，才能重新使用。

　　 通過以上幾步設(shè)置后，我們的ftp服務(wù)器就會更加安全，再也不用怕被非法入侵了。