单元三网络系统的平安配置与管理
项目一 Web系统平安配置及系统爱护
教学目标
1.理解WEB系统的平安体系结构、平安需求、平安原则、平安制定策略与配置;
2.驾驭系统安装正确选择、系统安装正确定制;
3.驾驭分区和逻辑盘的安排、安装依次的选择、书目和文件权限、账号平安配置;
4.驾驭Web平安的基本配置;
教学要求
1.细致听讲,用心操作, 操作规范,细致记录试验过程,总结操作阅历和写好试验报告,在试验中培育严谨科学的实践操作习惯;
2.遵守学校的试验室纪律,留意人身和设备的平安操作,爱惜试验设备、刚好上缴作业;
3.教学环境: Windows 7以及Windows server2023/2023以上操作系统。
学问要点
1.WEB系统的平安体系结构、平安需求;
2.WEB服务器、阅读器的平安体系结构、平安原则、平安制定策略与配置;
技术要点
1.驾驭系统安装正确选择、系统安装正确定制;
2.驾驭分区和逻辑盘的安排、安装依次的选择、书目和文件权限、账号平安配置;
3.驾驭Web平安的基本配置;
技能训练
一.讲授与示范
正确启动计算机,在最终一个磁盘上建立以学号为名的文件夹,从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。
(一) Web系统平安概述
1.Web的平安体系结构
1)Web的平安需求
2)Web的平安体系结构
2.Web服务器的平安需求
1)维护公布信息的真实完整
2)维持Web服务的平安可用
3)爱护Web访问者的隐私
4)保证Web服务器不被入侵者作为“跳板”运用
3.Web阅读器的平安需求
1)保证阅读器系统不被病毒破坏
2)保证阅读器端个人平安信息不外泄
3)保证所交互的站点的真实性,避开被冒
4.Web传输的平安需求
1)保证发送者(信息)的真实性
2)保证传输信息的完整性
3)对特殊的平安性较高的Web,须要传输的保密性
4)对认证应用的WEB,须要信息的不行否认性
5)对于防伪要求较高的Web应用,保证信息的不行重用性5.Web系统的典型平安漏洞
1)操作系统平安漏洞
2)网络系统的平安漏洞
3)应用系统的平安漏洞
4)网络平安防护系统不健全
5)其他平安漏洞
(二)Web系统的平安原则
1.阅读器与服务器建立联接的过程
2.平安策略制定原则
1)基本原则
每个Web站点都应有一个平安策略,这些策略因需而异。依据威逼程度的大小评价分析,以作为设计网络平安系统的基本依据。
2)服务器记录原则
管理者不得打开或查看客户或用户的统计资料,一般状况必需具有最高权限的管理者才能进行。
(三)Web服务器平安
1.Web服务器平安策略
1)制定平安政策
做好平安威逼的分析、网络平安资源并进行重要等级划分、进行平安风险评估、制定平安策略的基本原则、建立平安培训制度、具有意外事务处理。
2)细致组织和管理WEB服务器
选好WEB服务器设备和相关软件(多查询)、细致配置WEB服务器、平安管理WEB服务器、时刻关注平安信息。
2.Web服务器的平安配置及平安特性
1)加强Web服务器隔离法
利用智能HUB或二层以上交换机隔离Web服务器,运用防火墙过滤功能将WEB服务器和内网隔离。
2)Web服务器备份
真实牢靠、备份存储的地方是特别牢靠和平安的。
3)合理配置主机操作系统
防止IP欺瞒,避开口令泄露,不要运用弱口令,权限应合理设置,禁止远程管理,记录服务器的平安状态,不要运用平安性脆弱的自动书目表功能、符号连接功能,检查驱动器和共享的权限并交系统设为只读状态,将敏感文件放在基本系统中并设二级系统,可将WEB服务器当作无权的用户运行。
4)合配置WEB服务器软件
A.访问限制规则要通过IP地址、子网域名来限制,并用用户名和口令限制限制访问,最好用公用密钥加密的方法限制访问;
B.相关书目必需设置权限,谨用平安性较差的WEB服务器功能;
C.把服务限制在有限的文件空间范围内,记录服务器的平安状态;
D.削减远程管理等功能。
5)解除站点中的平安漏洞
A.物理的漏洞由未授权人员访问引起,他们能阅读那些不被允许的地方。
B.软件漏洞是由“错误授权”的应用程序引起,它会执行不应执行的功能。
C.不兼容问题漏洞是由不良系统集成引起。
6)平安管理WEB服务器
A.更新WEB服务器内容采纳本地更新平安方式
B.监视限制Web站点出入状况
服务器日常受访次数、受访增加次数
用户来源、一周最忙的时间、一天内最忙的时间
服务器哪类信息被访问、哪张页面最受欢迎
每个书目用户访问,访问站点的阅读器、提交方式
C.测算命中次数
确定站点命中次数、确定站点访问者数目
D.定期对WEB服务器进行平安检查
(四)Web阅读器的平安
IE功能:调用主机或服务器的系统中的有关的应用程序,以便正确显示从Web服务器取得的各类型信息。
1.Cookie的平安
1)用途:储存注册口令、用户名、信用卡号等私人信息
2)在IE中禁止运用Cookie存储有关信息
2.Java及Active X的平安性
1)PostScript文件的吩咐
作用:能显示简洁的文本,也可运用肯定的文件系统吩咐
吩咐:Open、Create、Copy、Delete等吩咐能用于引发平安问题或病毒
2)Java Applet的平安隐患
作用:削减Applet偷看用户私人文档并传回服务器的可能、随意的主机建立连接的实力。
隐患:抢占系统资源,引发资源的奢侈,造成拒绝服务攻击的脆弱性
3)Java Script的平安漏洞
能够截取用户的地址和其他信息,截取本地主机上的文件,监视会话过程,也存在信息泄露和文件上传的平安漏洞
4)Active X的平安隐患
由于Active X对它的控件能够完成的任务不加限制,因此每个Active 控件就有可以被利来执行暗中攻击的任务。
(五) Windows服务器的安装配置
1.磁盘的安排
1)至少建立两个分区
web端登录一个系统分区,一个应用程序分区,这是因为,微软的IIS(Internet Ihformation Server)常常会有漏洞,假如把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获得管理权。
NTFS文件系统格式化:系统分区、数据分区、日志文件分区(可提高平安性)
2)举荐建立三个逻辑驱动器
第一个用来装系统和重要的日志文件;其次个放IIS;第三个放FTP,这样无论IIS或FTP出了平安漏洞都不干脆影响到系统书目和系统文件。
2.系统安装正确选择
1)尽量安装英文版的操作系统
2)担心装无用的组件
避开诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。
依据平安原则“最少的服务+最小的权限=最大的平安”,特殊提示留意是:“Indexing Service”、“FrontPage 2000 Server Extensions”、“ Internet Service Manager”这几个危急服务。如:IIS、DHCP、DNS等,导致系统在安装后存在平安漏洞。
3)选择平安的文件格式
NTFS文件系统是最佳选择;
FAT32系统不能限制用户对文件的访问,可能以导致系统的担心全;
NTFS系统下的磁盘属性中多了“配额”和“平安”选项卡,用户通过这两选项卡可具体地设置系统中每个用户对该逻辑盘的访问权限。
4)安装连接时间
WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来爱护它,这种状况始终会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,特别简洁从外部侵入。因此,在完全安装并配置好WIN2K Server之前,肯定不要把主机接入网络。
5)定制系统服务
右键单击 “我的电脑→管理” →“服务和应用程序→服务”,关掉那些不必要的服务,以提高系统稳定性、平安性并加快系统运行速度。
须要特殊说明的是,Remote Registry Service(远程注册表操作)、Telnet(远程登录)等几个高风险的服务是肯定要停止的:用鼠标双击相应项目,然后打开的窗口中将它们设置为“手动”或“禁止”即可。(六)WEB服务器的系统帐户平安管理
在2023的域林中有一台根域限制器,但为了提升网络平安性会交其子域限制器或备份域限制器提提升为根域限制器。还不能单独运行的只读域限制器(RODC)
1.禁止枚举帐号
通过修改注册表禁用空用户连接,操作步骤如下:
单击"起先"->"运行"打开"运行"对话框;输入"Regedit"并单击确定打开注册表编辑器;在注册表编辑器中逐层进入HKEY_LOCAL_MACHINES→SYSTEM→CurentControlSet→control→Lsa;将RestrictAnonymous 的值设置为1,这样可以禁止空用户连接,如图所示。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。