用IIS建立高安全性Web服务器的方法_服务器

因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。 
构造一个安全系统 
要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全: 
1. 使用NTFS文件系统,以便对文件和目录进行管理。 
2. 关闭默认共享 
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。 
3. 修改共享权限 
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。 
4. 为系统管理员账号更名,避免非法用户攻击。 
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。 
5. 禁用TCP/IP 上的NetBIOS 
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。 
6. TCP/IP上对进站连接进行控制 
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。 
7. 修改注册表,减小拒绝服务攻击的风险。 
打开注册表:将HKLM\System\ 
CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。 
保证IIS自身的安全性 
IIS安全安装 
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。 
1. 不要将IIS安装在系统分区上。 
2. 修改IIS的安装默认路径。 
3. 打上Windows和IIS的最新补丁。 
IIS的安全配置 
1. 删除不必要的虚拟目录 
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。 
2. 删除危险的IIS组件 
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。 
3. 为IIS中的文件分类设置权限 
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。 
4. 删除不必要的应用程序映射 
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。 
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。 
5. 保护日志安全 
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。 
● 修改IIS日志的存放路径 
默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。 
● 修改日志访问权限,设置只有管理员才能访问。 
通过以上的一些安全设置,相信你的Web服务器会安全许多。

时间: 2024-10-25 09:46:32

用IIS建立高安全性Web服务器的方法_服务器的相关文章

用IIS建立高安全性Web服务器的“小窍门”

本文主要讲述的是用IIS建立高安全性Web服务器的实际操作步骤,众所周知,IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安全机制.建立一个高安全性能的Web服务器,已成为IIS设置中不可 忽视的重要组成部分.IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安

用IIS建立高安全性Web服务器的方法_win服务器

构造一个安全系统 要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全: 1. 使用NTFS文件系统,以便对文件和目录进行管理. 2. 关闭默认共享 打开注册表编辑器,展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Ser

如何用IIS建立高安全性Web服务器 《转》

作者:盛福深.胡杰华 摘自赛迪网 IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安全机制,建立一个高安全性能的Web服务器,已成为IIS设置中不可忽视的重要组成部分. 本文将通过以下两个方面来阐述加强IIS安全机制的方法.一. 以Windows NT的安全机制为基础 作为运行在 Windows NT操作系统环境下的IIS,其安全性也应建立在Windows NT安全性的基础之上

Apache,IIS下Discuz x1.5伪静态设置方法_服务器其它

1.如是Apache服务器,操作如下: 建立.htaccess文件,在该文件里面写入如下伪静态规则: 复制代码 代码如下: # 将 RewriteEngine 模式打开 RewriteEngine On # 修改以下语句中的 /discuz 为你的论坛目录地址,如果程序放在根目录中,请将 /discuz 修改为 / RewriteBase /discuzxx # Rewrite 系统规则请勿修改 RewriteCond %{QUERY_STRING} ^(.*)$ RewriteRule ^to

在WINXP下建立VPN服务器的方法_服务器

最近想在WinXP上创建一个VPN服务器,在网上找了找,找到了相关资料,转来贴之. 利用WINXP不需要第三方软件,可以直接构建一个VPN服务器,如果没有采用SOFTETHER,虚拟HUB的必要的话,要实现VPN,可以直接用WINXP来实现.     接下来,我们以WINXP操作系统,宽带连接来构建一个虚拟专用网络.     第一步: VPN服务器的建立     右单击,网上邻居,选属性,打开网络连接属性. 在"网络任务"里选择,创建一个新的连接. 打开新建连接向导. 然后,点 下一步

IIS日志转到sqlserver的实现方法_服务器

IIS日志格式默认是txt的,查起来很不方便,我实在懒的看,在网上找点资料了看下, 把日志存在sqlserver里比较方便查询. 1 建立一个iis的数据库,添加InetAdmin用户,指定该用户为iis数据库的所有者,并设置好相关权限.  2 执行logtemp.sql查询文件,建立表.其内容如下:  create table inetlog (  ClientHost varchar(255),  username varchar(255),  LogTime datetime,  serv

保护系统从IIS建立高安全性能服务器

如果你的电脑新安装了WindowsNT4/Windows2000以后,并不是说就可以直接用来作Internet服务器了.尽管微软的补丁打了一大堆,但还是有些漏洞.现在我们就简单的谈一下如何使用IIS建立一个高安全性能的服务器. 一. 以Windows NT的安全机制为基础 1)NT打SP6补丁.2K打SP2补丁.把磁盘的文件系统转换成NTFS(安装系统的分区可以在安装系统的时候转换,也可以安装完系统以后,用工具转换).同时把使用权限里有关Everyone的写.修改的权限去掉,关键目录:如Winn

一般网站最容易发生的故障的解决方法_服务器

1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息 可以进行下面的操作显示详细的提示信息:IE-工具-internet选项-高级-友好的http错误信息提示,将这选项前面不打勾,则可以看到详细的提示信息了 以下是解决500错误的方法.请复制以下信息并保存为: 解决IIS6.0的(asp不能访问)请求的资源在使用中的办法.bat然后在服务器上执行一下,你的ASP就又可以正常运行了.echo offecho 文件说明:解决IIS6.0的: 请求的资源在使用中的最佳解决方法echo 联系

Windows SVN服务器搭建方法_win服务器

这里我就介绍一个在Windows环境下简单快速搭建SVN服务器的方法.通常的SVN服务器是搭建在Linux等系统下,例如用Apache+SVN配置,Linux下的SVN性能会非常好,但配置有些繁琐,如果SVN服务器只有自己使用,那么可以直接把SVN服务器搭建在个人Windows环境下使用. 目前较为简单的方案是VisualSVN Server.该SVN服务器是免费的,支持Windows NT, 2000, XP and 2003等环境,安装非常简单. 安装的时候可以选择SVN走http协议还是h