- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
<ul id="mayc0"></ul> <ul id="mayc0"></ul> 利用IIS建立高安全性Web服務器 |
| 發布時間: 2012/5/16 19:28:13 |
|
IIS(Internet Information Server)作為當今流行的Web服務器之一,提供了強大的Internet和Intranet服務功能,如何加強IIS的安全機制,建立一個高安全性能的Web服務器,已成為IIS配置中不可忽視的重要組成部分。 本文將通過以下兩個方面來闡述加強IIS安全機制的方法。 一、 以Windows NT的安全機制為基礎 作為運行在 Windows NT操作系統環境下的IIS,其安全性也應建立在Windows NT安全性的基礎之上。 1.應用NTFS文檔系統 NTFS能夠對文檔和目錄進行管理,而FAT(文檔分配表)文檔系統只能提供共享級的安全,建議在安裝Windows NT時使用NTFS系統。 2.共享權限的修改 在缺省情況下,每建立一個新的共享,其everyone用戶就能享有“完全控制”的共享權限,因此,在建立新共享后要立即修改everyone缺省權限。 3.為系統管理員賬號更名 域用戶管理器雖可限制猜測口令的次數,但對系統管理員賬號卻用不上,這可能給非法用戶帶來攻擊管理員賬號口令的機會,通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體配置如下: (1) 啟動“域用戶管理器”; (2) 選中管理員賬號; (3) 啟動“用戶”選單下的“重命名”對其進行修改。 4.廢止TCP/IP上的NetBIOS 管理員能夠通過構造目標站NetBIOS名和其IP地址之間的映像,對Internet上的其他服務器進行管理,非法用戶也可從中找到可乘之機。假如這種遠程管理不是必須的,應立即廢止(通過網絡屬性的綁定選項,廢止NetBIOS和TCP/IP之間的綁定)。 二、 配置IIS的安全機制 1.安裝時應注意的安全問題 (1)避免安裝在主域控制器上 在安裝IIS之后,將在安裝的電腦上生成IUSR_Computername匿名賬戶,該賬戶被添加到域用戶組中,從而把應用于域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶,這不但給IIS帶來巨大的潛在危險,而且還可能牽連整個域資源的安全,要盡可能避免把IIS安裝在域控制器上,尤其是主域控制器。 (2)避免安裝在系統分區上 把IIS安放在系統分區上,會使系統文檔和IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。 2.用戶控制的安全性 (1)匿名用戶 安裝IIS后產生的匿名用戶IUSR_Computername(密碼隨機產生),其匿名訪問給Web服務器帶來潛在的安全性問題,應對其權限加以控制。如無匿名訪問需要,可取消Web的匿名服務。具體方法: 。 ①啟動ISM(Internet Server Manager); ②啟動WWW服務屬性頁; ③取消其匿名訪問服務。 (2)一般用戶 通過使用數字和字母(包括大小寫)結合的口令,提高修改密碼的頻率,封鎖失敗的登錄嘗試連同賬戶的生存期等對一般用戶賬戶進行管理。 3.登錄認證的安全性 IIS服務器提供對用戶三種形式的身份認證。 匿名訪問:無需和用戶之間進行交互,允許任何人匿名訪問站點,在這三種身份認證中的安全性是最低的。 基本(Basic)驗證:在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸,沒有任何加密,非法用戶能夠通過網上監聽來攔截數據包,并從中獲取用戶名及密碼,安全性能一般。 Windows NT請求/響應方式:瀏覽器通過加密方式和IIS服務器進行交流,有效地防止了竊聽者,是安全性比較高的認證形式。這種方式的缺點是只有IE3.0及以上版本才支持 本文出自:億恩科技【www.vbseamall.com】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
