文章內(nèi)容

利用IIS建立高安全性Web服務(wù)器

發(fā)布時(shí)間: 2012/5/16 19:28:13

IIS（Internet Information Server）作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能，如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器，已成為IIS配置中不可忽視的重要組成部分。
　　
　　本文將通過(guò)以下兩個(gè)方面來(lái)闡述加強(qiáng)IIS安全機(jī)制的方法。
　　
　　一、以Windows NT的安全機(jī)制為基礎(chǔ)
　　
　　作為運(yùn)行在 Windows NT操作系統(tǒng)環(huán)境下的IIS，其安全性也應(yīng)建立在Windows NT安全性的基礎(chǔ)之上。
　　
　　1.應(yīng)用NTFS文檔系統(tǒng)
　　
　　NTFS能夠?qū)ξ臋n和目錄進(jìn)行管理，而FAT（文檔分配表）文檔系統(tǒng)只能提供共享級(jí)的安全，建議在安裝Windows NT時(shí)使用NTFS系統(tǒng)。
　　
　　2.共享權(quán)限的修改
　　
　　在缺省情況下，每建立一個(gè)新的共享，其everyone用戶就能享有“完全控制”的共享權(quán)限，因此，在建立新共享后要立即修改everyone缺省權(quán)限。
　　
　　3.為系統(tǒng)管理員賬號(hào)更名
　　
　　域用戶管理器雖可限制猜測(cè)口令的次數(shù)，但對(duì)系統(tǒng)管理員賬號(hào)卻用不上，這可能給非法用戶帶來(lái)攻擊管理員賬號(hào)口令的機(jī)會(huì)，通過(guò)域用戶管理器對(duì)管理員賬號(hào)更名不失為一種好辦法。具體配置如下：
　　
　�。�1）啟動(dòng)“域用戶管理器”；
　　
　�。�2）選中管理員賬號(hào)；
　　
　�。�3）啟動(dòng)“用戶”選單下的“重命名”對(duì)其進(jìn)行修改。
　　
　　4.廢止TCP/IP上的NetBIOS
　　
　　管理員能夠通過(guò)構(gòu)造目標(biāo)站NetBIOS名和其IP地址之間的映像，對(duì)Internet上的其他服務(wù)器進(jìn)行管理，非法用戶也可從中找到可乘之機(jī)。假如這種遠(yuǎn)程管理不是必須的，應(yīng)立即廢止（通過(guò)網(wǎng)絡(luò)屬性的綁定選項(xiàng)，廢止NetBIOS和TCP/IP之間的綁定）。
　　
　　二、配置IIS的安全機(jī)制
　　
　　1.安裝時(shí)應(yīng)注意的安全問(wèn)題
　　
　�。�1）避免安裝在主域控制器上
　　
　　在安裝IIS之后，將在安裝的電腦上生成IUSR_Computername匿名賬戶，該賬戶被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問(wèn)權(quán)限提供給訪問(wèn)Web服務(wù)器的每個(gè)匿名用戶，這不但給IIS帶來(lái)巨大的潛在危險(xiǎn)，而且還可能牽連整個(gè)域資源的安全，要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器。
　　
　�。�2）避免安裝在系統(tǒng)分區(qū)上
　　
　　把IIS安放在系統(tǒng)分區(qū)上，會(huì)使系統(tǒng)文檔和IIS同樣面臨非法訪問(wèn)，容易使非法用戶侵入系統(tǒng)分區(qū)。
　　
　　2.用戶控制的安全性
　　
　�。�1）匿名用戶
　　
　　安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername（密碼隨機(jī)產(chǎn)生），其匿名訪問(wèn)給Web服務(wù)器帶來(lái)潛在的安全性問(wèn)題，應(yīng)對(duì)其權(quán)限加以控制。如無(wú)匿名訪問(wèn)需要，可取消Web的匿名服務(wù)。具體方法：。
　　
　�、賳�(dòng)ISM（Internet Server Manager）；
　　
　　②啟動(dòng)WWW服務(wù)屬性頁(yè)；
　　
　�、廴∠淠涿L問(wèn)服務(wù)。
　　
　�。�2）一般用戶
　　
　　通過(guò)使用數(shù)字和字母（包括大小寫(xiě)）結(jié)合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試連同賬戶的生存期等對(duì)一般用戶賬戶進(jìn)行管理。
　　
　　3.登錄認(rèn)證的安全性
　　
　　IIS服務(wù)器提供對(duì)用戶三種形式的身份認(rèn)證。
　　
　　匿名訪問(wèn)：無(wú)需和用戶之間進(jìn)行交互，允許任何人匿名訪問(wèn)站點(diǎn)，在這三種身份認(rèn)證中的安全性是最低的。
　　
　　基本（Basic）驗(yàn)證：在此方式下用戶輸入的用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，沒(méi)有任何加密，非法用戶能夠通過(guò)網(wǎng)上監(jiān)聽(tīng)來(lái)攔截?cái)?shù)據(jù)包，并從中獲取用戶名及密碼，安全性能一般。
　　
　　Windows NT請(qǐng)求/響應(yīng)方式：瀏覽器通過(guò)加密方式和IIS服務(wù)器進(jìn)行交流，有效地防止了竊聽(tīng)者，是安全性比較高的認(rèn)證形式。這種方式的缺點(diǎn)是只有IE3.0及以上版本才支持

本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 如何檢驗(yàn)主機(jī)商是否滿足我們的需求
下一篇 >> 域名的分類

激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

利用IIS建立高安全性Web服務(wù)器

同類文章

億恩公告

在線客服