文章內(nèi)容

利用IIS建立高安全性Web服務(wù)器

發(fā)布時間: 2012/5/16 19:28:13

IIS（Internet Information Server）作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能，如何加強(qiáng)IIS的安全機(jī)制，建立一個高安全性能的Web服務(wù)器，已成為IIS配置中不可忽視的重要組成部分。
　　
　　本文將通過以下兩個方面來闡述加強(qiáng)IIS安全機(jī)制的方法。
　　
　　一、以Windows NT的安全機(jī)制為基礎(chǔ)
　　
　　作為運(yùn)行在 Windows NT操作系統(tǒng)環(huán)境下的IIS，其安全性也應(yīng)建立在Windows NT安全性的基礎(chǔ)之上。
　　
　　1.應(yīng)用NTFS文檔系統(tǒng)
　　
　　NTFS能夠?qū)ξ臋n和目錄進(jìn)行管理，而FAT（文檔分配表）文檔系統(tǒng)只能提供共享級的安全，建議在安裝Windows NT時使用NTFS系統(tǒng)。
　　
　　2.共享權(quán)限的修改
　　
　　在缺省情況下，每建立一個新的共享，其everyone用戶就能享有“完全控制”的共享權(quán)限，因此，在建立新共享后要立即修改everyone缺省權(quán)限。
　　
　　3.為系統(tǒng)管理員賬號更名
　　
　　域用戶管理器雖可限制猜測口令的次數(shù)，但對系統(tǒng)管理員賬號卻用不上，這可能給非法用戶帶來攻擊管理員賬號口令的機(jī)會，通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體配置如下：
　　
　�。�1）啟動“域用戶管理器”；
　　
　�。�2）選中管理員賬號；
　　
　　（3）啟動“用戶”選單下的“重命名”對其進(jìn)行修改。
　　
　　4.廢止TCP/IP上的NetBIOS
　　
　　管理員能夠通過構(gòu)造目標(biāo)站NetBIOS名和其IP地址之間的映像，對Internet上的其他服務(wù)器進(jìn)行管理，非法用戶也可從中找到可乘之機(jī)。假如這種遠(yuǎn)程管理不是必須的，應(yīng)立即廢止（通過網(wǎng)絡(luò)屬性的綁定選項，廢止NetBIOS和TCP/IP之間的綁定）。
　　
　　二、配置IIS的安全機(jī)制
　　
　　1.安裝時應(yīng)注意的安全問題
　　
　�。�1）避免安裝在主域控制器上
　　
　　在安裝IIS之后，將在安裝的電腦上生成IUSR_Computername匿名賬戶，該賬戶被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個匿名用戶，這不但給IIS帶來巨大的潛在危險，而且還可能牽連整個域資源的安全，要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器。
　　
　�。�2）避免安裝在系統(tǒng)分區(qū)上
　　
　　把IIS安放在系統(tǒng)分區(qū)上，會使系統(tǒng)文檔和IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)。
　　
　　2.用戶控制的安全性
　　
　�。�1）匿名用戶
　　
　　安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername（密碼隨機(jī)產(chǎn)生），其匿名訪問給Web服務(wù)器帶來潛在的安全性問題，應(yīng)對其權(quán)限加以控制。如無匿名訪問需要，可取消Web的匿名服務(wù)。具體方法：。
　　
　　①啟動ISM（Internet Server Manager）；
　　
　　②啟動WWW服務(wù)屬性頁；
　　
　�、廴∠淠涿L問服務(wù)。
　　
　　（2）一般用戶
　　
　　通過使用數(shù)字和字母（包括大小寫）結(jié)合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試連同賬戶的生存期等對一般用戶賬戶進(jìn)行管理。
　　
　　3.登錄認(rèn)證的安全性
　　
　　IIS服務(wù)器提供對用戶三種形式的身份認(rèn)證。
　　
　　匿名訪問：無需和用戶之間進(jìn)行交互，允許任何人匿名訪問站點，在這三種身份認(rèn)證中的安全性是最低的。
　　
　　基本（Basic）驗證：在此方式下用戶輸入的用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，沒有任何加密，非法用戶能夠通過網(wǎng)上監(jiān)聽來攔截數(shù)據(jù)包，并從中獲取用戶名及密碼，安全性能一般。
　　
　　Windows NT請求/響應(yīng)方式：瀏覽器通過加密方式和IIS服務(wù)器進(jìn)行交流，有效地防止了竊聽者，是安全性比較高的認(rèn)證形式。這種方式的缺點是只有IE3.0及以上版本才支持

本文出自：億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]