【正文】 ................................................................................................. 21 致 謝 .................................................................................................................................... 22 第 1 章 前言 167。小到個(gè)人的生活、工作，大至國(guó)家的發(fā)展以致整個(gè)文明的進(jìn)步。然而，在如今技術(shù)發(fā)達(dá)的時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展黑客越來(lái)越猖獗?？墒俏覀?如何確定采取的措施能夠創(chuàng)建一個(gè)安全的 WEB 服務(wù)器，使其不太可能受到外部黑客或內(nèi)部不良分子的破壞呢？ 本文以 Windows 系統(tǒng)為基礎(chǔ)進(jìn)行表述。 本文主要內(nèi)容 WEB 服務(wù)器 存在的安全問(wèn)題從來(lái)就不是獨(dú)立的， 系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如 ARP 等）、網(wǎng)絡(luò)端口管理 以及 來(lái)自 WEB 服務(wù)器應(yīng)用的安全， IIS 本身的配置、權(quán)限等，這個(gè)直接影響訪問(wèn)網(wǎng)站的效率和結(jié)果。 第 2 章 WEB 服務(wù)器介紹 167。當(dāng) WEB 瀏覽器（客戶端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類(lèi)型）。 圖 11 WEB服務(wù)器的應(yīng)用 WEB 服務(wù)器 不僅能夠存儲(chǔ)信息，還能在用戶通過(guò) WEB 瀏覽器提供的信息的基礎(chǔ)上運(yùn)行腳本和程序 。 WEB 服務(wù)器存在的安全問(wèn)題 Inter 的發(fā)展給企業(yè)和個(gè)人帶來(lái)了革命性的改革和開(kāi)放。通過(guò) Inter，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Inter 開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷(xiāo)售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。然而由于人為的無(wú)意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門(mén)”進(jìn)行搗亂的各種病毒等，使得開(kāi)發(fā)的網(wǎng)站存在多方面的安全問(wèn)題。更主要的要在企業(yè)內(nèi)部 WEB 服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的免疫力。Windows 系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只 有充分利用其自身的功能實(shí)現(xiàn)對(duì)系統(tǒng)的安全控制才能保證網(wǎng)站及數(shù)據(jù)的安全。 選用 NTFS 文件系統(tǒng) NTFS 文件系統(tǒng)比 FAT 系統(tǒng)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪問(wèn)權(quán)限，因此擁有更強(qiáng)大的安全性。 另外將系統(tǒng)盤(pán)與網(wǎng)站程序分開(kāi)放置。 選用單操作系統(tǒng) 作為 WEB 服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)， 否則黑客會(huì)利用其攻擊Windows 2020 系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與 WEB 數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開(kāi)，并在安裝時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的 IIS 漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與 WEB 站點(diǎn)服務(wù)無(wú)關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來(lái)可乘之機(jī)。 關(guān)閉 Windows2020 不必要的服務(wù) Windows2020 系統(tǒng)中包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)器能 暴漏 賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱的情況下可以取得賬號(hào)的密碼。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。 167。方法“設(shè)置 → 控制面板 → 網(wǎng)絡(luò)連 接 → 本地連接 → 屬性→ TCP/IP→ 屬性 → 高級(jí) → WINS→ 禁用 TCP/IP 上的 NetBIOS。 圖 31禁用不必要協(xié)議 167。其 他磁盤(pán)可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加 system 用戶權(quán)限，否則啟動(dòng)不成功。 關(guān)閉不必要的端口及 更改遠(yuǎn)程連接端口 在 Inter 上，各 主機(jī) 間通過(guò) TCP/IP 協(xié)議發(fā)送和接收 數(shù)據(jù)包 ，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的 IP 地址來(lái)進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇。問(wèn)題出在哪里呢 ?我們知道大多數(shù) 操作系統(tǒng) 都支持多 程序 （進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問(wèn)題有待解決，端口機(jī)制便由此被引入進(jìn) 來(lái) 。當(dāng)目的主機(jī)接收到數(shù)據(jù)包后，將根據(jù) 報(bào)文 首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來(lái)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。這兩種情況都是很危險(xiǎn)的，說(shuō)到底，就是管理員不了解服務(wù)器提供的服務(wù)，減小了系統(tǒng)安全系數(shù)。常用端口 (見(jiàn) 圖32).關(guān)閉端口具體操作如下。 圖 33 關(guān)閉不必要端口 更 改 遠(yuǎn) 程 連 接 端 口 ： 開(kāi) 始 → 運(yùn)行 → 輸入 regedit 查找 3389 ：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp 下的 PortNumber=3389 改為自寶義的端口號(hào)并重新啟動(dòng)服務(wù)器 （如圖 34 所示 ） 。 限制匿名訪問(wèn)本機(jī)用戶 “ 開(kāi)始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 對(duì)匿名連接的額外限制 ”→ 在下拉菜單中選擇 “ 不允許 SAM 賬 戶的匿名枚舉 ”→“ 確定 ” （ 如 圖 35 所示 ） 。 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問(wèn) “ 開(kāi)始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 只有本地登錄用戶才能訪問(wèn)軟盤(pán) ”→ 在單選按鈕中選擇 “ 已啟用 (E)” → “ 確定 ” （操作如圖 36 所示） 。 限制 NetMeeting 及 禁用 NetMeeting 運(yùn)行 “” →“ 計(jì)算機(jī)配置 ”→“ 管理模板 ”→“Windows 組件 ” →“NetMeeting” →“ 禁用遠(yuǎn)程桌面共享 ”→ 右鍵 → 在單選按鈕中選擇 “ 啟用(E)”→“ 確定 ” （操作如圖 37所示 ） 。 注 冊(cè)表防止小規(guī)模 DDOS 攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值 名為 SynAttackProtect 數(shù)值為 1（操作如圖 38所示 ） 。 防火墻及自動(dòng)更新設(shè)置 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 經(jīng)常對(duì)服務(wù)器進(jìn)行定期的掃描殺毒等。 310 開(kāi)啟自動(dòng)更新 3．防火墻的安全設(shè)置。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加 ， 自動(dòng)添加這里不再多說(shuō) 。添加端口的方式非常簡(jiǎn) 單，點(diǎn)擊添加端口，然后給這個(gè)要開(kāi)放端口起個(gè)名字，比如這個(gè)端口是被 使用的，我們就可以起個(gè)名字叫 ，然后填上對(duì)應(yīng)的端口號(hào)如 8000，接著選擇通訊協(xié)議，默認(rèn)只有 TCP 和 UDP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了 。 圖 311 添加端口 事實(shí)上這就是我們的防火墻規(guī)則，每 創(chuàng)建 一條允許或禁止的防火墻規(guī)則都會(huì)被放入 列表中，每條規(guī)則前面的復(fù)選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。 點(diǎn)擊添 加程序按鈕，然后選擇一個(gè)合適的程序。以后，當(dāng)程序運(yùn)行時(shí)， Windows 防火墻會(huì)監(jiān)視程序偵聽(tīng)的端口，并把它們自動(dòng)添加到例外通信的列表中。并且只有在應(yīng)用程序與外部通信時(shí)端口才是開(kāi)放的， 一旦 連接斷開(kāi)，端口也會(huì)隨之關(guān)閉。 圖 312 添加程序規(guī)則 經(jīng)過(guò)這些設(shè)置 WEB 服務(wù)器安全就有了基本的安全保障，另外需要更多的技術(shù)設(shè)備上的發(fā)展才能滿足更多企業(yè) 及個(gè)人用的對(duì)安全的需求。 不使用默認(rèn)的 WEB站點(diǎn)將 IIS 與系統(tǒng)盤(pán)分開(kāi) 將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的 \Ipub\root 目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 WEB 服務(wù)器的目錄結(jié)構(gòu)）帶來(lái)的危險(xiǎn)（一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器）。 刪除不要的 IIS 擴(kuò)展名映射 右鍵單擊 “ 默認(rèn) WEB 站點(diǎn) → 屬性 → 主目錄 → 配置 ” ，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為 shtml、 shtm、 stm（如圖 41所示） 。 更改 IIS 日志的路徑 右鍵單擊 “ 默認(rèn) WEB 站點(diǎn) → 屬性 → 網(wǎng)站 → 在啟用日志記錄下 → 點(diǎn)擊屬性更改設(shè)置（操作如圖 42 所示） 。 只選擇網(wǎng)站和 WEB 所必需的服務(wù)和子組件 開(kāi)始 → 控制面板 → 添加或刪除程序 → 添加 /刪除 Windows 組件 → 應(yīng)用程序服務(wù)器 → 詳細(xì)信息 → Inter 信息服務(wù) (IIS) → 詳細(xì)信息 → 然后通過(guò)選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來(lái)選擇或取消相應(yīng)的 IIS 組件和服務(wù)。啟用公用文件、 Inter 信息服務(wù)管理器、萬(wàn)維網(wǎng)服務(wù) （操作如圖 43所示） 。 刪除未使用的帳戶 及 設(shè)置強(qiáng) 密碼 避免攻擊者通過(guò)使用以高級(jí)特權(quán)運(yùn)行的帳戶來(lái)獲取未經(jīng)授權(quán)的資源訪問(wèn)權(quán)。 在 IIS 元數(shù)據(jù)庫(kù)中更改 IUSR 賬戶 的值： “管理工具”→“ Inter 信息服務(wù) (IIS) 管理器” →右鍵單擊“本地計(jì)算機(jī)”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫(kù)”復(fù)選框→“確定”→ 瀏覽至 文件的位置，默認(rèn)情況下為 C:\Windows\system32\isrv →右鍵單擊 文件→“編輯” → 搜索“ AnonymousUserName”屬性，→鍵入 IUSER賬戶 的新名稱→在“文件”菜單上→單擊“退出”→單擊“是” （操作如圖 4 45所示 ） 。 使用應(yīng)用程序池 應(yīng)用程序池用來(lái)隔離應(yīng)用程序，提高 WEB 服務(wù)器的可靠性和安全性。 圖 46 應(yīng)用程序池的設(shè)置 167。 步驟： “ 管理工具 ”→“Inter 信息服務(wù) (IIS) 管理器 ” → 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序 →“ 屬性 ”→“ 主目錄 ” 、 “ 虛擬目錄 ” 或“ 目錄 ” 選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證 “ 應(yīng)用 程序名 ”是否包含正確的網(wǎng)站或應(yīng)用程序名稱，（如果在 “ 應(yīng)用程序名 ” 框中沒(méi)有名稱，則單擊 “ 創(chuàng)建 ” ，然后鍵入網(wǎng)站或應(yīng)用程序的名稱） →“ 應(yīng)用程序池 ” 列表框 → 單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱 →“ 確定