91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

對Web服務(wù)器的安全性配置做了一些探討，交流，以便能對學(xué)校Web服務(wù)器有一定的認識，并且能夠安全、穩(wěn)定、高效地正常運轉(zhuǎn)。
論文關(guān)鍵詞：Web服務(wù)器安全,IIS配置,Windows2003,SQL服務(wù)器配置

　　1 Web服務(wù)器的認識

　　Web服務(wù)器也稱為WWW(WORLD WIDE WEB)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)，為實現(xiàn)信息發(fā)布、資料查詢、數(shù)據(jù)處理等諸多應(yīng)用搭建基本平臺的服務(wù)器.

　　Web服務(wù)器工作方式如圖1所示：

　　

　　圖1 Web服務(wù)器工作方式圖

　　在Web頁面處理中大致可以分為三個步驟，第一步，Web瀏覽器向一個特定的服務(wù)器發(fā)出頁面請求，第二步，Web服務(wù)器接收到Web頁面請求后，尋找所請求的Web頁面，進行計算處理，并將所請求的Web頁面?zhèn)魉徒oWeb瀏覽器，第三步，Web服務(wù)器接收到所請求的Web頁面，并將它顯示出來。這也是我們計算機網(wǎng)絡(luò)中最重要的應(yīng)用技術(shù)之一，客戶端/服務(wù)器結(jié)構(gòu)（Client/Server C/S）的工作方式。

　　2 操作系統(tǒng)配置

　　操作系統(tǒng)是控制其他程序運行，管理系統(tǒng)資源并為用戶提供操作界面的系統(tǒng)軟件的集合，操作系統(tǒng)配置也是很重要的，本文將探討基于Windows2003操作系統(tǒng)環(huán)境下的Web服務(wù)器安全配置。由于操作系統(tǒng)Windows2003的版本有4個[Windows Server 2003, Standard Edition（標準版），Windows Server 2003, Enterprise Edition（企業(yè)版），Windows Server 2003, Datacenter Edition（數(shù)據(jù)中心），Windows Server 2003, Web Edition（Web版）]，版本的選擇與安裝方法在這里就不作詳細介紹了，就談?wù)勂浒踩�配置�?br>
　　2.1安裝操作系統(tǒng)(安裝時用NTFS分區(qū))后，裝殺毒軟件以及防火墻軟件。

　　2.2安裝系統(tǒng)補丁。掃描漏洞全面殺毒

　　2.3除Windows Server 2003默認共享

　　首先自己編寫如下內(nèi)容的批處理文件：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share E$ /del

　　net share F$ /del

　　net share admin$ /del

　　如果有多個分區(qū)的就多加一條命令了，文件名為delshare.bat，并將其放到啟動項中，這樣的話每次開機時會自動刪除共享，也不怕別人利用共享漏洞來攻擊你的服務(wù)器。

　　2.4禁用IPC連接

　　打開CMD后輸入如下命令即可進行連接：net use\ipipc$ 'password' /user:'usernqme'。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

　　2.5刪除'網(wǎng)絡(luò)連接'里的協(xié)議和服務(wù)

　　在'網(wǎng)絡(luò)連接'里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），同時在高級TCP/IP設(shè)置里--'NetBIOS'設(shè)置'禁用TCP/IP上的NetBIOS（S）'。

　　2.6啟用windows連接防火墻，只開放web服務(wù)(80端口)。

　　說明：在Windows 2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務(wù)器的時候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進行FTP傳輸?shù)臅r候，由于FTP 特有的Port模式和Passive模式，在進行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在Windows 2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。

　　2.7磁盤權(quán)限

　　系統(tǒng)盤只給 Administrators 和 SYSTEM 權(quán)限

　　系統(tǒng)盤Documents and Settings 目錄只給 Administrators 和 SYSTEM 權(quán)限；

　　系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 和 SYSTEM 權(quán)限；

　　系統(tǒng)盤Documents and SettingsAll UsersApplication Data目錄只給 Administrators 和 SYSTEM 權(quán)限；

　　系統(tǒng)盤Windows 目錄只給 Administrators 、 SYSTEM 和 users 權(quán)限；

　　系統(tǒng)盤WindowsSystem32 et.exe，net1.exe，cmd.exe，command.exe，ftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe 文件只給 Administrators 權(quán)限(如果覺得沒用就刪了它，像我刪了cmd.exe，command.exe，哈哈。)；

　　其它盤，有安裝程序運行的(我校的SQL Server 2000 在E盤)給 Administrators 和 SYSTEM 權(quán)限，沒有只給 Administrators 權(quán)限。

　　2.8 關(guān)閉不需要的服務(wù)，以下為建議選項

　　Computer Browser:維護網(wǎng)絡(luò)計算機更新，禁用

　　Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

　　Distributed link tracking client：用于局域網(wǎng)更新連接信息，不需要禁用

　　Error reporting service：禁止發(fā)送錯誤報告

　　Microsoft Search：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Search用的，不需要禁用

　　Print Spooler：如果沒有打印機可禁用

　　Remote Registry：禁止遠程修改注冊表

　　Remote Desktop Help Session Manager：禁止遠程協(xié)助

　　2.9打開相應(yīng)的審核策略

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，你需要根據(jù)情況在這二者之間做出選擇。

　　推薦的要審核的項目是：

　　登錄事件 成功 失敗

　　賬戶登錄事件 成功 失敗

　　系統(tǒng)事件 成功 失敗

　　策略更改 成功 失敗

　　對象訪問 失敗

　　目錄服務(wù)訪問 失敗

　　特權(quán)使用 失敗

　　3 IIS安全配置

　　3.1安裝時應(yīng)注意的安全問題

　　安裝IIS之后，在安裝的計算機上生成IUSR_Computername匿名賬戶，該賬戶被添加到域用戶組中，從而所應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個匿名用戶，這不僅給IIS帶來巨大的潛在危險，而且還可能牽連整個域資源的安全，要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器，也不要把IIS安放在系統(tǒng)分區(qū)上，這樣的話會使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)。

　　3.2用戶控制的安全性

　　取消Web的匿名服務(wù)，具體方法：啟動ISM（Internet Server Manager）;啟動WWW服務(wù)屬性頁；取消其匿名訪問服務(wù)。一般用戶通過使用數(shù)字與字母（包括大小寫）結(jié)合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶進行管理。

　　3.3登記認證的安全性

　　IIS服務(wù)器提供對用戶三種形式的身份認證，分別是匿名訪問，基本（Basic）驗證，Windows NT 請求/響應(yīng)方式，此方式是瀏覽器通過加密方式與IIS服務(wù)器進行交流，有效地防止了竊聽者，是安全性比較高的認證方式。

　　3.4訪問權(quán)限控制：

　　3.4.1 文件夾和文件的訪問權(quán)限，利用NTFS的審核功能對某些特定用戶組成員讀文件的企圖等方面進行審核，有效地通過監(jiān)視（如文件訪問，用戶對象的使用等發(fā)現(xiàn)非法用戶進行非法活動的前兆，及時加以預(yù)防制止）。方法是，啟動“域用戶管理器”，啟動“規(guī)則”選單下的“審核”選項，設(shè)置“審核規(guī)則”。

　　3.4.2 WWW目錄的訪問權(quán)限，WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限，允許用戶讀取或下載WWW目錄中的文件，執(zhí)行權(quán)限，允許用戶運行WWW目錄下的程序和腳本。

　　3.5 IP地址的控制

　　IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請求，有選擇地允許特定節(jié)點的用戶訪問服務(wù)，你可以通過設(shè)置來阻止除指定地址的整個網(wǎng)絡(luò)用戶來訪問你的Web服務(wù)器。方法是，啟動ISM（Internet 服務(wù)器管理器）；啟動Web屬性頁中“高級”選項卡；進行指定IP地址的控制設(shè)置。

　　3.6 端口安全性的實現(xiàn)

　　對于IIS服務(wù)，無論是WWW站點、FTP站點、還是NNTP、SMYP服務(wù)等都有各自監(jiān)聽和接收瀏覽器請求的TCP端口號（Port）,一般常用的端口號為：WWW是80，F(xiàn)TP是21，SMTP是25，你可以通過修改端口號來提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置，只有知道端口號的用戶才可以訪問，但用戶在訪問時需要指定新端口號。

　　3.7 IP轉(zhuǎn)發(fā)的安全性

　　IIS服務(wù)可提供IP數(shù)據(jù)包轉(zhuǎn)發(fā)功能，此時，充當路由器角色的IIS服務(wù)器將會把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能不失為提高安全性的好辦法。方法是，啟動“網(wǎng)絡(luò)屬性”并選擇“協(xié)議”選項卡；在TCP/IP屬性中去掉“路由選擇”。

　　3.8 SSL安全設(shè)置

　　IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應(yīng)方式外，還有一種安全性更高的認證，通過SSL（Security Socket Layer）安全機制使用數(shù)字證書。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層： SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。這樣，客戶端與服務(wù)器就建立了一個惟一的安全通道，設(shè)置方法是：①啟動ISM并打開Web站點的屬性頁②選擇“目錄安全性”選項卡③單擊“密鑰管理器”按鈕④通過密鑰管理器生成密鑰對文件和請求文件⑤從身份認證權(quán)限中申請一個證書⑥通過密鑰管理器在服務(wù)器上安裝證書⑦激活Web站點的SSL安全性。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https://,而不是http://。但是SSL安全機制的實現(xiàn)，將增大系統(tǒng)開銷，增加了服務(wù)器CPU的額外負擔，從而降低了系統(tǒng)性能，在規(guī)劃時建議僅為高敏感度的Web目錄使用。

　　4 SQL服務(wù)器配置

　　4.1System Administrators 角色最好不要超過兩個

　　4.2如果是在本機最好將身份驗證配置為Win登陸

　　4.3不要使用Sa賬戶，為其配置一個超級復(fù)雜的密碼

　　4.4刪除以下的擴展存儲過程格式為：

　　use master

　　sp_dropextendedproc '擴展存儲過程名'

　　xp_cmdshel l：是進入操作系統(tǒng)的最佳捷徑，刪除

　　訪問注冊表的存儲過程，刪除

　　Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

　　OLE自動存儲過程，不需要刪除

　　Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

　　Sp_OAMethod Sp_OASetProperty Sp_OAStop

　　4.5隱藏 SQL Server、更改默認的1433端口右擊實例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例，并改原默認的1433端口。

　　本人介紹了Web服務(wù)器的工作方式及安全性配置的簡單方法，當然還有很多安全配置方法，希望這些方法對你構(gòu)建學(xué)校網(wǎng)絡(luò)環(huán)境下的各種應(yīng)用系統(tǒng)，研究完善Web服務(wù)器設(shè)置的完整、開放、先進、安全的綜合解決方案有所幫助。

參考文獻
黃健. 網(wǎng)絡(luò)操作系統(tǒng)與局域網(wǎng)管理. 人民郵電出版社2005.6
王達. 網(wǎng)管員必讀—網(wǎng)絡(luò)安全（第2版）. 電子工業(yè)出版社 2007.6
張敏波. 網(wǎng)絡(luò)安全實戰(zhàn)詳解. 電子工業(yè)出版社 2008.5