Microsoft IIS 真的如此「不安全」吗?(5)

没有所谓的万灵丹

对网络服务器而言,在通向安全的路上,保护工作通常是必经之路;遭受到试图从最小的安全漏洞中钻进来的骇客的无情打击更是少不了的事。Windows 2000 和 Internet Information Server 5.0 也不例外,他们经受的考验决不会少。

但是通过这类精进而严密的审查还是有好处的。Microsoft 在过去一年中发布的安全性修正程序所带来的是更多的信任,而不是担心。因为随着每一个修正程序的发布,IIS 5.0 变得更好,成为更安全的服务器。随着产品的不断使用和批评,它们会越来越成熟,报告漏洞的数量也会因而减少。

不要以为在一个环境中使用良好的 Windows 2000/IIS 组态在另一个环境中也会有同样好的效果。对 Microsoft 所提供的资源做深入的探索,多加使用并从中学习。你懂得越多,你的服务器就越安全。在其它有用的资源中,我们推荐你阅读两本关于 IIS 服务器的书籍。Securing Windows NT/2000 Servers for the Internet(O'Reilly, 2000)提供了网络服务器管理员一个完整的安全性检查清单。另一本书更加倾向于网络开发人员的角度,也是我们极力推荐的,它是 Designing Secure Web-Based Applications for Microsoft Windows 2000 (Microsoft Press, 2000)。

保持警惕、保持清醒、保持机警,就能确保你的 IIS 网络服务器安全,免受攻击。

时间: 2024-09-23 22:36:04

Microsoft IIS 真的如此「不安全」吗?(5)的相关文章

Microsoft IIS 真的如此「不安全」吗?(1)

你的Windows 2000 /Internet Information Server (IIS) 5.0 Web 网站已经架设起来,准备开始运作时,却发现它被安全漏洞所困扰着.安全性方面的漏洞当然可以弥补,但那要看你如何去应对.如果怀有恶意的骇客还没有找到那些看不见的裂缝,这并不意味着你可以高枕无忧.他们可能只是还没有发现到你的网站而已. 那么,这套最先进的操作系统和网络服务器软件怎么可以如此的不完善呢?事实不是这样的.原来有很多安全缺口归因于 Microsoft 在 IIS 中所提供的功能.

Microsoft IIS 真的如此「不安全」吗?(3)

这份 IIS 5.0 清单并没有提及几个其它能够用来保护任何连接到网络上的计算机的措施.这些措施非常基本,却经常被忽略: 至少在连接到网络上的转接器(adapter)上取消「NetBIOS over TCP/IP」的设定. 不要在同一个 adapter 的 TCP/IP 上绑定客户端和服务器端服务. 在服务器上停止使用越多服务越好.可考虑停用的服务包括: Alerter, ClipBook 服务器, DHCP 客户端, Directory Replicator, FTP Publishing S

Microsoft IIS 真的如此「不安全」吗?(2)

很多公司使用以下这两个步骤为它们基于 Windows 2000 的网络服务器来做组态:(1)安装 IIS 5.0.(2)不再理它.如果仅只于此的话,何不来个第三步骤:祈祷. 对于 IIS 5.0,Microsoft 针对安全性和可存取性/可用性(accessibility/usability)两方面做了很好的折衷,一般认为更倾向于后者.Data Return Corporation 的高级信息安全工程师 Alexandra Nosratinia 说,与诸如Apache 等服务器相比,IIS 的图

Microsoft IIS 真的如此「不安全」吗?(4)

修正程序.零件和工具 除了 IIS 5.0 安全清单,Microsoft 还提供很多其它有用的工具,以确保 IIS 安装的安全性.Microsoft 维护了一个已被发现的漏洞修正程序的列表.这个列表很全面,但却没有区分优先级,所以你可能会安装到一些你并不需要的修正程序. Microsoft 也希望知道任何你所发现的安全漏洞.但该公司希望当你报告一个漏洞时,不要在 Microsoft 找到解决问题的修正程序之前对外做公开. 想要快些知道 Windows 2000 和 IIS 的其它漏洞,可以订阅

【译】互联网公司真的是「看重能力,不看重学历」吗?

本文讲的是[译]互联网公司真的是「看重能力,不看重学历」吗?, 图为 Facebook 创始人马克·扎克伯格 2011 年在哈佛大学和记者交流.众所周知,扎克伯格曾经在 05 年辍学,但根据 Burning Glass Technologies 的最新调查数据显示,硅谷的雇主们更倾向于雇佣一个有本科甚至更高级学位的员工. 有种说法在硅谷流传已久,那就是科技公司招聘只看重你的代码能力而非学历.但调查发现,科技公司在招聘软件工程师时,相比于其他雇主,更倾向于要求大学学历. Burning Glass

科学家说「时间晶体」或真的存在

根据最新发表在Physical Review Letters上的文章,时间晶体,这种听起来科幻感满满的东西可能真的存在. 诺贝尔奖得主Frank Wilczek在2012年首次提出这个概念.一开始这只是纯粹出于数学上的好奇,将结晶的概念从三维扩张到思维.现在Wilczek新研究说明了这种晶体存在的真实可能. 针对时间晶体的主要疑点就是,它们似乎可以通过周期性移动实现永恒运动,然后可以反复回归到原始状态.这就违反了物理学中一条基本的对称性,即"时间平移对称性". 时间平移对称是一项基础的

编写「可读」代码的实践

编写可读的代码,对于以代码谋生的程序员而言,是一件极为重要的事.从某种角度来说,代码最重要的功能是能够被阅读,其次才是能够被正确执行.一段无法正确执行的代码,也许会使项目延期几天,但它造成的危害只是暂时和轻微的,毕竟这种代码无法通过测试并影响最终的产品:但是,一段能够正确执行,但缺乏条理.难以阅读的代码,它造成的危害却是深远和广泛的:这种代码会提高产品后续迭代和维护的成本,影响产品的稳定,破坏团队的团结(雾),除非我们花费数倍于编写这段代码的时间和精力,来消除它对项目造成的负面影响. 在最近的工

家庭反对死一批,朋友同事嘲笑死一批,害怕失败死一批,徘徊等待死一批「没有时间」又死一批(转)

英文原文:Why nobody will steal your shitty start-up idea. 如今在创业路上,家庭反对死一批,朋友同事嘲笑死一批,害怕失败死一批,徘徊等待死一批「没有时间」又死一批.死法花样百出,然而即使如此,创业者还有其他担心.比如说,哎我是要创业的人.但我就是不能把自己创业的想法告诉任何人,世道不安,也不知道哪个居心拨测的孙子以后会偷了自己的想法. 我曾经看过一份很奇葩的创业计划书.创业者在计划书里,极其认真地分析了市场中的空白点,详细划分了用户群,论证了前景有

「永恒之石」一口气对七个漏洞展开攻击, 与WannaCry较劲?

一个名为"永恒之石"的最新恶意程序火爆网络圈!它不仅会攻击ShadowBrokers黑客集团从美国国安局(NSA)外流并被恶名昭彰的WannaCry(想哭)勒索蠕虫所利用的EternalBlue和DoublePulsar两个漏洞.厉害的是他还会攻击其他五个由同一黑客集团所外流的漏洞:EternalChampion.EternalRomance.EternalSynergy.ArchiTouch以及SMBTouch.这些都是针对Microsoft Server Message Block