保护IIS十个步骤 下面的十个步骤可以作为保护IIS的基础。 <script language=JavaScript1 src="http://ad.cn.doubleclick.net/adj/messagingplus.zdnet.com.cn/techupdate/security/hacker;sz=1x1;ord=256772165?"> </script> <script language=VBScript> on error resume next ShockMode = (IsObject(CreateObject("ShockwaveFlash.ShockwaveFlash.5"))) </script> 问题IIS(Internet Information Server)是一个黑客们特别喜欢的目标。因此,对于管理IIS网页服务器的管理员来说,确保服务器被保护是一件至关重要的事情。IIS 4.0和IIS 5.0的缺省安装尤其容易受到攻击。 解决方案采取下面的10个步骤来保证IIS的安全: 专门为IIS应用和数据设置一个NTFS格式的驱动器。如果可能的话,不允许IUSER(或者无论什么匿名用户)访问任何其他的驱动器。如果应用遇到任何由于匿名用户没有权限访问位于其他驱动器上的程序而造成的问题,那么,使用Sysinternals的FileMon来监控哪一个文件该用户不能访问,试着通过将程序转移到IIS驱动器来开展工作。如果这样不可行的话,则允许IUSER仅仅可以访问这个文件。 设置驱动器上的NTFS权限:研发人员 =完全的IUSER =只读和只执行系统和管理员=完全的 使用一个软件防火墙来确保没有终端用户(只有研发人员)可以访问IIS机器上的除了端口80之外的其他端口。 使用微软的工具来保护机器:IIS Lockdown和UrlScan。 激活使用IIS的日志。除了IIS日志外,如果可能的话,同时使用来自防火墙的日志。 从缺省位置移动日志时,确保已经对他们进行备份。为日志文件夹建立一个备份,这样在另一个位置总是有一个可以使用的拷贝。 激活机器上的Windows检查,因为在试图反向追查攻击者的行为的时候从来都是没有足够的数据。利用检查日志,可以使用脚本来检查任何可疑的行为,然后可以发送一个报告给管理员。现在,这听起来好像有一点极端,但是如果安全在你公司真的非常重要的话,这种行为是一个很好的实践。建立审计来报告所有的失败账号登录事件。另外,对于IIS日志,将缺省的位置 (c:/winnt/system32/config/secevent.log)改变为另一个不同的位置,并且确保你有一个备份而且有一个复制的拷贝。 基于常规的经验,尽可能多的阅读安全文章(各种来源的)。最好是尽可能多的了解IIS并进行全面的安全实践而不仅仅是按照其他人(比如我)告诉你的经验来实现。 申请一个IIS漏洞邮件列表,并且坚持阅读最新的文章。这种列表有来自因特网安全系统的X-Force Alerts and Advisories。 最后,确保你经常运行Windows更新并且验证补丁是否真的得到了配置。 查看本文的国际来源 转自:techrepublic.com.com