当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 安全性与IIS (三)

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 安全性与IIS (三)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 41 ::
收藏到网摘: n/a

  (3)如果你启动SSL,任何指向支持SSL的WWW文件夹中文档的URL必须使用http://,而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。

  IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时,要确保网络安全性。除了我们以前讲座过后IIS功能外,你还要做到以下各点:

  (1)为系统分区和各项IIS服务程序生成分开的区,这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。

  (2)对机器的所有分区使用NTFS,要保证用户权限设置正确。

  (3)将IIS服务器放置于其自己的域中,并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息,那个帐户也无法对你的用户域进行访问。

  (4)为各项INTERNET服务使用单独帐户(如果你计划运行的不止是WEB服务器的话),这使得跟踪用户的活动相当容易。

  (5)核查,然后再三核查为指定进行匿名访问的帐户分配的权限和许可权。需要给用户分配最小的许可权,通常这是读许可权。

  (6)只在你IIS机器上存储非机密信息,并将信息放置在防火墙。这样,如果信息安全性遭到破坏,黑客仍必须穿越防火墙。

  (7)在服务器上使用WINDOWS NT SERVER的TCP/IP过滤功能,只允许连接到你需要支持IIS服务的端口。比如,如果你只想运行WEB服务器只须启动端口80。

  (8)如果用户利用非匿名帐户对服务器进行访问,务必通过加密口令进行验证。

  三、安全性与WEB服务器WEB服务器是IIS中一个强有力的功能全面的工具,它优于其他同类产品。它的性能得到优化。且作为WINDOWS NT SERVER下的一项服务运行时,能为各种规模的网络提供快速、方便、安全的WEB出版功能。

  (一)如何保护WEB服务器的安全呢?如果你计划建立WEB网站,要确保你WEB网站及其内容的安全以及你网络及其资源的安全,除了我们曾经提到过的安全措施外,你还要采取其它相应的手段。

  **注意**由于IIS提供的三种服务配置起来非常相似,故我们只详细介绍WEB服务器的配置,接着只说明FTP服务器和Gopher服务器的差异。

  1、用户和口令验证明首先你需要了解匿名访问的严重后果,并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权。若要设置用户对你的WEB服务器进行访问的类型,请在IIS MANAGER中双击WWW,调出你的WEB服务器再双击WEB服务器,就会显示出WWW SERVICE PROPERTIES对话框。在对话框中,你可以看到,设置WEB服务器服务程序可以使用多种选项。对于安装的大多数的IIS而言,缺省选项最好。然而,有两种关键的设置将决定用户对WEB网站的访问等级:匿名登录和口令验证。

  如果你希望允许大众进行访问,一定要确保你同意匿名访问。按照缺省设置,当IIS安装好后,在你的用户数据库就会创建一个新用户帐户,其名字为IUSR_,后接已安装好的服务器名。举例说明:如果服务器名为SAMUEL-1,新用户帐户则为IUSR_SAMUE-1。当帐户创建好,它被赋予有限的访问权,并增加到域用户、客人用户和EVERYONE组中。

  此外,IUSR_帐户被赋予在本地登录的权限(LOGON LOCALLY)。所有WEB用户都必须具有这种权限,原因是他们的请求被传送至WEB服务器服务程序,该服务程序利用他们的帐户去登录,接着允许WINDOWS NT分配相应的访问权。