IIS安全技术
本书专门介绍了IIS安全技术。本书的第I部分首先介绍了网络在给人们带来便捷的同时所带来的不安全因素,并着重介绍了IISWeb服务器所面临的安全问题以及应该采取的预防措施。第II部分按照Web站点的生命周期分别从站点的规划、设计、实现、后期运行等方面阐述了各个阶段所面临的安全问题及其解决方案。第III部分则介绍了一些比较高级的安全主题,包括WindowsNT/2000上的服务以及活动目录的安全性等。
基本信息
书名
IIS安全技术
作者
MartyJost等/
出版社
清华大学出版社
出版时间
2003年6月
目录
1基本信息
2前言
3作者
4章节
5适用范围
折叠编辑本段基本信息
出版社:清华大学出版社
原出版社:McGraw-Hill
作者:MartyJost等/
译者:肖国尊等/
出版日期:2003年6月
版别版次:2003年6月第一版第一次印刷
本书勘误:有(0)条勘误
综合评价:暂无评价(0)条评论
国标编号:ISBN7-302-06607-8/TP.4948
条形码:9787302066071
字数:563千字印张:22
印数:0001-3000页数:334
开本:787*10921/16
附带物:无附带物
折叠编辑本段前言
新闻媒体经常在突出位置报道新病毒的出现、入侵和一些不幸的公共机构或公司所遭受的窃取事件(这些机构或公司的站点缺少恰当的安全)。这些新闻听起来让人感到有些惊慌,而这还只是您所听说过的新闻。有谁知道有多少站点由于认证或目录安全存在缺陷,而丢失代价昂贵的数字资产或知识产权呢?这些损失甚至有可能是这些站点的Intranet上的雇员所造成的,只是他们不知道罢了。那么。该怎么办呢?不再使用Internet还是关闭自己的Web站点?当然不能这样。如果关闭Web站点并且不再使用Internet,那么您在业务上又怎么跟别人竟争呢?很明显,应当采取相应的对策,解决的办法是了解存在的威胁和弱点,然后采取恰当的措施来减少风险。
本书是一本指南性书籍,介绍了读者应当知道的有关站点安全的需求、方法、实践和过程,其目的是帮助您保护自己的MicrosoftIISWeb站点,使其不成为下一个不幸的受害者。与此同时,我们进行了逐步的阐述,解释如何使用由Microsoft提供的安全特性。然而,我们认为应当在安全方面采取更为广泛的方法,因此我们将用比较多的篇幅来讨论Web安全措施,以便帮助您计划并实现安全,从而保护所有与其MicrosoftIISWeb环境进行交互的系统和应用程序。
保护Web环境并非只需要在Web服务器上进行少数非默认特性的配置,还需要计划、实现、测试、维护和监控的协同工作,以达到整个系统的安全。我们编写本书的目的是提供一些背景知识,这些背景知识将有助于您构思与实现一个用来保护自己的站点的实用和可行的安全框架。因此,我们在本书中会花费一些时间来解释站点面临的危险、为避免这些危险应遵循的最佳安全专业习惯、安全专家使用的许多工具、这些工具的配置及帮助组织机构时刻保持警惕的一些方法。
我们将这本书分为4个部分,前3个部分讲述了上面的所有问题,此外,我们还在本书的第IV部分介绍了一些附录和一个参考表,在您学习完本书之后,这些附录与安全设置参考表可能有助于您继续有关安全的研究。
第I部分暴露、风险与预防
第I部分提供了一些背景知识,这些背景知识将帮助您了解一些常见的Web站点弱点、解释黑客的工作原理,并仔细分析攻击事件以展示站点上的入侵可能发生的方式。这些信息将为对防御策略的相关讨论打下基础。
在第I部分的阐述过程中,我们会讨论如何设置和加固服务器并对硬件和软件配置提供一些建议。您还将看到如何克服一些已知的弱点,并知道在Internet和Intranet上应该开展一些什么工作,而哪些工作是不应该做的。
第1章"Web安全威胁"将讨论并对Web站点所面对的所有外部和内部威胁进行分类。在这一章中,我们将定义和解释各种类型的安全事件。您将进入一个黑客的世界,并且能够透视这些事件的发生过程。这一章的讨论将列出黑客使用的方法、工具和资源。第2章"丑化、破坏与拒绝"将分析一些由黑客发现的最常见的Web站点弱点。本章的讨论将考虑恶意代码攻击(如病毒、蠕虫和特洛伊木马)。示例和案例研究将分析一些众所周知的攻击方法,如缓冲区溢出和分布式拒绝服务攻击。我们将解释为什么这类攻击方法中的一些方法能够攻破某些保护机制,同时我们还将提供一些工具和步骤来帮助防止发生危及未来安全的事件。第3章"准备与加固Web服务器"将阐述如何排除常见的管理疏忽、易受攻击的默认设置、为未经授权的入口打开通道的错误配置、信息窃取、数据修改以及恶意代码或程序的引入。这一章将逐步展示如何排除漏洞,排除方法包括:最初禁用所有的服务,而只启用需要的最低限度的服务,然后只在应用程序需要时才添加相应的服务。在这些过程中,我们会讨论每种服务的作用,以便帮助Web管理员完全理解配置所带来的后果。第3章还将讨论如何使用Microsoft工具和核对清单来设置安全的底线,并提供最好的实践建议来对这个基础加以改进。第4章"账号、授权和安全策略"将讨论物理访问限制、多级管理、目录安全以及站点上角色的权利与权限。您将需要进行匿名用户账号和认证机制的配置。我们将特别注意Windows2000和IIS中的账号管理、授权和访问控制。
第5章"安全审核与日志"将讨论对日志与审核特性的配置,目的是监控Web站点,从而检测攻击或入侵的迹象。我们将学习如何设置和配置安全日志文件以及如何开展维护过程。这一章同时包括了审核设置的每个过程,这样您可以建立一种正当的、可实施的(您的站点上的)用户活动审核跟踪方法。
第II部分管理
第II部分讨论在第I部分中没有包含的计划、策略和过程的实现。这一部分包含了使用MicrosoftIIS来配置安全的网络以及Web环境的其他细节,并将提供许多与安全问题有关的建议。第6章"部署问题"包含在将站点投入使用之前最后要进行的准备工作。本章将讨论最后的检查、备份和恢复措施,这些措施对于确保Web服务器配置正确是必需的。这些讨论将包括域的安全、流量过滤以及对Internet地址的屏蔽。在这一章中还将讨论用于边界防护的DMZ的正确使用方法,以此来增强您在第1到5章中学习到的安全措施。最后,这一章还将讨论将站点托管在ISP或需要托管服务时所需的远程管理。第7章"安全管理的生命周期"将介绍站点的后期部署(post-deployment)--管理生命周期,并将讨论用于监控Web站点状态的方法和工具,以及如何对可能的攻击加以应对。我们将讨论Web站点的正常配置方法,并对使用系统警告和其他特性与工具提供建议,以此来帮助您系统地掌握方法。这一章还包括用于响应安全事件的建议以及一些最好的习惯。我们还讨论了审核,通过审核可以跟踪和识别站点有可能遇到的破坏以及产生这些破坏的原因。第8章"加密应用"将讨论Windows2000和IIS可以用来保护站点和站点内容的加密特性。在这一章中,我们解释了加密系统、公钥加密术、数字证书和公钥的基础结构。您将学习如何获取和安装Microsoft和第三方数字证书。最后,您将学习如何配置IIS服务器上的SSL和/或TLS加密会话。
第9章"使用第三方工具增强安全"将集中讨论可以用来增强IIS的物理安全、软件安全和日志与审核功能的大多数非Microsoft硬件和软件产品,这些产品包括防火墙、VPN、日志分析器、加密加速器等等。
第III部分高级主题</strong>
在您已经成功安装和配置了基本的IISWebServices之后,还存在大量您可能添加到Web站点的其他服务、介质和特性,这些服务、介质和特性同样必须进行安全配置。这一部分包含这些高级服务和功能,以及保护这些服务和功能可以采取的措施。第10章"保护FTP、NNTP和其他IIS服务"将概要地描述安全使用IISFTP、NNTP和SMTP服务、WindowsMediaServices以及FrontPage服务器扩展的过程。第11章"活动内容安全"将讨论用于保护交互脚本(可添加到Web站点中,为站点提供更为新式的和动态的画面)、服务器页面和应用程序的方法和工具。这一章中将要学习的安全技术可以帮助确保活动内容的部署,而不是损害IIS服务器的安全。第12章"Web隐私"。隐私是一个与安全相关的主题,它是Web站点的衍生物。许多Web站点保存有关顾客和客户的详细信息,您要在自己的站点上提供业务和法律上的可信度,维护这些信息的保密性,并进行适当的管理。本章会讨论这个问题,并对如何处理隐私管理提供实用的建议。
第IV部分附录第IV部分提供一些帮助和资源信息,这些信息应该可以使您对本书中学到的内容加以充分利用。以一种安全的方式安装和配置Web环境只是安全管理过程的一部分。因为您是自己的Web环境的保护人,在管理自己的Web环境的过程中应当具备勤勉的态度,尽可能提前采取措施。
附录A"安全资源"。只靠一个人的力量保护一个站点是远远不够的。本附录将为您介绍其他的安全资源、专业组织、培训和公共域信息的网址,获取它们的信息有助于您及时了解最新的安全威胁、提示、研究、产品、培训和其他有用信息。
附录B"词汇表"提供了许多安全术语,这些术语不一定出现在本书中,但在安全文献中比较常见。本附录还包括这些术语的首字母缩略词,以此来帮助查找(在本书中或者您所看到的其他安全信息中遇到的)某个术语的定义。
附录C安全设置"参考表",正如这个标题所示意的那样,这个附录(为了方便)通过表格列出了Windows2000和IIS的访问控制、审核以及其他安全设置。
附录D"MicrosoftIIS认证方法"。在第4章中,除了提到匿名认证外,我们只是简略提到了Web站点的认证设置,而这个附录中对此进行了深入讨论,这是因为这些认证方法是特定于Windows环境的。这个附录完善了第4章中关于Web站点认证的讨论。
折叠编辑本段作者
MartyJost是一位有经验的安全专家与顾问,擅长于WindowsNT/2000、IIS、防火墙、PKI及认证。他经常在业界的安全会议上发表演讲,并且已经出版和发表了若干关于计算机网络和安全的书籍和文章。
MichaelCobb(MCDBA、CISSP)是一位公认的信息安全专家,他有显赫的金融系统背景,擅长网络、数据库和Internet安全。作为E-BusinessSecurityAdvisorMagazine杂志的有贡献的编辑之一,Mike定期报告最新的安全技术和威胁。
折叠编辑本段章节
第I部分暴露、风险与预防
第1章Web安全威胁
1.1安全事件
1.1.1威胁源
1.1.2事件分类
1.1.3社会攻击和物理攻击
1.1.4网络攻击
1.2防御目标
1.3黑客策略
1.4安全是相互依赖的
1.4.1破坏安全示例
1.4.2书面形式的安全策略
1.5破解方法
1.5.1广播攻击方法
1.5.2指定目标的攻击方法
1.6威胁的核对清单
第2章丑化、破坏与拒绝
2.1问题来源
2.2 Internet协议初步
2.2.1网际协议
2.2.2域名系统
2.2.3应用程序与服务
2.3己知弱点
2.3.1影响所有系统的最常见的弱点
2.3.2与平台相关的弱点
2.4机会扫描
2.4.1假定受到监控
2.4.2ping和扫描的工作原理
2.4.3识别Web服务器或操作系统
2.4.4用来避免检测的扫描技术
2.5弱点探索
2.5.1配置探测
2.5.2恶意或不友善的代码
2.5.3分布式拒绝服务
2.6已知弱点核对清单
第3章准备与加固Web服务器
3.1安装与配置前的计划
3.2服务器安全安装的要求
3.2.1一般的建议
3.2.2组件安装
3.2.3服务包和安全补丁
3.3加固系统
3.3.1加固工具
3.3.2加固过程概述
3.3.3使用MicrosoftIISLockdown工具
3.3.4手动加固过程
3.4保护物理设置、引导设置和介质设置
3.5安装计划核对清单
3.6加固建议核对清单
第4章账号、授权和安全策略
4.1运用安全策略
4.2Windows2000与IIS的安全概念
4.2.1信任关系
4.2.2工作组和域
4.2.3身份验证
4.2.4Intranet与Internet的比较
4.2.5本地安全管理
4.2.6访问控制列表
4.2.7筛选器
4.2.8继承
4.3本地安全管理工具
4.3.1微软的管理控制台
4.3.2用模板定制安全策略
4.4为Windows2000配置Web服务器的访问控制
4.4.1修改默认的组和管理员设置
4.4.2分配管理
4.4.3修改默认的用户账号设置
4.5配置IIS站点的属性
4.5.1IIS安全属性
4.5.2在同一个服务器上管理多个Web站点
4.5.3使用虚拟目录
4.6Windows2000账号权限核对清单
4.7IIS站点属性核对清单
第5章审核与日志
5.1网站监控概述
5.1.1网站监控信息
5.1.2审核
5.2建立和维护日志的过程
5.2.1审核的目标和结果
5.2.2日志管理
5.3审核
5.3.1设置审核策略
5.3.2审核Windows2000的对象和资源
5.3.3IIS审核功能
5.3.4对备份的审核
5.4日志和审核核对清单
第II部分管理
第6章部署问题
6.1恢复规划
6.1.1紧急修复
6.1.2备份注册表以及其他的系统状态信启
6.1.3备份的安全问题
6.2网络布局以及Intranet上的筛选
6.2.1Windows2000的筛选特性
6.2.2IIS的筛选特性
6.3保护网络边界
6.3.1防火墙和路由器筛选
6.3.2使用网络DMZ
6.4保护远程管理
6.4.1虚拟专用网络
6.4.2Windows2000终端服务
6.5部署准备核对清单
第7章安全管理的生命周期
7.1生命周期方法
7.2弱点评估和主动监控
7.2.1评估弱点
7.2.2进一步了解日志文件监控
7.2.3设置Windows2000和IIS警告
7.3紧急事件响应
7.4安全管理的生命周期核对清单
第8章加密应用
8.1加密的基本概念
8.1.1密钥与加密算法
8.1.2对称密钥(秘密密钥)加密
8.1.3非对称(公钥)加密
8.1.4综合加密方案
8.1.5数字证书与公钥基础结构
8.1.6公钥协议身份验证
8.2使用IIS安全通信
8.2.1安全的Web通信如何工作
8.2.2配置IIS的SSL/TLS
8.2.3保证站点或目录的安全
8.3SSL配置核对清单
第9章使用第三方工具增强安全
9.1防火墙
9.1.1防火墙技术
9.1.2决定所需要的防火墙特征
9.1.3最主要的防火墙产品
9.2入侵检测系统
9.2.1入侵检测的工作方式
9.2.2推荐选用的产品
9.3日志分析程序
9.3.1收集线索
9.3.2建议与资源
9.4病毒扫描程序
9.4.1工作方式
9.4.2锁定的方法
9.4.3集中与合作
9.4.4模型解决方案
9.4.5流行的病毒扫描程序
9.5安全意识培训
9.6修改控制
9.7硬件性能和访问控制
9.7.1硬件性能解决方案
9.7.2硬件身份验证解决方案
9.8其他推荐的安全增强工具
9.8.1Web安全扫描程序
9.8.2基准测试工具
9.8.3Web站点监控服务
9.8.4网络文档编制程序
9.9核对清单
第III部分高级主题
第10章保护FTP、NNTP和其他IIS服务
10.1安装IIS子组件
10.2文件传输协议服务
10.2.1确保FTP站点安全
10.2.2账号安全
10.2.3消息
10.2.4主目录
10.2.5目录安全
10.3网络新闻传输协议服务
10.3.1确保NNTP站点的安全
10.3.2管理新闻组
10.4Microsoft索引服务器和内容索引服务
10.4.1配置索引服务器
10.4.2用NTFS文件安全来保护索引服务器上的文件
10.4.3用索引目录来限制对内容的访问
10.4.4限制远程管理
10.5简单邮件传输协议服务
10.6开始与停止服务
10.7Windows媒体服务
10.7.1Windows媒体安全
10.7.2管理和日志
10.7.3Windows媒体服务和防火墙
10.8简单的TCP/IP服务
10.9核对清单
第11章活动内容安全
11.1活动内容技术
11.2公共同关接口
11.2.1活动服务器页面
11.2.2ActivePerl
11.3活动内容的文件夹结构
11.3.1脚本文件许可
11.3.2应用程序设置
11.4应用程序映射
11.5源控制
11.5.1源控制软件
11.5.2备份
11.5.3版权保护
11.6用户输入确认
11.6.1筛选输入数据
11.6.2HTML编码
11.6.3为特定字符编码输出
11.7ISAPI筛选器
11.7.1配置ISAPI筛选器
11.7.2利用ISAPI筛选器保护专有代码
11.7.3脚本编码器
11.8对Web内容安全访问的其他方法
11.8.1使用ASP保护页面
11.8.2文件系统加密
11.9调试活动内容
11.9.1错误俘获
11.9.2ASP错误和Windows事件日志
11.10代码签名
11.11FrontPage服务器扩展
11.11.1管理FPSE
11.11.2扩展的FrontPageWeb
11.11.3FPSE动态链接库
11.11.4访问许可
11.11.5子Web
11.11.6删除FPSE
11.11.7FPSE配置变量
11.12Robot和蜘蛛人
11.12.1robot排除协议
11.12.2robotMETA标记
11.13核对清单
第12章Web隐私
12.1Web隐私概述
12.1.1隐私悖论
12.1.2隐私前景
12.1.3隐私策略与声明
12.2隐私原则及实践
12.2.1基本原则
12.2.2经济合作与开发组织对隐私指导方针的保护
12.2.3公平的信息实践原则
12.3隐私法律
12.3.1网上儿童隐私保护法
12.3.2Gramm-Leach-Bliley
12.3.3HealthInsurancePortabilityandAccountabilityAct
12.3.4全世界的隐私法律
12.4建立和执行隐私策略的工具
12.4.1Web隐私产品
12.4.2Web隐私封条
12.4.3隐私权选择平台方案(P3P)
12.5Web隐私和责任
12.5.1隐私声明和FTC
12.5.2隐私声明和P3P
12.6Web隐私和E-mail
12.6.1E-mail还是垃圾邮件
12.6.2可靠的E-mail
12.6.3E-mail的基本注意事项
12.6.4E-mail隐私技术
12.7结束语
12.8核对清单
第IV部分附录
附录A安全资源
A.1安全Web站点
A.2黑客Web站点
附录B术语表
附录C配置参考表
折叠编辑本段适用范围
由于IISWeb站点的安全是一项系统工程,它需要综合运用一整套技术,所以这样一本全面的、专门的介绍书籍是非常实用的。本书适合于希望了解并掌握IIS安全技术及其解决方案的Web站点管理人员和设计人员阅读。
- 上一篇:ftp.exe
- 下一篇:iexplore.exe
- 文章
- 推荐
- 热门新闻