实训任务8校园网服务器的安全检测与防护(共10页).doc

《实训任务8校园网服务器的安全检测与防护(共10页).doc》由会员分享，可在线阅读，更多相关《实训任务8校园网服务器的安全检测与防护(共10页).doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上实训任务8 校园网服务器安全8.1 任务需求 某高等职业学院已经组建了校园园区网，校园各区域均已连通，校园网有两条出口线路分别与CHINANET和CERNET连接，已实现了校园网所有用户对外访问，同时校园网的WEB、FTP、DNS、教务信息系统等较多服务器提供了校内外用户访问，为了保障校园网络安全，需要对校园网的服务器操作系统进行安全防护，请进行校园网服务器的安全检测和防护。8.2 实训目的了解操作系统安全的概念和原理，掌握操作系统安全的检测与防护方法。8.3 实训环境二台或两台以上装有Windows Server 2003计算机、微软安全扫描工具MBSA8.4 相关

2、知识点（1）系统漏洞系统漏洞是指网络操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机。漏洞影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。Windows系统漏洞问题是与时间紧密相关的。一个windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商微软

3、公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒、黑客入侵。一般情况下，在网络边界处企业都会部署硬件或软件防火墙，能根据企业的安全策略控制出入网络的信息流，防火墙本身具有较强的抗攻击能力。但是防火墙也存在一定的局限性：l 防火墙不能解决来自内部网络的攻击和安全问题，对于防火墙内部各主机间的攻击行为，防火墙也无法处理；l 防火墙无法解决TCP/IP等协议的漏洞，例如Dos攻击（拒绝服务攻击）。l

4、 防火墙对于合法开发端口的攻击无法阻止。例如利用开放的FTP、远程桌面端口漏洞提升权限问题。l 防火墙不能防止受病毒感染文件或木马文件的传输。防火墙本身不具备查杀病毒、木马的功能。l 防火墙不能防止数据驱动式的攻击。有些数据邮寄或传输到内部主机被执行时，可能会发生数据驱动式的攻击。l 防火墙不能防止内部的泄密行为以及自身安全漏洞的问题。（2）漏洞扫描漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。其目标是服务器、工作站、交换机、数据库应用、WEB应用等各种应用设施，然后根据扫描结果向网络管理员提供可靠的安全性评估分析报告，以便管理员能

5、及时进行漏洞修补和加强安全防护，从而提高网络安全整体水平。漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统 提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。在网络安全体系的建设中，安全扫描是一种花费低、效果好、见效快、独立于网络运行、安装运行简单的网络工具，可以减少网络管理员大量的手工重复劳动，有利于保持全网安全的稳定和统一标准。目前市场上有很多漏洞扫描工具，按照

6、不同的技术（基于网络、基于主机、基于代理、Client/Server）、不同的特征、不同的报告方式和不同的监听模式，可以分为很多种。在选择漏洞扫描工具时要充分考虑各种技术和漏洞库信息，漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的安全隐患不能采取有效措施并及时的消除。目前常用的漏洞扫描工具有：（3）微软安全扫描工具MBSAMBSA（Microsoft Baseline Security Analyzer ）是微软公司提供的免费安全扫描工具，系统管理员可以通过它来对一些常用的微

7、软安全漏洞进行评估，包括缺少的安全更新。MBSA 将扫描基于 Windows 的计算机，并检查操作系统和已安装的其他组件（如：Internet Information Services（IIS）和 SQL Server），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。MBSA目前可以运行在Windows 2000、Windows XP和Windows Server 2003环境中。 该软件可以检查到Windows 2000、Windows XP、Windows Server 2003、Internet Information Server (IIS)、 SQL Server、In

8、ternet Explorer和Office等软件包中的结构性错误，还可以检查出Windows 2000、Windows XP、Windows Server 2003、IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integ

9、ration Server中遗漏的安全更新。MBSA 2.0.检查Windows操作系统的安全内容：l 检查将确定并列出属于Local Administrators 组的用户账户。 l 检查将确定在被扫描的计算机上是否启用了审核。 l 检查将确定在被扫描的计算机上是否启用了“自动登录”功能。 l 检查是否有不必要的服务。 l 检查将确定正在接受扫描的计算机是否为一个域控制器。 l 检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是NTFS文件系统。 l 检查将确定在被扫描的计算机上是否启用了内置的来宾账户。 l 检查将找出使用了空白密码或简单密码的所有本地用户账户。 l 检查将列出被扫

10、描计算机上的每一个本地用户当前采用的和建议的IE区域安全设置。 l 检查将确定在被扫描的计算机上运行的是哪一个操作系统。 l 检查将确定是否有本地用户账户设置了永不过期的密码。l 检查将确定被扫描的计算机上是否使用了Restrict Anonymous注册表项来限制匿名连接Service Pack和即时修复程序。MBSA 2.0.检查IIS的安全分析：l 检查将确定MSADC（样本数据访问脚本）和脚本虚拟目录是否已安装在被扫描的 IIS计算机上。l 检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。l 检查将确定IIS是否在一个作为域控制器的系统上运行。l 检查将确定IIS锁定工具

11、是否已经在被扫描的计算机上运行。l 检查将确定IIS日志记录是否已启用，以及W3C扩展日志文件格式是否已使用。l 检查将确定在被扫描的计算机上是否启用了ASP EnableParentPaths设置。l 检查将确定下列IIS示例文件目录是否安装在计算机上。MBSA 2.0的SQL Server安全分析功能： l 检查将确定Sysadmin角色的成员的数量，并将结果显示在安全报告中。l 检查将确定是否有本地SQL Server账户采用了简单密码（如空白密码）。 l 检查将确定被扫描的SQL Server上使用的身份验证模式。l 检查将验证SQL Server目录是否都将访问权只限制到SQL服务账

12、户和本地Administrators。l 检查将确定SQL Server 7.0和SQL Server 2000 sa账户密码是否以明文形式写到%temp%sqlstp.log和%temp%setup.iss文件中。l 检查将确定SQL Server Guest账户是否具有访问数据库（MASTER、TEMPDB和MSDB除外）的权限。l 检查将确定SQL Server是否在一个担任域控制器的系统上运行。l 检查将确保Everyone组对HKLMSoftwareMicrosoftMicrosoft SQL Server和HKLMSoftwareMicrosoftMSSQLServer两注册表项的

13、访问权被限制为读取权限。如果Everyone组对这些注册表项的访问权限高于读取权限，那么这种情况将在安全扫描报告中被标记为严重安全漏洞。l 检查将确定SQL Server服务账户在被扫描的计算机上是否为本地或Domain Administrators组的成员，或者是否有SQL Server服务账户在LocalSystem上下文中运行。MBSA 2.0版本使用Windows Update Agent (WUA)2.0连接扫描结果。如果找到某个产品有新版本或更新，它会提供相关更新信息和下载连接。此外，MBSA还能识别出操作系统版本和服务包。扫描报告还能列出需要升级的最近安装的更新。8.5 实训内容

14、与步骤（1）MBSA安装MBSA作为免费的微软安全检测工具，可以从微软网站免费下载。MBSA的当前最新版本为V2.1，提供了对Windows Vista 、Windows Server 2008、SQL Server 2005等的支持。MBSA的安装非常简单，打开下载的安装文件MBSASetup-x86-EN.Exe，根据向导提示单击“下一步”即可完成软件的安装，在安装过程中需要选择接受微软公司的“软件许可协议”。（2）MBSA使用1安装MBSA软件后，运行即打开程序主界面，在这里可以选择是检测一台计算机还是检测多台计算机，如图8-1所示。图8-1 MBSA计算机安全检测主界面 提醒：要扫描一

15、台计算机，需要管理员访问权。在进行自动扫描时，用来运行MBSA的帐户必须是管理员或者是本地管理员组的一个成员。在要扫描多台计算机的情况下，也必须是每台计算机的管理员或者是域管理员。2如果要检测一台（通常是当前计算机，也可以是网络中其他有管理权限的计算机），则单击Scan a computer链接，打开如图8-2所示对话框。在User name栏中默认显示的当前计算机名。用户也可以更改，或者在下面的IP address栏中输入要检测的其他计算机IP地址。计算机名和IP地址仅需要选择一种即可。 图8-2 选择需要安全检测的目标计算机对话框下面有许多复选框。其中主要涉及到选择要扫描检测的项目，包括W

16、indows系统本身、IIS和SQL等相关选项，也就是MBSA的3大主要功能。根据所检测的计算机系统中所安装的程序系统和实际需求来确定即可。3输入要检测的计算机，并选择好要检测的项目后，单击窗口下方【Start scan】按钮，程序则自动开始检测已选择的项目，显示“Scanning”窗口，如图8-3所示。 图8-3 安全检测过程4检测完成后会形成一个报告，如图8-4所示。图8-4 操作系统安全检测结果在报告中凡是检测到存在严重安全隐患的则以红色的“”显示，中等级别的则以黄色的“”显示。而且用户还可以单击“How to correct this”链接，得知该如何配置才能纠正这些不正当的设置。安装、部署一套服务器操作系统难度比较高，安全配置也是一项具有难度的网络技术，权限配置太严格，许多应用程序不能正常运行；权限配置的太松，又很容易被非法入侵者侵入。Windows Server 2003操作系统是目前企业使用比较成熟和广泛的网络服务器器平台，其安全性相对于Windows Server 2000有了极大的提高。Windows系统平台的安全无疑是构建服务器安全的基础，涉及操作系统合应用程序的安装、系统服务、系统设置和用户帐户等多方面安全配置。8.6分析与思考作为网络管理者，保障计算机网络操作系统安全是一项重要工作内容，如何提高微软操作系统的安全性？ 专心-专注-专业