1Windows中的Web、FTP服務器的

安全配置

2一.Web、FTP服務器安全簡介(1)一、實驗的目的:

通過實驗了解Windows操作系統(tǒng)中Web服務器、FTP服務器的安全漏洞及其防范措施，實現(xiàn)Web服務器和FTP服務器的安全配置。

3一.Web、FTP服務器安全簡介(2)

二、實驗原理

IIS(InternetInformationServer)

是windows系統(tǒng)中的Internet信息和應用程序服務器。利用IIS可以配置windows平臺方便地提供并且和windows系統(tǒng)管理功能完美的融合在一起，使系統(tǒng)管理人員獲得和windows完全一致的管理。

4一.Web、FTP服務器安全簡介(3)

IIS4.0、IIS5.0、IIS6.0的應用非常廣，但由于這兩個版本的IIS存在很多安全漏洞，它的使用也帶來了很多安全隱患。IIS常見漏洞包括：idc&ida漏洞、“.htr”漏洞、NTSiteServerAdsamples漏洞、.printer漏洞、Unicode解析錯誤漏洞、Webdav漏洞等。因此，了解如何加強web服務器、FTP服務器的安全性，防范由IIS漏洞造成的入侵就顯得尤為重要。在下面的實驗中通過對Web服務器和FTP服務器的安全配置，了解其防范方法。

5一.Web、FTP服務器安全簡介(4)

我們可以手動進行IIS的安全配置，包括web服務器、FTP服務器和SMTP服務器，也可以利用一些安全工具來進行。IISlockdown，是由微軟開發(fā)的IIS安全配置工具，它按照模板的安全配置選項，通過關閉IIS服務器上的某些不必要的特性和服務，從而減少受攻擊的威脅。此工具還與URLscan等協(xié)同工作，提供了多層次的防御和保護。

三、實驗環(huán)境

安裝windowsserver2003操作系統(tǒng)的計算機，并且安裝IIS服務67二.用IIS建立高安全性的Web服務器(1)四、實驗內容與步驟1.IIS要與操作系統(tǒng)安裝于不同分區(qū)為保護Windows2000Server系統(tǒng)的安全性，確認IIS與系統(tǒng)安裝在不同的分區(qū)。如果IIS安裝在系統(tǒng)分區(qū)，IIS的安全漏洞可直接威脅到系統(tǒng)的安全，建議卸載重新安裝。

8二.用IIS建立高安全性的Web服務器(2)2.刪除不必要的虛擬目錄打開“*\wwwroot”（其中*代表IIS安裝的路徑），刪除在IIS安裝完成后，默認生成的目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等。這些默認生成的目錄是眾所周知的，容易給攻擊者留下入侵的機會。

9二.用IIS建立高安全性的Web服務器(3)3.停止默認web站點打開“控制面板”－>“管理工具”－>“Internet服務管理器”，右擊“默認web站點”，在彈出的菜單中點擊“停止”，根據(jù)需要啟用自己創(chuàng)建的web站點，如下圖所示。默認Web的根目錄默認在inetpub\wwwroot，還有其他一系列的參數(shù)設置也都是眾所周知的，如果采用這些默認設置，將大大減小攻擊難度。10二.用IIS建立高安全性的Web服務器(4)4.IIS中的文件和目錄進行分類，區(qū)別設置權限

對于Web主目錄中的文件和目錄，點擊右鍵，在“屬性”中按需要給它們分配適當權限。一般情況下，(1).靜態(tài)文件允許讀、拒絕寫；(2).ASP腳本文件、EXE可執(zhí)行程序等允許執(zhí)行、拒絕讀寫；通常不要開放寫入權限。(3).所有的文件和目錄要將everyone用戶組的權限設置為只讀權限。

11二.用IIS建立高安全性的Web服務器(5)5.刪除不必要的應用程序映射.(1)在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，如圖所示。

12二.用IIS建立高安全性的Web服務器(6)5.刪除不必要的應用程序映射.(2)在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，如圖所示，點擊“配置“按鈕。13二.用IIS建立高安全性的Web服務器(7)5.刪除不必要的應用程序映射.(3)在彈出“應用程序配置”對話框的“應用程序映射”頁面，如圖6-53所示，刪除無用的程序映射。在大多數(shù)情況下，只需要留下.asp一項即可，將.ida、.idq、.htr等全部刪除，以避免利用這些程序映射存在的漏洞對系統(tǒng)進行攻擊。14二.用IIS建立高安全性的Web服務器(8)6.維護日志安全(1)在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”。在網(wǎng)站目錄屬性對話框的“Web站點”頁面中，在選中“啟用日志記錄”的情況下，點擊旁邊的“屬性”按鈕，如下圖所示。

15二.用IIS建立高安全性的Web服務器(9)6.維護日志安全(2)

在“常規(guī)屬性”頁面，點擊“瀏覽”按鈕或者直接在輸入框中輸入修改后的日志存放路徑即可，如圖所示。

16二.用IIS建立高安全性的Web服務器(10)6.維護日志安全(3)修改路徑后的日志文件要適當設置權限，它的文件權限建議administrator和system用戶為完全控制、everyone為只讀；同時，建議與web主目錄文件放在不同的分區(qū)，增加攻擊者利用路徑瀏覽得到日志存放路徑的難度，防止攻擊者惡意篡改日志。17二.用IIS建立高安全性的Web服務器(11)7.修改端口值

在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”。在網(wǎng)站目錄屬性對話框的“Web站點”頁面中，如圖所示，Web服務器默認端口值為80，這是眾所周知的，而端口號是攻擊者可以利用的一個便利條件。將端口號改用其它值，可以增加安全性，當然也會給用戶訪問帶來不便，系統(tǒng)管理員根據(jù)需要決定是否采用此條策略。18二.用IIS建立高安全性的Web服務器(12)

至此，簡單的Web服務器安全配置已完成。事實上，雖然這些安全配置可以在和很大程度上提高我們的Web服務器的安全性，但作為真正實用的Web服務器，每天要接受大量的訪問甚至大量的攻擊，只有這些配置是遠遠不夠的，還要采用一些列的安全措施例如防火墻技術等等。

19三.FTP服務器的安全配置(1)1.停止默認FTP站點打開“控制面板”－>“管理工具”－>“Internet服務管理器”，右擊“默認FTP站點”，在彈出的菜單中點擊“停止”，根據(jù)需要啟用啟用自己的FTP站點，如下圖所示。其目的也是要避免使用眾所周知的默認服務器設置。

20三.FTP服務器的安全配置(2)2.FTP頁面上，將TCP端口的“21”改為其它值如下圖所示，F(xiàn)TP協(xié)議默認端口為21，改用其他的端口值使攻擊者無法得到服務器的端口號從而增大了攻擊難度，但同時也會給用戶帶來一定的不便。

21三.FTP服務器的安全配置(3)3.啟用日志記錄

在FTP頁面上，點中“啟用日志記錄”，如上圖所示，單擊“屬性”，彈出下圖對話框。修改文件日志目錄，將日志目錄和FTP主目錄分放在不同的路徑下，并參照web服務器的權限設置，設置文件和文件目錄的權限，以保護日志的安全性。

22三.FTP服務器的安全配置(4)4.關于帳號在帳號安全頁面中，取消“允許匿名連接”選項，在“FTP站點操作員”只留下系統(tǒng)管理員一個帳號。如下圖所示。

23三.FTP服務器的安全配置(5)

我們通過操作系統(tǒng)安全實驗，已經(jīng)配置了相對安全的管理員賬號和密碼。所以，我們在FTP站點操作員中只留下系統(tǒng)管理員，這就要求只有知道帳號和密碼的用戶才可以登錄和管理FTP服務器，限制了匿名用戶等其他用戶的行為。

24三.FTP服務器的安全配置(6)5.系統(tǒng)路徑在“主目錄頁面”設置FTP主目錄，如下圖所示，注意該目錄不要與系統(tǒng)路徑在同一個磁盤分區(qū)，刪除everyone用戶組，設置其它用戶的權限為可讀，不可寫，只對管理員用戶保留完全控制權限。

25三.FTP服務器的安全配置(7)6.目錄安全性在“目錄安全性”頁面中添加被拒絕或允許訪問的IP。

在圖中，在選中“授權服務”的情況下，可以添加被拒絕的IP或IP組，其它未提到的IP視為允