15个技能保护IIS Web服务器-交流共享-唐山网站建设

15个技能保护IIS Web服务器

核心提示：通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过往的几年中，越来越多的黑客、病毒和蠕虫带来的安全题目严重影响了网站的可访问性，虽然Apache服务器也常常是攻击者的目标...

通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过往的几年中，越来越多的黑客、病毒和蠕虫带来的安全题目严重影响了网站的可访问性，虽然Apache服务器也常常是攻击者的目标，但是微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

高级教育机构常常没法在构建布满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外，它们现在必须致力于进步网站安全性以面对缩减中的技术预算 (实在很多它们的私有部份也面临着类似的局面)。

正由于如此，我在这里将为预算而头疼的IT经理们提供1些技能，以帮助他们保护他们的IIS服务器。

首先，开发1套安全策略

保护Web服务器的第1步是确保网络治理员清楚安全策略中的每1项制度。假设公司高层没有把服务器的安全看做是必须被保护的资产，那末保护工作是完全没故意义的。这项工作需要长时间的努力。假设预算不支持或它不是长时间IT战略的1部份，那末花费大量时间保护服务器安全的治理员将得不到治理层方面的重要支持。

网络治理员为各方面资源建立安全性的直接结果是甚么呢?1些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的治理层，治理层职员又会往质问网络治理员究竟产生了甚么。那末，网络治理员没办法建立支持他们安全工作的文档，因此，冲突产生了。

通过标注Web服务器安全级别和可用性的安全策略，网络治理员将能够从容地在不同的操纵系统上部署各种软件工具。

IIS安全技能

微软的产品1向是众矢之的，因此IIS服务器特别轻易成为攻击者的靶子。弄清楚了这1点后，网络治理员必须豫备履行大量的安全措施。我将要为你们提供的是1个清单，服务器操纵员或许会发现这是非常有用的。

1. 保持Windows升级

你必须在第1时间及时地更新所有的升级，并为系统打好1切补钉。考虑将所有的更新下载到你网络上的1个专用的服务器上，并在该机器上以Web的情势将文件发布出来。通过这些工作，你可以避免你的Web服务器接受直接的Internet访问。

2. 使用IIS防范工具

这个工具有很多实用的优点，但是，请慎重的使用这个工具。假设你的Web服务器和其他服务器相互作用，请首先测试1下防范工具，以肯定它已被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

1 2 3 4 下1页

3. 移除缺省的Web站点

很多攻击者瞄准inetpub这个文件夹，并在里面放置1些偷袭工具，从而造成服务器的瘫痪。避免这类攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，由于网虫们都是通过IP地址访问你的网站的 (他们1天可能要访问不计其数个IP地址)，他们的要求可能碰到麻烦。将你真实的Web站点指向1个背部份区的文件夹，且必须包括安全的NTFS权限 (将在后面NTFS的部份具体论述)。

4. 假设你其实不需要FTP和SMTP服务，请卸载它们

进进计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，假设你履行身份认证，你会发现你的用户名和密码都是通过明文的情势在网络上传播的。SMTP是另1种答应到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

5. 有规则地检查你的治理员组和服务

有1天我进进我们的教室，发现在治理员组里多了1个用户。这意味着这时候某个人已成功地进进了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会忽然摧毁你的全部系统，或占用大量的带宽以便黑客使用。黑客一样趋向于留下1个帮助服务，1旦这产生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽可能少的服务必须成为你每天的任务。你应当记住哪个服务应当存在，哪个服务不应当存在。Windows 2000 Resource Kit带给我们1个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻觅到1些你想要知道的隐躲服务。给你1个提示：任何含有daemon几个字的服务可能不是Windows本身包括的服务，都不应当存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有甚么作用，请点击这里。

6. 严格控制服务器的写访问权限

这听起来很轻易，但是，在大学校园里，1个Web服务器实际上是有很多"作者"的。教职职员都希看让他们的课堂信息能被远程学生访问。职员们则希看与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出往的1个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络治理员将Web服务器本身的写权限仅仅限制给治理员组。

7. 设置复杂的密码

我最近进进到教室，从事件视察器里发现了很多可能的黑客。他或她进进了实验室的域结构足够深，以致于能够对任何用户运行密码破解工具。假设有用户使用弱密码 (例如"password"或是 changeme"或任何字典单词)，那末黑客能快速并简单的进侵这些用户的账号。

上1页 1 2 3 4 下1页

8. 减少/排除Web服务器上的共享

假设网络治理员是唯1具有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的***。另外，通过运行1个简单的循环批处理文件，黑客能够视察1个IP地址列表，利用命令寻觅Everyone/完全控制权限的共享。

9. 禁用TCP/IP协议中的NetBIOS

这是残暴的。很多用户希看通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另1方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是1把双刃剑，假设网络治理员部署了这个工具，下1步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10. 使用TCP端口阻塞

这是另1个残暴的工具。假设你熟习每个通过正当缘由访问你服务器的TCP端口，那末你可以进进你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须谨慎的使用这1工具，由于你其实不希看将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的具体细节，点击这里。

11. 仔细检查*.bat和*.exe 文件：每周搜索1次*.bat

和*.exe文件，检查服务器上是否是存在黑客最喜欢，而对你来讲将是1场噩梦的可履行文件。在这些破坏性的文件中，或许有1些是*.reg文件。假设你右击并选择编辑，你可以发现黑客已制造并能让他们能进进你系统的注册表文件。你可以删除这些没任何意义但却会给进侵者带来便利的主键。

12. 治理IIS目录安全

IIS目录安全答应你拒尽特定的IP地址、子网乃至是域名。作为选择，我选择了1个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了1系列的异常。假设你发现1个家伙正在试图访问你的cmd.exe，你可以选择拒尽这个用户访问Web服务器。固然，在1个繁忙的Web站点，这可能需要1个全职的员工!但是，在内部网，这真的是1个非常有用的工具。你可以对所有局域网内部用户提供资源，也能够对特定的用户提供。

13. 使用NTFS安全

缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，治理员需要完全控制，后台治理账户也需要完全控制，系统和服务各自需要1种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和利用程序。

上1页 1 2 3 4 下1页

14.治理用户账户

假设你已安装IIS，你可能产生了1个TSInternetUser账户。除非你真正需要这个账户，否则你应当禁用它。这个用户很轻易被渗透，是黑客们的明显目标。为了帮助治理用户账户，肯定你的本地安全策略没有题目。IUSR用户的权限也应当尽可能的小。

15. 审计你的Web服务器

审计对你计算机的性能有着较大的影响，因此假设你不常常视察的话，还是不要做审计了。假设你真的能用到它，请审计系统事件并在你需要的时候加进审计工具。假设你正在使用前面提到的WhosOn工具，审计就不那末重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在1个非常轻易易读的数据库中，你可以通过Access或是 Excel打开它。假设你常常视察异常数据库，你能在任甚么时候候找到服务器的脆弱点。

总结

上述所有IIS技能和工具(除WhosOn之外)都是Windows自带的。不要忘记在测试你网站可达性之前1个1个的使用这些技能和工具。假设它们1起被部署，结果可能让你损失惨痛，你可能需要重启，从而遗失访问。

最后的技能：登陆你的Web服务器并在命令行下运行netstat -an.视察有多少IP地址正尝试和你的端口建立连接，然后你将有1大堆的调查和研究要做了。

上1页 1 2 3 4 唐山网站建设www.fw8.net

TAG:用户,工具,服务器,攻击者,黑客

评论加载中...