当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win2K Internet服务器安全构建指南(四)

Windows服务器
2003操作系统十例最新配置技巧
在win 2003中得到登陆密码
无敌命令结束Windows系统进程
最新Win2003操作系统技巧十例
操作系统被入侵后的修复过程
Win Server 2003 10条小技巧
巧妙突破Win 2003系统的种种限制
巧用“管理工具”优化操作系统
五种windows密码设置及破解
Windows2003网络服务器安全攻略
Windows系统文件夹全面大揭密
轻松设置拒绝windows 2003泄密
如何高效的使用内存
九招让硬盘更快、系统更稳定
如何在win 2003中得到登陆密码
轻松部署Windows2003的DHCP服务
Win2003的分发功能给网管减负
突破Win 2003系统种种限制
巧让Win2000系统急速“瘦”身
Windows2000启动菜单详解

Windows服务器 中的 Win2K Internet服务器安全构建指南(四)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 62 ::
收藏到网摘: n/a

对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!

8、为IIS5中的文件分类设置权限

除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到"不忠的坏分子"。一个好的设置策略是:为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:

●Scripts目录:包含站点的所有脚本文件,如cgi、vbs、asp等等,为这个文件夹设置"纯脚本"执行许可权限。

●BIN目录:包含站点上的二禁止执行文件,应该为这个文件夹设置"脚本和可执行程序"执行许可权限。

●Static目录:包括所有静态文件,如HTM或HTML,为这个文件夹设置"读权限"

9、全力保护IISmetabase

IISMetabase保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施:

●把HTTP和FTP根文件夹从%systemroot%下移走

●慎重考虑重新命名Metabase和移动Metabase位置

●安全设置确定Metabase位置的注册表关键字

●审核所有试图访问并编辑Metabase的失败日志

●删除文件%systemroot%\system32\inetserv\Iissync.exe

●为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制

完成IIS配置后对Metabase进行备份,这时会创建文件夹%systemroot%\system32\inetserv\MetaBack,备份文件就存储在其中。对于这个地方,要采取如下措施进行保护:

●审核对\MetaBack文件夹的所有失败访问尝试

●为\MetaBack文件夹设置如下权限:Administrators/完全控制,System/完全控制

最后,要保护能够编辑Metabase的工具,步骤是:

●移走文件夹\Inetpub\Adminscripts,这里包含着IIS的所有管理脚本

●将"\programfile"文件下的Metaedit.exe和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下,并调整相应的开始菜单快捷方式。

●审核对\Adminscripts文件夹的所有失败访问尝试

●对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为"Administrators/完全控制"。

●对\Adminscripts文件夹设置权限"Administrators/完全控制"。