检查实训任务8校园网服务器的安全检测与防护

实训任务 校园网服务器安全

. 任务需求

某高等职业学院已经组建了校园园区网,校园各区域均已连通校园网有两条出口线路分别与CHINNE和CERE连接,已实现了校园网所有用户对外访问 同时校园网的WB、P、 DNS、教务信息系统等较多服务器提供了校内外用户访问,为了保障校园网络安全需要对校园网的服务器操作系统进行安全防护,请进行校园网服务器的安全检测和防护。. 实训目的

了解操作系统安全的概念和原理,掌握操作系统安全的检测与防护方法。

. 实训环境

二台或两台以上装有indows Serv  203计算机、微软安全扫描工具MSA.4相关知识点

(  )系统漏洞

系统漏洞是指网络操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机。漏洞影响到的范围很大,包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

Wndows系统漏洞问题是与时间紧密相关的。一个i o系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。 W dws操作系统供应商将定期对已知的系统漏洞发布补丁程序用户只要定期下载并安装补丁程序,可以保证计算机不会轻易被病毒、黑客入侵。

一般情况下在网络边界处企业都会部署硬件或软件防火墙,能根据企业的安全策略控制出入网络的信息流防火墙本身具有较强的抗攻击能力。但是防火墙也存在一定的局限性:

 防火墙不能解决来自内部网络的攻击和安全问题,对于防火墙内部各主机间的攻击行

为防火墙也无法处理;

 防火墙无法解决TP P等协议的漏洞,例如Dos攻击(拒绝服务攻击。

 防火墙对于合法开发端口的攻击无法阻止。例如利用开放的FTP、远程桌面端口漏洞提

升权限问题。

 防火墙不能防止受病毒感染文件或木马文件的传输。防火墙本身不具备查杀病毒、木马

的功能。

 防火墙不能防止数据驱动式的攻击。有些数据邮寄或传输到内部主机被执行时,可能会

发生数据驱动式的攻击。

 防火墙不能防止内部的泄密行为以及自身安全漏洞的问题。

 )漏洞扫描

漏洞扫描是网络安全防御中的一项重要技术其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。其目标是服务器、工作站、交换机、数据库应用、E应用等各种应用设施然后根据扫描结果向网络管理员提供可靠的安全性评估分析报告以便管理员能及时进行漏洞修补和加强安全防护从而提高网络安全整体水平。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配查看是否有满足匹配条件的漏洞存在通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描如测试弱势口令等。若模拟攻击成功则表明目标主机系统存在安全漏洞。

在网络安全体系的建设中安全扫描是一种花费低、效果好、见效快、独立于网络运行、安装运行简单的网络工具,可以减少网络管理员大量的手工重复劳动,有利于保持全网安全的稳定和统一标准。

目前市场上有很多漏洞扫描工具,按照不同的技术(基于网络、基于主机、基于代理、Clien Server、不同的特征、不同的报告方式和不同的监听模式可以分为很多种。在选择漏洞扫描工具时要充分考虑各种技术和漏洞库信息,漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新不但不能发挥漏洞扫描的作

用,还会给系统管理员以错误的引导,从而对系统的安全隐患不能采取有效措施并及时的消除。目前常用的漏洞扫描工具有:

(3)微软安全扫描工具MBS

MBA(Mic osft asel ne Scuri y nalzer)是微软公司提供的免费安全扫描工具,系统管理员可以通过它来对一些常用的微软安全漏洞进行评估,包括缺少的安全更新。SA将扫描基于 Windows的计算机,并检查操作系统和已安装的其他组件(如 n rnet Ifrma io Servi e    IS和 Q Srver 以发现安全方面的配置错误并及时通过推荐的安全更新进行修补。

MSA目前可以运行在Window 00 、 Widw P和ids Server 200环境中。 该软件可以检查到W no 200、 W dos XP、 Winow Sr  

2003、 It rne  Inf mation    e  (II) 、 SQL e v  、 Int r  Ex  ore 和Of  e等软件包中的结构性错误,还可以检查出Wndows   0、indows X、Winow Ser r203、 IIS、 Q  rver、 Inte n  Exp  rer、

Ofice、 xcage Srer、 Wnows ei  l yr、 Mic osoft Data Aces  Com  en s (DAC) 、 MSXM、 M rosoft Vir u  Mah  e、 Cmmerce Se v  、 Coten Maagemnt Srer、 izalkSer   、 Ho  It g   in Se ver中遗漏的安全更新。

MA 2.  .检查W  ow操作系统的安全内容

 检查将确定并列出属于L a Amin  trao s 组的用户账户。

 检查将确定在被扫描的计算机上是否启用了审核。

 检查将确定在被扫描的计算机上是否启用了“自动登录”功能。

 检查是否有不必要的服务。

 检查将确定正在接受扫描的计算机是否为一个域控制器。

 检查将确定在每一个硬盘上使用的是哪一种文件系统 以确保它是NTFS文件系统。

 检查将确定在被扫描的计算机上是否启用了内置的来宾账户。

 检查将找出使用了空白密码或简单密码的所有本地用户账户。

 检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的I区域安全设置。

 检查将确定在被扫描的计算机上运行的是哪一个操作系统。

 检查将确定是否有本地用户账户设置了永不过期的密码。

 检查将确定被扫描的计算机上是否使用了Rest    t Anoymou注册表项来限制匿名连接Servic ak和即时修复程序。

MBS .0.检查 IS的安全分析

 检查将确定MADC(样本数据访问脚本和脚本虚拟目录是否已安装在被扫描的IIS计算机上。

 检查将确定I  DMPW目录是否已安装在被扫描的计算机上。

 检查将确定I  是否在一个作为域控制器的系统上运行。

 检查将确定II锁定工具是否已经在被扫描的计算机上运行。

 检查将确定IIS日志记录是否已启用,以及WC扩展日志文件格式是否已使用。 检查将确定在被扫描的计算机上是否启用了SP abl Paetat 设置。 检查将确定下列 IS示例文件目录是否安装在计算机上。

MSA 2. 的SL e vr安全分析功能:

 检查将确定ys m 角色的成员的数量,并将结果显示在安全报告中。 检查将确定是否有本地S Srv 账户采用了简单密码如空白密码。 检查将确定被扫描的S e   r上使用的身份验证模式。

 检查将验证Q Server目录是否都将访问权只限制到S服务账户和本地dm   strators。

 检查将确定 Srvr 7 和SQL Serer  0 a账户密码是否以明文形式写到%t msql  tp. log和% mp  etu   ss文件中。 检查将确定SQ  r   Gu s 账户是否具有访问数据库MSTE、 T

MPDB和SB除外的权限。

 检查将确定SQL  rver是否在一个担任域控制器的系统上运行。

 检查将确保ve yne组对Koft   \i ros tM cros

ft Q Servr"和"HLM\ofar \M rosotSSSere  "

两注册表项的访问权被限制为读取权限。如果E rone组对这些注册表项的访问

权限高于读取权限那么这种情况将在安全扫描报告中被标记为严重安全漏洞。

 检查将确定SL  re 服务账户在被扫描的计算机上是否为本地或oma

 Amini   ators组的成员,或者是否有SL Se ve 服务账户在

LocalSystem上下文中运行。

A 2 0版本使用Wi  ws Upate     (WU)2.0连接扫描结果。如果找到某个产品有新版本或更新,它会提供相关更新信息和下载连接。此外 BSA还能识别出操作系统版本和服务包。扫描报告还能列出需要升级的最近安装的更新。

8 5 实训内容与步骤

(  BSA安装

MA作为免费的微软安全检测工具,可以从微软网站免费下载。SA的当前最新版本为V   ,提供了对Wn w i  a 、 Wi o   v    8、 Q Servr 0 5等的支持。

MBA的安装非常简单,打开下载的安装文件MBSS up-86-EN.e根据向导提示单击“下一步”即可完成软件的安装,在安装过程中需要选择接受微软公司的“软件许可协议”。

(2 MBSA使用

1.安装BA软件后运行即打开程序主界面,在这里可以选择是检测一台计算机还是检测多台计算机,如图81所示。

图8-1 BSA计算机安全检测主界面

 如果要检测一台(通常是当前计算机,也可以是网络中其他有管理权限的计算机) ,则单击Scn a omputer"链接,打开如图8-所示对话框。

在"Use   m "栏中默认显示的当前计算机名。用户也可以更改或者在下面的 P a  ess 栏中输入要检测的其他计算机IP地址。计算机名和P地址仅需要选择一种即可。

图2 选择需要安全检测的目标计算机

对话框下面有许多复选框。其中主要涉及到选择要扫描检测的项目,包括indows系统本身、 I S和S QL等相关选项,也就是MBS的大主要功能。根据所检测的计算机系统中所安装的程序系统和实际需求来确定即可。

 输入要检测的计算机,并选择好要检测的项目后,单击窗口下方【Star  s  n】按钮,程序则自动开始检测已选择的项目,显示“Sanin”窗口,如图8所示。

图-3 安全检测过程.检测完成后会形成一个报告如图8-4所示。

图8-操作系统安全检测结果

在报告中凡是检测到存在严重安全隐患的则以红色的“×”显示,中等级别的则以黄色的“×”显示。而且用户还可以单击“How to crrect  h s”链接,得知该如何配置才能纠正这些不正当的设置。

安装、部署一套服务器操作系统难度比较高,安全配置也是一项具有难度的网络技术,权限配置太严格,许多应用程序不能正常运行;权限配置的太松,又很容易被非法入侵者侵入。indosSre  00操作系统是目前企业使用比较成熟和广泛的网络服务器器平台其安全性相对于Widows Serv    0有了极大的提高。ndw系统平台的安全无疑是构建服务器安全的基础,涉及操作系统合应用程序的安装、系统服务、系统设置和用户帐户等多方面安全配置。

8 6分析与思考

作为网络管理者保障计算机网络操作系统安全是一项重要工作内容,如何提高微软操作系统的安全性