系统安全防御

目录IIS安全特性......................................................................3实例：站点基本安全设置..............................................3实例：访问限制设置.....................................................6实例：限定IIS使用率和具体映像及目录....................11实例：建立新证书........................................................17实例：客户端证书映射................................................24实例：用户权限设置和应用程序调试...........................29Windows系统节点的风险基线评估（MBSA）..................37实例：IISlockdown安全评估扫描............................38实例：IEZones安全评估扫描.....................................44IIS安全特性【实验目的】了解Windows下IIS服务的安全体系，掌握IIS服务安全设置的方法。【预备知识】1.了解Windows的基本使用知识2.了解IIS服务的基本功能、使用方法【实验环境】正阳天马信息安全实验室【实验工具】WindowsIIS5.0/IIS6.0中文版；微软公司；免费工具；全名InternetInformationServer；用于在公共Intranet或Internet上发布信息的Web服务器。【实验用时】180分钟【对应讲义】系统安全防御→应用程序→IIS安全【实验过程与步骤】实例：站点基本安全设置1、打开IIS，选中“JSXManage”网站。IIS主界面2、右键单击，选择“属性”。选择指定站点的“属性”项3、修改IP地址为：202.17.66.83，TCP端口为：8080，连接限制到500个。单击日志记录的“属性”按钮。“属性”主界面4、点选“当文件大小达到”单选框，输入10M，单击“浏览”，选择网络路径\\logserver\access_log。设置相应“常规属性”5、单击“扩充的属性”页，勾选“发送字节数”、“接收字节数”、“所花时间”。单击“确定”。设置“扩充的属性”实例：访问限制设置1、单击“操作员”页，单击“添加”。操作员设置主界面2、在用户列表中，选择JXS_Access，单击“添加”，单击“确定”。添加用户主界面3、单击“应用”。添加用户后的界面4、单击“主目录”页。单击应用程序设置中的“配置”。设置“主目录”界面5、修改会话超时为30分钟，去掉“启用父路径”。单击“确定”。设置“应用程序选项”界面6、单击“目录安全性”页。单击匿名访问控制和验证控制中的“编辑”。设置“目录安全性”主界面7、去掉“匿名访问”项。单击“确定”。设置“验证方法”界面8、单击IP地址及域名限制中的“编辑”。“目录安全性”主界面9、选中“拒绝访问”，单击“添加”。“IP地址及域名限制”界面10、选中“一组计算机”，输入172.16.1.0，255.255.255.0。单击“确定”。输入指定的IP地址11、单击“确定”，完成操作。添加IP地址后的“IP地址及域名限制”界面实例：限定IIS使用率和具体映像及目录1、进入“网站属性”→“主目录”→“映射”窗口。打开属性网站属性窗口主目录窗口2、点击“主目录”→“应用程序设置”→“配置”。应用程序配置的“映射”窗口3、选中“应用程序扩展”下的除“.asa”和“.asp”下的所有扩展名。选中后的效果4、点击上图中的“删除”按钮，弹出“确定”窗口。“确定”窗口删除后的效果5、选中“网站属性”→“性能”窗口。性能窗口6、选中“带宽限制”和“网站连接”，分别设置限量为“1000”、“500”。填写限量后的界面7、点击上图中的“确定”回到“IIS管理器”界面；8、选中“IIS管理器”→“网站”→“默认网站”→“welcome”右键选择“删除”。选择删除welcome时的界面确定删除窗口实例：建立新证书1、启用IIS管理器，打开虚拟目录“welcome”的属性窗口。启用属性项2、点击“目录安全性”→“服务器证书”，安装过程如图：目录安全性界面证书向导新建证书默认项，直接下一步3、输入证书名称，选择证书加密程序。输入证书名、加密证书选择加密程序输入公用名称输入证书的地理信息指定证书保存的盘符和名称证书信息摘要完成新建证书实例：客户端证书映射1、点击“目录安全性”→“编辑”，操作过程如图：目录安全性界面安全通信界面启用多对一映射常规设置规则设置规则元素设置设置后的界面设置使用证书登录时账户、密码密码确认完成映射设置后的界面实例：用户权限设置和应用程序调试1、点击“HTTP头”，“启用内容用过期”，输入时间，如图：设置过期时间2、右键虚拟目录“welcome”→“权限”，如图：启用用户权限3、选择用户“users”→“高级”，如图：用户选择界面不勾选此项则无法修改用户权限弹出窗口点“复制”复制后的返回界面设置users权限4、点击“web服务扩展”，如图：允许Internet数据连接器允许WebDav开启后的界面5、启用“welcome”属性界面，如图：启用属性界面6、点击“主目录”，输入网络目录和其它设置，如图：主目录界面7、设置应用程序调试，如图：调试界面设置完成后的“主目录”界面Windows系统节点的风险基线评估（MBSA）【实验目的】通过实验掌握基线评估仪的使用方法，准确理解基线评估仪的风险评估报告的内容，灵活运用类似方法对系统安全性进行有效的考察和分析，并能准确地采取相应的措施加以解决。【预备知识】MicrosoftBaselineSecurityAnalyzer（MBSA，以下简称MBSA）可以让系统管理人员直接通过此软件扫描本机或者多台电脑乃至整个局域网的安全设置和系统漏洞。包括以下项目:1.检查Windows2KServer&All/XPProfessional系统的保密设置，包括是否安装修补程序（HOTFIXES），检测是否启动账号登录和退出的检查，是否开启Guest使用者的账号，是否启动了没有必要的启动而又非常危险的网络服务等等。2.检查IIS系统的安全设置，其中包括有没有安装IISLockdownTool、是否安装了IIS的安全修补程序。3.检查SQLServer的系统安全设置内容。4.检查InternetExplorer的设置。5.检查OE/Outlook的安全方面设置。6.检查MicrosoftOffice2K/XP的Macro安装设置。【实验环境】正阳天马网络安全攻防实验室【实验工具】MBSASetup.msi：Version1.2英文版；微软公司；免费工具；全名MicrosoftBaselineSecurityAnalyzer；用于Windows2000以后操作系统的安全评估。【实验用时】25分钟【对应讲义】风险分析→安全评估→MBSA（微软基线安全分析器）【实验过程与步骤】随着Windows系统的漏洞不断的被发现，电脑病毒更加变本加厉的肆虐在每一台电脑上，加上日益在网络上流通的黑客工具更是给Windows系统造成了巨大的危害。微软也为此忙的不亦乐乎，不断推出新的修补程序和安全加密程序，但是系统管理员未必完全了解自己的Windows2K/XP是否修正了所有的系统漏洞。因此微软推出了一款名为MicrosoftBaselineSecurityAnalyzer（MBSA），让系统管理员了解和修正Windows2K/XP的安全漏洞。实例：IISlockdown安全评估扫描1、打开MBSA主界面，评估一台计算机。MBSA主界面2、点击上图中的“Scanacomputer”，在IPaddress中输入需要评估的计算机IP，取消“Checkforsecurityupdates”可提高扫描速度。具体操作如图。扫描单台计算机扫描完成后的界面3、点击上图中的“Howtocorrectthis”可以看到响应漏洞解决方案，如图。漏洞描述解决方案扫描完成后的界面4、点击图中的“Whatwasscanned”可以看到对IIS漏洞评估软件的检测，如图。对IISLockdownTool软件的检测界面微软IISLockdownTool软件的主界面对IISLockdownTool软件的下载界面IISLockdownTool软件安装时的界面接受MBSA的协议选择需要的模版模版自动设置完成的界面IISLockdownTool安装完成的界面实例：IEZones安全评估扫描1、找到评估结果中的“IEZones”→“Whatwasscanned”项进行操作，如图。扫描后结果的主界面IE检测结果的详细描述2、点击上图中的“ManagingInternetExplorerEnhancedSecurityConfiguration”，出现管理IE高级安全配置下载页面。管理IE高级安全配置下载页面3、在扫描结果页面中点击“Resultdetails”显示IE评估结果列表。扫描后结果的主界面IE评估结果列表