利用IIS建立高安全性Web服務器

發布時間: 2012/5/16 19:28:13

IIS（Internet Information Server）作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能，如何加強IIS的安全機制，建立一個高安全性能的Web服務器，已成為IIS配置中不可忽視的重要組成部分。
　　
　　本文將通過以下兩個方面來闡述加強IIS安全機制的方法。
　　
　　一、以Windows NT的安全機制為基礎
　　
　　作為運行在 Windows NT操作系統環境下的IIS，其安全性也應建立在Windows NT安全性的基礎之上。
　　
　　1.應用NTFS文檔系統
　　
　　NTFS能夠對文檔和目錄進行管理，而FAT（文檔分配表）文檔系統只能提供共享級的安全，建議在安裝Windows NT時使用NTFS系統。
　　
　　2.共享權限的修改
　　
　　在缺省情況下，每建立一個新的共享，其everyone用戶就能享有“完全控制”的共享權限，因此，在建立新共享后要立即修改everyone缺省權限。
　　
　　3.為系統管理員賬號更名
　　
　　域用戶管理器雖可限制猜測口令的次數，但對系統管理員賬號卻用不上，這可能給非法用戶帶來攻擊管理員賬號口令的機會，通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體配置如下：
　　
　�。�1）啟動“域用戶管理器”；
　　
　�。�2）選中管理員賬號；
　　
　�。�3）啟動“用戶”選單下的“重命名”對其進行修改。
　　
　　4.廢止TCP/IP上的NetBIOS
　　
　　管理員能夠通過構造目標站NetBIOS名和其IP地址之間的映像，對Internet上的其他服務器進行管理，非法用戶也可從中找到可乘之機。假如這種遠程管理不是必須的，應立即廢止（通過網絡屬性的綁定選項，廢止NetBIOS和TCP/IP之間的綁定）。
　　
　　二、配置IIS的安全機制
　　
　　1.安裝時應注意的安全問題
　　
　�。�1）避免安裝在主域控制器上
　　
　　在安裝IIS之后，將在安裝的電腦上生成IUSR_Computername匿名賬戶，該賬戶被添加到域用戶組中，從而把應用于域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶，這不但給IIS帶來巨大的潛在危險，而且還可能牽連整個域資源的安全，要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器。
　　
　�。�2）避免安裝在系統分區上
　　
　　把IIS安放在系統分區上，會使系統文檔和IIS同樣面臨非法訪問，容易使非法用戶侵入系統分區。
　　
　　2.用戶控制的安全性
　　
　�。�1）匿名用戶
　　
　　安裝IIS后產生的匿名用戶IUSR_Computername（密碼隨機產生），其匿名訪問給Web服務器帶來潛在的安全性問題，應對其權限加以控制。如無匿名訪問需要，可取消Web的匿名服務。具體方法：。
　　
　�、賳覫SM（Internet Server Manager）；
　　
　�、趩覹WW服務屬性頁；
　　
　�、廴∠淠涿L問服務。
　　
　�。�2）一般用戶
　　
　　通過使用數字和字母（包括大小寫）結合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試連同賬戶的生存期等對一般用戶賬戶進行管理。
　　
　　3.登錄認證的安全性
　　
　　IIS服務器提供對用戶三種形式的身份認證。
　　
　　匿名訪問：無需和用戶之間進行交互，允許任何人匿名訪問站點，在這三種身份認證中的安全性是最低的。
　　
　　基本（Basic）驗證：在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸，沒有任何加密，非法用戶能夠通過網上監聽來攔截數據包，并從中獲取用戶名及密碼，安全性能一般。
　　
　　Windows NT請求/響應方式：瀏覽器通過加密方式和IIS服務器進行交流，有效地防止了竊聽者，是安全性比較高的認證形式。這種方式的缺點是只有IE3.0及以上版本才支持

本文出自：億恩科技【www.endtimedelusion.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> 如何檢驗主機商是否滿足我們的需求
下一篇 >> 域名的分類

服務器租用

服務器托管

機柜批發

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

利用IIS建立高安全性Web服務器

同類文章

億恩公告

在線客服