文章內(nèi)容

Windows服務(wù)器中Web服務(wù)的安全配置

發(fā)布時(shí)間: 2012/5/24 19:49:29

由于Windows服務(wù)器操作系統(tǒng)繼承了Windows桌面操作系統(tǒng)友好的用戶界面，同時(shí)具有配置簡(jiǎn)單、使用方便的優(yōu)點(diǎn)，在服務(wù)器操作系統(tǒng)市場(chǎng)內(nèi)占有率很高。Web服務(wù)是Windows服務(wù)器內(nèi)應(yīng)用最為廣泛的一種服務(wù)，該組件在Windows系統(tǒng)內(nèi)稱為InternetInformationServices，簡(jiǎn)稱IIS。IIS經(jīng)過簡(jiǎn)單配置即可快速發(fā)布網(wǎng)站，但由于目前互聯(lián)網(wǎng)上惡意軟件和人為的增加，使用默認(rèn)配置的IIS極易被攻破，這就需要我們針對(duì)IIS進(jìn)行一些安全設(shè)置，提升系統(tǒng)的安全性。

　　一、Windows系統(tǒng)安全配置

　　IIS是Windows系統(tǒng)的一個(gè)組件，因此，Windows操作系統(tǒng)是IIS的安全基礎(chǔ)，操作系統(tǒng)安裝完成后應(yīng)做如下配置：

　　1．文件系統(tǒng)的配置

　　把Windows目錄、Web目錄和日志目錄放在不同的分區(qū)下，并且設(shè)置好各個(gè)分區(qū)的用戶訪問權(quán)限。操作系統(tǒng)分區(qū)和日志分區(qū)僅允許administrators和system用戶完全控制，Web目錄允許iuser_computemame用戶讀取和運(yùn)行。如果要發(fā)布的網(wǎng)站沒有上傳之類的寫權(quán)限要求，盡量不要給iuser__computemame用戶寫入的權(quán)限；如果確實(shí)需要寫操作，應(yīng)單獨(dú)創(chuàng)建目錄供iuser_computemame用戶寫入，不要和網(wǎng)站代碼放在同一目錄下。對(duì)于Everyone這個(gè)用戶，盡量不要給予它任何權(quán)限。

　　2．用戶系統(tǒng)的配置

　　administrators用戶組內(nèi)最好僅使用一個(gè)管理員用戶，并且把默認(rèn)的administrator這個(gè)用戶名改成其他不易猜到的名字，密碼不得少于14位，且密碼內(nèi)須包含數(shù)字、大小寫字母和字符等。同時(shí)，還要使用組策略編輯器(gpedit.msc)，修改賬戶策略，賬戶鎖定時(shí)間定義為30分鐘，鎖定閥值改為5次，重置賬戶鎖定時(shí)間改為30分鐘，防止者使用窮舉法獲取密碼。同時(shí)，在組策略編輯器內(nèi)把“顯示上次登錄用戶名”這一功能關(guān)閉。

　　3．關(guān)閉默認(rèn)共享

　　為了管理方便，在默認(rèn)配置下，Windows系統(tǒng)把各個(gè)分區(qū)根目錄都設(shè)置為可以通過共享訪問。然而凡事有利就有弊，在默認(rèn)共享方便管理的同時(shí)，也給服務(wù)器帶來了安全隱患。如果知道了管理員賬號(hào)和密碼，那么任何人都可訪問該服務(wù)器。因此，若無必要，最好去掉共享功能。方法是打開網(wǎng)絡(luò)連接屬性一TCP/IP協(xié)議一屬性，把“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”這一服務(wù)刪掉。

　　4．Windows防火墻的配置

　　從Windows2003開始，Windows系統(tǒng)有了一個(gè)自帶的防火墻軟件。我們可以根據(jù)服務(wù)器需要實(shí)現(xiàn)的功能，打開必要的TCP/UDP端口，如Web服務(wù)對(duì)應(yīng)80端口、SMTP服務(wù)對(duì)應(yīng)25端口，其他不用的端口(如常常被的139、445端口等)應(yīng)全部關(guān)閉。管理員如需在局域網(wǎng)內(nèi)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理，可在防火墻上打開3389端口，將訪問者的IP范圍定義為“子網(wǎng)”，從而過濾掉來自互聯(lián)網(wǎng)的。

　　服務(wù)器安全設(shè)置5．審核策略的配置

　　審核功能就像Windows的器，可通過該功能了解服務(wù)器的運(yùn)行狀況，并根據(jù)這些信息來提前發(fā)現(xiàn)針對(duì)服務(wù)器的或者服務(wù)器運(yùn)行中的問題�；谖募膶徍耍梢詫�(duì)任件的修改、運(yùn)行、刪除等行為進(jìn)行記錄；基于賬戶的審核，可以記錄系統(tǒng)賬戶在日常運(yùn)行中發(fā)生的登錄行為、使用行為。

　　二、IIS的安全配置

　　Windows配置完成之后，我們就可以開始對(duì)IIS進(jìn)行配置。默認(rèn)配置的IIS安全性很低，直接拿來用的話很容易被攻破。

　　1．刪除IIS的默認(rèn)網(wǎng)站目錄

　　IIS安裝后會(huì)自動(dòng)生成兩個(gè)站點(diǎn)——默認(rèn)Web站點(diǎn)和管理Web站點(diǎn)，其中，管理Web站點(diǎn)性最大。微軟為了管理方便，在其中加入了很多通過Web遠(yuǎn)程管理的功能。由于目前遠(yuǎn)程桌面使用更方便、功能更強(qiáng)大，Web管理就沒有多大使用價(jià)值了，因此，最好整個(gè)站點(diǎn)刪除。另外要注意的是，盡管虛擬的站點(diǎn)刪除了，但系統(tǒng)分區(qū)上的相應(yīng)文件還存在，最好一并刪除，以減少被利用的隱患。需要?jiǎng)h除的文件如下：

　　%SystemRoot%\help\iishelp

　　%SystemRoot%\system32\inetsrv\iisadmin

　　C:\\ProgramFiles\CommonFiles\System\msadc\%SystemRoot%\inetpub

　　2．刪除不必要的IIS映射和擴(kuò)展

　　IIS在默認(rèn)安裝時(shí)，被配置為支持常用的文件名擴(kuò)展，如asp和shtm文件。IIS接收到這些類型的文件請(qǐng)求時(shí)，調(diào)用相應(yīng)的DLL文件進(jìn)行處理。如果不需要其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，一般不常用的映射是．htw，．htr,．idc，．ida,．idq和．printer，如果不使用serversideinclude，則．shtm,．stm和。shtml也一起刪除。

　　3．禁用父徑

　　“父徑”選項(xiàng)允許在對(duì)諸如MapPath函數(shù)調(diào)用中使用“．．”訪問上一層目錄。在默認(rèn)情況下，該選項(xiàng)處于啟用狀態(tài)，如不禁用的話，惡意程序就可以通過該方法訪問到整個(gè)分區(qū)內(nèi)的所有文件，同一分區(qū)內(nèi)其他站點(diǎn)的安全。程序員在開發(fā)程序時(shí)也要注意這一點(diǎn)，不要使用多層目錄調(diào)用，否則，禁用該選項(xiàng)將導(dǎo)致該程序無法正常運(yùn)行。

　　4．針對(duì)不同功能的目錄，設(shè)置相應(yīng)的訪問控制權(quán)限

　　網(wǎng)站使用的各種文件按照功能應(yīng)配置不同的訪問權(quán)限，對(duì)靜態(tài)頁面不要分配“腳本和可執(zhí)行文件”權(quán)限，腳本文件給個(gè)“純腳本”權(quán)限就足夠了。如網(wǎng)站有上能，對(duì)于存儲(chǔ)上傳文件目錄，執(zhí)行權(quán)限設(shè)置為“無”最安全，即使者上傳了腳本木馬，沒有執(zhí)行權(quán)限也無法運(yùn)行。

　　5．關(guān)閉詳細(xì)錯(cuò)誤提示功能

　　為方便程序調(diào)試，Windows系統(tǒng)有一個(gè)“向客戶端返回詳細(xì)出錯(cuò)信息”的功能，而且這一功能是默認(rèn)的，給SQL注入打開了后門。者根據(jù)程序返回的錯(cuò)誤信息就可以看到諸如管理員密碼這些關(guān)鍵數(shù)據(jù)，因此，這一功能必須關(guān)閉。關(guān)閉后，無論后臺(tái)程序出什么錯(cuò)誤，返回給客戶端的都是一條簡(jiǎn)單的錯(cuò)誤提示，不要為了調(diào)試代碼方便就隨意打開這一功能。

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]