当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win2K Internet服务器安全构建指南(四)

Windows服务器
IIS7 ASP+Access使用环境配置
通过IP安全策略 WIN2003禁止PING
win2000/2003下整合IIS+Tomcat5支持jsp
访问 IIS 元数据库失败解决问题的方法
windows 服务器安全经验总结_青云原创
IIS 多站点 用户隔离视频教程
IIS 网站服务器性能优化指南
IIS 应用程序池 CPU 100% 分析软件,找出具体有问题的ASP程序URL
IP安全策略 关闭端口说明
iis PHP5配置 PHP扩展模块加载不进来
IIS 运行ASP文件500内部错误解决方法大全
WEB 专用服务器的安全设置总结
IIS&Apache 攻击记录分析篇
如何保障IIS的安全避免服务器遭到攻击
Windows Server 2008服务器管理新技巧6则
IIS7 fastcgi方式安装php
IIS 学习笔记
让手机访问WAP网站服务器 IIS WAP服务器的MIME类型设置
让IIS支持WAP的设置方法
在IIS上启用Gzip压缩 (HTTP压缩)

Windows服务器 中的 Win2K Internet服务器安全构建指南(四)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 56 ::
收藏到网摘: n/a

对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!

8、为IIS5中的文件分类设置权限

除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到"不忠的坏分子"。一个好的设置策略是:为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:

●Scripts目录:包含站点的所有脚本文件,如cgi、vbs、asp等等,为这个文件夹设置"纯脚本"执行许可权限。

●BIN目录:包含站点上的二禁止执行文件,应该为这个文件夹设置"脚本和可执行程序"执行许可权限。

●Static目录:包括所有静态文件,如HTM或HTML,为这个文件夹设置"读权限"

9、全力保护IISmetabase

IISMetabase保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施:

●把HTTP和FTP根文件夹从%systemroot%下移走

●慎重考虑重新命名Metabase和移动Metabase位置

●安全设置确定Metabase位置的注册表关键字

●审核所有试图访问并编辑Metabase的失败日志

●删除文件%systemroot%\system32\inetserv\Iissync.exe

●为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制

完成IIS配置后对Metabase进行备份,这时会创建文件夹%systemroot%\system32\inetserv\MetaBack,备份文件就存储在其中。对于这个地方,要采取如下措施进行保护:

●审核对\MetaBack文件夹的所有失败访问尝试

●为\MetaBack文件夹设置如下权限:Administrators/完全控制,System/完全控制

最后,要保护能够编辑Metabase的工具,步骤是:

●移走文件夹\Inetpub\Adminscripts,这里包含着IIS的所有管理脚本

●将"\programfile"文件下的Metaedit.exe和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下,并调整相应的开始菜单快捷方式。

●审核对\Adminscripts文件夹的所有失败访问尝试

●对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为"Administrators/完全控制"。

●对\Adminscripts文件夹设置权限"Administrators/完全控制"。