使用IIS架设站点的公司企业不少,现在随着计算机网络知识的提高,有很多个人用户也开始使用它来建立自己的站点,以下是关于安全的一点思考!希望对你们有所帮助。
Internet Information Server(IIS),IIS提供了一个图形化的界面管理工具一般被称为Internet信息服务管理器,可以用来配置和管理Internet服务。
IIS安装基础:
通过控制面板---->添加/删除程序---->windows组件,可以安装IIS的相关程序组件。
安装完成后,在系统盘下会产生一个Inetpub的目录,这是IIS的主目录。
Inetpub
----AdminScripts目录,存放IIS的Web方式管理脚本文件;
----ftproot目录,ftp站点的默认主目录;
----iissamples目录,IIS帮助和实例文件存放目录;
----mailroot目录,Smtp服务主目录;
----wwwroot目录,web站点的默认主目录;
----scripts目录,IIS会创建一个虚拟目录SCIPTS指向该目录,并且给这个目录执行权限。此目录存在安全隐患。
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
----不要将IIS安装在系统分区上;
----修改IIS的安装默认路径;
----打上Windows和IIS的最新补丁;
win2000下的IIS的用途是多方面的,主要提供www、ftp和mail这internet的三大服务,如果使IIS在win2000系统下运行的更安全,以下是一些常用的安全设置:
1、关闭并删除默认站点:
默认FTP站点
默认Web站点
管理Web站点
2、建立自己的站点,使操作系统、Web主目录、日志分别安装在不同的分区:
如:D:\wwwroot,站点主目录;
E:\Logfiles,日志文件目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是: Administrators(完全控制)System(完全控制)
3、删除IIS的部分目录:
IISHelp----IIS帮助文件存放目录 C:\winnt\help\iishelp
IISAdmin----IIS的Web管理程序存放目录 C:\system32\inetsrv\iisadmin
MSADC----文件类型映射目录 C:\Program Files\Common Files\System\msadc\
IIS主目录 C:\inetpub
4、删除不必要的IIS映射和扩展:
IIS 被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时,该调用由DLL程序进行处理。如果您不使用其中的某些扩展或功能,则应删除该映射,
步骤如下:
打开Internet服务管理器---->选择计算机名---->右键属性---->选择计算机MIME映射---->编辑
选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和\".printer\",点击删除
如果不使用server side include,则删除\".shtm\" \".stm\" 和 \".shtml\"
5、禁用父路径 :
“父路径”选项允许您在对诸如MapPath函数调用中使用“..”。
在默认情况下,该选项处于启用状态,应该禁用它。
web站点---->属性---->主目录---->配置---->应用程序选项---->启用父路径(取消选项)
6、在虚拟目录上设置访问控制权限:
在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限,允许访问控制权限传给各个文件。
例如,目录结构可为以下形式:
D:\wwwroot\wwwserver\static (.html)
D:\wwwroot\wwwserver\include (.inc)
D:\wwwroot\wwwserver\script (.asp)
D:\wwwroot\wwwserver\executable (.dll)
D:\wwwroot\wwwserver\images (.gif, .jpeg)
主页使用的文件按照文件类型应使用不同的访问控制列表:
CGI (.exe, .dll, .cmd, .pl)
Everyone (X)
Administrators(完全控制)
System(完全控制)
脚本文件 (.asp)
Everyone (X)
Administrators(完全控制)
System(完全控制)
include 文件 (.inc, .shtm, .shtml)
Everyone (X)
Administrators(完全控制)
System(完全控制)
静态内容 (.txt, .gif, .jpg, .html)
Everyone (R)
Administrators(完全控制)
System(完全控制)
7、启用日志记录:
确定服务器是否被攻击时,日志记录是极其重要的。
应使用 W3C 扩展日志记录格式,
web站点---->属性---->Web 站点---->启用日志记录---->活动日志格式---->W3C 扩展日志文件格式
单击“扩展属性”选项卡,然后设置以下属性:
* 客户 IP 地址
* 用户名
* 方法
* URI 资源
* HTTP 状态
* Win32 状态
* 用户代理
* 服务器 IP 地址
* 服务器端口
8、删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。
9、修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
10、TCP/IP上对进站连接进行控制
网络邻居---->属性---->本地连接---->属性
打开“本地连接属性”对话框。选择Internet协议(TCP/IP)→属性→高级→选项
在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口或者提供的服务的端口;
11、禁用TCP/IP 上的NetBIOS
网络邻居---->属性---->本地连接---->属性
打开“本地连接属性”对话框。选择Internet协议(TCP/IP)→属性→高级→选项鼠标右击桌面上网络邻居 →属性→本地连接→属性,
WINS下,选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
12、修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
13、设置IIS的安全机制
1.安装时应注意的安全问题
1)避免安装在主域控制器上
安装IIS之后,在安装的计算机上将生成IUSR_Computername匿名账户。该账户被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这不仅给IIS带来潜在危险,而且还可能威胁整个域资源的安全。所以要尽可能避免把IIS服务器安装在域控制器上,尤其是主域控制器上。
2)避免安装在系统分区上
把IIS安装在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区,所以应该避免将IIS服务器安装在系统分区上。
2.用户的安全性
1)匿名用户访问权限的控制
安装IIS后产生的匿名用户IUSR_Computername(密码随机产生),其匿名访问给Web服务器带来潜在的安全性问题,应对其权限加以控制。如无匿名访问需要,则可以取消Web的匿名访问服务。具体方法:
选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→取消其匿名访问服务。
2)控制一般用户访问权限
可以通过使用数字与字母(包括大小写)结合的口令,使用长口令(一般应在6位以上),经常修改密码,封锁失败的登录尝试以及设定账户的有效期等方法对一般用户账户进行管理。
3.IIS三种形式认证的安全性
1)匿名用户访问:允许任何人匿名访问,在这三种中安全性最低。
2)基本(Basic)认证:用户名和口令以明文方式在网络上传输,安全性能一般。
3)Windows NT请求/响应方式:浏览器通过加密方式与IIS服务器进行交流,有效地防止了窃听者,是安全性比较高的认证形式(需IE 3.0以上版本支持)。
4.访问权限控制
1)设置文件夹和文件的访问权限:安放在NTFS文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的组和用户设置不同的权限;另外,还可以利用NTFS的审核功能对某些特定组的成员读、写文件等方面进行审核,通过监视“文件访问”、“用户对象的使用”等动作,来有效地发现非法用户进行非法活动的前兆,及时加以预防和制止。具体方法:
选择“开始”选单→“程序”→启动“域用户管理器” →选择“规则”选项卡下的“审核”选项→设置“审核规则”。
2)设置WWW目录的访问权限:已经设置成Web目录的文件夹,可以通过*作Web站点属性页实现对WWW目录访问权限的控制,而该目录下的所有文件和子文件夹都将继承这些安全机制。WWW服务除了提供NTFS文件系统提供的权限外,还提供读取权限——允许用户读取或下载WWW目录中的文件;执行权限——允许用户运行WWW目录下的程序和脚本。具体设置方法如下:
选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录”选项卡→选定需要编辑的WWW目录→选择“编辑属性”中的“目录属性”进行设置。
5.IP地址的控制
IIS可以设置允许或拒绝从特定IP发来的服务请求,有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。具体设置方法如下:
选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→双击“WWW”启动WWW服务属性页→启动Web属性页中“高级”选项卡;进行IP地址的控制设置。
6.端口安全性的实现
对于IIS服务,无论是WWW站点、Fpt站点,还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号(Post),一般常用的端口号为:WWW是80,Fpt是21,SMpt是25,你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置,只有知道端口号的用户才可以访问,不过用户在访问时需要指定新端口号。
7.IP转发的安全性
IIS服务可提供IP数据包的转发功能,此时,充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中,禁用这一功能将提高IIS服务的安全性。设置方法如下:
选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“协议”选项卡→在TCP/IP属性中去掉“路由选择”。
8.SSL安全机制
SSL(加密套接字协议层)位于HTpt层和TCP层之间,建立用户与服务器之间的加密通信,确保信息传递的安全性。SSL是工作在公共密钥和私人密钥基础上的。任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个唯一的安全通道。具体设置方法如下:
选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录安全性”选项卡→单击“密钥管理器”按钮→通过密钥管理器生成密钥文件和请求文件→从身份认证权限中申请一个证书→通过密钥管理器在服务器上安装证书→激活Web站点的SSL安全性。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,注意输入的是“htpts://”,而不是“htpt://”。
SSL安全机制的实现,将增加系统开销,增加服务器CPU的额外负担,从而会在一定程度上降低系统性能。笔者建议在规划网络时,仅考虑为高敏感度的Web目录使用SSL安全机制。另外,SSL客户端需要使用IE 3.0及以上版本才能使用。
14、当IIS安装好后,在你的用户数据库就会创建一个新用户帐户,其名字为IUSR_,后接已安装好的服务器名。IUSR_帐户被赋予在本地登录的权限(LOGON LOCALLY)。所有WEB用户都必须具有这种权限,原因是他们的请求被传送至WEB服务器服务程序,该服务程序利用他们的帐户去登录,接着允许WINDOWS分配相应的访问权。
15、关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
888
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
