论文部分内容阅读
IIS(Internet Information Server,互联网信息服务)是一种WEB服务组件,是目前应用较多的WEB服务器之一,它提供了强大的Internet和Intranet服务功能。怎么样在最短的时间内用最简单的方法通过设置IIS来实现一个高安全性的WEB服务器呢?让我们一起来看看以下几个操作。
一、保证系统的安全性
1.使用NTFS文件系统
NTFS文件系统与FAT文件系统的区别是众所周知的,NTFS可以对文件和目录进行管理,并且它的安全性也更高,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
如果你当前的系统是FAT的,那么也没关系,我们可以使用convert命令在不修改文件的任何特性下,将FAT文件系统变为NTFS系统。
2.关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
3.设置用户密码
有的人为了方便经常选择不需要输入用户名和密码就可以登录到计算机中使用里面的资源,但是不知道在这同时也给入侵者提供了方便。所以用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
二、设置IIS的安全机制
1.安装
由于IIS作为操作系统的可选组件,我们可以通过两种方式进行安装,一种是在安装操作系统时随系统文件一起装入到计算机中,另一种方式是在安装操作系统时没有将它安装在计算机中,我们可以在需要使用IIS的时候使用[控制面板]中的[添加/删除组件]将它安装到你的计算机中。无论是哪种安装方式,我们在安装时都要注意这样两个问题:
①避免将IIS安装在域控制器上。因为在计算机服务器上安装IIS之后,该服务器上将自动生成IUSR-Computer匿名账户,该账户被添加到域或域用户组中,从而把应用于域用户组的访问权限提供给访问WEB服务器的每个匿名用户,这不仅给IIS带来巨大的潜在危险,而且还可能牵连整个域资源的安全。
②不要将IIS安装在系统分区上,因为这样就会使系统文件同IIS一样面临着被非法访问的威胁。
2.登录认证安全性的设置
IIS服务器提供对用户四种形式的身份认证,分别是:
匿名访问:这是一种安全级别最低的认证方式,在这种方式下,IIS不需要与用户有任何交互,也就是说允许任何人匿名访问站点。不言而喻,我们谁都不会使用这种身份认证的。
基本验证:这种认证方式只比匿名访问略高一些,在此方式下要求用户输入相应的用户名和口令,但是它们在网络中是以明文的方式进行传送的,很显然,我们只要通过很简单的方法就可以获得它们了。
Windows域服务器的简要验证:它是属于加密验证的方式。它通过网络发送经过混编的密码值而不是密码本身,此种方法较基本验证安全得多,但低于我们下面要说的验证方式。
集成Windows验证:浏览器通过加密方式与IIS服务器进行交流,有效地防止了窃听者,是安全性比较高的认证形式。
在建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的WEB站点进行通信。但我们在使用URL资源定位器时,就不能输入“http://”了,而是要输入“https://”。但是,由于使用了SSL证书后会大大增加CPU的负担,所以对于那些没有任何秘密可言的WEB站点就不需要用加密的SSL通道。只有对于那些重要的目录和站点才有这个必要性。
3.访问权限设置
为了增加系统的安全性,我们可以对系统中的文件和文件夹以及相应的WEB目录的安全性进行设置,设置的方式非常简单,具体的设置如下:
①文件与文件夹的访问权限设置:首先我们必须保证[文件夹选项]中的“使用简单文件共享”项不被选中,然后才能对其进行设置。
在需要设置审核的目录名或文件名上单击鼠标右键,在弹出菜单上选择[属性],选择[安全]选项卡,单击[高级]按钮,选择[审核]选项卡,单击[添加]按钮,弹出选择用户和组的窗口,选择要审核的用户,单击[确定]按钮,出现审核项目窗口,从中选择需要进行审核的项目。
②WEB目录的访问权限:单击[开始]/[程序]/[管理工具][Internet服务管理器]选项,在Internet服务管理窗口的左面双击服务器的名字,选择要设置的WEB站点,在窗口右面选择要设置的目录,在要设置的目录名字上单击鼠标右键,在弹出菜单上选择[属性]选项中的[目录]选项卡,从中选择要修改的访问权限。通过这样的设置我们就可以实现对WEB目录访问权限的控制,并且该目录下的所有文件和文件夹都将继承这些安全性。
4.IP地址和域名的访问控制
IIS可以设置允许或拒绝从特定IP或特定域名发来的服务请求,有选择地允许特定节点的用户访问WEB服务,管理员也可以通过设置参数来阻止除指定IP地址或域名以外的整个网络用户来访问WEB服务器。
但是在操作的过程中,经常会看到这样的情况,那就是在我们进行设置[IP地址及域名限制]时,此项为灰色,原因很多,其中之一就是你使用的可能是WindowsXP或不是基于服务器的其他操作系统,如果换成Windows2000或是Windows2003 Server就不会出现这样的问题了。
5.端口安全性的设置
对于IIS服务,无论是WWW站点或是FTP站点,它们都有各自监听和接收浏览器请求的TCP端口号,这些端口是公开的,这就为攻击者提供了公开的秘密。所以建议大家对那些默认的端口号进行修改,这样可以提高IIS服务器的安全性。修改的方法是,在IIS管理器中,展开某个站点,用鼠标右键单击选择[属性]命令,然后在属性对话框中即可找到TCP端口的设置。如FTP端口的默认设置是21,将它改为一个其他的数值并确定就可以了。
三、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
一、保证系统的安全性
1.使用NTFS文件系统
NTFS文件系统与FAT文件系统的区别是众所周知的,NTFS可以对文件和目录进行管理,并且它的安全性也更高,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
如果你当前的系统是FAT的,那么也没关系,我们可以使用convert命令在不修改文件的任何特性下,将FAT文件系统变为NTFS系统。
2.关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
3.设置用户密码
有的人为了方便经常选择不需要输入用户名和密码就可以登录到计算机中使用里面的资源,但是不知道在这同时也给入侵者提供了方便。所以用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
二、设置IIS的安全机制
1.安装
由于IIS作为操作系统的可选组件,我们可以通过两种方式进行安装,一种是在安装操作系统时随系统文件一起装入到计算机中,另一种方式是在安装操作系统时没有将它安装在计算机中,我们可以在需要使用IIS的时候使用[控制面板]中的[添加/删除组件]将它安装到你的计算机中。无论是哪种安装方式,我们在安装时都要注意这样两个问题:
①避免将IIS安装在域控制器上。因为在计算机服务器上安装IIS之后,该服务器上将自动生成IUSR-Computer匿名账户,该账户被添加到域或域用户组中,从而把应用于域用户组的访问权限提供给访问WEB服务器的每个匿名用户,这不仅给IIS带来巨大的潜在危险,而且还可能牵连整个域资源的安全。
②不要将IIS安装在系统分区上,因为这样就会使系统文件同IIS一样面临着被非法访问的威胁。
2.登录认证安全性的设置
IIS服务器提供对用户四种形式的身份认证,分别是:
匿名访问:这是一种安全级别最低的认证方式,在这种方式下,IIS不需要与用户有任何交互,也就是说允许任何人匿名访问站点。不言而喻,我们谁都不会使用这种身份认证的。
基本验证:这种认证方式只比匿名访问略高一些,在此方式下要求用户输入相应的用户名和口令,但是它们在网络中是以明文的方式进行传送的,很显然,我们只要通过很简单的方法就可以获得它们了。
Windows域服务器的简要验证:它是属于加密验证的方式。它通过网络发送经过混编的密码值而不是密码本身,此种方法较基本验证安全得多,但低于我们下面要说的验证方式。
集成Windows验证:浏览器通过加密方式与IIS服务器进行交流,有效地防止了窃听者,是安全性比较高的认证形式。
在建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的WEB站点进行通信。但我们在使用URL资源定位器时,就不能输入“http://”了,而是要输入“https://”。但是,由于使用了SSL证书后会大大增加CPU的负担,所以对于那些没有任何秘密可言的WEB站点就不需要用加密的SSL通道。只有对于那些重要的目录和站点才有这个必要性。
3.访问权限设置
为了增加系统的安全性,我们可以对系统中的文件和文件夹以及相应的WEB目录的安全性进行设置,设置的方式非常简单,具体的设置如下:
①文件与文件夹的访问权限设置:首先我们必须保证[文件夹选项]中的“使用简单文件共享”项不被选中,然后才能对其进行设置。
在需要设置审核的目录名或文件名上单击鼠标右键,在弹出菜单上选择[属性],选择[安全]选项卡,单击[高级]按钮,选择[审核]选项卡,单击[添加]按钮,弹出选择用户和组的窗口,选择要审核的用户,单击[确定]按钮,出现审核项目窗口,从中选择需要进行审核的项目。
②WEB目录的访问权限:单击[开始]/[程序]/[管理工具][Internet服务管理器]选项,在Internet服务管理窗口的左面双击服务器的名字,选择要设置的WEB站点,在窗口右面选择要设置的目录,在要设置的目录名字上单击鼠标右键,在弹出菜单上选择[属性]选项中的[目录]选项卡,从中选择要修改的访问权限。通过这样的设置我们就可以实现对WEB目录访问权限的控制,并且该目录下的所有文件和文件夹都将继承这些安全性。
4.IP地址和域名的访问控制
IIS可以设置允许或拒绝从特定IP或特定域名发来的服务请求,有选择地允许特定节点的用户访问WEB服务,管理员也可以通过设置参数来阻止除指定IP地址或域名以外的整个网络用户来访问WEB服务器。
但是在操作的过程中,经常会看到这样的情况,那就是在我们进行设置[IP地址及域名限制]时,此项为灰色,原因很多,其中之一就是你使用的可能是WindowsXP或不是基于服务器的其他操作系统,如果换成Windows2000或是Windows2003 Server就不会出现这样的问题了。
5.端口安全性的设置
对于IIS服务,无论是WWW站点或是FTP站点,它们都有各自监听和接收浏览器请求的TCP端口号,这些端口是公开的,这就为攻击者提供了公开的秘密。所以建议大家对那些默认的端口号进行修改,这样可以提高IIS服务器的安全性。修改的方法是,在IIS管理器中,展开某个站点,用鼠标右键单击选择[属性]命令,然后在属性对话框中即可找到TCP端口的设置。如FTP端口的默认设置是21,将它改为一个其他的数值并确定就可以了。
三、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。