WEB服務(wù)器安全管理-最佳實踐

1、WEB服務(wù)器安全管理最佳實踐WEB服務(wù)器安全管理最佳實踐IIS 6.0 Web服務(wù)器安全管理最佳實踐 IIS 6.0 Web服務(wù)器安全管理最佳實踐 首先具備的知識掌握 Windows 2000/Windows Server 2003 的日常操作了解 IIS（ Internet Information Server ）或者 IIS 日常操作如果能夠了解常見攻擊方法或相關(guān)內(nèi)容更佳級別 200首先具備的知識掌握 Windows 2000/Window概覽IIS 服務(wù)器不僅僅能夠提供常見的 WEB 應用而且和很多服務(wù)器集合使用在企業(yè)中已經(jīng)非常廣泛，如何加固IIS 服務(wù)器安全您了解多少？是否安裝了系統(tǒng)補

2、丁并配置了防火墻就萬無一失了？您是否了解 IIS 6.0 基礎(chǔ)架構(gòu)了解如何保護IIS Web服務(wù)器安全、防范攻擊以及優(yōu)化IIS Web服務(wù)器的技巧、實踐與工具概覽IIS 服務(wù)器不僅僅能夠提供常見的 WEB 應用而且和很內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)Web Services 面對的主要威脅和攻擊常用安全利器場景學習總結(jié) 參考資源簡單快速有效的安全內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)簡單快速有效的安全DLLHOST.exeISAPIExtensions(ASP, etc.)ISAPI FiltersmetabaseIIS 6.0 架構(gòu)TCP/IPINETINFOASP.NETISAPIAspnet_

3、wp.exeCLR App DomainCLR App DomainCLR App DomainmetabaseINETINFOHTTP.SYSWASConfig MgrProcess MgrW3WP.EXEApplication Pool 1ASP.NET ISAPICLR App DomainCLR App DomainW3WP.EXEISAPIExtensions(ASP, etc.)ISAPI FiltersApplication Pool 2W3WP.EXEASP.NET ISAPICLR App DomainCLR App DomainW3WP.EXEASP.NET ISAPICL

4、R App DomainCLR App DomainW3WP.EXEASP.NET ISAPICLR App DomainCLR App DomainWeb GardenW3WP.EXEISAPIExtensions(ASP, etc.)ISAPI FiltersDLLHOST.exeISAPIISAPI FiltersmIIS 6.0 必備知識IIS 6.0 必備知識內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)Web Services 面對的主要威脅和攻擊常用安全利器場景學習總結(jié) 參考資源簡單快速有效的安全內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)簡單快速有效的安全我們將討論現(xiàn)在應立即采取的安全手段未來要作的事情

5、我們將討論現(xiàn)在應立即采取的安全手段安全術(shù)語資產(chǎn) （Asset）脆弱性 （Vulnerability）威脅 （Threat）威脅因素 （Association）風險 （Risk）利用/暴露 (Exploits/Exposure)對策 (Countermeasure)安全術(shù)語資產(chǎn) （Asset）Web Services 面對的主要威脅和攻擊 Web Services 面對的主要威脅和攻擊 Web Services 面對的主要威脅和攻擊未授權(quán)的訪問 漏洞可導致通過 Web Services 進行未授權(quán)的訪問的漏洞包括：未使用身份驗證密碼在 SOAP 頭信息中以明文形式傳遞在未加密的通信通道中使用基本

6、身份驗證Web Services 面對的主要威脅和攻擊未授權(quán)的訪問 Web Services 面對的主要威脅和攻擊參數(shù)操縱 參數(shù)操縱是指對 Web Services 客戶與 Web Services 之間發(fā)送的數(shù)據(jù)進行未經(jīng)授權(quán)的修改。例如，攻擊者可以截獲 Web Services 消息（例如，在通過中間節(jié)點到達目標的路由中），然后在將其發(fā)送到目標終結(jié)點前對其進行修改 Web Services 面對的主要威脅和攻擊參數(shù)操縱 Web Services 面對的主要威脅和攻擊網(wǎng)絡(luò)竊聽 通過網(wǎng)絡(luò)竊聽，當 Web Services 消息在網(wǎng)絡(luò)中傳輸時，攻擊者可以查看這些消息。例如，攻擊者可以使用網(wǎng)絡(luò)監(jiān)視軟

7、件檢索 SOAP 消息中包含的敏感數(shù)據(jù)。其中有可能包括敏感的應用程序級別的數(shù)據(jù)或憑據(jù)信息 Web Services 面對的主要威脅和攻擊網(wǎng)絡(luò)竊聽 Web Services 面對的主要威脅和攻擊配置數(shù)據(jù)的泄漏 Web Services 配置數(shù)據(jù)的泄漏的方法主要有兩種。第一種，Web Services 可能支持動態(tài)生成 Web Services 描述語言 (WSDL)，或者可能在 Web 服務(wù)器上的可下載文件中提供 WSDL 信息 第二種，如果異常處理不充分，Web Services 可能會泄漏對攻擊者有用的敏感的內(nèi)部實施詳細信息 Web Services 面對的主要威脅和攻擊配置數(shù)據(jù)的泄漏Web

8、 Services 面對的主要威脅和攻擊消息重播 Web Services 消息可能會在傳遞過程中經(jīng)過多個中間服務(wù)器。通過消息重播攻擊，攻擊者可以捕獲并復制消息，并模擬客戶端將其重播到 Web Services。消息可能被修改，也可能保持不變 Web Services 面對的主要威脅和攻擊消息重播 保護 Windows安全安全檢查列表所有磁盤分區(qū)都是 NTFS的管理員賬號必須有一個復雜的密碼禁止不需要的服務(wù)刪除和禁止不必要的賬號移除不必要的文件共享在文件、共享和注冊表上設(shè)置訪問權(quán)限列表設(shè)置嚴格的安全策略安裝最新的service pack 和補丁安裝防病毒軟件保護 Windows安全安全檢查列表

9、所有磁盤分區(qū)都是 NT保護 IIS安全手把手教你設(shè)置 IIS 安全保護預先的安全安裝是必須的組件安裝的選擇、利用IIS 內(nèi)置的安全特性設(shè)置合適的訪問權(quán)限列表訪問控制和安全策略遠程管理的安全配置在IIS log上設(shè)置合適的訪問權(quán)限列表、同時設(shè)置合適的驗證機制啟動日志記錄（ W3C Extended Log）規(guī)劃恢復計劃保護 IIS安全手把手教你設(shè)置 IIS 安全保護預先的安全演示 手把手教你保護IIS 掌握如何選擇正確的IIS 組件在IIS目錄上設(shè)置合適的訪問權(quán)限列表啟動日志記錄演示 手把手教你保護IIS 掌握如何選擇正確的IIS 內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)Web Services 面對的

10、主要威脅和攻擊常用安全利器場景學習總結(jié) 參考資源簡單快速有效的安全內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)簡單快速有效的安全使用安全利器安全配置向?qū)в孟驅(qū)Ы缑嫱瓿砂踩珯z查完成 IIS 6.0 的配置完全免費，Windows Server 2003 SP1 中內(nèi)置（從）快速模式高級模式通俗易懂的幫助使用安全利器安全配置向?qū)в孟驅(qū)Ы缑嫱瓿砂踩珯z查使用安全利器安全配置向?qū)褂冒踩靼踩渲孟驅(qū)褂孟到y(tǒng)內(nèi)置安全利器 windows 防火墻推薦使用單獨的防火墻，但是在預算不足的情況下基于端口的過濾內(nèi)置在操作系統(tǒng)中對絕大多數(shù)攻擊都有防護作用使用系統(tǒng)內(nèi)置安全利器 windows 防火墻推薦使用單獨的使用系統(tǒng)安全利

11、器IPSECWindows Server 2000 /2003 內(nèi)置使用系統(tǒng)安全利器IPSECWindows Server 2使用IIS安全利器UrlScan 2.5注意，現(xiàn)在 UrlScan 2.5 已經(jīng)內(nèi)置在 IIS 6.0 中URL 的深層防御/kb/820129/en-us使用IIS安全利器UrlScan 2.5注意，現(xiàn)在 Ur使用IIS安全利器URL 授權(quán)如何快速有效的進行服務(wù)器用戶驗證安全除了服務(wù)器的安全標簽，我們還可以配置使用IIS安全利器URL 授權(quán)如何快速有效的進行服務(wù)器用常見使用工具命令跟蹤工具Windows Server 2003:Logman 開始/停止記錄Tracer

12、pt 分析跟蹤文件M 網(wǎng)站上可以下載:Log Parser 2.2 自定義跟蹤分析IISReqMon 分析當前正在執(zhí)行的請求有用的工具IISTrace 針對記錄請求的有用的工具即將發(fā)布的 “跟蹤診斷工具”Request Monitor Manager 基于用戶界面的有用工具常見使用工具命令跟蹤工具Windows Server 常見使用工具命令跟蹤工具返回:工作進程統(tǒng)計返回所有正在執(zhí)行進程的統(tǒng)計非常有用的研究工具logman start CurrRequests p IIS: Request Monitor -ets提供者的名稱跟蹤的文件名常見使用工具命令跟蹤工具返回:logman start使

13、用系統(tǒng)安全利器安全模板如何快速有效的進行服務(wù)器安全不要忘記我們擁有安全模板使用系統(tǒng)安全利器安全模板如何快速有效的進行服務(wù)器安全使用系統(tǒng)安全利器SSL如何保證用戶訪問服務(wù)器的安全性例如用戶名、密碼、內(nèi)容使用系統(tǒng)安全利器SSL如何保證用戶訪問服務(wù)器的安全性使用安全利器MBSA眾多案例顯示利用操作系統(tǒng)安全漏洞入侵從而控制IIS 檢查計算機的補丁情況圖形化界面的工具使用安全利器MBSA眾多案例顯示利用操作系統(tǒng)安全漏洞入侵從演示利用安全向?qū)нM行服務(wù)器安全加固利用 IPSec 進行安全信息傳輸和進行不安全訪問的阻隔利用windows 防火墻阻隔不需要的訪問利用URLSCAN2.5 進行IIS 服務(wù)器的安全

14、加固演示利用安全向?qū)нM行服務(wù)器安全加固利用 IPSec 進行內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)Web Services 面對的主要威脅和攻擊常用安全利器場景學習總結(jié) 參考資源簡單快速有效的安全內(nèi)容安排IIS 6.0 基礎(chǔ)架構(gòu)簡單快速有效的安全今天如何做起配置 Microsoft Active Directory IIS 服務(wù)器 OU 結(jié)構(gòu) 步驟 注意： 創(chuàng)建 IIS 服務(wù)器部門 (OU)創(chuàng)建增量 IIS 服務(wù)器策略 將 GPO 鏈接至 IIS 服務(wù)器 OU 將相應客戶端環(huán)境的安全模板導入新建的 GPO 例如，用于企業(yè)客戶端環(huán)境的 Enterprise Client IIS Server.inf

15、今天如何做起配置 Microsoft Active Dire今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 安裝和配置 Windows Server 2003 安裝和配置 IIS 服務(wù)僅安裝必要的 IIS 組件僅啟用必要的 Web Service 擴展將數(shù)據(jù)保存在專用磁盤空間內(nèi)配置 NTFS 權(quán)限 配置 IIS Web 站點權(quán)限 配置 IIS 記錄 今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 安裝和配置今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 應用所需的所有 Service Pack 和/或更新MBSA 定期運行，以檢查操作系統(tǒng)和組件的最新更新 安裝和配置病毒保護解決方案 根據(jù)

16、要求安裝和配置 MOM 代理或類似的監(jiān)視解決方案 將相應服務(wù)器移至對應的 IIS 服務(wù)器 OU 確保已知帳戶安全 重命名內(nèi)置管理員帳戶，指定復雜密碼。確保已經(jīng)禁用來賓帳戶。更改默認帳戶說明 今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 應用所需的今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 確保服務(wù)帳戶安全 考慮實施 IPSec 篩選器 運行 GPUPDATE.EXE /FORCE 重新啟動服務(wù)器 檢查事件日志，查找錯誤 定期查看日志例如通過日志增長就可以發(fā)現(xiàn)一些拒絕攻擊今天如何做起IIS 服務(wù)器強化步驟 步驟 注意： 確保服務(wù)帳談?wù)摪踩?今天如何做起發(fā)送mail 到 microsof

17、t_security-subscribe-request安裝和運行升級通知工具訂閱或登陸下載 Security tool kit談?wù)摪踩?今天如何做起發(fā)送mail 到 microsoftcontoso.corpSQLDCIISDCIISDMZ企業(yè)內(nèi)網(wǎng)ISA場景學習Internetcontoso.corpSQLDCIIScontoso.co場景回顧步驟 1：熟悉 IIS 基本架構(gòu)步驟 2：根據(jù)企業(yè)具體要求配置相關(guān)安全配置選項步驟 3：使用前面介紹的安全利器 步驟 4：配置防火墻保護相關(guān)服務(wù)器步驟 5：定期查看日志制度的建立步驟 6：制定相關(guān)災難恢復計劃步驟 7：測試步驟 8：重復以上步驟場景回顧步驟 1：熟悉 IIS 基本架構(gòu) 講座總結(jié)檢視一遍安全清單應用最新的補丁經(jīng)常檢查你的網(wǎng)絡(luò)安全性 講座總結(jié)檢視一遍安全清單答疑答疑WEB服務(wù)器安全管理最佳實踐WEB服務(wù)器安全管理最佳實踐WEB服務(wù)器安全管理最佳實踐WEB服務(wù)器安全管理最佳實踐TechNet是什么?只需輕輕點擊，答案就在您的指尖對于IT 專業(yè)人員來說，TechNet 是一個知識的寶庫，你可以找到關(guān)于如何規(guī)劃，