Web的安全威胁与安全防护.doc

《Web的安全威胁与安全防护.doc》由会员分享，可在线阅读，更多相关《Web的安全威胁与安全防护.doc（20页珍藏版）》请在咨信网上搜索。

1、Web的安全威胁与安全防护4 Web服务器安全防护策略的应用这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web服务器端安全防护的策略应用。4.1系统安装的安全策略安装Windows2000系统时不要安装多余的服务和多余的协议，因为有的服务存在有漏洞，多余的协议会占用资源。安装Windows2000后一定要及时安装补丁4程序（W2KSP4_CN.exe），立刻安装防病毒软件。4.2系统安全策略的配置通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任

2、务等安全策略配置。4.3IIS安全策略的应用在配置Internet信息服务（IIS）时，不要使用默认的Web站点，删除默认的虚拟目录映射；建立新站点，并对主目录权限进行设置。一般情况下设置成站点管理员和Administrator两个用户可完全控制，其他用户可以读取文件。4.4审核日志策略的配置当Windows 2000出现问题的时候，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判断故障原因的根据。一般情况下需要对常用的用户登录日志，HTTP和FTP日志进行配置。4.4.1设置登录审核日志审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限，而失败事

3、件则表明用户的尝试失败。4.4.2设置HTTP审核日志通过“Internet服务管理器”选择Web站点的属性，进行设置日志的属性，可根据需要修改日志的存放位置。4.4.3设置FTP审核日志设置方法同HTTP的设置基本一样。选择FTP站点，对其日志属性进行设置，然后修改日志的存放位置。4.5网页发布和下载的安全策略因为Web服务器上的网页，需要频繁进行修改。因此，要制定完善的维护策略，才能保证Web服务器的安全。有些管理员为方便起见，采用共享目录的方法进行网页的下载和发布，但共享目录方法很不安全。因此，在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行，选择对该FTP站点的访问权

4、限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址，限定只有指定的计算机可以访问该FTP站点，并只能对站点目录进行读写操作。5 结束语通过对Web安全威胁的讨论及具体Web安全的防护，本文希望为用户在安全上网或配置Web服务器安全过程中起到借鉴作用。摘 要 文章对Web的安全威胁进行分析，提出了Web安全防护措施，并基于Windows平台简述了一个Web安全防护策略的具体应用。关键词 Web；网络安全；安全威胁；安全防护1 引言随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和

5、系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。2 Web的安全威胁来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。2.1对Web服务器的安全威胁对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑：2.1.1在Web服

6、务器上的机密文件或重要数据（如存放用户名、口令的文件）放置在不安全区域，被入侵后很容易得到。2.1.2在Web数据库中，保存的有价值信息（如商业机密数据、用户信息等），如果数据库安全配置不当，很容易泄密。2.1.3Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据，甚至造成系统瘫痪。2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。2.2对Web客户机的安全威胁现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图

7、像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。Java Applet使用Java语言开发，随页面下载，Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制Java Applet的活动，它不会访问系统中规定安全范围之外的程序代码。但事实上Java Applet存在安全漏洞，可能被利用进行破坏。ActiveX是微软的一个控件技术，它封装由网页设计者放在网页中来执行特定的任务的程序，可以由微软支持的多种语言开发但只

8、能运行在Windows平台。ActiveX在安全性上不如Java Applet，一旦下载，能像其他程序一样执行，访问包括操作系统代码在内的所有系统资源，这是非常危险的。Cookie是Netsca（转载自中国教育文摘http:/www.edU，请保留此标记。）pe公司开发的，用来改善HTTP的无状态性。无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。Cookie实际上是一段小消息，在浏览器第一次连接时由HTTP服务器送到浏览器端，以后浏览器每次连接都把这个Cookie的一个拷贝返回给Web服务器，服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。Cookie

9、不能用来窃取关于用户或用户计算机系统的信息，它们只能在某种程度上存储用户的信息，如计算机名字、IP地址、浏览器名称和访问的网页的URL等。所以，Cookie是相对安全的。2.3对通信信道的安全威胁Internet是连接Web客户机和服务器通信的信道，是不安全的。像Sniffer这样的嗅探程序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。此外，还有像利用拒绝服务攻击，向网站服务器发送大量请求造成主机无法及时响应而瘫痪，或者发送大量的IP数据包来阻塞通信信道，使网络的速度便缓慢。3 Web的安全防护技术3.1

10、Web客户端的安全防护Web客户端的防护措施，重点对Web程序组件的安全进行防护，严格限制从网络上任意下载程序并在本地执行。可以在浏览器进行设置，如Microsoft Internet Explorer的Internet选项的高级窗口中将Java相关选项关闭。在安全窗口中选择自定义级别，将ActiveX组件的相关选项选为禁用。在隐私窗口中根据需要选择Cookie的级别，也可以根据需要将c:windowscookie下的所有Cookie相关文件删除。3.2通信信道的安全防护通信信道的防护措施，可在安全性要求较高的环境中，利用HTTPS协议替代HTTP协议。利用安全套接层协议SSL保证安全传输文件

11、，SSL通过在客户端浏览器软件和Web服务器之间建立一条安全通信信道，实现信息在Internet中传送的保密性和完整性。但SSL会造成Web服务器性能上的一些下降。3.3 Web服务器端的安全防护限制在Web服务器中账户数量，对在Web服务器上建立的账户，在口令长度及定期更改方面作出要求，防止被盗用。Web服务器本身会存在一些安全上的漏洞，需要及时进行版本升级更新。尽量使EMAIL、数据库等服务器与Web服务器分开，去掉无关的网络服务。在Web服务器上去掉一些不用的如SHELL之类的解释器。定期查看服务器中的日志文件，分析一切可疑事件。设置好Web服务器上系统文件的权限和属性。通过限制许可访问

12、用户IP或DNS。从CGI编程角度考虑安全。采用编译语言比解释语言会更安全些，并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下等措施。本文Web的安全威胁与安全防护 计算机应用论文来自中国教育文摘，查看更多与相关文章请到http:/www.eduZ。4 Web服务器安全防护策略的应用这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web服务器端安全防护的策略应用。4.1系统安装的安全策略安装Windows2000系统时不要安装多余的服务和多余的协议，因为有的服务存在有漏洞，多余的协议会占用资源。安装Windows2000后一定要及时安装补丁4程序（W

13、2KSP4_CN.exe），立刻安装防病毒软件。4.2系统安全策略的配置通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。4.3IIS安全策略的应用在配置Internet信息服务（IIS）时，不要使用默认的Web站点，删除默认的虚拟目录映射；建立新站点，并对主目录权限进行设置。一般情况下设置成站点管理员和Administrator两个用户可完全控制，其他用户可以读取文件。4.4审核日志策略的配置 当Windows 2000出现问题的时候，通过对系统日志的分析，

14、可以了解故障发生前系统的运行情况，作为判断故障原因的根据。一般情况下需要对常用的用户登录日志，HTTP和FTP日志进行配置。4.4.1设置登录审核日志 审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获（转载自中国教育文摘http:/www.edU，请保留此标记。）得了访问某种资源的权限，而失败事件则表明用户的尝试失败。4.4.2设置HTTP审核日志 通过“Internet服务管理器”选择Web站点的属性，进行设置日志的属性，可根据需要修改日志的存放位置。4.4.3设置FTP审核日志 设置方法同HTTP的设置基本一样。选择FTP站点，对其日志属性进行设置，然后修改日志的存放位置。 4

15、.5网页发布和下载的安全策略 因为Web服务器上的网页，需要频繁进行修改。因此，要制定完善的维护策略，才能保证Web服务器的安全。有些管理员为方便起见，采用共享目录的方法进行网页的下载和发布，但共享目录方法很不安全。因此，在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行，选择对该FTP站点的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址，限定只有指定的计算机可以访问该FTP站点，并只能对站点目录进行读写操作。5 结束语通过对Web安全威胁的讨论及具体Web安全的防护，本文希望为用户在安全上网或配置Web服务器安

16、全过程中起到借鉴作用。【参考文献】1 张国祥.基于Apache的Web安全技术的应用研究J.武汉理工大学学报，2004，(3).2 单欧.SSL在web安全中的应用J.信息网络安全，2004，（6）.本文Web的安全威胁与安全防护 计算机应用论文来自中国教育文摘，查看更多与相关文章请到http:/www.eduZ。Web浏览器的安全性及设置作者：赵小娥，毛艳，韩利凯（西安文理学院计算机科学系，陕西 西安 710065） 收录：中华论文网（）.减小字体 增大字体作者简介赵小娥（1965-）陕西省西安市人，西安文理学院计算机系实验室主任。基金项目西安文理学院科研助项目摘要 分析了Web浏览器的安全

17、性，并针对IE存在的安全隐患，给出了解决方法，从而可以更加安全的使用网络。关键词 Web浏览器；安全隐患，安全设置1 引言Web浏览器是阅读Web上信息的客户端软件，如果用户在本地机器上安装了Web浏览器软件，就可以去读取Web上的信息了。Web浏览器在网络上与Web服务器打交道，从服务器上下载和获取文件，使用十分方便。当人们在享受因特网带来的便利时，有没有注意到它也会在悄无声息中带来危险？尤其是在网上购物、注册邮箱或者注册网站会员的时候，如果不注意Web浏览器的安全性，就有可能使所提交的个人信息被窃取。常用的Windows捆绑的IE浏览器，虽然简单易用，但却存在安全隐患。2 浏览器本身的漏洞

18、在Internet上，Web浏览器安全级别高低的区分是以用户通过浏览器发送数据和浏览访问本地客户资源的能力高低来区分的。在IE中，定义了4个通过浏览器访问Internet的安全级别：高、中、中低、低；同时，提供了4类访问对象：Internet、本地Intranet、可信站点和受限站点。一般认为，办公室的软件服务器的数据和软件是比较安全的；公司Intranet站点上的数据和软件是中等安全的；而Internet上的大多数访问是相当不安全的。根据这个认识，可以设置不同的访问对象的安全等级，在IE浏览器中，存在很多安全威胁，包括JavaScript、Java、Cookie和ActiveX子系统，这些威

19、胁可以通过某些简单的设置来解决问题。21 IE的自动登录 拨号上网用户使用IE时，连接对话框有个“保存密码”选项，在Web页面直接登录邮箱时也有“保存密码”选项。看“*”号工具软件可以轻易将密码翻译出来。建议你尽量不要使用该选项，如图1所示。图1 IE的自动登录设置22 IE的颜色足迹软件应用 IE以及Web页面设计者一般都将页面上未访问的和已访问过的链接设置成不同的颜色，虽说方便了用户浏览，但不经意间会泄露了已访问过的链接的浏览足迹。在IE的菜单栏点击工具Internet选项常规辅助功能，在随后的对话框内勾选格式区域的“不使用Web页中指定的颜色”项，确定之后，点击颜色按钮，在“颜色”区域勾

20、选“使用Windows颜色”，在“链接”区域通过色板将未访问的和访问过的链接的颜色设置成相同，别人就看不到曾经浏览过的足迹了，如图2所示。图2 IE的颜色足迹软件应用23 IE的自动完成 IE的自动完成功能给用户填写表单和输入Web地址带来一定的便利，但同时也给用户带来了潜在的危险，尤其是对于在网吧或公共场所上网的网民。若需禁止该功能，只需点击工具 Internet选项内容，在“个人信息”区域单击自动完成按钮，在随后的对话框内清除Web地址、表单及表单的用户名和密码项的选择，如图3所示。图3 IE的自动完成设置 24 IE的安全区域设置 IE的安全区设置可以对被访问的网站设置信任程度。在上网浏

21、览信息时，应经常通过一些报刊杂志来搜集一些黑客站点或其他一些破坏站点的相关信息，并时时注意哪些站点会恶意窃取别人的个人信息，通过一些相关设置来拒绝这些站点对你的信息的访问，从而使浏览器能够自动拒绝这些网站发出的某些对自己有安全威胁的指令。方法是：点击工具Internet选项安全，单击“受限站点”右边的站点按钮，将需要限制的站点的地址添加进去，完成站点地址的添加工作以后，单击确定按钮，浏览器将对上述的受限站点起作用，如图4所示。图4 IE的安全区域设置但还有另外一些安全隐患需要通过比较复杂的设置来解决问题的。3 ActiveX的安全漏洞31 ActiveX的安全性漏洞ActiveX是微软公司提供

22、的一种高级技术，它可以像一个应用程序一样在浏览器中显示各种复杂的应用，ActiveX是一种技术集合，它使得在环球网上交互内容得以实现。ActiveX技术提供了一种把所有其他使网络生动起来的技术的黏合剂。它的主要好处是：动态内容可以吸引用户，开发的跨平台支持，可以运行在Windows、UNIX等多种操作系统上，支持工具广泛。但是，由于ActiveX的功能强大性和开放性，在使用IE浏览器访问Internet的时候也就经常会碰到ActiveX的恶意攻击。由于ActiveX控制不含有任何类似的严格安全性检查或资源权限检查，使得用户在使用IE浏览器浏览一些带有恶意的ActiveX控件时，这些控件可以在用

23、户毫不知情的情况下执行Windows系统中的任何程序，将用户计算机上的机密信息发送给Internet上的某台服务器，向局域网中传播病毒，甚至修改用户IE的安全设置等，这些都会给用户带来很大的安全风险。下面看一个例子，在这个例子中，黑客利用Windows的一个默认的ActiveX控件，以达到诸如format c：这样的功能。下面的代码是利用该控件删除硬盘的C:test.txt文件。 Scr.Reset()；Scr.Path=C:WindowsStartMenukProgramstest.hta；Scr.Doc=Wash.Run(startmdeltreec:test.txtY); alert(I

24、MPORTANT：Windows is removing unused temporary files。)；Set.write()；把这段代码放入一个HTML文件中在IE中打开，没有任何动静，这就是它的高明所在。这时，它已经悄悄地藏在Windows的启动设置中了，即在Windows的启动设置“C：WindowsStartMenuPrograms启动”中做了手脚。当用户重新启动计算机时，它会弹出一个警告窗口：“IMPORTANT：Windows is removing unused temporary files。”，这是一个骗局，它真正做的是“删除C：testtxt文件”，如果用户将代码中的d

25、eltreec：testtxtY改成format c:autotest，就变成了格式化C盘，这将是非常危险的。这个漏洞影响的系统包括Windows9x、WindowsNT2000。可以通过在IE中关闭ActiveX功能来解决这个问题。32 IE浏览器中ActiveX的设置在IE中，可以根据实际需要对ActiveX的使用进行限制，在一定程度上可以减少ActiveX所带来的安全隐患。具体操作步骤如下。(1)打开IE浏览器，选择“工具”菜单中的“Internet选项”子菜单，在打开的对话框中选择“安全”选项卡。(2)在该选项卡中选择Internet图标(地球标志)，表示要设置所有Web站点的安全设置

26、。(3)单击选项卡下面的“自定义级别”按钮，出现安全设置对话框，如图5所示。图5 IE浏览器中ActiveX的设置(4)在该对话框中，移动垂直滚动条，直到出现“ActiveX控件和插件”设置选项，这里提供了以下5个设置。“对标记为可安全执行脚本的ActiveX控件执行脚本”这个设置是为标记为安全执行脚本的ActiveX控件执行脚本设置执行的策略。所谓“对标记为可安全执行脚本的ActiveX控件执行脚本”，就是指具备有效的软件发行商证书的软件。该证书可说明是谁发行了该控件而且它没有被篡改。知道了是谁发行的控件，用户就可以决定是否信任该发行商。如果控件未签名，那么用户将无法知道是谁创建了它以及能否

27、信任它。这里是指定希望以何种方式处理具有潜在危险的操作、文件、程序或下载内容。可以选择下面的某项操作。如果希望在继续之前给出请求批准的提示，请单击“提示”。如果希望不经提示并自动拒绝操作或下载，请单击“禁用”。如果希望不经提示自动继续，请单击“启用”。“对没有标记为安全的ActiveX控件进行初始化和脚本化”这个设置是为没有标记为安全执行脚本的ActiveX控件执行脚本设置执行的策略。IE默认设置它为“禁用”，用户最好不要改变它。“下载未签名的ActiveX控件”这个设置是为未签名的ActiveX控件的下载提供策略。未签名的意思和没有标记为安全执行脚本的意思是一样的。IE默认设置它为“禁用”，

28、用户最好不要改变它。“下载已签名的ActiveX控件”该设置是为已签名的ActiveX控件的下载提供策略。默认设置为“提示”，最好不要自行改变。“运行ActiveX控件和插件”这个设置是为了运行ActiveX控件和插件的安全。这是最重要的设置，但许多站点都使用ActiveX作为脚本语言，所以建议将它设置为“提示”。这样当有ActiveX运行时，IE就会提醒用户，用户可以根据当时所处的网站，决定是否使用它提供的ActiveX控件。例如，像访问sina、sohu这样的大型网站，用户当然可以相信它，从而可以放心地运行它提供的ActiveX控件。4 , Cookie的安全性设置41 Cookie的安全

29、性Cookie是网景公司开发并将其作为持续保存状态信息和其他信息的一种方式，目前大多数的浏览器都支持Cookie。Cookie是当用户通过浏览器访问Web服务器时，Web服务器发送的、存储在Web浏览器端(即用户端)的一些简短的信息片断，通过这些信息片断，使得浏览器记住某些特定的信息，从而在下一次用户访问该Web浏览器的时候，能够为进一步交互提供方便。当用户正在浏览某站点时，Cookie存储于用户计算机上的RAM中，退出浏览器后，它存储于用户计算机的硬盘中。Cookie存储的大多数是一些普通的信息，例如用户访问站点的URL和访问时的每一次的击键信息等。下面的administratorsina1

30、.txt文件，存储的就是某机器上访问sina站点的一些信息：SUV1096081527685398S0372023027230031043218555886429663916*IPLOCCN44S0356827187229740193107654067229666768*一般来说，这些信息不会对用户的系统产生伤害。因为，一方面，Cookies本身既不是可以运行的程序，也不是应用程序的扩展插件(Plug-in)，更不能像病毒一样对用户的硬盘和系统产生威胁，它没有能力直接与用户的硬盘打交道。Cookie仅能保存由服务器提供的或用户通过一定的操作产生的数据。另一方面，Cookie文件都是很小的(25

31、5个字节以内)，而且各种浏览器都具有限制每次存储Cookie数量的能力，因此，Cookie文件不可能写满整个硬盘。但是，随着互联网的迅速发展，网上服务功能的进一步开发和完善，利用网络传递的资料信息愈来愈重要，有时涉及到个人的隐私。因此，关于Cookies的一个值得关心的问题并不是Cookies对用户的计算机能做些什么，而是它能存储些什么信息或传递什么信息到连接的服务器中。由于一个Cookie是Web服务器放置在用户计算机的、并可以重新获取档案的惟一的标识符，因此Web站点管理员可以利用Cookies建立关于用户及其浏览特征的详细档案资料。当用户登录到一个Web站点后，在任一设置了Cookies

32、的网页上的单击操作信息都会被加到该档案中。档案中的这些信息暂时主要用于站点的设计维护，但除站点管理员外并不否认被别人窃取的可能，假如这些Cookies持有者们把一个用户身份连接到他们的Cookie ID，利用这些档案资料就可以确认用户的名字及地址。因此，现在许多人认为Cookie的存在对个人隐私是一种潜在的威胁。42 Cookie的设置正是由于上述分析的原因，有些用户可能对Cookie使用感到不安全，那么，可以通过下面3种方法删除或重新设置Cookie的使用。(1)在Windows下拒绝Cookie的使用，可以删除Cookie文件夹中文件的内容，或者把文件的属性设置成只读或隐含。(2)在IE中

33、设置Cookie。通过IE浏览器提供的Cookie安全设置选项，可以对使用Cookie的安全级别进行设置，方法如下。像设置ActiveX安全性一样，打开IE浏览器的访问对象和安全级别设置选项卡，如上图4所示。在其中选择Internet图标(地球标志)，表示要设置所有Web站点的安全设置；单击对话框中的“自定义级别”按钮，出现安全设置对话框，在该对话框中移动垂直滚动条，直到出现“Cookies”的设置选项，在这里提供了两个设置。“允许使用存储在您计算机上的cookies”这个设置是指定IE如何处理来自Web站点的永久Cookie。Cookie是由Internet站点创建的文件，用于在计算机上存储

34、有关用户的信息(例如身份和访问该站点时的首选项)，永久Cookie以文件的形式存储在计算机上，当IE关闭时，它仍然保留在计算机上。如果要指定IE接受Cookie而不必先行提示，请单击“启用”。如果要指定IE在即将接收来自Web站点的Cookie时发出警告，请单击“提示”。如果要指定不允许Web站点将Cookie存储到计算机上，而且Web站点不能读取本机上已有的Cookie，请单击“禁用”。一般来说，为提高安全性应选择“禁用”。 “允许使用每个对话cookies(未存储)”这个设置是指定IE如何处理来自Web站点的临时Cookie。如果希望IE直接接收Cookie而不是事先提示，请单击“启用”。

35、如果希望IE在即将接收来自Web的Cookie时发出警告，请单击“提示”。如果不允许来自Web站点的Cookie进入用户的计算机，并且不允许用户计算机上已有的Cookie被Web站点读取，请单击“禁用”。(3)通过修改注册表来禁止Cookie。可以删除注册表中的如下条目：HKEY_LOCAL_MACHlNESOFTWAREWIicrosoftWindowsCurrentVersionXIntemetSettingsCacheSpecialPathsCookies，然后重新启动机器，并删除硬盘上的Cookies文件夹。5 小结Web是人们用得最多的一种网络服务，它是企事业单位发布信息最重要的渠道

36、，是企事业单位Intranet的核心，采用上述方法来设置Web的安全性，从而可以更加安全的使用网络。参考文献1 美James Stang.CIW: 安全专家全息教程。北京：电子出版社，2005。12 美Rebecca Gurley Bace.入侵检测专著。北京：人民邮电出版社，2004。73 杨晨光。计算机网络安全。西安：西安电子科技大学出版社，2002声明：本文由中华论文网网收录，仅供论文写作研究参考使用之，版权属原作者所有。 毕业论文：安全部署企业WEB服务摘 要：WEB服务器是Intranet（企业内部网）网站的核心，其中的数据资料非常重要，安全部署WEB服务器是企业面临的一项重要工作，

37、系统安装、安全策略和IIS安全策略对企业WEB服务器安全、稳定、高效地运行至关重要。 关键词：Intranet；安全策略；组策略 WEB服务器是企业网Intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好WEB服务器中的资源，是一项至关重要的工作。本文主要介绍WEB服务器安全策略方面的相关知识。 1系统安装、系统安全策略配置 使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。 Windows 2003 安装策略： 系统安装在单独的逻辑驱动器并自定义安装目录；以“最小的权限 最少的服务=最大

38、的安全”为基本理念，只安装所必需的服务和协议，如DNS、DHCP，不需要的服务和协议一律不安装；只保留TCP/IP 一项并禁用NETBOIS；安装Windows2003最新补丁和防病毒软件。 关闭windows2003不必要的服务。 关闭Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com Event S

39、ystem 、Alerter、Error Reporting Service 、Messenger 、Telnet服务。 设置磁盘访问权限。 系统磁盘只赋予administrators和system权限，系统所在目录（默认时为Windows）要加上users的默认权限，以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加system用户权限，否则启动不成功。 注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，将DWORD值RestrictAnonymous的键值改为1，禁止

40、 Windows 系统进行空连接。 关闭不需要的端口、更改远程连接端口。 本地连接属性Internet协议(TCP/IP)高级选项TCP/IP筛选属性把勾打上，添加需要的端口(如: 21、80)。 更改远程连接端口：开始运行输入regedit查找3389：将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumbe

41、r=3389改为自宝义的端口号并重新启动服务器。 编写批处理文件delshare.bat并在组策略中应用，以关闭默认共享的空连接。（以服务器有4个逻辑驱动器为例） net share C$ /delete net share D$ /delete net share E$ /delete net share F$ /delete net share admin$ /delete 将以上内容写入delshare.bat并保存到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。运行gpedit.msc组策略编辑器，用户配置Windows设置脚本(登录/

42、注销)登录“登录 属性”“添加”“添加脚本”对话框的“脚本名”栏中输入delshare.bat“确定”按钮重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低。 限制匿名访问本机用户。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举SAM帐号和共享”“确定”。 限制远程用户对光驱或软驱的访问 。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E)” “确定”。 限制远程用户对NetMeeting的共享，禁用NetMe

43、eting远程桌面共享功能。 运行“gpedit.msc” “计算机配置”“管理模板”“Windows组件” “NetMeeting” “禁用远程桌面共享”右键在单选按钮中选择“启用(E)”“确定”。 限制用户执行Windows安装程序，防止用户在系统上安装软件。方法同（9）。 11删除C:WINDOWSWEBprinters目录，避免溢出攻击（此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击）。 12删除C:WINDOWSsystem32inetsrviisadmpwd，此目录在管理IIS密码时使用（如因密码不同步造成500 错误时使用OWA或Iisadmpwd 修改

44、同步密码），当把账户策略 密码策略 密码最短使用期限 设为0天即密码不过期时，可避免IIS密码不同步问题。这里就可删掉此目录。 13修改注册表防止小规模DDOS攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建 DWORD值名为 SynAttackProtect 数值为1 14本地策略安全选项： 将清除虚拟内存页面文件 、不显示上次的用户名、不需要按CTRL ALT DEL、不允许 SAM 账户的匿名枚举、不允许 SAM 账户和共享的匿名枚举、均更改为已启用 ；重命名来宾账户 更改成一个复杂的账户名；重命名

45、系统管理员账号，更改一个自己用的账号，同时建立一个无用户组的Administrat账户。 2IIS安全策略应用 不使用默认的WEB站点，将IIS目录与系统磁盘分开。 将网站内容移动到非系统驱动器，不使用默认的 InetpubWwwroot 目录，以减轻目录遍历攻击（这种攻击试图浏览 WEB 服务器的目录结构）带来的危险（一定要验证所有的虚拟目录是否均指向目标驱动器）。 删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB 服务器配置站点、目录和文件的访问权限。 删除系统盘下的虚拟目录：vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 删除不必要的IIS扩展名映射。 右键单击“默认WEB站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射，主要为shtml、shtm、stm。 更改IIS日志的路径。 本篇论文由网友投稿，3COME文档只给大家提供一个交流平台，请大家参考，如有版权问题请联系我们尽快处理。 右键单击“默认WEB站点属性网站在启用日志记录下点击属性更改设置。  只选择