用IIS建立高安全性Web服务器

这次小编给大家整理了用IIS建立高安全性Web服务器，本文共3篇，供大家阅读参考。

用IIS建立高安全性Web服务器

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

构造一个安全系统

要创建一个安全可靠的Web服务器，必须要实现Windows 和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：

1. 使用NTFS文件系统，以便对文件和目录进行管理。

2. 关闭默认共享

打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。

3. 修改共享权限

建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

4. 为系统管理员账号更名，避免非法用户攻击。

鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号(Administrator)”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

6. TCP/IP上对进站连接进行控制

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]， 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮，只填入80端口。

7. 修改注册表，减小拒绝服务攻击的风险。

打开注册表：将HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。

保证IIS自身的安全性

IIS安全安装

要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。

1. 不要将IIS安装在系统分区上。

2. 修改IIS的安装默认路径。

3. 打上Windows和IIS的最新补丁。

IIS的安全配置

1. 删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。

2. 删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。

3. 为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的'设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。

4. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

5. 保护日志安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

● 修改IIS日志的存放路径

默认情况下，IIS的日志存放在%WinDir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

● 修改日志访问权限，设置只有管理员才能访问。

通过以上的一些安全设置，相信你的Web服务器会安全许多。

一、以Windows NT的安全机制为基础

作为运行在 Windows NT操作系统环境下的IIS，其安全性也应建立在Windows NT安全性的基础之上，

1.应用NTFS文件系统

NTFS可以对文件和目录进行管理，而FAT(文件分配表)文件系统只能提供共享级的安全，建议在安装Windows NT时使用NTFS系统。

2.共享权限的修改

在缺省情况下，每建立一个新的共享，其everyone用户就能享有“完全控制”的共享权限，因此，在建立新共享后要立即修改everyone缺省权限。

3.为系统管理员账号更名

域用户管理器虽可限制猜测口令的次数，但对系统管理员账号却用不上，这可能给非法用户带来攻击管理员账号口令的机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置如下:

(1) 启动“域用户管理器”;

(2) 选中管理员账号;

(3) 启动“用户”选单下的“重命名”对其进行修改。

4.废止TCP/IP上的NetBIOS

管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet上的其他服务器进行管理，非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，应立即废止(通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定)。

二、设置IIS的安全机制

1.安装时应注意的安全问题

(1)避免安装在主域控制器上

在安装IIS之后，将在安装的计算机上生成IUSR_Computername匿名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把IIS安装在域控制器上，尤其是主域控制器，

(2)避免安装在系统分区上

把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。(www.002pc.com)

2.用户控制的安全性

(1)匿名用户

安装IIS后产生的匿名用户IUSR_Computername(密码随机产生)，其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可取消Web的匿名服务。具体方法:

①启动ISM(Internet Server Manager);

②启动WWW服务属性页;

③取消其匿名访问服务。

(2)一般用户

通过使用数字与字母(包括大小写)结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。

3.登录认证的安全性

IIS服务器提供对用户三种形式的身份认证。

匿名访问:不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。

基本(Basic)验证:在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。

Windows NT请求/响应方式:浏览器通过加密方式与IIS服务器进行交流，有效地防止了 者，是安全性比较高的认证形式。这种方式的缺点是只有IE3.0及以上版本才支持。

安装完NT/2K以后，并不等于就可以把这台机器放到Inte .net 上做 服务器 了，还需要进行以下几步： 一、以Windows NT的 安全 机制为基础 1）NT打SP6、2K打SP1。把磁盘的文件系统转换成NTFS（安装系统的分区可以在安装系统的时候转换，也可以安装完系统以后，

安装完NT/2K以后，并不等于就可以把这台机器放到Inte.net上做服务器了。还需要进行以下几步：

一、以Windows NT的安全机制为基础

1）NT打SP6、2K打SP1。把磁盘的文件系统转换成NTFS（安装系统的分区可以在安装系统的时候转换，也可以安装完系统以后，用工具转换）。同时把使用权限里有关Everyone的写、修改的权限去掉，关键目录：如WinntRepair连读的权限也去掉。

2）共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器，然后打开系统策略里文件菜单里的“打开注册表”修改其中的 windows nt网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件，放到机器的启动任务里。

3）为系统管理员账号更名。同时把系统管理员的密码改成强加密：密码长度在10位以上，并且密码要包括数字、字母、！等各种字符。

4）废止TCP/IP上的NetBIOS。通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定，

5）安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务，如果装了的话 最主要一点是数据库密码不能跟系统的登陆密码一样。

二、设置IIS的安全机制

1）解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedt32.exe 在：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw3svcparameters 增加一个值： Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。

2）删除HTR脚本映射。

3）将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。

4）在IIS管理控制台中，点 web站点，属性，选择主目录，配置（起始点），应用程序映射，将htw与webhits.dll的映射删除。

5）如果安装的系统是2K的话，安装Q256888_W2K_SP1_x86_en.EXE。

6）删除:c:Program FilesCommon FilesSystemMsadcmsadcs.dll。

7）如果不需要使用Index Server，禁止或卸载该服务。 如果你使用了Index Server，请将包含敏感信息的目录的“Index this resource”的选项 禁止。

8）解决unicode漏洞： 2K安装2kunicode.exe、NT安装ntunicode86.exe

原文转自：www.ltesting.net

★

★

★

★

★

★

★

★

★

★