IIS安全性设置(3)
来源:asp之家 发布时间:2010-05-04 17:57:00
三、安全性与WEB服务器WEB服务器是IIS中一个强有力的功能全面的工具,它优于其他同类产品。它的性能得到优化。且作为WINDOWS NT SERVER下的一项服务运行时,能为各种规模的网络提供快速、方便、安全的WEB出版功能。
(一)如何保护WEB服务器的安全呢?如果你计划建立WEB网站,要确保你WEB网站及其内容的安全以及你网络及其资源的安全,除了我们曾经提到过的安全措施外,你还要采取其它相应的手段。
**注意**由于IIS提供的三种服务配置起来非常相似,故我们只详细介绍WEB服务器的配置,接着只说明FTP服务器和Gopher服务器的差异。
1、用户和口令验证明首先你需要了解匿名访问的严重后果,并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权。若要设置用户对你的WEB服务器进行访问的类型,请在IIS MANAGER中双击WWW,调出你的WEB服务器再双击WEB服务器,就会显示出WWW SERVICE PROPERTIES对话框。在对话框中,你可以看到,设置WEB服务器服务程序可以使用多种选项。对于安装的大多数的IIS而言,缺省选项最好。然而,有两种关键的设置将决定用户对WEB网站的访问等级:匿名登录和口令验证。
如果你希望允许大众进行访问,一定要确保你同意匿名访问。按照缺省设置,当IIS安装好后,在你的用户数据库就会创建一个新用户帐户,其名字为IUSR_,后接已安装好的服务器名。举例说明:如果服务器名为SAMUEL-1,新用户帐户则为IUSR_SAMUE-1。当帐户创建好,它被赋予有限的访问权,并增加到域用户、客人用户和EVERYONE组中。
此外,IUSR_帐户被赋予在本地登录的权限(LOGON LOCALLY)。所有WEB用户都必须具有这种权限,原因是他们的请求被传送至WEB服务器服务程序,该服务程序利用他们的帐户去登录,接着允许WINDOWS NT分配相应的访问权。
如果你希望所有用户按照特定的用户帐户和口令得到验证,你仅仅清除Anonymous Logon(匿名登录)选项即可。那将要求各用户在访问服务器的资源前输入有效的用户ID和口令。如果你能启动启示功能,你就能查看到谁正访问WEB服务器以及他们所进行的操作。
另一项决定你网站安全性的重要设置是你想使用的口令验证类型,这里我们不再深入探讨。为了实现最大的安全性,你可以激活Windows NT Challenge/Response选项,它在传输信息前对你的用户ID和口令进行加密,从而保证帐户信息在网络安全传输。(遗憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持这种功能。)
2、虚拟目录为确保你网站的安全性,配置WEB服务器可以看到的目录以及相应的访问层次也是很重要的。当你第一次安装IIS时,按照缺省设置,它会自行创建一个叫做InetPub的目录(安装老版本的IIS则创建InetPub),接着为其提供的INTERNET服务生成根目录。Web服务器的根目录缺省为wwwroot,它应当是你主页所在位置。接着你可以使用Directories标签来增加存储额外内容的新目录。
3、Web服务器安全提示如果你正运行WEB服务器,尽管你已根据以前所讨论过的内容采取了预防措施,也许仍有些安全漏洞有待于你填补。以下列出当提供WEB服务时,你应当采取的一般措施:
*停用.bat和.cmd文件的映射功能。如果黑客们拿到这些Web服务器上的可执行文件的话,他们就可运行这些Web文件。你通过取消对脚本程序的所有目录的阅读许可权,就可以停用某些文件夹映射功能。
*总是将你的脚本程序和数据存储在不同的目录,务必使包含脚本程序的目录只拥有执行许可权。
*禁止使用Directory Browsing Allowed(允许目录浏览)。这一功能启动后会给出一个浏览器,该浏览器含有某个目录中的超文本文件列表,从而使黑客能篡改目录中的文件。
*避免使用Remote Virtual Directories(远程虚拟目录)。务必将IIS所有的可执行文件以及数据安装在同一台机器上,并利用NTFS来保护。当用户试图从远程目录访问文档时,总是使用输入到属性页上的用户名和口令,这就有可能绕过访问控制列表。*当编写和使用CGI脚本程序时,一定要小心。有经验的黑客也许会利用编写拙劣的CGI脚本程序来对你的系统进行访问。
*牢记特权最小的原则,如果你计划只运行Web服务器,那么请只激活Web服务器主机的端口80。
*全面测试你的Web服务器——设法发现并弥补任何漏洞。最好的方法是,让可靠而且内行的同事设法破坏你网络的安全性。
*想了解额外的情况,请上网www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文档,寻求使你的Web服务器安全的灵丹妙药。
0
投稿猜你喜欢
- 可扩展性和性能:端终服务 用户可以在服务器上运行 Windows 程序,使用一台远程 PC 机、Windows 终端或非 Wind
- 11月27日消息,据国外媒体报道,中国互联网络信息中心(CNNIC)日前发布的最新报告显示,腾讯网游用户占了中国大型网络游戏用户总人数的44
- 在博客中留言不仅会引发众人的讨论,对于SEO也很有用。但是思亿欧这里指的不是通过大量注册博客,加自己网站链接。是用自己的站,参与到博客话题的
- 1.如果你是linux主机请使用.htaccess文件,无需看下去.2.如果你是独立主机,可以操作IIS,也无需看下去.3.如果你是动态文件
- 个人修改记录,不一定适合大众.列表命名规则: /list/list-{tid}-{page}.html文章命名规则:/test/{Y}{M}
一、 VMware简介:VMware是一个虚拟PC的软件,可以在现有的操纵系统上虚拟出一个新的硬件环境,相当于模拟出一台新的PC,以此来实现- 下面先来一个实例。我们通过创建两个线程来实现对一个数的递加。或许这个实例没有实际运用的价值,但是稍微改动一下,我们
- 对于一个网络管理员来说,垃圾邮件的困扰并不是接收这些垃圾邮件,而是试图防止垃圾邮件发送者使用你的邮件服务器来进行中继转发,这项工作很关键,因
- 1.检查并安装pssh,yum list pssh2.因为没有配置免秘钥登陆,pssh命令执行失败。[root@bogon ]# pssh
- Google网站优化器 (Website Optimizer,WO)是一个强大的工具,允许站长分析网站流量,测试有效性和转化率等变量,一般情
- 首先我们来看看一些知名网站的名字吧,研究别人成功的经验总是有益处的,看看知名的网站:搜狐、新浪、中华网、8848等,无不简短易记。以chin
- WordPress是世界上使用最为广泛PHP博客程序,他拥有近乎无尽的主题和插件,简单易用。他既可以通过各种各样的插件他自己武装成一个CMS
- 11月20日,金山毒霸客户服务中心接到大量用户反馈,称360浏览器最新测试版(版本3.1.0.1002)与金山网盾存在兼容问题,凡安装了该版
- 根据不同的划分标准,网站可分成好几种类型,如将网站按照主体性质不同可分为政府网站、企业网站、商业网站、教育科研机构网站、个人网站、其它非盈利
- 从我开始知道 SEO 这几年起,基本上所有的 SEO 活动都是基于前端的,从header 到 body,从小标签到 CSS,从链接到关键词密
- CVS是一种广泛应用的、开源的、透明于网络的版本控制系统。用户使用CVS时,首先要架设一台CVS服务器,在CVS服务器上导入项目实例、设置C
- 一抬头,又是窗外朦朦,不知多少人家,此时梦中。多少草根站长,此时挑灯夜战。回首间,已埋在Admin5近两年。虽然钱赚的不多,但是阅历增加无数
- 使用vmware安装CentOS7的详细教程,具体内容如下1.先创建一个文件夹用以存放镜像2.运行vmware,点击创建新的虚拟机3.3.选
- 一、登陆dmoz全球最大的开放式目录库dmoz,开放目录项目(Open Directory Project ,简称ODP),也称为DMOZ(
- 前言Linux的chmod命令是用来改变文件权限的,对于文件或者目录的普通权限,共有 3 种,分别为:r:读取;w:写入;x:执行。今天为大
