服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - IIS - 使用IIS 5.0建立Web服务器图文教程(4)

使用IIS 5.0建立Web服务器图文教程(4)

2020-10-08 22:06PConline IIS

三、Windows NT/2000的IIS服务器的安全管理与维护 1、Web站点安全性设置 本文讨论的安全设置仅依赖于Windows NT/2000和IIS内部的安全性功能,鉴于Windwos2000强大的

三、Windows NT/2000的IIS服务器的安全管理与维护

1、Web站点安全性设置

本文讨论的安全设置仅依赖于Windows NT/2000和IIS内部的安全性功能,鉴于Windwos2000强大的安全性能(符合C2安全级别),尤其是强大的用户认证能力和独有的NTFS安全分区,IIS网站的安全性完全可以得到非常有力的保证。笼统的说,站点安全性工作将围绕如下两个任务进行:合法用户身份的认证和站点文件的安全保障。前者需要借助于Windows2000的账号系统和认证机制;后者则要由IIS和NTFS分区共同维护。

2、NTFS权限设置

安装操作系统最新的补丁程序,不论是NT还是2000,硬盘分区均为NTFS分区,NTFS权限是NTFS分区文件格式特有的安全权限。

【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。其中简要验证方法是IIS5.0中新引入的验证方法,它通过网络发送经过混编的密码值而不是密码本身。该方法通过代理服务器和其他防火墙工作。这里的混编密码值通常是利用哈西算法得到的,此方法较基本验证安全得多,但低于集成Windows验证方式(可以通过复杂运算加以破解)。

【集成Windows验证】通过与用户的Internet Explorer Web浏览器进行密码交换以确认用户的身份。

3、IP地址和域名访问控制

IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任,鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向(通过对日志文件的分析可以得到这一结论),或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站。这些限制能力都倚赖于IP地址和域名访问控制功能。

4、使用权限向导

权限向导是IIS5.0新引入的权限管理工具。鉴于对站点安全性的配置复杂而无序,较难理出一条简明而准确的主线,IIS5.0引入了权限向导工具,它提供了一个连续、简单、准确的权限配置流程,可以使管理员迅速对站点进行一般性的权限设定。尤其是对于涉及大量权限继承关系的站点(虚拟)目录配置工作,运用权限向导往往能达到意想不到的效果。权限向导主要对安全设置和目录权限进行快速指定,并能够以摘要的形式提供安全分析。

5、目录和文件权限

为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(FullControl),你需要根据应用的需要进行权限重设。

6、设置WWW目录访问权

在Internet Service Manager中创建Web发布目录(文件夹)时,可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限。这些权限是有WWW服务提供的那些,是NTFS文件系统提供的权限之外的部分。这些权限是:

读:读权限允许Web客户读或下载存储在主目录或虚拟目录中的文件。如果客户为目录中没有读权限的文件发送一个读请求,则Web服务器返回一个错误。通常,应该给予包含要发布信息(例如HTML文件)的目录读权限。应该为包含公用网关接口(CGI)应用程序和InternetServer应用程序编程接口(ISAPI)DLL的目录取消读权限,以防止客户下载应用程序文件。

执行:执行权限允许Web客户运行存储在主目录或虚拟目录中的程序和脚本。如果客户发送请求,运行不具有执行权限的文件夹中的程序或脚本,则服务器返回一个错误。为了安全,不要给予内容文件夹执行权限。

7、解除NetBios与TCP/IP协议的绑定

NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:WINNT:控制面版→网络→绑定→NetBios接口→禁用;WIN2000:控制面版→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WINS→禁用TCP/IP上的NETBIOS。

8、删除所有的网络共享资源

NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。

9、加强日志审核

安全日志:本地安全策略->审核策略中打开相应的审核。

日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录,帐号审核可以从域用户管理器→规则→审核中选择指标;NTFS中对文件的审核从资源管理器中选取。

10、只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议

网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。

11、加强数据备份

这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。

延伸 · 阅读

精彩推荐
  • IISInternet信息服务(IIS)管理器在哪里打开

    Internet信息服务(IIS)管理器在哪里打开

    有时候我们在使用电脑的时候,想打开Internet信息服务(IIS)管理器,怎么打开呢,下面来分享一下方法...

    百度经验34612020-05-10
  • IIS阿里云web服务器如何开启iis

    阿里云web服务器如何开启iis

    阿里云 是国内领先的云计算服务提供商之一,其提供的 云服务器 (ECS)是广受企业和个人用户青睐的云计算产品之一。在使用 阿里云 ECS过程中,很多用...

    未知2982023-05-10
  • IISIIS上如何添加PHP运行环境

    IIS上如何添加PHP运行环境

    本篇内容介绍了“IIS上如何添加PHP运行环境”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何...

    未知1232023-05-10
  • IISIIS6.0中配置php服务全过程解析

    IIS6.0中配置php服务全过程解析

    网上有很多介绍在 IIS 6 上配置 PHP 的文章,但是那些方法不是性能不好,就是升级麻烦。下面的方法可以让你在第一次配置好后,能够非常方便的进行升级...

    服务器之家3102020-05-14
  • IIS云服务器怎么建立iis

    云服务器怎么建立iis

    云服务器 怎么建立IIS 云服务器是一种基于云计算技术的虚拟化服务器,它允许用户通过互联网访问和管理自己的服务器。而IIS(Internet Information Services)是...

    未知1352023-06-18
  • IISwindows IIS权限经典设置教程

    windows IIS权限经典设置教程

    根据最新的黑客攻击方法显示,如果在IIS的站点属性打开了“写入”权限,则被黑是轻而易举的事。 ...

    IIS教程网12452021-08-02
  • IIS让IIS支持webp格式的图片

    让IIS支持webp格式的图片

    WebP(发音:weppy)是一种同时提供了有损压缩与无损压缩(可逆压缩)的图片文件格式,派生自影像编码格式VP8,被认为是WebM多媒体格式的姊妹项目,是由...

    未知1722023-07-28
  • IISIIS6、IIS7、IIS7.5取消服务器主机空间目录脚本的执行权限的方法

    IIS6、IIS7、IIS7.5取消服务器主机空间目录脚本的执行权限的方法

    本篇将针对不同服务器环境来介绍如何取消 这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执...

    服务器之家3112020-06-12