@微光
2年前 提问
1个回答

IIS服务器应该做哪些方面的保护措施

Simon
2年前

IIS服务器应该做的保护措施如下:

  • 保持Windows升级:必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,可以防止Web服务器接受直接的Internet访问。

  • 设置复杂的密码:如果有用户使用弱密码 (例如”password”或是 changeme”或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。

  • 移除缺省的Web站点:很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。因为网虫们都是通过IP地址访问网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。

  • 若不需要FTP、SMTP等其他服务请关闭:进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果执行身份认证,会发现用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,能避免更多的黑客攻击。

  • 有规则地检查管理员组和服务: 有一天发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为每天的任务。

  • 严格控制服务器的写访问权限:这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多”作者”的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

  • 减少/排除Web服务器上的共享:如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用命令寻找Everyone/完全控制权限的共享。

  • 禁用TCP/IP协议中的NetBIOS:很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。

  • 使用TCP端口阻塞:如果熟悉每个通过合法原因访问你服务器的TCP端口,那么可以进入网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有不需要的端口。必须小心的使用这一工具,因为并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。

  • 仔细检查.bat和.exe 文件: 定期搜索一次.bat和.exe文件,检查服务器上是否存在黑客最喜欢。在这些破坏性的文件中,也许有一些是*.reg文件。如果右击并选择编辑,可以发现黑客已经制造并能让他们能进入你系统的注册表文件。可以删除这些没任何意义但却会给入侵者带来便利的主键。

  • 管理IIS目录安全:IIS目录安全允许拒绝特定的IP地址、子网甚至是域名。WhosOn软件,它能够让我们了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,真的是一个非常有用的工具。可以对所有局域网内部用户提供资源,也可以对特定的用户提供。

  • 使用NTFS安全:关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

  • 管理用户账户:如果已经安装IIS,可能会产生TSInternetUser账户。除非你真正需要这个账户,否则应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。