微软的Internet信息服务 (简称IIS) 因为内置于Windows系统, 而且易用性很高, 所以很受青睐。根据最新的权威统计 (h t t p://survey.netcraft.com/Reports/200903/) , 全球有6600多万站点采用IIS, 仅次于Apache。因此保障I I S的安全有着非常重要的意义。
1 IIS的安全配置
1.1 确定一套安全策略
保护任何W e b服务器的前提是组织必须建立一套完善的安全管理策略, 并确保网络管理员清楚安全策略中的每一项制度。如果组织高层没有把服务器的安全看作是必须被保护的重要资产, 那么保护工作是毫无意义的。这项工作需要在长期的使用中不断积累和发展。如果预算不支持或者它不是长期I T战略的一部分, 那么疲于保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些恶意攻击的非法用户或未遵守安全策略的用户将会被关在门外。那些用户随后会抱怨组织的管理层, 管理层人员又会去质问网络管理员。如此, 网络管理员就没办法建立支持他们安全工作的文档, 因此, 问题就出现了。如果建立了W e b服务器安全级别以及可用性的安全策略, 网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
1.2 加强IIS安全配置
微软的产品一向是众矢之的, 其中I I S服务器最容易成为攻击者的靶子。搞清楚了这一点后, 网络管理员必须准备执行大量的安全措施。下面是一些必要的工作, 服务器操作员也许会发现这是非常有用的。
(1) 保持Windows系统升级。
我们必须制定完善的软件系统升级策略, 在第一时间及时地更新所有的升级, 并为系统打好一切补丁。考虑将所有的更新下载到我们网络上的一个专用的服务器上, 并在该机器上以W e b的形式将文件发布出来。通过这些工作, 我们可以防止我们的Web服务器接受直接的Internet访问。
(2) 删除默认的Web站点。
很多攻击者瞄准inetpub这个默认IIS文件夹, 并在里面放置一些可被恶意利用的工具, 从而造成服务器被非法入侵和利用。防止这种攻击最简单的方法就是在I I S里将缺省的站点禁用或删除。也许, 部分用户或者搜索引擎爬虫是通过I P地址访问我们的网站的, 他们的请求可能遇到麻烦。将我们真实的W e b站点指向一个非系统分区的文件夹, 且必须包含安全的N T F S权限。
(3) 卸载FTP和SMTP等服务。
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的, 如果我们执行身份认证, 我们会发现我们的用户名和密码都是通过明文的形式在网络上传播的。S M T P是另一种允许到文件夹的写权限的服务。通过禁用这两项服务, 我们能避免更多的黑客攻击。如果必须使用这些服务, 也请做好严谨的安全设置。
(4) 审核管理员组和服务。
哪天发现在管理员组里多了一个用户, 而且不是合法增加的, 这意味着这时该系统已经被人非法入侵, 或许被安装了后门或安装了其他恶意软件。一旦这发生了, 将是非常麻烦的事情, 必须进行全面的入侵检测, 包括系统和应用程序甚至是每个网页代码。因此, 检查I I S服务器上的服务列表并保持尽量少的服务必须成为每天的任务。应该记住哪个服务应该存在, 哪个服务不应该存在。
(5) 严格设置IIS的权限。
这听起来很容易, 然而, 很多W e b服务器实际上就是因为未严格配置I I S权限, 造成不可挽回的损失。确保每个I I S站点一个独立的用户, 并且将该用户限制在站点目录, 也就是该用户无法访问其他目录。一旦某个站点代码出现漏洞, 损失也仅仅局限于该站点自身, 这样不能可以很快找出有漏洞的站点, 同时也不会对其他站点造成影响。
(6) 设置复杂的密码。
这是一个基本的原则!无论是系统用户还是W e b程序用户, 必须有足够强壮的密码。
(7) 关闭不必要的其他服务和端口。
如果我们熟悉每个通过合法原因访问我们服务器的T C P端口, 那么我们可以通过Windows内置的防火墙或TCP过滤来阻塞所有我们不需要的端口。必须小心的使用这一工具, 因为我们并不希望将自己锁在W e b服务器之外, 特别是在当我们需要远程登陆服务器的情况下。
(8) 审核Web服务器。
经常审核对我们计算机的安全和性能有着较大的影响。根据情况修改安全审核策略, 通过查看系统事件查看器可对系统安全和性能事件进行分析。另外默认情况下, I I S会开启访问日志, 分析I I S日志能查询恶意访问和应用程序故障。
(9) 使用IIS防范工具。
这些工具有许多实用的优点, 然而, 请慎重的使用这个工具。如果我们的W e b服务器和其他服务器相互作用, 我们应该首先测试一下防范工具, 以确定它已经被正确的配置, 保证其不会影响W e b服务器与其他服务器之间的通讯。
2 结语
本文中阐述了在配置I I S时应注意的多个方面问题, 但是在实际应用中根据服务器实际状况不同, 各管理员应灵活运用本文中所述方法。相信本文能帮助读者打造一个属于自己的安全的IIS_Web服务器。
摘要:IIS易用性虽然很高, 但是默认设置仅仅提供基本的服务, 并不能保证安全性和可用性。本文将介绍一些IIS管理的技巧, 希望能给使用IIS的人员有些帮助。
关键词:IIS,安全策略,windows系统安全
参考文献
[1] 李进.windows服务器配置性能安全和注册表[M].科学出版社, 2004.
[2] 王达.《网管员必读-服务器与数据存储[M].电子工业出版社, 2007.
[3] 钟小平, 张金石.网络服务器配置与应用[M].人民邮电出版社, 2007.
[4] (美) ELFRIEDE DUSTIN;JEFF RASHKA;DOUGLAS MCDIARMID, 潘英[译].优质web系统性能、安全性和可用性[M].清华大学出版社, 2003.
【打造安全的IISWeb服务器】相关文章:
1电力企业打造服务文化品牌的探索04-26
美容院细节打造高品质的服务07-20
打造服务型高校行政管理模式的策略10-06
某火车站段打造诚信服务品牌情况的汇报04-08
打造电力企业安全文化的核心是打造“人”05-07
创新服务理念打造服务品牌05-25
把第三方服务打造成产业发展的新引擎09-12
服务品牌打造范文05-25