2020国产成人精品视频,性做久久久久久久久,亚洲国产成人久久综合一区,亚洲影院天堂中文av色

分享

保護(hù) web 服務(wù)器

 qzg589 2005-08-13

          保護(hù) Web 服務(wù)器

          更新日期: 2004年04月12日
          本頁(yè)內(nèi)容
          本模塊內(nèi)容 本模塊內(nèi)容
          目標(biāo) 目標(biāo)
          適用范圍 適用范圍
          如何使用本模塊 如何使用本模塊
          概述 概述
          威脅與對(duì)策 威脅與對(duì)策
          確保 Web 服務(wù)器安全的方法 確保 Web 服務(wù)器安全的方法
          IIS 和 .NET Framework 安裝注意事項(xiàng) IIS 和 .NET Framework 安裝注意事項(xiàng)
          安裝建議 安裝建議
          確保 Web 服務(wù)器安全的步驟 確保 Web 服務(wù)器安全的步驟
          步驟 1:修補(bǔ)程序和更新程序 步驟 1:修補(bǔ)程序和更新程序
          步驟 2:IISLockdown 步驟 2:IISLockdown
          步驟 3:服務(wù) 步驟 3:服務(wù)
          步驟 4:協(xié)議 步驟 4:協(xié)議
          步驟 5:帳戶 步驟 5:帳戶
          步驟 6:文件和目錄 步驟 6:文件和目錄
          步驟 7:共享 步驟 7:共享
          步驟 8:端口 步驟 8:端口
          步驟 9:注冊(cè)表 步驟 9:注冊(cè)表
          步驟 10:審核和日志記錄 步驟 10:審核和日志記錄
          步驟 11:站點(diǎn)和虛擬目錄 步驟 11:站點(diǎn)和虛擬目錄
          步驟 12:腳本映射 步驟 12:腳本映射
          步驟 13:ISAPI 篩選器 步驟 13:ISAPI 篩選器
          步驟 14:IIS 元數(shù)據(jù)庫(kù) 步驟 14:IIS 元數(shù)據(jù)庫(kù)
          步驟 15:服務(wù)器證書(shū) 步驟 15:服務(wù)器證書(shū)
          步驟 16:Machine.Config 步驟 16:Machine.Config
          步驟 17:代碼訪問(wèn)安全性 步驟 17:代碼訪問(wèn)安全性
          安全 Web 服務(wù)器快照 安全 Web 服務(wù)器快照
          保持安全 保持安全
          遠(yuǎn)程管理 遠(yuǎn)程管理
          簡(jiǎn)化并自動(dòng)設(shè)置安全性 簡(jiǎn)化并自動(dòng)設(shè)置安全性
          小結(jié) 小結(jié)
          其他資源 其他資源

          本模塊內(nèi)容

          Web 服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端。它直接連接到 Internet,負(fù)責(zé)接收來(lái)自客戶端的請(qǐng)求、創(chuàng)建動(dòng)態(tài) Web 頁(yè)并對(duì)請(qǐng)求的數(shù)據(jù)作出響應(yīng)。

          安全的 Web 服務(wù)器可為宿主環(huán)境提供可靠的基礎(chǔ),其配置在 Web 應(yīng)用程序的整體安全方面起重要作用。但是,如何確保 Web 服務(wù)器安全呢?確保 Web 服務(wù)器安全的挑戰(zhàn)之一就是要明確自己的目標(biāo)。只有明白了何謂安全的 Web 服務(wù)器,您就可以了解如何為此應(yīng)用所需的配置設(shè)置。

          本模塊提供了一種系統(tǒng)且可重復(fù)的方法,您可以使用它成功配置安全的 Web 服務(wù)器。模塊還介紹了一種確保 Web 服務(wù)器安全的方法,該方法將服務(wù)器的配置劃分為十二個(gè)安全區(qū)域。每一安全區(qū)域都由一系列高級(jí)操作步驟組成。這些步驟都是模塊化的,介紹了將方法付諸實(shí)施的途徑。

          目標(biāo)

          使用本模塊可以實(shí)現(xiàn):

          了解何謂安全的 Web 服務(wù)器。

          使用已證明正確的方法確保 Web 服務(wù)器安全。

          了解在默認(rèn)情況下 Windows 2000 Server 中 IIS 的完整安裝和 .NET Framework 的安裝內(nèi)容。

          了解安全 Web 服務(wù)器中可禁用的服務(wù)。

          安全配置 Web 服務(wù)器,包括操作系統(tǒng)協(xié)議、帳戶、文件、目錄、共享、端口、注冊(cè)表、審核和日志記錄。

          安全配置 Web 服務(wù)器應(yīng)用程序(本例是 IIS)組件,包括 Web 站點(diǎn)、虛擬目錄、腳本映射、ISAPI 篩選器、元數(shù)據(jù)庫(kù)和服務(wù)器證書(shū)。

          安全配置 .NET Framework 設(shè)置,包括 Machine.config 文件和代碼訪問(wèn)安全性。

          針對(duì)遠(yuǎn)程管理安裝并使用安全的終端服務(wù)。

          了解解決常見(jiàn) Web 服務(wù)器威脅(包括配置處理、拒絕服務(wù)、未經(jīng)授權(quán)的訪問(wèn)、隨意代碼執(zhí)行、特權(quán)提升、病毒、蠕蟲(chóng)和特洛伊木馬)的常用對(duì)策。

          適用范圍

          本模塊適用于下列產(chǎn)品和技術(shù):

          Microsoft Windows Server 2000 和 2003

          Microsoft .NET Framework 1.1 和 ASP.NET 1.1

          Microsoft Internet 信息服務(wù) (IIS) 5.0 和 6.0

          如何使用本模塊

          為了充分理解本模塊內(nèi)容,您應(yīng):

          閱讀模塊 2 威脅與對(duì)策。這有助于您更廣泛地了解 Web 應(yīng)用程序的潛在威脅。

          使用快照。安全 Web 服務(wù)器快照部分列出并說(shuō)明了安全 Web 服務(wù)器的屬性。它反映了來(lái)自各種源(包括客戶、行業(yè)專家和內(nèi)部 Microsoft 開(kāi)發(fā)與支持小組)的輸入。在配置服務(wù)器時(shí),請(qǐng)參考快照表。

          使用檢查表。本指南“檢查表”部分的檢查表:保護(hù) Web 服務(wù)器提供了一份可打印的作業(yè)幫助,可將它用作快速參考。使用基于任務(wù)的檢查表可快速評(píng)估必需的步驟,然后幫助您逐步完成各個(gè)步驟。

          使用“如何”部分。本指南“如何”部分包括了下列指導(dǎo)性文章:

          如何:使用 URLScan

          如何:使用 Microsoft 基準(zhǔn)安全分析器

          如何:使用 IISLockdown

          概述

          究竟怎樣的 Web 服務(wù)器才算安全?確保 Web 服務(wù)器安全的挑戰(zhàn)之一就是明確您的目標(biāo)。只有明白了何謂安全的 Web 服務(wù)器,您就可以了解如何為此應(yīng)用所需的配置設(shè)置。本模塊提供了一種系統(tǒng)且可重復(fù)的方法,您可以使用它成功配置安全的 Web 服務(wù)器。

          本模塊首先回顧了影響 Web 服務(wù)器的最常見(jiàn)威脅。然后,使用上述觀點(diǎn)創(chuàng)建相應(yīng)的方法。最后,模塊將這種方法付諸實(shí)施,并逐步說(shuō)明如何提高 Web 服務(wù)器的安全性。盡管基本方法可跨不同技術(shù)復(fù)用,但本模塊的重點(diǎn)是如何保證運(yùn)行 Microsoft Windows 2000 操作系統(tǒng)并駐留 Microsoft .NET Framework 的 Web 服務(wù)器的安全。

          威脅與對(duì)策

          由于攻擊者可遠(yuǎn)程攻擊,Web 服務(wù)器常常是攻擊對(duì)象。如果了解 Web 服務(wù)器的威脅并努力制定相應(yīng)的對(duì)策,您可以預(yù)見(jiàn)很多攻擊,進(jìn)而阻止日漸增加的攻擊者。

          Web 服務(wù)器的主要威脅是:

          配置處理

          拒絕服務(wù)

          未經(jīng)授權(quán)的訪問(wèn)

          隨意代碼執(zhí)行

          特權(quán)提升

          病毒、蠕蟲(chóng)和特洛伊木馬

          圖 16.1 匯總了目前流行的攻擊和常見(jiàn)漏洞。

          Web 服務(wù)器主要威脅和常見(jiàn)漏洞

          圖 16.1
          Web 服務(wù)器主要威脅和常見(jiàn)漏洞

          配置處理

          配置處理或主機(jī)枚舉是一種收集 Web 站點(diǎn)相關(guān)信息的探測(cè)過(guò)程。攻擊者可利用這些信息攻擊已知的薄弱點(diǎn)。

          漏洞

          致使服務(wù)器容易受到配置處理攻擊的常見(jiàn)漏洞包括:

          不必要的協(xié)議

          打開(kāi)的端口

          Web 服務(wù)器在橫幅中提供配置信息

          攻擊

          常見(jiàn)的配置處理攻擊包括:

          端口掃描

          Ping 掃射 (ping sweep)

          NetBIOS 和服務(wù)器消息塊 (SMB) 枚舉

          對(duì)策

          有效的對(duì)策有,阻止所有不必要的端口、阻止 Internet 控制消息協(xié)議 (ICMP) 通信、禁用不必要的協(xié)議(如 NetBIOS 和 SMB)。

          拒絕服務(wù)

          如果服務(wù)器被泛濫的服務(wù)請(qǐng)求所充斥,則出現(xiàn)拒絕服務(wù)攻擊。此時(shí)的威脅是,Web 服務(wù)器因負(fù)荷過(guò)重而無(wú)法響應(yīng)合法的客戶端請(qǐng)求。

          漏洞

          導(dǎo)致拒絕服務(wù)攻擊增加的可能漏洞包括:

          薄弱的 TCP/IP 堆棧配置

          未修補(bǔ)的服務(wù)器

          攻擊

          常見(jiàn)的拒絕服務(wù)攻擊包括:

          網(wǎng)絡(luò)級(jí) SYN flood(同步攻擊)

          緩沖區(qū)溢出

          使用來(lái)自分布式位置的請(qǐng)求淹沒(méi) Web 服務(wù)器

          對(duì)策

          有效的對(duì)策有,強(qiáng)化 TCP/IP 堆棧,以及始終將最新的軟件修補(bǔ)程序和更新程序應(yīng)用于系統(tǒng)軟件。

          未經(jīng)授權(quán)的訪問(wèn)

          如果權(quán)限不合適的用戶訪問(wèn)了受限的信息或執(zhí)行了受限的操作,則出現(xiàn)未經(jīng)授權(quán)的訪問(wèn)。

          漏洞

          導(dǎo)致未經(jīng)授權(quán)訪問(wèn)的常見(jiàn)漏洞包括:

          薄弱的 IIS Web 訪問(wèn)控制(包括 Web 權(quán)限)

          薄弱的 NTFS 權(quán)限

          對(duì)策

          有效的對(duì)策有,使用安全的 Web 權(quán)限、NTFS 權(quán)限和 .NET Framework 訪問(wèn)控制機(jī)制(包括 URL 授權(quán))。

          隨意代碼執(zhí)行

          如果攻擊者在您的服務(wù)器中運(yùn)行惡意代碼來(lái)?yè)p害服務(wù)器資源或向下游系統(tǒng)發(fā)起其他攻擊,則出現(xiàn)代碼執(zhí)行攻擊。

          漏洞

          可導(dǎo)致惡意代碼執(zhí)行的漏洞包括:

          薄弱的 IIS 配置

          未修補(bǔ)的服務(wù)器

          攻擊

          常見(jiàn)的代碼執(zhí)行攻擊包括:

          路徑遍歷

          導(dǎo)致代碼注入的緩沖區(qū)溢出

          對(duì)策

          有效的對(duì)策有,配置 IIS 拒絕帶有“../”的 URL(防止路徑遍歷)、使用限制性訪問(wèn)控制列表 (ACL) 鎖定系統(tǒng)命令和實(shí)用工具、安裝新的修補(bǔ)程序和更新程序。

          特權(quán)提升

          如果攻擊者使用特權(quán)進(jìn)程帳戶運(yùn)行代碼,則出現(xiàn)特權(quán)提升攻擊。

          漏洞

          導(dǎo)致 Web 服務(wù)器易受特權(quán)提升攻擊的常見(jiàn)漏洞包括:

          過(guò)度授權(quán)進(jìn)程帳戶

          過(guò)度授權(quán)服務(wù)帳戶

          對(duì)策

          有效的對(duì)策有,使用特權(quán)最少的帳戶運(yùn)行進(jìn)程、使用特權(quán)最少的服務(wù)和用戶帳戶運(yùn)行進(jìn)程。

          病毒、蠕蟲(chóng)和特洛伊木馬

          惡意代碼有幾種變體,具體包括:

          病毒。即執(zhí)行惡意操作并導(dǎo)致操作系統(tǒng)或應(yīng)用程序中斷的程序。

          蠕蟲(chóng)??勺晕覐?fù)制并自我維持的程序。

          特洛伊木馬。表面上有用但實(shí)際帶來(lái)破壞的程序。

          在很多情況下,惡意代碼直至耗盡了系統(tǒng)資源,并因此減慢或終止了其他程序的運(yùn)行后才被發(fā)現(xiàn)。例如,“紅色代碼”就是危害 IIS 的臭名昭著的蠕蟲(chóng)之一,它依賴 ISAPI 篩選器中的緩沖區(qū)溢出漏洞。

          漏洞

          導(dǎo)致易受病毒、蠕蟲(chóng)和特洛伊木馬攻擊的常見(jiàn)漏洞包括:

          未修補(bǔ)的服務(wù)器

          運(yùn)行不必要的服務(wù)

          使用不必要的 ISAPI 篩選器和擴(kuò)展

          對(duì)策

          有效的對(duì)策有,提示應(yīng)用程序安裝最新的軟件修補(bǔ)程序、禁用無(wú)用的功能(如無(wú)用的 ISAPI 篩選器和擴(kuò)展)、使用特權(quán)最少的帳戶運(yùn)行進(jìn)程來(lái)減小危害發(fā)生時(shí)的破壞范圍。

          確保 Web 服務(wù)器安全的方法

          為了確保 Web 服務(wù)器的安全,必須應(yīng)用很多配置設(shè)置來(lái)減少服務(wù)器受攻擊的漏洞。但究竟在何處開(kāi)始、何時(shí)才算完成呢?最佳的方法是,對(duì)必須采取的預(yù)防措施和必要配置的設(shè)置進(jìn)行分類。通過(guò)分類,您可以從上到下系統(tǒng)安排保護(hù)過(guò)程,或選擇特定的類別完成特定的步驟。

          配置類別

          本模塊的安全方法都?xì)w入圖 16.2 所示的類別。

          Web 服務(wù)器配置類別

          圖 16.2
          Web 服務(wù)器配置類別

          分類基本原理如下:

          修補(bǔ)程序和更新程序
          很多安全威脅是由廣泛發(fā)布和眾所周知的漏洞引起的。在很多情況下,如果發(fā)現(xiàn)了新漏洞,成功利用該漏洞發(fā)起攻擊的探測(cè)代碼將在幾小時(shí)內(nèi)公布在 Internet 中。如果不修補(bǔ)并更新服務(wù)器,便為攻擊者和惡意代碼提供了機(jī)會(huì)。因此,修補(bǔ)并更新服務(wù)器軟件是保護(hù) Web 服務(wù)器的第一項(xiàng)重要步驟。

          服務(wù)
          對(duì)于有能力探測(cè)服務(wù)的特權(quán)和功能,并進(jìn)而訪問(wèn)本地 Web 服務(wù)器或其他下游服務(wù)器的攻擊者來(lái)說(shuō),服務(wù)是最主要的漏洞點(diǎn)。如果某服務(wù)不是 Web 服務(wù)器必需的,請(qǐng)不要在服務(wù)器中運(yùn)行它。如果服務(wù)是必需的,請(qǐng)確保服務(wù)安全并進(jìn)行維護(hù)。考慮監(jiān)視所有的服務(wù)來(lái)確??捎眯浴H绻?wù)軟件不安全,您又需要該服務(wù),請(qǐng)嘗試尋找一種可替代它的安全服務(wù)。

          協(xié)議
          避免使用本身不安全的協(xié)議。如果無(wú)法避免使用這些協(xié)議,請(qǐng)采取相應(yīng)的措施提供安全的身份驗(yàn)證和通信。例如使用 IPSec 策略。不安全的明文協(xié)議有 Telnet、郵局協(xié)議 (POP3)、簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 和文件傳輸協(xié)議 (FTP)。

          帳戶
          帳戶可向計(jì)算機(jī)授予經(jīng)身份驗(yàn)證的訪問(wèn)權(quán)限,因此必須審核。用戶帳戶的用途是什么?有怎樣的訪問(wèn)權(quán)限?是否屬于可作為攻擊目標(biāo)的常見(jiàn)帳戶?是否屬于可泄露(并因此一定要包含在內(nèi))的服務(wù)帳戶?使用最少的特權(quán)來(lái)配置帳戶,避免特權(quán)提升的可能性。刪除所有不需要的帳戶。使用強(qiáng)密碼策略緩解強(qiáng)力攻擊和字典攻擊,然后對(duì)失敗的登錄進(jìn)行審核和報(bào)警。

          文件和目錄
          使用有限的 NTFS 權(quán)限(僅允許訪問(wèn)必需的 Windows 服務(wù)和用戶帳戶)確保所有文件和目錄安全。使用 Windows 審核可檢測(cè)出何時(shí)出現(xiàn)可疑的或未經(jīng)授權(quán)的操作。

          共享
          刪除所有不必要的文件共享,包括默認(rèn)管理共享(如果不需要它們)。使用有限的 NTFS 權(quán)限確保剩余共享的安全。盡管共享不直接展示在 Internet 中,但如果服務(wù)器存在漏洞,提供有限和安全共享的防御策略可減輕風(fēng)險(xiǎn)。

          端口
          在服務(wù)器中運(yùn)行的服務(wù)可偵聽(tīng)特定端口,從而響應(yīng)傳入請(qǐng)求。定期審核服務(wù)器的端口可確保不安全或不必要的服務(wù)無(wú)法在您的 Web 服務(wù)器中激活。如果檢測(cè)出活動(dòng)的端口,但它不是管理員打開(kāi)的,表明一定存在未經(jīng)授權(quán)的訪問(wèn)和安全漏洞。

          注冊(cè)表
          很多與安全有關(guān)的設(shè)置都保存在注冊(cè)表中,因此必須保護(hù)注冊(cè)表。您可應(yīng)用有限的 Windows ACL 并阻止遠(yuǎn)程注冊(cè)表管理來(lái)做到這一點(diǎn)。

          審核和日志記錄
          審核是一種重要的工具,主要作用是確定入侵者、進(jìn)行中的攻擊和已發(fā)生攻擊的證據(jù)。請(qǐng)結(jié)合 Windows 和 IIS 審核功能來(lái)配置 Web 服務(wù)器的審核。事件日志和系統(tǒng)日志可幫助您解決安全問(wèn)題。

          站點(diǎn)和虛擬目錄
          站點(diǎn)和虛擬目錄直接展示在 Internet 中。盡管安全的防火墻配置和防御性 ISAPI 篩選器(如 IISLockdown 工具附帶的 URLScan)可阻止對(duì)受限配置文件或程序可執(zhí)行文件的請(qǐng)求,但還是建議您使用深層的防御策略。重新將站點(diǎn)和虛擬目錄分配到非系統(tǒng)分區(qū),然后使用 IIS Web 權(quán)限進(jìn)一步限制訪問(wèn)。

          腳本映射
          如果刪除可選文件擴(kuò)展名的所有不必要 IIS 腳本映射,可防止攻擊者對(duì)處理這些文件類型的 ISAPI 擴(kuò)展中的任何 Bug 加以利用。不使用的擴(kuò)展名映射常常被忽略,而它們正代表了主要的安全漏洞。

          ISAPI 篩選器
          攻擊者已成功利用 ISAPI 篩選器中的漏洞。請(qǐng)從 Web 服務(wù)器中刪除不必要的 ISAPI 篩選器。

          IIS 元數(shù)據(jù)庫(kù)
          IIS 元數(shù)據(jù)庫(kù)可維護(hù) IIS 配置設(shè)置。必須確保正確配置與安全相關(guān)的設(shè)置,確保使用強(qiáng)化的 NTFS 權(quán)限來(lái)訪問(wèn)元數(shù)據(jù)庫(kù)文件。

          Machine.config
          Machine.config 文件保存了應(yīng)用于 .NET Framework 應(yīng)用程序(包括 ASP.NET Web 應(yīng)用程序)的計(jì)算機(jī)級(jí)配置設(shè)置。修改 Machine.config 中的設(shè)置可確保將安全的默認(rèn)值應(yīng)用于服務(wù)器中安裝的所有 ASP.NET 應(yīng)用程序。

          代碼訪問(wèn)安全性
          限制代碼訪問(wèn)安全性策略設(shè)置可確保下載自 Internet 或 Intranet 的代碼沒(méi)有權(quán)限,因此無(wú)法執(zhí)行。

          IIS 和 .NET Framework 安裝注意事項(xiàng)

          在確保 Web 服務(wù)器安全以前,必須先知道安裝 IIS 和 .NET Framework 后在 Windows 2000 服務(wù)器中出現(xiàn)的組件。本節(jié)說(shuō)明了安裝哪些組件。

          IIS 安裝了哪些組件?

          IIS 安裝了很多服務(wù)、帳戶、文件夾和 Web 站點(diǎn)。有些組件是 Web 應(yīng)用程序所不用的,如果不在服務(wù)器中刪除,可能導(dǎo)致服務(wù)器易受攻擊。表 16.1 列出了在 Windows 2000 Server 系統(tǒng)中完整安裝 IIS(選定所有組件)后創(chuàng)建的服務(wù)、帳戶和文件夾。

          表 16.1:IIS 安裝默認(rèn)值

          項(xiàng)目 詳細(xì)信息 默認(rèn)值

          服務(wù)

          IIS Admin Service(管理 Web 和 FTP 服務(wù))
          World Wide Web Publishing Service
          FTP Publishing Service
          Simple Mail Transport Protocol (SMTP)
          Network News Transport Protocol (NNTP)

          安裝

          安裝
          安裝
          安裝
          安裝

          帳戶和組

          IUSR_MACHINE(匿名 Internet 用戶)

          IWAM_MACHINE(進(jìn)程外 ASP Web 應(yīng)用程序;不用在 ASP.NET 應(yīng)用程序中,除了在域控制器中運(yùn)行的 ASP.NET 應(yīng)用程序;您的 Web 服務(wù)器不應(yīng)是域控制器)

          添至 Guest 組

          添至 Guest 組

          文件夾

          %windir%\system32\inetsrv(IIS 程序文件)
          %windir%\system32\inetsrv\iisadmin(用于遠(yuǎn)程管理 IIS 的文件)
          %windir%\help\iishelp(IIS 幫助文件)
          %systemdrive%\inetpub(Web、FTP 和 SMTP 根文件夾)

            

          Web 站點(diǎn)

          默認(rèn) Web 站點(diǎn) – 端口 80:%SystemDrive%\inetpub\wwwroot
          管理 Web 站點(diǎn) – 端口 3693:%SystemDrive%\System32\inetsrv\iisadmin

          允許匿名訪問(wèn)
          僅限本地計(jì)算機(jī)和管理員訪問(wèn)

          .NET Framework 安裝了哪些組件?

          如果在駐留 IIS 的服務(wù)器中安裝 .NET Framework,.NET Framework 將注冊(cè) ASP.NET。作為該過(guò)程的一部分,系統(tǒng)將創(chuàng)建一個(gè)名為 ASPNET 的特權(quán)最少的本地帳戶。這將運(yùn)行 ASP.NET 工作進(jìn)程 (aspnet_wp.exe) 和會(huì)話狀態(tài)服務(wù) (aspnet_state.exe),后者可用于管理用戶會(huì)話狀態(tài)。

          注意:在運(yùn)行 Windows 2000 和 IIS 5.0 的服務(wù)器計(jì)算機(jī)中,所有 ASP.NET Web 應(yīng)用程序都運(yùn)行在 ASP.NET 工作進(jìn)程的單個(gè)實(shí)例中,由應(yīng)用程序域提供隔離。在 Windows Server 2003 中,IIS 6.0 借助應(yīng)用程序池提供進(jìn)程級(jí)隔離。

          表 16.2 顯示了 .NET Framework 版本 1.1 默認(rèn)安裝的服務(wù)、帳戶和文件夾。

          表 16.2:.NET Framework 安裝默認(rèn)值

          項(xiàng)目 詳細(xì)信息 默認(rèn)值

          服務(wù)

          ASP.NET State Service:為 ASP.NET 提供進(jìn)程外會(huì)話狀態(tài)支持。

          手動(dòng)啟動(dòng)

          帳戶和組

          ASPNET:運(yùn)行 ASP.NET 工作進(jìn)程 (Aspnet_wp.exe) 和會(huì)話狀態(tài)服務(wù) (Aspnet_state.exe) 的帳戶。

          添至 Users

          文件夾

          %windir%\Microsoft.NET\Framework\{版本}
          \1033
          \ASP.NETClientFiles
          \CONFIG
          \MUI
          \Temporary ASP.NET Files

            

          ISAPI 擴(kuò)展

          Aspnet_isapi.dll:處理 ASP.NET 文件類型的請(qǐng)求。將請(qǐng)求轉(zhuǎn)發(fā)給 ASP.NET 工作進(jìn)程 (Aspnet_wp.exe)。

            

          ISAPI 篩選器

          Aspnet_filter.dll:僅用于支持無(wú) cookie 的會(huì)話狀態(tài)。在 Inetinfo.exe (IIS) 進(jìn)程內(nèi)部運(yùn)行。

            

          應(yīng)用程序映射

          ASAX、ASCX、ASHX、ASPX、AXD、VDISCO、REM、SOAP、CONFIG、CS、CSPROJ、VB、VBPROJ、WEBINFO、LICX、RESX、RESOURCES

          \WINNT\Microsoft.NET\Framework\{版本} Aspnet_isapi.dll

          安裝建議

          在默認(rèn)情況下,Windows 2000 Server 安裝程序?qū)惭b IIS。但建議不要將 IIS 作為操作系統(tǒng)安裝的一部分來(lái)安裝,最好是日后更新并修補(bǔ)了基本操作系統(tǒng)之后再安裝。安裝了 IIS 之后,必須重新應(yīng)用 IIS 修補(bǔ)程序并強(qiáng)化 IIS 配置,確保 IIS 接受完整的保護(hù)。只有這樣,將服務(wù)器連接到網(wǎng)絡(luò)中才安全。

          IIS 安裝建議

          如果要安裝并配置新的 Web 服務(wù)器,請(qǐng)執(zhí)行如下操作步驟概述。

          構(gòu)建新的 Web 服務(wù)器

          1.

          安裝 Windows 2000 Server,但 IIS 不作為操作系統(tǒng)安裝的一部分。

          2.

          將最新的 Service Pack 和修補(bǔ)程序應(yīng)用于操作系統(tǒng)。(如果要配置多個(gè)服務(wù)器,請(qǐng)參閱本節(jié)后面的“在基本安裝中包括 Service Pack”。)

          3.

          使用控制面板中的“添加/刪除程序”單獨(dú)安裝 IIS。

          如果不需要以下服務(wù),安裝 IIS 時(shí)不要安裝它們:

          文件傳輸協(xié)議 (FTP) 服務(wù)器

          Microsoft FrontPage® 2000 Server Extensions

          Internet 服務(wù)管理器 (HTML)

          NNTP 服務(wù)

          SMTP 服務(wù)

          可視 InterDev RAD 遠(yuǎn)程部署支持

          注意:通過(guò)在完全修補(bǔ)和更新的操作系統(tǒng)中安裝 IIS,可阻止攻擊利用已修補(bǔ)的現(xiàn)有漏洞(如 NIMDA)。

          .NET Framework 安裝建議

          不要在生產(chǎn)服務(wù)器中安裝 .NET Framework 軟件開(kāi)發(fā)工具包 (SDK)。SDK 包含了很多服務(wù)器不需要的實(shí)用工具。一旦攻擊者獲取了服務(wù)器的訪問(wèn)權(quán)限,便可利用其中的部分工具幫助發(fā)起其他攻擊。

          正確的做法是,安裝可重新分發(fā)的軟件包。要獲取該軟件包,可訪問(wèn) Microsoft.com 的 .NET Framework 站點(diǎn),其網(wǎng)址為 http://www.microsoft.com/china/net/,單擊“Downloads”鏈接。

          在基本安裝中包括 Service Pack

          如果要構(gòu)建多個(gè)服務(wù)器,可將 Service Pack 直接并入您的 Windows 安裝。Service Pack 包括一個(gè)名為 Update.exe 的程序,作用是將 Service Pack 與您的 Windows 安裝文件組合在一起。

          要將 Service Pack 與 Windows 安裝組合在一起,請(qǐng)執(zhí)行下列操作:

          1.

          下載最新的 Service Pack。

          2.

          使用 -x 選項(xiàng)啟動(dòng) Service Pack 安裝程序,從 Service Pack 中提取 Update.exe,如下所示:

          w3ksp3.exe -x

          3.

          將 Service Pack 與 Windows 安裝源集成,方法是使用 -s 選項(xiàng)運(yùn)行 update.exe(傳遞 Windows 安裝的文件夾路徑),如下所示:

          update.exe -s c:\YourWindowsInstallationSource

          有關(guān)詳細(xì)信息,請(qǐng)參閱 MSDN 文章“Customizing Unattended Win2K Installations”,網(wǎng)址是 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnw2kmag01/html/custominstall.asp(英文)。

          確保 Web 服務(wù)器安全的步驟

          下面幾節(jié)將指導(dǎo)您完成保護(hù) Web 服務(wù)器的過(guò)程。這些內(nèi)容使用了本模塊確保 Web 服務(wù)器安全的方法一節(jié)中介紹的配置類別。每個(gè)高級(jí)步驟都包含了一項(xiàng)或多項(xiàng)確保特定區(qū)域或功能安全的操作。

          步驟 1

          修補(bǔ)程序和更新程序

          步驟 10

          審核和日志記錄

          步驟 2

          IISLockdown

          步驟 11

          站點(diǎn)和虛擬目錄

          步驟 3

          服務(wù)

          步驟 12

          腳本映射

          步驟 4

          協(xié)議

          步驟 13

          ISAPI 篩選器

          步驟 5

          帳戶

            本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊一鍵舉報(bào)。
            轉(zhuǎn)藏 分享 獻(xiàn)花(0

            0條評(píng)論

            發(fā)表

            請(qǐng)遵守用戶 評(píng)論公約

            類似文章 更多