保护WEB服务器的15个技巧(3)
作者:佚名 来源:Chinabeta 发布时间:2008-10-22 12:00:00
10. 使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。
11. 仔细检查*.bat和*.exe 文件:
每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13. 使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15. 审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。
猜你喜欢
- (4)Userinfo%Name-用户登录名%IP-用户IP地址%Dir-用户当前目录%Disk-用户当前磁盘驱动器%DFree-用户当前剩
- 俗称“脚本小鬼”的家伙 是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,
- 被认为是资本“避风港”的中国网络游戏市场在全球经济风暴中可谓大放异彩。日前,易观国际发布的《2009年第2季度中国网络游戏市场季度监测》显示
- 一、网站设计网站全站用W3C网站设计制作,采用DIV+CSS进行网页布局设计,title与meta字数控制在15字以上,少用图片、Flash
- FlashFXP是一款优秀的FTP工具,但是很多朋友在使用过程中仅掌握其基本的上传/下载功能,其实在FlashFXP里面隐藏了很多实用的技巧
- 有Godaddy主机用户或许还不了解ColdFusion还有ColdFusion DNS,下面给大家介绍下什么是ColdFusion? 如同
- 2004年,刚建站的时候,我曾经用过DEDE2.0,那个时候由于不太懂PHP,就没有搞下去。后来在DEDE3.1时用上了他,感觉不错,但是由
- 大家都说PR很难提高,百度,GOOLE收录也很难,可是我建站三个月我站的PR=5 搜狗PR=43 百度收录三万三页 GOOLE收录二万二页
- HttpOS是一个已经集成了LuManager的网站服务器操作系统,为的是让不懂任何命令的朋友也能使用优秀的Linux构建LAMP/LNMP
- 北京时间10月25日,据国外媒体报道,谷歌周三在其分析师日会议上介绍了其建立流行的iGoogle个人主页的最新情况。随着iGoogle的变化
- 本文是谷歌关键字广告(Google AdWords)专家Amanda Kelly在“事半功倍做营销”
- 裸设备,也叫裸分区(原始分区),是一种没有经过格式化,不被Unix通过文件系统来读取的特殊字符设备。本文收集裸设备和Oracle问答20例。
- 北京时间10月30日消息,据国外媒体报道,美国数字媒体公司RealNetworks周四发布了第三季度财报。财报显示,受削减支出抵消了音乐和游
- 将证书导入网站目录为了让目标网站所对应的目录文件信息全部使用SSL加密传输功能,我们需要将前面申请好的网站证书导入到目标网站所对应的目录中;
- Linux系统中的Netfilter提供了一个抽象、通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统,框架包含以下五部分:1. 为
- 近日南方都市报的一则题为《网店变形记:握手线下士多》的关于广州“聚宝盆”B2M运营模式的报道,引起电
- 最近想把自己的机器用做服务器,因为我对http.conf的内容不够了解,以至自己走了点弯路。现在把这个文件中需要经常修改的几个选项的意思解释
- 核心提示: 一个网站要建立好良好的形象,必定要“扬长避短”。通过robots.txt来限制蜘蛛的爬行
- 旷土年前写过一篇标题为《旷土:中国商业网址的成功经验分享 初期发展篇》的文章,写得比较粗糙,今天就来详细谈谈运作中的一些经验。旷土在运作中国
- 11月14日消息,微软今天表示,其调查证实,旨在帮助用户更方便地在上网本上安装Windows 7的Windows USB/DVD Tool确