IIS默认的站点有很多功能需要更改,以确保系统的安全;
Windows操作系统的更新:
最后,确保你定期的对Windows 进行了更新,并检验补丁是否被成功的安装了。
IIS用户权限访问
为IIS 应用程序和数据专门安装一个NTFS 设备。如果有可能,不要允许IUSER(或其它任何匿名用户名)去访问任何其它设备。如果应用程序因为匿名用户无法访问其它设备上的程序而出了问题,马上 使用Sysinternals 的FileMon 检测出哪个文件无法访问,并吧这个程序转移到IIS 设备上。如果无法做到这些,就允许IUSER 访问且只能访问这个文件。
设置防火墙
使用一个软件防火墙,确认没有终端用户能够访问 IIS 计算机上的除了 80 端口之外的其它端口。
使用Microsoft 工具锁定计算机
IIS Lockdown和UrlScan.
启用网站日志
启用IIS 事件日志。除了使用IIS 事件日志之外,如果有可能的话,尽量也对_blank">防火墙启用事件日志。
更改站点默认的日志目录
把日志文件从默认的存储位置移走,并保证对它们的备份。为日志文件建立一个重复的拷贝,以确保这个放在第二位置的拷贝是可用的。
启用Windows 审核
启用windows的审核,因为当我们试图去追踪那些攻击者的行为的时候,我们总是缺少足够的数据。通过使用审核日志,甚至有可能拥有一个脚本来进行可疑行为的审核,这个脚本 随后会向管理员发送一个报告。这听起来好像有点走极端了,不过如果对你的组织来说安全性非常重要的话,这样做是最好的选择。建立审核制度来报告任何失败帐 户登录行为。另外,同IIS日志文件一样,把它的默认存储位置(c:\winnt\system32\config\secevent.log)改到另外 一个地方,并确保它有一个备份和一个重复的拷贝。
3602
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
