IISWeb服务器的安全配置有哪些 iis web服务器的配置
IIS有哪些安全机制?
1.应用NTFS文件系统
在华宁等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都网站制作、成都做网站 网站设计制作按需网站开发,公司网站建设,企业网站建设,品牌网站制作,营销型网站,成都外贸网站制作,华宁网站建设费用合理。
NTFS文件系统可以对文件和目录进行管理,FAT文件系统则只能提供共享级的安全,而Windows NT的安全机制是建立在NTFS文件系统之上的,所以在安装Windows NT时最好使用NTFS文件系统,否则将无法建立NT的安全机制。
2.共享权限的修改
在系统默认情况下,每建立一个新的共享,Everyone用户就享有“完全控制”的共享权限,因此,在建立新的共享后应该立即修改Everyone的缺省权限。
3.为系统管理员账号更名
域用户管理器虽可限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,通过域用户管理器对管理员账号更名不失为一种好办法。具体设置方法如下:
选择“开始”选单→“程序”→启动“域用户管理器”→选中“管理员账号(adminstrator)”→选择“用户”选单→“重命名”,对其进行修改。
4.取消TCP/IP上的NetBIOS绑定
NT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像,对Internet或Intranet上的其他服务器进行管理,但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的,就应该立即取消(通过网络属性的绑定选项,取消NetBIOS与TCP/IP之间的绑定)。
iis的安装及web服务器配置
服务器端所使用的软件则主要是Windows平台上的IIS以及主要应用在Linux平台上的Apache。
IIS(Internet Information Services),Internet信息服务,是Windows Server系统中提供的一个服务组件,可以统一提供www、ftp、smtp服务。
Windows Server 2008 R2中的IIS版本为7.5,相比以前版本的IIS在安全性方面有了很大的改善。
下面我们新建一台名为web的虚拟机来作为web服务器,为其分配IP地址192.168.1.5,将计算机名改为web,激活系统并加入到域,最后再创建快照。
首先仍是需要在【服务器管理器】中安装“web服务器(IIS)”角色。
IIS 7.5被分割成了40多个不同功能的模块,管理员可以根据需要定制安装相应的功能模块,这样可以使Web网站的受攻击面减少,安全性和性能大大提高。所以,在“选择角色服务”的步骤中我们采用默认设置,只安装最基本的功能模块。
安装完成后,可以通过【管理工具】中的【Internet信息服务(IIS)管理器】来管理IIS网站,可以看到其中已经建好了一个名为“Default Web Site”的站点。
在客户端计算机client1上打开IE浏览器,在地址栏输入web服务器的IP地址即可以访问这个默认网站。
我们还可以在DNS服务器中为web服务器添加一条主机记录,这样就可以通过域名访问默认网站了。
其实只要对这个默认网站稍作修改,就可以作为一个真实的网站来使用了。
在【IIS管理器】中,点击默认站点右侧【操作】窗口中的“基本设置”,可以看到默认站点的物理路这个路径对应的就是站点的主目录。
主目录就是网站的根目录,保存着web网站的网页、图片等数据,是用来存放Web网站的文件夹,当客户端访问该网站时,Web服务器自动将该文件夹中的默认网页显示给客户端用户。
打开这个主目录,可以看到里面已经有一个名为iisstart.htm的网页文件以及一张图片,这也就是我们刚才所看到的默认网站所显示的网页。
如果我们已经制作好了一个网站,那么只要将网站的所有文件上传到这个主目录中即可。一个网站中的网页文件非常多,必须得挑选其中的一个网页作为网站的首页,也就是用户在输入网站域名后所直接打开的网页文件。
网站首页在IIS中被称为“默认文档”,在【IIS管理器】默认站点的主窗口中,打开“默认文档”可以对其进行设置。
可以看到系统自带有5种默认文档:Default.htm、Default.asp、Index.htm、Index.html、iisstar.htm。
其优先级依次从高到低。作为网站首页的Web文件必须使用上述5个名字中的一种,如果是使用的其它名字,则必须将其添加到文档列表中。
下面在默认网站的主目录中,用记事本任意编辑一个名为Default.htm(注意D要大写)的网页文件,并随意输入一些内容。然后在客户端上访问该网站,发现可以成功打开我们设置的首页。
ASP配置IIS服务器的注意事项
对于配置IIS服务器 我想大家也许有不是很明白的地方 下面介绍ASP配置IIS服务器时需要注意的地方 把好安全关是所有网站都必须要做好的功课 如果服务器本身不安全 给网站带来的将是毁灭性的
一 操作系统的安装
我这里说的操作系统以Windows 为例 高版本的Windows也有类似功能
格式化硬盘时候 必须格式化为NTFS的 绝对不要使用FAT 类型
C盘为操作系统盘 D盘放常用软件 E盘网站 格式化完成后立刻设置磁盘权限 C盘默认 D盘的安全设置为Administrator和System完全控制 其他用户删除 E盘放网站 如果只有一个网站 就设置Administrator和System完全控制 Everyone读取 如果网站上某段代码必须完成写操作 这时再单独对那个文件所在的文件夹权限进行更改
系统安装过程中一定本着最小服务原则 无用的服务一概不选择 达到系统的最小安装 在安装IIS的过程中 只安装最基本必要的功能 那些不必要的危险服务千万不要安装 例如 FrontPage 服务器扩展 Internet服务管理器(HTML) FTP服务 文档 索引服务等等
二 网络安全配置
网络安全最基本的是端口设置 在 本地连接属性 点 Internet协议(TCP/IP) 点 高级 再点 选项 TCP/IP筛选 仅打开网站服务所需要使用的端口 配置界面如下图
进行如下设置后 从你的服务器将不能使用域名解析 因此上网 但是外部的访问是正常的 这个设置主要为了防止一般规模的DDOS攻击
三 安全模板设置
运行MMC 添加独立管理单元 安全配置与分析 导入模板basicsv inf或者securedc inf 然后点 立刻配置计算机 系统就会自动配置 帐户策略 本地策略 系统服务 等信息 一步到位 不过这些配置可能会导致某些软件无法运行或者运行出错
四 WEB服务器的设置
以IIS为例 绝对不要使用IIS默认安装的WEB目录 而需要在E盘新建立一个目录 然后在IIS管理器中右击主机 属性 WWW服务 编辑 主目录配置 应用程序映射 只保留asp和asa 其余全部删除
五 ASP的安全
在IIS系统上 大部分木马都是ASP写的 因此 ASP组件的安全是非常重要的
ASP木马实际上大部分通过调用Shell Application WScript Shell WScript Neork FSO Adodb Stream组件来实现其功能 除了FSO之外 其他的大多可以直接禁用
WScript Shell组件使用这个命令删除 regsvr WSHom ocx /u
WScript Neork组件使用这个命令删除 regsvr wshom ocx /u
Shell Application可以使用禁止Guest用户使用shell dll来防止调用此组件 使用命令 cacls C \WINNT\system \shell dll /e /d guests
禁止guests用户执行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests
FSO组件的禁用比较麻烦 如果网站本身不需要用这个组件 那么就通过RegSrv scrrun dll /u命令来禁用吧 如果网站本身也需要用到FSO 那么请参看这篇文章
lishixinzhi/Article/program/net/201311/11873
文章标题:IISWeb服务器的安全配置有哪些 iis web服务器的配置
文章出自:http://pwwzsj.com/article/ddeogdi.html