Web服务器应用:安全策略综合管理

　  ZDNetChina服务器站 x86服务器技巧  无论是Internet或者Intranet，它的核心是Web服务器。管理好、使用好、保护好Web服务器中的资源，是网管人员的重要职责。Web服务器网站的开发，除了集中开发外，还有一个长期的维护和积累过程；因此，Web中的数据资料非常重要。如果出现问题，就会造成不可弥补的损失。本文根据开发和维护Web服务器的过程，介绍Web服务器安全策略的综合应用方法。

　　（一）系统安装的安全策略

　　目前，Web服务器基本采用Windows 2000 Server平台，对Windows 2000的系统进行管理是一个日积月累、不断完善的过程。在HP d330机上安装Windows2000Server，作为Web服务器。需要注意以下几点。

　　（1）安装系统时，不要把系统安装在Winnt目录（默认目录）下，也不要安装多余的服务和多余的协议，因为有的服务存在漏洞，多余的协议会占用资源，因此，无用的服务和协议不要安装。

　　（2）安装Windows2000Server补丁W2Ksp4 CN.exe。

　　（3）安装防病毒软件。

　　（4）选择合适的网卡驱动和显示器驱动程序。

　　（二）系统安全策略的配置

　　（1）限制匿名访问本机用户

　　选择“开始”―〉“程序”―〉“管理工具”―〉“本地安全策略”―〉“本地策略”―〉“安全选项”―〉双击“对匿名连接的额外限制”――〉在下拉菜单中选择“不允许枚举SAM帐号和共享”―〉“确定”。

　　（2）限制远程用户对光驱或软驱的访问 。选择“开始”―〉“程序”―〉“管理工具”―〉“本地安全策略”―〉“本地策略”―〉“安全选项”―〉双击“只有本地登录用户才能访问软盘”―〉在单选按钮中选择“已启用(E)”― “确定”。

　　（3）限制远程用户对NetMeeting的共享,禁用NetMeeting的远程桌面共享功能，用户就不能利用NetMeeting控制该计算机。选择“开始”―〉“运行”―〉在对话框中输入“gpedit.msc” ―〉“计算机配置”―〉“管理模板”―〉“Windows组件” ―〉“NetMeeting” ―〉“禁用远程桌面共享”―〉右键―〉在单选按钮中选择“启用(E)”―〉“确定”。

　　（4）限制用户执行Windows安装任务。这个策略可以防止用户在系统上安装软件。设置方法与（3）相同。

　　（三）IIS安全策略的应用

　　在配置Internet信息服务（IIS）时，应该进行以下工作。

　　一般不使用默认的Web站点，避免外界对网站的攻击，具体做法如下。

　　（1）停止默认的Web站点

　　“开始”―〉“程序”―〉“管理工具”―〉“Internet服务管理器”―〉“TLJWEB (计算机名称)”―〉选择―〉“默认Web站点”―〉右键―〉“停止”。

　　（2）删除默认Web站点的虚拟目录映射“开始”―〉“程序”―〉“管理工具”―〉“Internet服务管理器”―〉“TLJWEB (计算机名称)”―〉选择―〉“默认Web站点”―〉选择scripts―〉右键―〉“删除”。

　　（3）建立新的Web站点

　　“开始”―〉“程序”―〉“管理工具”―〉“Internet服务管理器”―〉“TLJWEB(计算机名称)”―〉右键―〉“新建”―〉“Web站点” ―〉“下―〉步”―〉输入Web站点说明“yyyddd”―〉“下―〉步”―〉选择站点主目录路径―〉“下―步”―〉选择对该Web站点的访问权限 ―〉“下―步”―〉“完成”。

　　完成新建的Web站点yyyddd后．要对该站点主目录权限进行设置。一般情况下设置成SYSTEM和Administrator两个用户可完全控制．IUSR可以读取文件。

    （四）审核日志策略的配置

　　系统日志对于Windows 2000的作用就如同“黑匣子”对于飞机的作用。当Windows 2000出现问题的时候，首先应该查看系统日志，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判断故障原因的根据。

　　通过日志不仅可以了解本机的安全性能和用户的操作情况，也可以发现系统自身的问题。Windows 2000的日志系统在默认安装下。安全审核是关闭的。―〉般情况下需要对常用的3种日志(用户登录日志、Http和ftp)进行配置。

　　1、设置登录审核日志

　　“开始”―〉“程序”―〉“管理工具”―〉“本地安全策略”―〉“本地策略”―〉“审核策略”―〉双击“审核账户登录事件”―〉在复选框中选择“成功(S)，失败(F)”。

　　审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限．而失败事件则表明用户的尝试失败。太多的失败事件可解释为攻击行为．但成功事件解释起来就比较困难。尽管大多数成功的审核事件仅表明活动是正常的，但获得了访问权的攻击者也会生成一个成功事件。例如，一系列失败事件后面跟着一个成功事件可能 表示企图进行的攻击最后是成功的。对审核项进行如表1的设置，可便于日志分析。

　　如果对登录事件进行审核，那么每次用户在计算机上登录或注销时，都会在安全日志中生成一个事件。可以使用事件ID对登录情况进行判断。

　　A．本地登录尝试失败：下列事件ID都说明登录失败：529，530，531，532，533，534和537，如果一个攻击者试图使用本地帐户的用户名和密码但未成功，就会有529和534发生。

　　B．帐户误用：事件530，531，532和533都表示帐户误用。

　　C．帐户锁定：事件539表示帐户被锁定。

　　D．终端服务攻击：事件683表示用户没有从“终端服务”会话注销，事件682表示用户连接到先前断开的连接中。