服务器技术/网络安全

教你三分钟就可以让IIS自身安全

楼主 DSEDSFF 于 2009-12-07 16:23:19

教你三分钟就可以让IIS自身安全

[SIZE=2]IIS用的人非常的多，然而要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。 [/SIZE][P][SIZE=2]　　1. 不要将IIS安装在系统分区上。 [/SIZE][/P][P][SIZE=2]　　2. 修改IIS的安装默认路径。 [/SIZE][/P][P][SIZE=2]　　3. 打上Windows和IIS的最新补丁。[/SIZE][/P][P][SIZE=2]下面我们来说一下IIS的安全配置的具体步骤和方法：[/SIZE][/P][P][SIZE=2]1. 删除不必要的虚拟目录 [/SIZE][/P][P][SIZE=2]　　IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。 [/SIZE][/P][P][SIZE=2]　　2. 删除危险的IIS组件 [/SIZE][/P][P][SIZE=2]　　默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。 [/SIZE][/P][P][SIZE=2]　　3. 为IIS中的文件分类设置权限 [/SIZE][/P][P][SIZE=2]　　除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。 [/SIZE][/P][P][SIZE=2]　　4. 删除不必要的应用程序映射 [/SIZE][/P][P][SIZE=2]　　ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。 [/SIZE][/P][P][SIZE=2]　　在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。 [/SIZE][/P][P][SIZE=2]　　5. 保护日志安全 [/SIZE][/P][P][SIZE=2]　　日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。 [/SIZE][/P][P][SIZE=2]　　● 修改IIS日志的存放路径 [/SIZE][/P][P][SIZE=2]　　默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。 [/SIZE][/P][P][SIZE=2]　　● 修改日志访问权限，设置只有管理员才能访问。 [/SIZE][/P][P][SIZE=2]　　通过以上的一些安全设置，相信你的Web服务器会安全许多。 [/SIZE][/P][P][SIZE=2]来源：[URL=http://www.olserve.cn/style/info/shownews.asp?id=849]教你三分钟就可以让IIS自身安全[/URL][/SIZE][/P]

1楼 DSEDSFF 于 2009-12-07 16:23:33

回帖是美德

2楼 Xinsoft 于 2009-12-08 00:08:20

[QUOTE][b]下面引用由[u]DSEDSFF[/u]发表的内容：[/b]

[SIZE=2]IIS用的人非常的多，然而要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。 [/SIZE][P][SIZE=2]　　1. 不要将IIS安装在系统分区上。 [/SIZE][/P][P][SIZE=2]　　2. 修改IIS的安装默认路径。 [/SIZE][/P][/QUOTE]

这两条我严重不同意，不过也有可能是楼主表达得有误。

恕我孤陋寡闻，请问安装IIS的时候用户有机会去选择安装目录或者分区吗？

当然我指的是标准的安装过程。在标准的安装过程里，IIS是作为Windows Server的可选的系统组件，可以通过“添加/删除系统组件”的方式去安装或卸载，这也就意味着它的安装路径一定是预先定义好的，不需要用户去干预。

我不知道你是怎么安装的，居然可以去选择安装路径，但也不排除你通过某种非官方的方式安装的可能，我不推荐这种非标准的安装方式。

IIS的安全设置我非常熟悉，如果IIS的进程被劫持，那么即使你修改IIS的安装路径也是没有用的。当然实际应用中我们不可能把IIS置于这么危险的状况。

我推测也许你指的是IIS上站点的目录吧，这个倒确实是不建议放在系统所在分区。Windows Server的安全指南本身也不推荐你这样做，这个在MSDN里面说得已经够多的了。

3楼 xyxp 于 2009-12-08 08:17:54

[P]看了下，觉得很麻烦的说[/P][P]1.网站脚本文件禁用写权限(文件不可编辑、目录不可写入)[/P][P]2.网站上传目录禁用脚本权限(或者在文件类型中把脚本文件给del了)[/P][P]3.网站后台目录限制ip访问或采用ssl证书认证[/P][P]基本设置这三条[/P][P]即使网站本身有漏洞[/P][P]一般黑客也无计可施[/P]

4楼 weiwei202 于 2009-12-08 10:45:02

[P]跟一个发软文广告的较真太浪费力气了.[/P]

5楼 Xinsoft 于 2009-12-08 22:25:07

仔细一看果然是发软文的。真够隐蔽的。谢谢weiwei。希望版主们将此人连同它的垃圾一同清除。

电脑版 Page created in 0.0957 seconds with 4 queries.