IIS安全技术PDF电子书下载

目 录 1

第Ⅰ部分暴露、风险与预防 1

第1章Web安全威胁 1

1.1 安全事件 1

1.1.1 威胁源 1

1.1.2事件分类 2

1.1.3社会攻击和物理攻击 2

1.1.4网络攻击 3

1.2 防御目标 3

1.3黑客策略 4

1.4安全是相互依赖的 5

1.4.1破坏安全示例 6

1.4.2书面形式的安全策略 7

1.5 破解方法 7

1.5.1广播攻击方法 8

1.5.2指定目标的攻击方法 10

1.6威胁的核对清单 11

第2章丑化、破坏与拒绝 13

2.1 问题来源 13

2.2 Internet协议初步 13

2.2.1 网际协议 15

2.2.2域名系统 15

2.2.3应用程序与服务 16

2.3 已知弱点 18

2.3.1 影响所有系统的最常见的弱点 18

2.3.2与平台相关的弱点 21

2.4机会扫描 24

2.4.1假定受到监控 24

2.4.2 ping和扫描的工作原理 24

2.4.3识别Web服务器或操作系统 27

2.4.4用来避免检测的扫描技术 28

2.5 弱点探索 28

2.5.2恶意或不友善的代码 29

2.5.1 配置探测 29

2.5.3分布式拒绝服务 37

2.6 已知弱点核对清单 38

第3章准备与加固Web服务器 39

3.1 安装与配置前的计划 39

3.2服务器安全安装的要求 40

3.2.1 一般的建议 40

3.2.2组件安装 41

3.2.3 服务包和安全补丁 47

3.3加固系统 47

3.3.1 加固工具 48

3.3.2加固过程概述 48

3.3.3 使用Microsoft IIS Lockdown工具 49

3.3.4手动加固过程 51

3.4 保护物理设置、引导设置和介质设置 66

3.6加固建议核对清单 68

3.5安装计划核对清单 68

第4章账号、授权和安全策略 69

4.1运用安全策略 69

4.2 Windows 2000与IIS的安全概念 70

4.2.1 信任关系 70

4.2.2工作组和域 70

4.2.3 身份验证 71

4.2.4 Intranet与Internet的比较 71

4.2.5本地安全管理 72

4.2.6访问控制列表 72

4.2.7筛选器 72

4.2.8 继承 73

4.3本地安全管理工具 73

4.3.1微软的管理控制台 73

4.3.2用模板定制安全策略 74

4.4.1 修改默认的组和管理员设置 79

4.4为Windows 2000配置Web服务器的访问控制 79

4.4.2分配管理 85

4.4.3修改默认的用户账号设置 89

4.5配置IIS站点的属性 94

4.5.1 IIS安全属性 95

4.5.2在同一个服务器上管理多个Web站点 98

4.5.3使用虚拟目录 100

4.6 Windows 2000账号权限核对清单 101

4.7 IIS站点属性核对清单 101

第5章审核与日志 102

5.1 网站监控概述 102

5.1.1网站监控信息 103

5.1.2审核 105

5.2建立和维护日志的过程 106

5.2.1 审核的目标和结果 106

5.2.2 日志管理 107

5.3.1设置审核策略 118

5.3 审核 118

5.3.2审核Windows 2000的对象和资源 119

5.3.3 IIS审核功能 121

5.3.4对备份的审核 124

5.4 日志和审核核对清单 125

第Ⅱ部分管 理 126

第6章部署问题 126

6.1 恢复规划 126

6.1.1 紧急修复 127

6.1.2备份注册表以及其他的系统状态信息 131

6.1.3备份的安全问题 132

6.2 网络布局以及Intranet上的筛选 135

6.2.1 Windows 2000的筛选特性 135

6.2.2 IIS的筛选特性 137

6.3 保护网络边界 140

6.3.1 防火墙和路由器筛选 141

6.3.2使用网络DMZ 142

6.4保护远程管理 143

6.4.1 虚拟专用网络 144

6.4.2Windows 2000终端服务 144

6.5部署准备核对清单 146

第7章安全管理的生命周期 147

7.1生命周期方法 147

7.2弱点评估和主动监控 148

7.2.1 评估弱点 148

7.2.2进一步了解日志文件监控 151

7.2.3 设置Windows 2000和IIS警告 153

7.3紧急事件响应 158

7.4安全管理的生命周期核对清单 161

第8章加密应用 162

8.1.2对称密钥（秘密密钥）加密 163

8.1.1密钥与加密算法 163

8.1加密的基本概念 163

8.1.3非对称（公钥）加密 164

8.1.4综合加密方案 165

8.1.5数字证书与公钥基础结构 165

8.1.6公钥协议身份验证 166

8.2使用IIS安全通信 167

8.2.1 安全的Web通信如何工作 168

8.2.2 配置IIS的SSL/TLS 168

8.2.3保证站点或目录的安全 174

8.3 SSL配置核对清单 177

第9章使用第三方工具增强安全 178

9.1 防火墙 179

9.1.1防火墙技术 180

9.1.2决定所需要的防火墙特征 182

9.1.3最主要的防火墙产品 182

9.2.1入侵检测的工作方式 185

9.2入侵检测系统 185

9.2.2推荐选用的产品 187

9.3 日志分析程序 188

9.3.1 收集线索 189

9.3.2建议与资源 189

9.4病毒扫描程序 189

9.4.1工作方式 190

9.4.2锁定的方法 190

9.4.3集中与合作 190

9.4.4模型解决方案 190

9.4.5流行的病毒扫描程序 191

9.5安全意识培训 192

9.6修改控制 193

9.7硬件性能和访问控制 194

9.7.1 硬件性能解决方案 195

9.7.2硬件身份验证解决方案 196

9.8.1 Web安全扫描程序 197

9.8其他推荐的安全增强工具 197

9.8.2基准测试工具 199

9.8.3 Web站点监控服务 200

9.8.4网络文档编制程序 201

9.9核对清单 202

第Ⅲ部分高级主题 204

第1 0章 保护FTP、NNTP和其他IIS服务 204

10.1安装IIS子组件 204

10.2文件传输协议服务 205

10.2.1确保FTP站点安全 206

10.2.2账号安全 208

10.2.3 消息 209

10.2.4主目录 210

10.2.5 目录安全 211

10.3 网络新闻传输协议服务 212

10.3.1 确保NNTP站点的安全 214

10.3.2管理新闻组 217

10.4 Microsoft索引服务器和内容索引服务 218

10.4.1配置索引服务器 219

10.4.2 用NTFS文件安全来保护索引服务器上的文件 220

10.4.3 用索引目录来限制对内容的访问 220

10.4.4限制远程管理 221

10.5简单邮件传输协议服务 222

10.6开始与停止服务 227

10.7 Windows媒体服务 228

10.7.1 Windows媒体安全 228

10.7.2管理和日志 228

10.7.3 Windows媒体服务和防火墙 228

10.8 简单的TCP/IP服务 229

10.9 核对清单 229

11.1 活动内容技术 231

第11章 活动内容安全 231

11.2 公共网关接口 232

1 1.2.1 活动服务器页面 232

11.2.2 ActivePerl 234

11.3活动内容的文件夹结构 234

11.3.1 脚本文件许可 235

11.3.2应用程序设置 235

11.4应用程序映射 237

11.5.1源控制软件 239

11.5 源控制 239

11.5.2备份 241

11.5.3版权保护 241

11.6用户输入确认 242

11.6.1筛选输入数据 242

11.6.2 HTML编码 245

11.6.3 为特定字符编码输出 246

11.7.1 配置ISAPI筛选器 247

11.7 ISAPI筛选器 247

11.7.2 利用ISAPI筛选器保护专有代码 248

11.7.3 脚本编码器 249

11.8 对Web内容安全访问的其他方法 249

1 1.8.1 使用ASP保护页面 250

11.8.2文件系统加密 251

1 1.9调试活动内容 252

11.9.1错误俘获 253

11.9.2 ASP错误和Windows事件日志 257

11.10代码签名 258

11.11 FrontPage服务器扩展 259

11.1 1.1管理FPSE 259

11.11.2扩展的FrontPage Web 260

11.11.3 FPSE动态链接库 261

11.11.4访问许可 261

1 1.1 1.5子Web 262

11.11.6删除FPSE 263

1 1.11.7 FPSE配置变量 263

11.12 Robot和蜘蛛人 265

11.12.1 robot排除协议 266

11.12.2 robotMETA标记 267

11.1 3核对清单 268

第12章Web隐私 269

12.1 Web隐私概述 269

12.1.1 隐私悖论 270

12.1.2隐私前景 272

12.1.3隐私策略与声明 272

12.2隐私原则及实践 274

12.2.1 基本原则 274

12.2.2经济合作与开发组织对隐私指导方针的保护 274

12.2.3 公平的信息实践原则 275

12.3.1 网上儿童隐私保护法 279

12.3 隐私法律 279

12.3.2 Gramm-Leach-Bliley 280

12.3.3 Health Insurance Portability andAccountability Act 282

12.3.4全世界的隐私法律 283

12.4建立和执行隐私策略的工具 285

12.4.1 Web隐私产品 285

12.4.2 Web隐私封条 287

12.4.3 隐私权选择平台方案（P3P） 288

12.5 Web隐私和责任 292

12.5.1 隐私声明和FTC 292

12.5.2隐私声明和P3P 293

12.6 Web隐私和E-mail 294

12.6.1 E-mail还是垃圾邮件 294

12.6.2可靠的E-mail 295

12.6.3 E-mail的基本注意事项 296

12.6.4 E-mail隐私技术 297

12.7结束语 298

12.8 核对清单 298

第Ⅳ部分附 录 299

附录A安全资源 299

A.1安全Web站点 299

A.2黑客Web站点 300

附录B术语表 302

附录C配置参考表 319

C.1 建议的Windows 2000和IIS目录权限 319

C.2本地安全策略设置 321

C.3报文筛选协议号 330

附录D Microsoft IIS身份验证方法 335

D.1 匿名身份验证 335

D.2基本身份验证 335

D.3集成的Windows身份验证 335

D.4客户证书映射 336