|
在Windows Server 2003中对于IIS的安全设置具有非常 重要的意义,所以控制 IIS安全设置的六大技巧是一个网管员必 备的基本技能。下面就是对IIS的安全设置的六大技巧。
技巧1、安装系统补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,假如 是2000则确定安装上了SP4,假如 是Windows Server 2003 系统,则最好安装上SP1,然后点击开始→Windows Update,安装一切 的关键更新。
技巧2、设置端口保护和防火墙
Windows Server 2003 系统的端口屏蔽可以通过本身 防火墙来解决,这样比较好,比挑选 更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—> (右键)属性—>高级—>(选中)Internet 连接防火墙—>设置,把服务器上面要用到的服务端口选中 即可。
例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
假如 你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。注意:假如 是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
技巧3、合理的权限设置
需要. 重点设置如下三种权限:
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户 和用户组。
NTFS权限设置,请记住分区的时候把一切 的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→ 安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文 件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
设置好上述用户和文件系统权限后,还要记住设置如下的磁盘权限,设置原则如下:
系统盘及一切 磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Inetpub 目录及下面一切 目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
技巧4、禁用不用 要的服务
操作路径为:开始菜单—>管理工具—>服务
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要. 的话不要启动。
技巧5、卸载不安全的组件
最简单的方法 是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,假如 使用Windows Server 2003 系统,则系统文件夹应该是 C:WINDOWS )
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器即可。
技巧6、IIS服务器安全的防护原则
一般状况 下,黑客总是瞄准论坛等程序,由于 这些程序都有上传功能,他们很容易的就可以上传ASP木马,即便 设置了权限,木马也可以控制当前站点的所 有文件了。另外,有了木马就然后用木马上传提升工具来取得 更高的权限,我们关闭shell组件的目的很大水平 上就是为了避免 攻击者运行提升工具。
假如 论坛管理员关闭了上传功能,则黑客会想方法 取得 超管密码,比方 ,假如 你用动网论坛并且数据库遗忘 了改名,人家就可以直接下载你的数据库了,然后 间隔 找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,避免 网站被黑客进入。另外就是避免 攻击者使用一个被黑的网站来控制整个服务器,由于 假如 你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升 之后,黑客就算是进入了一个站点,也无法毁坏 这个网站以外的东西。
|
|
|
|
|
|
|