Web服務(wù)器安全管理.ppt

1、TNT2006-0512,IIS 6.0 Web服務(wù)器安全管理最佳實(shí)踐,姓名 職務(wù) 公司名稱(chēng),首先具備的知識(shí),掌握 Windows 2000/Windows Server 2003 的日常操作 了解 IIS（ Internet Information Server ）或者 IIS 日常操作 如果能夠了解常見(jiàn)攻擊方法或相關(guān)內(nèi)容更佳,級(jí)別 200,概覽,IIS 服務(wù)器不僅僅能夠提供常見(jiàn)的 WEB 應(yīng)用而且和很多服務(wù)器集合使用在企業(yè)中已經(jīng)非常廣泛，如何加固IIS 服務(wù)器安全您了解多少？ 是否安裝了系統(tǒng)補(bǔ)丁并配置了防火墻就萬(wàn)無(wú)一失了？ 您是否了解 IIS 6.0 基礎(chǔ)架構(gòu) 了解如何保護(hù)IIS Web服

2、務(wù)器安全、防范攻擊以及優(yōu)化IIS Web服務(wù)器的技巧、實(shí)踐與工具,內(nèi)容安排,IIS 6.0 基礎(chǔ)架構(gòu) Web Services 面對(duì)的主要威脅和攻擊 常用安全利器 場(chǎng)景學(xué)習(xí) 總結(jié) 參考資源,metabase,IIS 6.0 架構(gòu),TCP/IP,INETINFO,ASP.NET ISAPI,Aspnet_wp.exe,CLR App Domain,CLR App Domain,CLR App Domain,IIS 6.0 必備知識(shí),內(nèi)容安排,IIS 6.0 基礎(chǔ)架構(gòu) Web Services 面對(duì)的主要威脅和攻擊 常用安全利器 場(chǎng)景學(xué)習(xí) 總結(jié) 參考資源,我們將討論,現(xiàn)在應(yīng)立即采取的安全手段 未來(lái)

3、要作的事情,安全術(shù)語(yǔ),資產(chǎn) （Asset） 脆弱性 （Vulnerability） 威脅 （Threat） 威脅因素 （Association） 風(fēng)險(xiǎn) （Risk） 利用/暴露 (Exploits/Exposure) 對(duì)策 (Countermeasure),Web Services 面對(duì)的主要威脅和攻擊,Web Services 面對(duì)的主要威脅和攻擊,未授權(quán)的訪問(wèn) 漏洞 可導(dǎo)致通過(guò) Web Services 進(jìn)行未授權(quán)的訪問(wèn)的漏洞包括： 未使用身份驗(yàn)證 密碼在 SOAP 頭信息中以明文形式傳遞 在未加密的通信通道中使用基本身份驗(yàn)證,Web Services 面對(duì)的主要威脅和攻擊,參數(shù)操縱 參數(shù)

4、操縱是指對(duì) Web Services 客戶(hù)與 Web Services 之間發(fā)送的數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改。例如，攻擊者可以截獲 Web Services 消息（例如，在通過(guò)中間節(jié)點(diǎn)到達(dá)目標(biāo)的路由中），然后在將其發(fā)送到目標(biāo)終結(jié)點(diǎn)前對(duì)其進(jìn)行修改,Web Services 面對(duì)的主要威脅和攻擊,網(wǎng)絡(luò)竊聽(tīng) 通過(guò)網(wǎng)絡(luò)竊聽(tīng)，當(dāng) Web Services 消息在網(wǎng)絡(luò)中傳輸時(shí)，攻擊者可以查看這些消息。例如，攻擊者可以使用網(wǎng)絡(luò)監(jiān)視軟件檢索 SOAP 消息中包含的敏感數(shù)據(jù)。其中有可能包括敏感的應(yīng)用程序級(jí)別的數(shù)據(jù)或憑據(jù)信息,Web Services 面對(duì)的主要威脅和攻擊,配置數(shù)據(jù)的泄漏 Web Services 配

5、置數(shù)據(jù)的泄漏的方法主要有兩種。 第一種，Web Services 可能支持動(dòng)態(tài)生成 Web Services 描述語(yǔ)言 (WSDL)，或者可能在 Web 服務(wù)器上的可下載文件中提供 WSDL 信息 第二種，如果異常處理不充分，Web Services 可能會(huì)泄漏對(duì)攻擊者有用的敏感的內(nèi)部實(shí)施詳細(xì)信息,Web Services 面對(duì)的主要威脅和攻擊,消息重播 Web Services 消息可能會(huì)在傳遞過(guò)程中經(jīng)過(guò)多個(gè)中間服務(wù)器。通過(guò)消息重播攻擊，攻擊者可以捕獲并復(fù)制消息，并模擬客戶(hù)端將其重播到 Web Services。消息可能被修改，也可能保持不變,保護(hù) Windows安全安全檢查列表,所有磁盤(pán)分

6、區(qū)都是 NTFS的 管理員賬號(hào)必須有一個(gè)復(fù)雜的密碼 禁止不需要的服務(wù) 刪除和禁止不必要的賬號(hào) 移除不必要的文件共享 在文件、共享和注冊(cè)表上設(shè)置訪問(wèn)權(quán)限列表 設(shè)置嚴(yán)格的安全策略 安裝最新的service pack 和補(bǔ)丁 安裝防病毒軟件,保護(hù) IIS安全手把手教你設(shè)置 IIS 安全保護(hù),預(yù)先的安全安裝是必須的 組件安裝的選擇、利用IIS 內(nèi)置的安全特性 設(shè)置合適的訪問(wèn)權(quán)限列表 訪問(wèn)控制和安全策略 遠(yuǎn)程管理的安全配置 在IIS log上設(shè)置合適的訪問(wèn)權(quán)限列表、同時(shí)設(shè)置合適的驗(yàn)證機(jī)制 啟動(dòng)日志記錄（ W3C Extended Log） 規(guī)劃恢復(fù)計(jì)劃,演示 手把手教你保護(hù)IIS 掌握如何選擇正確的II

7、S 組件在IIS目錄上設(shè)置合適的訪問(wèn)權(quán)限列表啟動(dòng)日志記錄,內(nèi)容安排,IIS 6.0 基礎(chǔ)架構(gòu) Web Services 面對(duì)的主要威脅和攻擊 常用安全利器 場(chǎng)景學(xué)習(xí) 總結(jié) 參考資源,使用安全利器安全配置向?qū)?用向?qū)Ы缑嫱瓿砂踩珯z查 完成 IIS 6.0 的配置 完全免費(fèi)，Windows Server 2003 SP1 中內(nèi)置 （從） 快速模式 高級(jí)模式 通俗易懂的幫助,使用安全利器安全配置向?qū)?使用系統(tǒng)內(nèi)置安全利器 windows 防火墻,推薦使用單獨(dú)的防火墻，但是在預(yù)算不足的情況下 基于端口的過(guò)濾 內(nèi)置在操作系統(tǒng)中 對(duì)絕大多數(shù)攻擊都有防護(hù)作用,使用系統(tǒng)安全利器IPSEC,Windows Se

8、rver 2000 /2003 內(nèi)置,使用IIS安全利器UrlScan 2.5,注意，現(xiàn)在 UrlScan 2.5 已經(jīng)內(nèi)置在 IIS 6.0 中 URL 的深層防御,使用IIS安全利器URL 授權(quán),如何快速有效的進(jìn)行服務(wù)器用戶(hù)驗(yàn)證安全 除了服務(wù)器的安全標(biāo)簽，我們還可以配置,常見(jiàn)使用工具命令跟蹤工具,Windows Server 2003: Logman 開(kāi)始/停止記錄 Tracerpt 分析跟蹤文件 M 網(wǎng)站上可以下載: Log Parser 2.2 自定義跟蹤分析 IISReqMon 分析當(dāng)前正在執(zhí)行的請(qǐng)求有用的工具 IISTrace 針對(duì)記錄請(qǐng)求的有用的工具 即將發(fā)布的 “跟蹤診斷工具”

9、 Request Monitor Manager 基于用戶(hù)界面的有用工具,常見(jiàn)使用工具命令跟蹤工具,返回: 工作進(jìn)程統(tǒng)計(jì) 返回所有正在執(zhí)行進(jìn)程的統(tǒng)計(jì) 非常有用的研究工具,logman start CurrRequests p IIS: Request Monitor -ets,提供者的名稱(chēng),跟蹤的文件名,使用系統(tǒng)安全利器安全模板,如何快速有效的進(jìn)行服務(wù)器安全 不要忘記我們擁有安全模板,使用系統(tǒng)安全利器SSL,如何保證用戶(hù)訪問(wèn)服務(wù)器的安全性 例如用戶(hù)名、密碼、內(nèi)容,使用安全利器MBSA,眾多案例顯示利用操作系統(tǒng)安全漏洞入侵從而控制IIS 檢查計(jì)算機(jī)的補(bǔ)丁情況 圖形化界面的工具,演示利用安全向?qū)нM(jìn)

10、行服務(wù)器安全加固利用 IPSec 進(jìn)行安全信息傳輸和進(jìn)行不安全訪問(wèn)的阻隔利用windows 防火墻阻隔不需要的訪問(wèn)利用URLSCAN2.5 進(jìn)行IIS 服務(wù)器的安全加固,內(nèi)容安排,IIS 6.0 基礎(chǔ)架構(gòu) Web Services 面對(duì)的主要威脅和攻擊 常用安全利器 場(chǎng)景學(xué)習(xí) 總結(jié) 參考資源,今天如何做起,配置 Microsoft Active Directory IIS 服務(wù)器 OU 結(jié)構(gòu),今天如何做起,IIS 服務(wù)器強(qiáng)化步驟,今天如何做起,IIS 服務(wù)器強(qiáng)化步驟,今天如何做起,IIS 服務(wù)器強(qiáng)化步驟,談?wù)摪踩?今天如何做起,發(fā)送mail 到 microsoft_security-subsc

11、ribe- 安裝和運(yùn)行升級(jí)通知工具 訂閱或登陸下載 Security tool kit,contoso.corp,SQL,DC,IIS,DC,IIS,DMZ,企業(yè)內(nèi)網(wǎng),ISA,場(chǎng)景學(xué)習(xí),Internet,場(chǎng)景回顧,步驟 1：熟悉 IIS 基本架構(gòu) 步驟 2：根據(jù)企業(yè)具體要求配置相關(guān)安全配置選項(xiàng) 步驟 3：使用前面介紹的安全利器 步驟 4：配置防火墻保護(hù)相關(guān)服務(wù)器 步驟 5：定期查看日志制度的建立 步驟 6：制定相關(guān)災(zāi)難恢復(fù)計(jì)劃 步驟 7：測(cè)試 步驟 8：重復(fù)以上步驟,講座總結(jié),檢視一遍安全清單 應(yīng)用最新的補(bǔ)丁 經(jīng)常檢查你的網(wǎng)絡(luò)安全性, security/bulletin/notify.asp,

12、答疑,參考資源,參考資源,微軟安全中心 在線(xiàn)IIS 學(xué)習(xí)資源 為 IWAM 帳戶(hù)配置的標(biāo)識(shí)不正確 ,參考資源,Security Configuration Wizard: Troubleshooting IIS 6.0 with Tracing: IISReqMon (Windows Hosting Solution): IIS Diagnostics Toolkit: ,參考資源,IIS 5.0基本安全性檢查清單 Learn what else is new in Service Pack 1 for IIS 6.0,TechNet是什么?,只需輕輕點(diǎn)擊，答案就在您的指尖 對(duì)于IT 專(zhuān)業(yè)人員來(lái)說(shuō)，TechNet 是一個(gè)知識(shí)的寶庫(kù)，你可以找到關(guān)于如何規(guī)劃，部署和管理微軟產(chǎn)品的的技術(shù)資源,每月發(fā)放包含最新信息的 DVD或者CD 這是最權(quán)威的資源，可以幫助你評(píng)估、配置和維護(hù)微軟產(chǎn)品。,訂閱TechNet,可以訪問(wèn)該站點(diǎn) 在線(xiàn)資源和社區(qū) 訂戶(hù)-僅僅提供在線(xiàn)服務(wù),TechNet 網(wǎng)站,兩周發(fā)放一次的中文電子快報(bào) 安全更