IIS安全技术

第I部分 暴露、风险与预防
第1章 Web安全威胁
1.1 安全事件
1.1.1 威胁源
1.1.2 事件分类
1.1.3 社会攻击和物理攻击
1.1.4 网络攻击
1.2 防御目标
1.3 黑客策略
1.4 安全是相互依赖的
1.4.1 破坏安全示例
1.4.2 书面形式的安全策略
1.5 破解方法
1.5.1 广播攻击方法
1.5.2 指定目标的攻击方法
1.6 威胁的核对清单
第2章 丑化、破坏与拒绝
2.1 问题来源
2.2 Internet协议初步
2.2.1 网际协议
2.2.2 域名系统
2.2.3 应用程序与服务
2.3 己知弱点
2.3.1 影响所有系统的最常见的弱点
2.3.2 与平台相关的弱点
2.4 机会扫描
2.4.1 假定受到监控
2.4.2 ping和扫描的工作原理
2.4.3 识别Web服务器或操作系统
2.4.4 用来避免检测的扫描技术
2.5 弱点探索
2.5.1 配置探测
2.5.2 恶意或不友善的代码
2.5.3 分布式拒绝服务
2.6 已知弱点核对清单
第3章 准备与加固Web服务器
3.1 安装与配置前的计划
3.2 服务器安全安装的要求
3.2.1 一般的建议
3.2.2 组件安装
3.2.3 服务包和安全补丁
3.3 加固系统
3.3.1 加固工具
3.3.2 加固过程概述
3.3.3 使用 Microsoft IIS Lockdown工具
3.3.4 手动加固过程
3.4 保护物理设置、引导设置和介质设置
3.5 安装计划核对清单
3.6 加固建议核对清单
第4章 账号、授权和安全策略
4.1 运用安全策略
4.2 Windows 2000与 IIS的安全概念
4.2.1 信任关系
4.2.2 工作组和域
4.2.3 身份验证
4.2.4 Intranet与Internet的比较
4.2.5 本地安全管理
4.2.6 访问控制列表
4.2.7 筛选器
4.2.8 继承
4.3 本地安全管理工具
4.3.1 微软的管理控制台
4.3.2 用模板定制安全策略
4.4 为 Windows 2000配置 Web服务器的访问控制
4.4.1 修改默认的组和管理员设置
4.4.2 分配管理
4.4.3 修改默认的用户账号设置
4.5 配置IIS站点的属性
4.5.1 IIS安全属性
4.5.2 在同一个服务器上管理多个Web站点
4.5.3 使用虚拟目录
4.6 Windows 2000账号权限核对清单
4.7 IIS站点属性核对清单
第5章 审核与日志
5.1 网站监控概述
5.1.1 网站监控信息
5.1.2 审核
5.2 建立和维护日志的过程
5.2.1 审核的目标和结果
5.2.2 日志管理
5.3 审核
5.3.1 设置审核策略
5.3.2 审核 Windows 2000的对象和资源
5.3.3 IIS审核功能
5.3.4 对备份的审核
5.4 日志和审核核对清单
第II部分 管理
第6章 部署问题
6.1 恢复规划
6.1.1 紧急修复
6.1.2 备份注册表以及其他的系统状态信启
6.1.3 备份的安全问题
6.2 网络布局以及Intranet上的筛选
6.2.1 Windows 2000的筛选特性
6.2.2 IIS的筛选特性
6.3 保护网络边界
6.3.1 防火墙和路由器筛选
6.3.2 使用网络DMZ
6.4 保护远程管理
6.4.1 虚拟专用网络
6.4.2 Windows 2000终端服务
6.5 部署准备核对清单
第7章 安全管理的生命周期
7.1 生命周期方法
7.2 弱点评估和主动监控
7.2.1 评估弱点
7.2.2 进一步了解日志文件监控
7.2.3 设置 Windows 2000和 IIS警告
7.3 紧急事件响应
7.4 安全管理的生命周期核对清单
第8章 加密应用
8.1 加密的基本概念
8.1.1 密钥与加密算法
8.1.2 对称密钥（秘密密钥）加密
8.1.3 非对称（公钥）加密
8.1.4 综合加密方案
8.1.5 数字证书与公钥基础结构
8.1.6 公钥协议身份验证
8.2 使用IIS安全通信
8.2.1 安全的Web通信如何工作
8.2.2 配置IIS的SSL／TLS
8.2.3 保证站点或目录的安全
8.3 SSL配置核对清单
第9章 使用第三方工具增强安全
9.1 防火墙
9.1.1 防火墙技术
9.1.2 决定所需要的防火墙特征
9.1.3 最主要的防火墙产品
9.2 入侵检测系统
9.2.1 入侵检测的工作方式
9.2.2 推荐选用的产品
9.3 日志分析程序
9.3.1 收集线索
9.3.2 建议与资源
9.4 病毒扫描程序
9.4.1 工作方式
9.4.2 锁定的方法
9.4.3 集中与合作
9.4.4 模型解决方案
9.4.5 流行的病毒扫描程序
9.5 安全意识培训
9.6 修改控制
9.7 硬件性能和访问控制
9.7.1 硬件性能解决方案
9.7.2 硬件身份验证解决方案
9.8 其他推荐的安全增强工具
9.8.1 Web安全扫描程序
9.8.2 基准测试工具
9.8.3 Web站点监控服务
9.8.4 网络文档编制程序
9.9 核对清单
第III部分 高级主题
第10章 保护FTP、NNTP和其他IIS服务
10.1 安装IIS子组件
10.2 文件传输协议服务
10.2.1 确保FTP站点安全
10.2.2 账号安全
10.2.3 消息
10.2.4 主目录
10.2.5 目录安全
10.3 网络新闻传输协议服务
10.3.1 确保NNTP站点的安全
10.3.2 管理新闻组
10.4 Microsoft索引服务器和内容索引服务
10.4.1 配置索引服务器
10.4.2 用NTFS文件安全来保护索引服务器上的文件
10.4.3 用索引目录来限制对内容的访问
10.4.4 限制远程管理
10.5 简单邮件传输协议服务
10.6 开始与停止服务
10.7 Windows媒体服务
10.7.1 Windows媒体安全
10.7.2 管理和日志
10.7.3 Windows媒体服务和防火墙
10.8 简单的TCP／IP服务
10.9 核对清单
第11章 活动内容安全
11.1 活动内容技术
11.2 公共同关接口
11.2.1 活动服务器页面
11.2.2 ActivePerl
11.3 活动内容的文件夹结构
11.3.1 脚本文件许可
11.3.2 应用程序设置
11.4 应用程序映射
11.5 源控制
11.5.1 源控制软件
11.5.2 备份
11.5.3 版权保护
11.6 用户输入确认
11.6.1 筛选输入数据
11.6.2 HTML编码
11.6.3 为特定字符编码输出
11.7 ISAPI筛选器
11.7.1 配置ISAPI筛选器
11.7.2 利用ISAPI筛选器保护专有代码
11.7.3 脚本编码器
11.8 对Web内容安全访问的其他方法
11.8.1 使用ASP保护页面
11.8.2 文件系统加密
11.9 调试活动内容
11.9.1 错误俘获
11.9.2 ASP错误和 Windows事件日志
11.10 代码签名
11.11 FrontPage服务器扩展
11.11.1 管理 FPSE
11.11.2 扩展的 FrontPage Web
11.11.3 FPSE动态链接库
11.11.4 访问许可
11.11.5 子Web
11.11.6 删除 FPSE
11.11.7 FPSE配置变量
11.12 Robot和蜘蛛人
11.12.1 robot排除协议
11.12.2 robotMETA标记
11.13 核对清单
第12章 Web隐私
12.1 Web隐私概述
12.1.1 隐私悖论
12.1.2 隐私前景
12.1.3 隐私策略与声明
12.2 隐私原则及实践
12.2.1 基本原则
12.2.2 经济合作与开发组织对隐私指导方针的保护
12.2.3 公平的信息实践原则
12.3 隐私法律
12.3.1 网上儿童隐私保护法
12.3.2 Gramm－Leach－Bliley
12.3.3 Health Insurance Portability and Accountability Act
12.3.4 全世界的隐私法律
12.4 建立和执行隐私策略的工具
12.4.1 Web隐私产品
12.4.2 Web隐私封条
12.4.3 隐私权选择平台方案（P3P）
12.5 Web隐私和责任
12.5.1 隐私声明和 FTC
12.5.2 隐私声明和P3P
12.6 Web隐私和E－mail
12.6.1 E－mail还是垃圾邮件
12.6.2 可靠的 E-mail
12.6.3 E－mail的基本注意事项
12.6.4 E－mail隐私技术
12.7 结束语
12.8 核对清单
第IV部分 附录
附录A 安全资源
A.1 安全Web站点
A.2 黑客Web站点
附录B 术语表
附录C 配置参考表
C.1 建议的 Windows 2000和 IIS目录权限
C.2 本地安全策略设置
C.3 报文筛选协议号
附录D Microsoft IIS身份验证方法
D.1 匿名身份验证
D.2 基本身份验证
D.3 集成的Windows身份验证
D.4 客户证书映射