當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

加固外網(wǎng)上的IIS服務(wù)器安全

http://www.yibo1263.com　2009/8/27 14:48:01 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　關(guān)于IIS服務(wù)器的安全主要包括六步：

　　1、使用安全配置向?qū)?Security Configuration Wizard)來(lái)決定web服務(wù)器所需的最小功能，然后禁止其他不需要的功能。具體地說(shuō)，它能幫你

　　1>禁止不需要的服務(wù)

　　2>堵住不用的端口

　　3>至于打開(kāi)的端口，對(duì)可以訪問(wèn)的地址和其他安全做進(jìn)一步的限制

　　4>如果可行，禁止不需要的IIS的web擴(kuò)展

　　5>減小對(duì)SMB，LAN Manager，和LDAP協(xié)議的顯露

　　6>定義一個(gè)高信噪比的對(duì)策

　　2、把網(wǎng)站文件放在一個(gè)非系統(tǒng)分區(qū)(partition)上，防止directory traversal的缺陷，對(duì)內(nèi)容進(jìn)行NTFS權(quán)限稽查(Audit)。

　　3、對(duì)自己的系統(tǒng)定期做安全掃描和稽查，在別人發(fā)現(xiàn)問(wèn)題前盡早先發(fā)現(xiàn)自己的薄弱處。

　　4、定期做日志分析，尋找多次失敗的登陸嘗試，反復(fù)出現(xiàn)的404，401，403錯(cuò)誤，不是針對(duì)你的網(wǎng)站的請(qǐng)求記錄等。

　　5、如果使用IIS 6的話，使用Host Headers ，URL掃描，實(shí)現(xiàn)自動(dòng)網(wǎng)站內(nèi)容和IIS Metabase的Replication，對(duì)IUSR_servername帳號(hào)戶使用標(biāo)準(zhǔn)的名稱等。

　　6、總的web架構(gòu)的設(shè)計(jì)思路：別把你的外網(wǎng)web服務(wù)器放在內(nèi)網(wǎng)的活動(dòng)目錄(Active Directory)里，別用活動(dòng)目錄帳號(hào)運(yùn)行IIS匿名認(rèn)證，考慮實(shí)時(shí)監(jiān)測(cè)，認(rèn)真設(shè)置應(yīng)用池設(shè)置，爭(zhēng)取對(duì)任何活動(dòng)做日志記錄，禁止在服務(wù)器上使用Internet Explorer等。

【收藏】【打印】【進(jìn)入論壇】