大部分Web站點的設(shè)計目標(biāo)都是以最易接受的方式�����,為訪問者提供即時的信息訪問���,但是隨著黑客�、病毒和蠕蟲的帶來的問題��,嚴(yán)重影響到了網(wǎng)站的可訪問性����,那么我們應(yīng)該如何保護(hù)IIS
Web服務(wù)器的安全呢?現(xiàn)在我們就去看看保護(hù)IIS Web服務(wù)器的安全步驟吧。
通過下面 10 步來保護(hù) IIS:
1.為IIS 應(yīng)用程序和數(shù)據(jù)專門安裝一個NTFS
設(shè)備�。如果有可能,不要允許IUSER(或其它任何匿名用戶名)去訪問任何其它設(shè)備。如果應(yīng)用程序因為匿名用戶無法訪問其它設(shè)備上的程序而出了問題���,馬上使用Sysinternals
的FileMon 檢測出哪個文件無法訪問���,并吧這個程序轉(zhuǎn)移到IIS 設(shè)備上。如果無法做到這些����,就允許IUSER 訪問且只能訪問這個文件���。
2.在設(shè)備上設(shè)置NTFS 權(quán)限:
Developers = Full(所有權(quán)限)
IUSER = Read and execute only(讀和執(zhí)行權(quán)限)
System and admin = Full(所有權(quán)限)
3.使用一個軟件b">防火墻���,確認(rèn)沒有終端用戶能夠訪問 IIS 計算機上的除了 80 端口之外的其它端口。
4.使用Microsoft 工具鎖定計算機:IIS Lockdown和UrlScan.
5.啟用IIS 事件日志�����。除了使用IIS 事件日志之外�����,如果有可能的話��,盡量也對b">防火墻啟用事件日志。
6.把日志文件從默認(rèn)的存儲位置移走����,并保證對它們的備份。為日志文件建立一個重復(fù)的拷貝��,以確保這個放在第二位置的拷貝是可用的����。
7.在計算機上啟用Windows
審核,因為當(dāng)我們試圖去追蹤那些攻擊者的行為的時候�,我們總是缺少足夠的數(shù)據(jù)。通過使用審核日志���,甚至有可能擁有一個腳本來進(jìn)行可疑行為的審核���,這個腳本隨后會向管理員發(fā)送一個報告。這聽起來好像有點走極端了���,不過如果對你的組織來說安全性非常重要的話���,這樣做是最好的選擇。建立審核制度來報告任何失敗帳戶登錄行為�。另外,同IIS日志文件一樣,把它的默認(rèn)存儲位置(c:\winnt\system32\config\secevent.log)改到另外一個地方�,并確保它有一個備份和一個重復(fù)的拷貝。
8.一般來說����,盡你所能的查找安全方面的文章(從不同的地方),并按照它們進(jìn)行實踐�����。在IIS和安全實踐方面�,它們說的通常被你懂得的要好一些��,而且不要只信服其他人(比如說我)告訴你的東西����。
9.訂閱一份IIS 缺陷列表郵件,并堅持按時對它進(jìn)行閱讀�����。其中一個列表是Internet Security Systems(Internet
安全系統(tǒng))的X-Force Alerts and Advisories
10.最后�,確保你定期的對Windows 進(jìn)行了更新,并檢驗補丁是否被成功的安裝了����。
服務(wù)器租用�、托管�,只有您想不到的,沒有我們做不到的����,只要您選擇了我們?nèi)诰€http://www.33ol.com/,我們就會竭誠為您服務(wù)!!!���。企點Q:2852361322電話:13924367540
