Web服务器安全管理

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,http:/ 6.0 Web,服务器安全管理最佳实践,姓名,职务,公司名称,首先具备的知识,掌握,Windows 2000/Windows Server 2003,的日常操作,了解,IIS,（,Internet Information Server,）或者,IIS,日常操作,如果能够了解常见攻击方法或相关内容更佳,级别,200,概览,IIS,服务器不仅仅能够提供常见的,WEB,应用而且和很多服务器集合使用在企业中已经非常广泛，如何加固,IIS,服务器安全您了解多少？,是否安装了系统补丁并配置了防火墙就万无一失了？,您是否了解,IIS 6.0,基础架构,了解如何保护,IIS Web,服务器安全、防范攻击以及优化,IIS Web,服务器的技巧、实践与工具,内容安排,IIS 6.0,基础架构,Web Services,面对的主要威胁和攻击,常用安全利器,场景学习,总结,参考资源,简单快速有效的安全,DLLHOST.exe,ISAPI,Extensions,(ASP,etc.),ISAPI Filters,metabase,IIS 6.0,架构,TCP/IP,INETINFO,ASP.NET,ISAPI,Aspnet_wp.exe,CLR App Domain,CLR App Domain,CLR App Domain,metabase,INETINFO,HTTP.SYS,WAS,Config Mgr,Process Mgr,W3WP.EXE,Application Pool 1,ASP.NET ISAPI,CLR App Domain,CLR App Domain,W3WP.EXE,ISAPI,Extensions,(ASP,etc.),ISAPI Filters,Application Pool 2,W3WP.EXE,ASP.NET ISAPI,CLR App Domain,CLR App Domain,W3WP.EXE,ASP.NET ISAPI,CLR App Domain,CLR App Domain,W3WP.EXE,ASP.NET ISAPI,CLR App Domain,CLR App Domain,Web Garden,W3WP.EXE,ISAPI,Extensions,(ASP,etc.),ISAPI Filters,IIS 6.0,必备知识,内容安排,IIS 6.0,基础架构,Web Services,面对的主要威胁和攻击,常用安全利器,场景学习,总结,参考资源,简单快速有效的安全,我们将讨论,现在应立即采取的安全手段,未来要作的事情,安全术语,资产 （,Asset,）,脆弱性 （,Vulnerability,）,威胁 （,Threat,）,威胁因素（,Association,）,风险 （,Risk,）,利用,/,暴露,(,Exploits,/Exposure),对策,(,Countermeasure),Web Services,面对的主要威胁和攻击,Web Services,面对的主要威胁和攻击,未授权的访问,漏洞,可导致通过,Web Services,进行未授权的访问的漏洞包括：,未使用身份验证,密码在,SOAP,头信息中以明文形式传递,在未加密的通信通道中使用基本身份验证,Web Services,面对的主要威胁和攻击,参数操纵,参数操纵是指对,Web Services,客户与,Web Services,之间发送的数据进行未经授权的修改。例如，攻击者可以截获,Web Services,消息（例如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改,Web Services,面对的主要威胁和攻击,网络窃听,通过网络窃听，当,Web Services,消息在网络中传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软件检索,SOAP,消息中包含的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息,Web Services,面对的主要威胁和攻击,配置数据的泄漏,Web Services,配置数据的泄漏的方法主要有两种。,第一种，,Web Services,可能支持动态生成,Web Services,描述语言,(WSDL),，或者可能在,Web,服务器上的可下载文件中提供,WSDL,信息,第二种，如果异常处理不充分，,Web Services,可能会泄漏对攻击者有用的敏感的内部实施详细信息,Web Services,面对的主要威胁和攻击,消息重播,Web Services,消息可能会在传递过程中经过多个中间服务器。通过消息重播攻击，攻击者可以捕获并复制消息，并模拟客户端将其重播到,Web Services,。消息可能被修改，也可能保持不变,保护,Windows,安全,安全检查列表,所有磁盘分区都是,NTFS,的,管理员账号必须有一个复杂的密码,禁止不需要的服务,删除和禁止不必要的账号,移除不必要的文件共享,在文件、共享和注册表上设置访问权限列表,设置严格的安全策略,安装最新的,service pack,和补丁,安装防病毒软件,保护,IIS,安全,手把手教你设置,IIS,安全保护,预先的安全安装是必须的,组件安装的选择、利用,IIS,内置的安全特性,设置合适的访问权限列表,访问控制和安全策略,远程管理的安全配置,在,IIS log,上设置合适的访问权限列表、同时设置合适的验证机制,启动日志记录（,W3C Extended Log,）,规划,恢复计划,演示,手把手教你保护,IIS,掌握如何选择正确的,IIS,组件,在,IIS,目录上设置合适的访问权限列表启动日志记录,内容安排,IIS 6.0,基础架构,Web Services,面对的主要威胁和攻击,常用安全利器,场景学习,总结,参考资源,简单快速有效的安全,使用安全利器,安全配置向导,用向导界面完成安全检查,完成,IIS 6.0,的配置,完全免费，,Windows Server 2003 SP1,中内置,（从,）,快速模式,高级模式,通俗易懂的帮助,使用安全利器,安全配置向导,使用系统内置安全利器,windows,防火墙,推荐使用单独的防火墙，但是在预算不足的情况下,基于端口的过滤,内置在操作系统中,对绝大多数攻击都有防护作用,使用系统安全利器,IPSEC,Windows Server 2000/2003,内置,使用,IIS,安全利器,UrlScan 2.5,注意，现在,UrlScan 2.5,已经内置在,IIS 6.0,中,URL,的深层防御,http:/ Server 2003:,Logman,开始,/,停止记录,Tracerpt,分析跟踪文件,M,网站上可以下载,:,Log Parser 2.2,自定义跟踪分析,IISReqMon,分析当前正在执行的请求有用的工具,IISTrace,针对记录请求的有用的工具,即将发布的,“,跟踪诊断工具,”,Request Monitor Manager,基于用户界面的有用工具,常见使用工具命令跟踪工具,返回,:,工作进程统计,返回所有正在执行进程的统计,非常有用的研究工具,logman start CurrRequests p IIS:Request Monitor-ets,提供者的名称,跟踪的文件名,使用系统安全利器安全模板,如何快速有效的进行服务器安全,不要忘记我们拥有安全模板,使用系统安全利器,SSL,如何保证用户访问服务器的安全性,例如用户名、密码、内容,使用安全利器,MBSA,众多案例显示利用操作系统安全漏洞入侵从而控制,IIS,检查计算机的补丁情况,图形化界面的工具,演示,利用安全向导进行服务器安全加固利用,IPSec,进行安全信息传输和进行不安全访问的阻隔利用,windows,防火墙阻隔不需要的访问利用,URLSCAN2.5,进行,IIS,服务器的安全加固,内容安排,IIS 6.0,基础架构,Web Services,面对的主要威胁和攻击,常用安全利器,场景学习,总结,参考资源,简单快速有效的安全,今天如何做起,配置,Microsoft Active Directory IIS,服务器,OU,结构,步骤,注意：,创建,IIS,服务器部门,(OU),创建增量,IIS,服务器策略,将,GPO,链接至,IIS,服务器,OU,将相应客户端环境的安全模板导入新建的,GPO,例如，用于企业客户端环境的,Enterprise Client IIS Server.inf,今天如何做起,IIS,服务器强化步骤,步骤,注意：,安装和配置,Windows Server 2003,安装和配置,IIS,服务,仅安装必要的,IIS,组件,仅启用必要的,Web Service,扩展,将数据保存在专用磁盘空间内,配置,NTFS,权限,配置,IIS Web,站点权限,配置,IIS,记录,今天如何做起,IIS,服务器强化步骤,步骤,注意：,应用所需的所有,Service Pack,和,/,或更新,MBSA,定期运行，以检查操作系统和组件的最新更新,安装和配置病毒保护解决方案,根据要求安装和配置,MOM,代理或类似的监视解决方案,将相应服务器移至对应的,IIS,服务器,OU,确保已知帐户安全,重命名内置管理员帐户，指定复杂密码。确保已经禁用来宾帐户。更改默认帐户说明,今天如何做起,IIS,服务器强化步骤,步骤,注意：,确保服务帐户安全,考虑实施,IPSec,筛选器,运行,GPUPDATE.EXE/FORCE,重新启动服务器,检查事件日志，查找错误,定期查看日志,例如通过日志增长就可以发现一些拒绝攻击,谈论安全,今天如何做起,发送,mail,到,microsoft_security-subscribe-,安装和运行升级通知工具,订阅或登陆下载,Security tool kit,contoso.corp,SQL,DC,IIS,DC,IIS,DMZ,企业内网,ISA,场景学习,Internet,场景回顾,步骤,1,：熟悉,IIS,基本架构,步骤,2,：根据企业具体要求配置相关安全配置选项,步骤,3,：使用前面介绍的安全利器,步骤,4,：配置防火墙保护相关服务器,步骤,5,：定期查看日志制度的建立,步骤,6,：制定相关灾难恢复计划,步骤,7,：测试,步骤,8,：重复以上步骤,讲座总结,检视一遍安全清单,应用最新的补丁,经常检查你的网络安全性, Configuration Wizard:,http:/ IIS 6.0 with Tracing:,http:/ Hosting Solution):,http:/ Diagnostics Toolkit:,http:/ 5.0,基本安全性检查清单,http:/ what else is new in Service Pack 1 for IIS 6.0http:/