Windows2000上的IIS安全配置

　Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。

 “地面部分”－Win2000操作系统的安全配置

  因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：

    1. 保持Windows升级(设置一台WSUS服务器并进行有效的配置和检查):
　　必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器(WSUS)上，并在该机器上以Web的形式将文件发布出来。通过这些工作，可以防止Web服务器接受直接的Internet访问。

    2. 使用NTFS文件系统，以便对文件和目录进行管理。

    3. 关闭默认共享
　　打开注册表编辑器，展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。

    4. 修改共享权限
　  建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

    5. 如果你并不需要FTP和SMTP服务，请卸载它们:
　　进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

    6. 为系统管理员账号更名，避免非法用户攻击。
　　鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（Administrator）”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

    7.管理用户账户:
    如果已经安装了IIS，可能产生了一个TSInternetUser账户。除非真正需要这个账户，否则应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定本地安全策略没有问题，IUSR用户的权限也应该尽可能的小。

    8. 设置复杂的密码:
    如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词)，那么黑客便能快速并简单的入侵这些用户的账号。

    9. 禁用TCP/IP 上的NetBIOS
　　鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

   10. 在TCP/IP上对进出站连接进行有效控制
    方法一 利用TCP/IP筛选
　　鼠标右击桌面上“网络邻居”　“属性”　“本地连接”　“属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”　“属性”　“高级”　“选项”， 在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮，选择“只允许”，再单击“添加”按钮，只填入需要的端口即可。

    方法二 利用IP安全策略
　　IPSec Policy Filters（IP安全策略过滤器）弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略，将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。

   11. 修改注册表，减小拒绝服务攻击的风险。
 　DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击，但是可以降低其风险。打开注册表：将HKLM/System/CurrentControlSet/Services/Tcpip/Parameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。

“空中部分”－IIS的安全设置

   1.单独设置IIS服务器
　　如果可能，IIS应该安装在一个单独的服务器上。就是说，这个服务器不是任何域中的成员，不必与域控制器建立Netlogon信道，从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。而且，由于系统之间不传递认证通讯信息，也就降低了登录口令被截获的可能。

　2.必须从安装时就充分考虑要如何构建一个安全的IIS服务器
　不要将IIS安装在系统分区上;
    修改IIS的安装默认路径;
    打上Windows和IIS的最新补丁。

   3. 删除不必要的虚拟目录
　 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。

   4. 删除危险的IIS组件
   默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，所谓“多一个组件，不如少一个组件”。以下是一些“黑名单”参考，请酌情考虑：
　　(1)Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。
　　(2)样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，这不是好事情，建议删除。
　　(3)Win2000资源工具箱或IIS资源工具箱：这些由专家编写的软件大概是现在最好的黑客工具了，其中有许多项目可以被攻击者利用从服务器上提取信息、进行破坏。
　　(4)SMTP和NNTP：如果不打算使用服务器转发邮件和提供新闻组服务，就删除这些项目吧。别因为它们的漏洞带来新的不安全。
        (5)Internet打印：Internet打印是Win2000中的一个新特性，它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的，所以也就使系统增加了许多受到利用的可能。                                                                                                                               
     5.简化IIS的验证方法
　　Win2000和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法，这包括：匿名访问、基本验证（密码用明文送出）、Windows域服务器的简要验证、集成Windows验证等等。对于大多数Web站点来说，有匿名访问或基本认证就足够了，或者干脆只保留匿名访问形式。在有些地方，最简单的往往是最有效的！

   6.为IIS5中的文件分类设置权限
　　除了在操作系统级别为IIS5的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：
　　Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为这个文件夹设置“纯脚本”执行许可权限。
　　BIN目录：包含站点上的执行文件，应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。
　　Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置“读权限”

  7.全力保护IIS
　  Metabase保存着包括口令在内的几乎IIS配置各个方面的内容，而且这些信息都以明文形式存储，因此保护它至关重要。建议采取如下措施： 
      把HTTP和FTP根文件夹从%systemroot%下移走;
      慎重考虑重新命名Metabase和移动Metabase位置;
      安全设置确定Metabase位置的注册表关键字;
      审核所有试图访问并编辑Metabase的失败日志;
      删除文件%systemroot%/system32/inetserv/Iissync.exe;
　  为Metabase文件设置以下权限：Administrators/完全控制，System/完全控制
   
   完成IIS配置后对Metabase 进行备份，这时会创建文件夹%systemroot%/system32/inetserv/MetaBack，备份文件就存储在其中。对于这个地方，要采取如下措施进行保护：
 审核对/MetaBack文件夹的所有失败访问尝试
 为/MetaBack文件夹设置如下权限：Administrators/完全控制，System/完全控制

  最后，要保护能够编辑Metabase的工具，步骤是:
　　移走文件夹/Inetpub/Adminscripts，这里包含着IIS的所有管理脚本;
　　将"/program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%/system32/Inetserv文件夹下，并调整相应的开始菜单快捷方式;
　　审核对/Adminscripts文件夹的所有失败访问尝试;
　　对执行.VBS文件的%systemroot%/system32/csript.exe设置权限为“Administrators/完全控制”;
　　对/Adminscripts文件夹设置权限“Administrators/完全控制”

  8.不要在服务器上面安装FRONPAGE等系列的软件,这样也可能是黑客的入侵口;关掉自己不需要的服务和映射(建议最好把不用的映射DEL掉)

  9.注意建立审核例行程序和备份策略/数据保护
    对存储在服务器上暴露于Internet的数据进行保护也很重要。除了设置相应权限外，建立一个正式的备份策略，定期进行磁带备份也是非常必要的。对于以上两点都需要明确目标,可以把备份分两份:
(1)备份在SERVER外的光盘/磁带或者局域网中的其他COMPUTER硬盘中;
(2)备份在SERVER其他盘中，把权限设置为adminstrators。

  10.保护日志安全
　　日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。
    (1)修改IIS日志的存放路径
　　默认情况下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
　(2)修改日志访问权限，设置只有管理员才能访问。

   通过以上的一些安全设置，相信我们的Web服务器会安全更多!