实验二 IIS Web服务器的安全配置的方法

实验二Web服务器安全设置实验一、实验目的Web服务器的安全设置与管理是网络安全管路的重要工作，通过实验使学生可以较好的掌握Web服务器的安全设置与管理的内容、方法和过程，为理论联系实际，提高对服务器安全管理、分析问题和解决问题的实际应用能力，有助于以后更好的从事网管员或信息安全员工作奠定基础。

二、实验要求及方法在Web服务器的安全设置与管理实验过程中，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务器的安全设置与服务器的日常管理实验过程中的具体操作要领、顺序、和细节。

三、实验内容及步骤在以往出现过服务器被黑的事件中，由于对服务器安全设置或管路不当的原因造成的较多。

一旦服务器被恶意破坏，就会造成重大的损失，需要花费更多的时间进行恢复。

1.服务器准备工作通常需要先对服务器硬盘进行格式化和分区，格式化类型为NTFS，而不用FAT32。

分区安排为：C盘为系统盘，存放操作系统等系统文件；D盘存放常用的应用软件；E盘存放网站。

然后，设置磁盘权限：C盘为默认；D盘安全设置为Administrator和System完全控制，并将其他用户删除；E盘只存放一个网站设置Administrator和Syetem完全控制，Everyone读取，如果网站上某段代码需要写操作是，应该更改文件所在的文件夹权限。

安操作系统Window Server 2008。

系统安装过程中应本着最小服务原则，不选择无用的服务，达到系统的最小安装，在安装IIS的过程中，只安装必要的最基本的功能。

2.网络安全配置网络安全最基本的设置是端口。

在“本地连接属性”对话框中选择“Internet 协议（TCP/IP）”选项，然后单击“高级”按钮，在打开的“高级TCP/IP设置”对话框中选择“选项”选项卡，单击“属性”按钮，打开“TCP/IP筛选”对话框。

只打开网站服务所需要使用的端口，配置界面如图1所示。

图1在进行安全设置后，服务器不能使用域名解析，可以防止一般规模的分布式拒绝服务攻击，可使外部上网更为安全。

IIS WebDAV安全配置WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。

使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

IIS实现Webdav是采用的其两种接口CGI、ISAPI的ISAPI接口。

但因为其没有采用影射的方式，所以IIS的主程序w3svc.dll本身包含了Webdav 的信息。

其识别出是Webdav的请求后就调用Webdav的处理模块httpext.dll。

对于常见几种请求方法GET、HEAD、POST等，因为常见一些映射都支持。

所以不能以请求方法作为Webdav请求的判断，w3svc.dll就根据请求头的字段识别。

如果请求头里面包含Translate:、If:、Lock-Token:中的一种，就认为是Webdav 的请求。

Translate:就是那个Translate:f的泄露源代码的一个请求头，其实设置别的两个也是一样的。

可能很多IDS是没有这点知识的。

W3svc.dll还内置了几个别的请求方法TRACK、TRACE等。

TRACK就是用于调试错误的，如果收到这样的请求头，w3svc.dll会原样返回请求数据。

相当于我们常见的ping.exe。

IIS对TRACK请求没有进行LOG记录，这点我们可以用于来获得banner。

对于IIS将优于大家习惯使用的HEAD。

如果上面的请求方法没匹配，那么w3svc.dll就会认为是Webdav的请求，交给httpext.dll处理了。

这些请求包含Webdav支持的PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等。

0x01 配置为了安全上的考虑，IIS默认并不会启动WebDAV的功能，因此必须另外来激活它。

实验二配置Windows环境下的Web服务器【实训名称】配置Windows环境下的Web服务器【实训目的】掌握WWW的基本概念，学会配置Windows 环境下的Web服务器，能够熟练设置和管理Web站点。

【背景描述】假设你想测试动态网页，或在局域网中发布站点，希望以后在局域网中任意一台电脑的浏览器中输入URL能够浏览网页，现要在其中一台电脑上安装IIS，进行适当的配置使他成为Web服务器。

【技术背景】World Wide Web（也称Web、WWW或万维网）是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统，整个系统由Web服务器、浏览器（Browser）及通信协议等3部分组成。

WWW采用的通信协议是超文本传输协议（HTTP，HyperText Transfer Protocol），它可以传输任意类型的数据对象，是Internet发布多媒体信息的主要协议。

WWW 是Internet的多媒体信息查询工具，是Internet上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。

正是因为有了WWW工具，才使得近年来Internet 迅速发展，且用户数量飞速增长。

长期以来，人们只是通过传统的媒体（如电视、报纸、杂志和广播等）获得信息。

但随着计算机网络的发展，人们想要获取信息，已不再满足于传统媒体那种单方面传输和获取的方式，而希望有一种主观的选择性。

现在，网络上提供各种类别的数据库系统，如文献期刊、产业信息、气象信息、论文检索等等。

由于计算机网络的发展，信息的获取变得非常及时、迅速和便捷。

到了1993年，WWW 的技术有了突破性的进展，它解决了远程信息服务中的文字显示、数据连接以及图像传递的问题，使得WWW成为Internet上最为流行的信息传播方式。

现在，Web 服务器成为Internet上最大的计算机群，Web文档之多、链接的网络之广，令人难以想象。

可以说，Web为Internet的普及迈出了开创性的一步，是近年来Internet 上取得的最激动人心的成就。

很多用户都碰到过这样一些难堪的事，因为服务器的安全漏洞问题，导致其中数据的丢失、权限被非法取得。

其实随着工作中的研究和探讨，就会逐渐发现这些安全隐患的存在原因以及解决办法。

网络服务器主要是指那些存放网站数据的WEB服务器、DA TA服务器、DNS 服务器和MAIL服务器而言。

WEB服务器的问题已经见的不少了，在这里就主要谈谈DATA 服务器、DNS服务器和MAIL服务器的问题。

DATA服务器安全问题先来看看DATA服务器。

它主要是存放数据库的服务器。

以SQL数据库为例，从安全角度考虑，SQL服务器与BACKOFFICE组件中的所有程序一样，都是以Windows NT Server 为基础，利用了Windows NT Server 自身拥有的安全性能。

而且，当你将SQL服务器与Internet 相连时，为保证你数据的安全性和完整性，有些事情你需要特别考虑。

1、支持SQL服务器的Internet Database Connector(简称IDC)的安全性在通常情况下，数据库的开发者在使用IDC来处理SQL服务器数据时，就应该考虑对你的数据库实施必要的保护措施。

有哪些是必须要做到的呢！根据我的一些经验，以下几点是需要考虑的：1) 、使用NTFS分区。

2) 、给予用户执行日常任务所必需的最低等级的访问许可权。

3)、强制执行口令和登录策略。

4) 、TCP/IP过滤。

5) 、防火墙及代理服务器。

通过以上几步措施，SQL服务器已经具备初级的安全防范的功能。

但是这些是远远不够的，因为高级的网络入侵者往往能够绕过这些防御。

那么就需要进一步提高服务器的安全性能。

用户必须得到访问.IDC和.HTX文件的许可权才能处理数据，如果赋予匿名访问权，那么IUSR_计算机为匿名访问设定的账户必须拥有访问这些文件的许可权。

2、IIS本身的安全性问题这个话题相信很多朋友看了都会感到很熟悉。

通过使用 SQL Web Assistant 也可以多少地保证你的 Microsoft Exchange 服务器、Internet信息服务器和SQL的安全。

国家开放大学最新《网络应用服务管理》形考任务（实训1-5）试题及答案解析形考实训一实训1：使用IIS搭建Web服务器（第1章，占12%，需要批阅）本次实训计入形成性考核成绩，请你按照要求认真完成。

本次实训以实验报告的形式提交，需要你将操作过程截图来完成，页面下方有具体的要求，请你注意仔细查看。

•1．一台Windows Server 2016 DC，主机名为DC。

•2．一台Windows Server 2016服务器并加入域，主机名为Server1。

•3．一台Windows 10客户端并加入域，主机名为Win10。

假设你是一家公司的网站管理员，需要你完成以下工作：•1．在Server1中部署Web服务（IIS）。

•2．创建一个网站，并使用虚拟目录。

•3．在网站中添加新的默认文档。

答案：•1．一台Windows Server 2016 DC，主机名为DC。

•2．一台Windows Server 2016服务器并加入域，主机名为Server1。

•3．一台Windows 10客户端并加入域，主机名为Win10。

•1．在Server1中部署Web服务（IIS）。

••••••2．创建一个网站，并使用虚拟目录。

•••••3．在网站中添加新的默认文档。

•形考实训二实验2 MySQL数据库对象管理（预备知识：第3章；分值：16分；需辅导教师评分）1. 实验目的理解数据字典、表、索引、视图的作用，掌握数据字典的操纵方式，掌握库、表、索引、视图的操作方法。

2. 实验内容【实验2-1】查看INFORMATION_SCHEMA.SCHEMATA 表中的信息。

【实验2-2】查看INFORMATION_SCHEMA.TABLES 表中的信息。

【实验2-3】查看INFORMATION_SCHEMA.COLUMNS 表中的信息。

【实验2-4】查看INFORMATION_SCHEMA.STATISTICS 表中的信息。

【实验2-5】查看INFORMATION_SCHEMA.CHARACTER_SETS 表中的信息。

实验2 web服务器配置一、实验目的：掌握如何使用windows 2000 server的IIS5.0配置出web服务器二、实验容：1、创建一个web站点，并且可以实现在别人的计算机上访问该站点2、使用不同的ｉｐ建立多个站点3、在一个站点下建立多个子站点（使用虚拟目录实现）4、在同一个套接字（即ip地址+端口）上建立多个站点（使用加主机头名方法实现）5、对站点进行安全管理（如浏览权限、的使用、ｉｐ地址的设定）三、实验要求：一定要保证让别人正常的访问你建立的站点，并使实验结果达到预期的目的！四、实验步骤：1.使用当地IP地址建立web站点（1）准备工作：①关闭Windows 防火墙实验中，为了我们所建的站点能够被成功访问，先将Windows 防火墙关闭。

如图：②IIS功能设置控制面板\所有控制面板项\程序和功能---“打开或关闭windows 所有功能”：出现了安装Windows功能的选项菜单，在“Internet信息服务”中手动选择需要的功能，如下图：③下载“花生壳软件”到本地，申请免费域名mqqfhg。

这样，完成了前期的所有准备工作，开始进行web服务器的建设。

（2）开始建立web站点①创建web站点“酒窝”打开“控制面板”——“管理工具”—“Internet 信息服务(IIS)管理器”——右击“——“添加——选择“IP地址”及“物理路径”：②选择“目录浏览”，点右侧的“启用”，将其设为启用状态。

③点击主页右侧的绑定，分配ip地址，端口保持“80”不变。

④保存一个文件（如百度首页），后缀名为.htm，将其保存在①中设定的物理路径（E:\222222）中，并重命名为index.htm更改“默认文件”，右侧改为启用，并将index.htm上移到第一位。

如图：⑤打开“asp”，如下图，更改“启用父路径”为“True”⑥点击右侧的“启动”，启动。

⑦测试：在浏览器地址栏输入：并。

页面如下图：2.使用同一个ip，同一个主机头名，不同的端口建立多个web站点新建web站点“小酒窝”，具体步骤与1 -（2）类似，但是要更改“物理路径”，并且需要更改第③步：“绑定”——“添加”——更改端口号为“81”，其他不变。

实验五：web服务器的安全配置实验目的：使同学们掌握windows 2000 sever、windows 2003 sever与IIS共同搭建web服务器的安全设置方案。

一、加强IIS安全的基本设置1.关闭并删除默认站点为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站点、默认Web站点和管理Web站点。

2.建立自己的站点，与系统不在同一分区例如C:\为系统盘，那么我们建立D:\wwwroot目录，用来存放站点的程序和数据；建立E:\Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。

3.删除IIS的部分目录为了加强IIS安全,我们需要删除如下目录：IISHelp，C:\winnt\help\iishelp；IISAdmin，C:\system32\inetsrv\iisadmin；MSADC，C:\Program Files\Common Files\System\msadc\；另外还要删除IIS 的默认安装目录C:\ inetpub。

4.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp和 .shtm文件。

IIS 接收到这些类型的文件请求时，该调用由DLL处理。

如果所搭建的网站不使用其中某些扩展或功能，则应删除该映射。

步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性，选择编辑然后选择主目录，点击配置，选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"。