【正文】 二、 應(yīng)完成的硬件或軟件實(shí)驗(yàn) 三、 應(yīng)交出的設(shè)計(jì)文件及實(shí)物（包括設(shè)計(jì)論文、程序清單或磁盤、實(shí)驗(yàn)裝置或產(chǎn)品等） 大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 III 頁(yè) 共 42 頁(yè) 四、 指導(dǎo)教師提供的設(shè)計(jì)資料 五、 要求學(xué)生搜集的技術(shù)資料（指出搜集資料的技術(shù)領(lǐng)域） 六、 設(shè)計(jì)進(jìn)度安排 第一部分 （ 4 周 ） 第二部分 （ 6 周） 第三部分 （ 2 周） 評(píng)閱及答辯 （ 1 周） 指導(dǎo)教師： 年 月 日 系主任審查意見(jiàn)： 審 批 人： 年 月 日 注：設(shè)計(jì)任務(wù)書審查合格后，發(fā)到學(xué)生手上。 他 認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我 受 益匪淺。 本論文雖然存在一些不足但確讓我學(xué)到了很多，讓我鞏固 了服務(wù)器的一些基本設(shè)置及注意的安全技巧，及統(tǒng)籌設(shè)計(jì)思路。 2 針對(duì) WEB 服務(wù)器存在的安全威脅進(jìn)行了 磁盤 權(quán)限設(shè)置 、賬戶 設(shè)置 、協(xié)議安全 設(shè)置、端口設(shè)置、 IIS 設(shè)置等 。 圖 54 服務(wù)器沒(méi)有安全設(shè)置前掃描信息 圖 57安全設(shè) 置后的 掃描信息 結(jié)果分析從報(bào)表可以看到，報(bào)表給出了 10個(gè)提示數(shù)量， 3 個(gè)警告數(shù)量， 0個(gè)漏洞數(shù)量，下面就沒(méi)個(gè)提示做相應(yīng)的分析與解決方案。 圖 53 XScan界面 掃描，點(diǎn)擊工具欄上的開始按鈕，就進(jìn)行掃描了，這時(shí)，在進(jìn)程里會(huì)出現(xiàn) 10 個(gè) 進(jìn)程，掃描是會(huì)出現(xiàn)如圖 54畫面 。 首先獲取服務(wù)器的IP 地址，該服務(wù)器對(duì)應(yīng)的網(wǎng)站為 ，首先在 ping 一些下這個(gè)域名以獲得該網(wǎng)站服務(wù)器的 IP 地址 （如圖 52 所示）。 它完全免費(fèi)，是不需要安裝的 綠色軟件 、界面支持中文和英文兩種語(yǔ)言、包括圖形界面和命令行方式。設(shè)置相應(yīng)的策略審核 ，可以及時(shí)的記錄系統(tǒng)的狀態(tài)，事件的發(fā)生。 西南交通大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 第 17 頁(yè) 第 5 章 WEB 服務(wù)器安全 評(píng)測(cè) 經(jīng)過(guò)以上設(shè)置服務(wù)器的所有分區(qū)均采用 了 NTFS 格式進(jìn)行設(shè)置 并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機(jī)會(huì)。 圖 46 應(yīng)用程序池的設(shè)置 167。 在 IIS 元數(shù)據(jù)庫(kù)中更改 IUSR 賬戶 的值： “管理工具”→“ Inter 信息服務(wù) (IIS) 管理器” →右鍵單擊“本地計(jì)算機(jī)”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫(kù)”復(fù)選框→“確定”→ 瀏覽至 文件的位置，默認(rèn)情況下為 C:\Windows\system32\isrv →右鍵單擊 文件→“編輯” → 搜索“ AnonymousUserName”屬性，→鍵入 IUSER賬戶 的新名稱→在“文件”菜單上→單擊“退出”→單擊“是” （操作如圖 4 45所示 ） 。啟用公用文件、 Inter 信息服務(wù)管理器、萬(wàn)維網(wǎng)服務(wù) （操作如圖 43所示） 。 更改 IIS 日志的路徑 右鍵單擊 “ 默認(rèn) WEB 站點(diǎn) → 屬性 → 網(wǎng)站 → 在啟用日志記錄下 → 點(diǎn)擊屬性更改設(shè)置（操作如圖 42 所示） 。 不使用默認(rèn)的 WEB站點(diǎn)將 IIS 與系統(tǒng)盤分開 將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的 \Ipub\root 目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 WEB 服務(wù)器的目錄結(jié)構(gòu)）帶來(lái)的危險(xiǎn)（一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器）。并且只有在應(yīng)用程序與外部通信時(shí)端口才是開放的， 一旦 連接斷開，端口也會(huì)隨之關(guān)閉。 點(diǎn)擊添 加程序按鈕，然后選擇一個(gè)合適的程序。添加端口的方式非常簡(jiǎn) 單，點(diǎn)擊添加端口，然后給這個(gè)要開放端口起個(gè)名字，比如這個(gè)端口是被 使用的，我們就可以起個(gè)名字叫 ，然后填上對(duì)應(yīng)的端口號(hào)如 8000，接著選擇通訊協(xié)議，默認(rèn)只有 TCP 和 UDP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了 。 310 開啟自動(dòng)更新 3．防火墻的安全設(shè)置。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。 防火墻及自動(dòng)更新設(shè)置 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 限制 NetMeeting 及 禁用 NetMeeting 運(yùn)行 “” →“ 計(jì)算機(jī)配置 ”→“ 管理模板 ”→“Windows 組件 ” →“NetMeeting” →“ 禁用遠(yuǎn)程桌面共享 ”→ 右鍵 → 在單選按鈕中選擇 “ 啟用(E)”→“ 確定 ” （操作如圖 37所示 ） 。 限制匿名訪問(wèn)本機(jī)用戶 “ 開始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 對(duì)匿名連接的額外限制 ”→ 在下拉菜單中選擇 “ 不允許 SAM 賬 戶的匿名枚舉 ”→“ 確定 ” （ 如 圖 35 所示 ） 。常用端口 (見(jiàn) 圖32).關(guān)閉端口具體操作如下。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。問(wèn)題出在哪里呢 ?我們知道大多數(shù) 操作系統(tǒng) 都支持多 程序 （進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問(wèn)題有待解決，端口機(jī)制便由此被引入進(jìn) 來(lái) 。其 他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加 system 用戶權(quán)限，否則啟動(dòng)不成功。方法“設(shè)置 → 控制面板 → 網(wǎng)絡(luò)連 接 → 本地連接 → 屬性→ TCP/IP→ 屬性 → 高級(jí) → WINS→ 禁用 TCP/IP 上的 NetBIOS。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。 選用單操作系統(tǒng) 作為 WEB 服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)， 否則黑客會(huì)利用其攻擊Windows 2020 系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與 WEB 數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開，并在安裝時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的 IIS 漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與 WEB 站點(diǎn)服務(wù)無(wú)關(guān)的