|
由于Windows服務(wù)器操作系統(tǒng)繼承了Windows桌面操作系統(tǒng)友好的用戶界面����,同時具有配置簡單、使用方便的優(yōu)點�����,在服務(wù)器操作系統(tǒng)市場內(nèi)占有率很高�。Web服務(wù)是Windows服務(wù)器內(nèi)應(yīng)用最為廣泛的一種服務(wù),該組件在Windows系統(tǒng)內(nèi)稱為InternetInformationServices����,簡稱IIS。IIS經(jīng)過簡單配置即可快速發(fā)布網(wǎng)站��,但由于目前互聯(lián)網(wǎng)上惡意軟件和人為的增加�����,使用默認配置的IIS極易被攻破����,這就需要我們針對IIS進行一些安全設(shè)置,提升系統(tǒng)的安全性���。
由于Windows服務(wù)器操作系統(tǒng)繼承了Windows桌面操作系統(tǒng)友好的用戶界面���,同時具有配置簡單���、使用方便的優(yōu)點,在服務(wù)器操作系統(tǒng)市場內(nèi)占有率很高�����。Web服務(wù)是Windows服務(wù)器內(nèi)應(yīng)用最為廣泛的一種服務(wù)�����,該組件在Windows系統(tǒng)內(nèi)稱為InternetInformationServices�,簡稱IIS。IIS經(jīng)過簡單配置即可快速發(fā)布網(wǎng)站�,但由于目前互聯(lián)網(wǎng)上惡意軟件和人為的增加,使用默認配置的IIS極易被攻破���,這就需要我們針對IIS進行一些安全設(shè)置���,提升系統(tǒng)的安全性。
一��、Windows系統(tǒng)安全配置
IIS是Windows系統(tǒng)的一個組件�����,因此,Windows操作系統(tǒng)是IIS的安全基礎(chǔ)����,操作系統(tǒng)安裝完成后應(yīng)做如下配置:
1.文件系統(tǒng)的配置
把Windows目錄���、Web目錄和日志目錄放在不同的分區(qū)下�����,并且設(shè)置好各個分區(qū)的用戶訪問權(quán)限��。操作系統(tǒng)分區(qū)和日志分區(qū)僅允許administrators和system用戶完全控制�,Web目錄允許iuser_computemame用戶讀取和運行�。如果要發(fā)布的網(wǎng)站沒有上傳之類的寫權(quán)限要求,盡量不要給iuser__computemame用戶寫入的權(quán)限�����;如果確實需要寫操作�����,應(yīng)單獨創(chuàng)建目錄供iuser_computemame用戶寫入,不要和網(wǎng)站代碼放在同一目錄下��。對于Everyone這個用戶�,盡量不要給予它任何權(quán)限。
2.用戶系統(tǒng)的配置
administrators用戶組內(nèi)最好僅使用一個管理員用戶���,并且把默認的administrator這個用戶名改成其他不易猜到的名字�,密碼不得少于14位��,且密碼內(nèi)須包含數(shù)字��、大小寫字母和字符等�����。同時��,還要使用組策略編輯器(gpedit.msc)�����,修改賬戶策略��,賬戶鎖定時間定義為30分鐘�,鎖定閥值改為5次����,重置賬戶鎖定時間改為30分鐘�����,防止者使用窮舉法獲取密碼�����。同時�,在組策略編輯器內(nèi)把“顯示上次登錄用戶名”這一功能關(guān)閉�。
3.關(guān)閉默認共享
為了管理方便,在默認配置下���,Windows系統(tǒng)把各個分區(qū)根目錄都設(shè)置為可以通過共享訪問��。然而凡事有利就有弊�,在默認共享方便管理的同時���,也給服務(wù)器帶來了安全隱患���。如果知道了管理員賬號和密碼����,那么任何人都可訪問該服務(wù)器��。因此���,若無必要�����,最好去掉共享功能�。方法是打開網(wǎng)絡(luò)連接屬性一TCP/IP協(xié)議一屬性�����,把“Microsoft網(wǎng)絡(luò)的文件和打印機共享”這一服務(wù)刪掉�����。
4.Windows防火墻的配置
從Windows2003開始�,Windows系統(tǒng)有了一個自帶的防火墻軟件。我們可以根據(jù)服務(wù)器需要實現(xiàn)的功能��,打開必要的TCP/UDP端口,如Web服務(wù)對應(yīng)80端口�、SMTP服務(wù)對應(yīng)25端口,其他不用的端口(如常常被的139���、445端口等)應(yīng)全部關(guān)閉�。管理員如需在局域網(wǎng)內(nèi)對服務(wù)器進行遠程管理�����,可在防火墻上打開3389端口��,將訪問者的IP范圍定義為“子網(wǎng)”��,從而過濾掉來自互聯(lián)網(wǎng)的�。
服務(wù)器安全設(shè)置5.審核策略的配置
審核功能就像Windows的器�����,可通過該功能了解服務(wù)器的運行狀況����,并根據(jù)這些信息來提前發(fā)現(xiàn)針對服務(wù)器的或者服務(wù)器運行中的問題�;谖募膶徍耍梢詫θ渭男薷��、運行、刪除等行為進行記錄�����;基于賬戶的審核�,可以記錄系統(tǒng)賬戶在日常運行中發(fā)生的登錄行為、使用行為�。
二、IIS的安全配置
Windows配置完成之后�����,我們就可以開始對IIS進行配置��。默認配置的IIS安全性很低�����,直接拿來用的話很容易被攻破��。
1.刪除IIS的默認網(wǎng)站目錄
IIS安裝后會自動生成兩個站點——默認Web站點和管理Web站點�����,其中,管理Web站點性最大���。微軟為了管理方便����,在其中加入了很多通過Web遠程管理的功能�����。由于目前遠程桌面使用更方便�����、功能更強大��,Web管理就沒有多大使用價值了�,因此�����,最好整個站點刪除�����。另外要注意的是,盡管虛擬的站點刪除了����,但系統(tǒng)分區(qū)上的相應(yīng)文件還存在,最好一并刪除����,以減少被利用的隱患。需要刪除的文件如下:
%SystemRoot%\help\iishelp
%SystemRoot%\system32\inetsrv\iisadmin
C:\\ProgramFiles\CommonFiles\System\msadc\%SystemRoot%\inetpub
2.刪除不必要的IIS映射和擴展
IIS在默認安裝時���,被配置為支持常用的文件名擴展���,如asp和shtm文件。IIS接收到這些類型的文件請求時���,調(diào)用相應(yīng)的DLL文件進行處理���。如果不需要其中的某些擴展或功能,則應(yīng)刪除該映射����,一般不常用的映射是.htw,.htr,.idc��,.ida,.idq和.printer,如果不使用serversideinclude�,則.shtm,.stm和。shtml也一起刪除�。
3.禁用父徑
“父徑”選項允許在對諸如MapPath函數(shù)調(diào)用中使用“..”訪問上一層目錄。在默認情況下��,該選項處于啟用狀態(tài)����,如不禁用的話,惡意程序就可以通過該方法訪問到整個分區(qū)內(nèi)的所有文件�����,同一分區(qū)內(nèi)其他站點的安全���。程序員在開發(fā)程序時也要注意這一點����,不要使用多層目錄調(diào)用���,否則,禁用該選項將導(dǎo)致該程序無法正常運行��。
4.針對不同功能的目錄,設(shè)置相應(yīng)的訪問控制權(quán)限
網(wǎng)站使用的各種文件按照功能應(yīng)配置不同的訪問權(quán)限�,對靜態(tài)頁面不要分配“腳本和可執(zhí)行文件”權(quán)限,腳本文件給個“純腳本”權(quán)限就足夠了����。如網(wǎng)站有上能,對于存儲上傳文件目錄���,執(zhí)行權(quán)限設(shè)置為“無”最安全��,即使者上傳了腳本木馬�����,沒有執(zhí)行權(quán)限也無法運行�。
5.關(guān)閉詳細錯誤提示功能
為方便程序調(diào)試�,Windows系統(tǒng)有一個“向客戶端返回詳細出錯信息”的功能,而且這一功能是默認的��,給SQL注入打開了后門�。者根據(jù)程序返回的錯誤信息就可以看到諸如管理員密碼這些關(guān)鍵數(shù)據(jù),因此�����,這一功能必須關(guān)閉。關(guān)閉后����,無論后臺程序出什么錯誤,返回給客戶端的都是一條簡單的錯誤提示��,不要為了調(diào)試代碼方便就隨意打開這一功能����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
