科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Win2K IIS服务器安全构建指南(3)

Win2K IIS服务器安全构建指南(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Win2K操作系统的一个主要特色就是将IIS融入其内核之中,并提供一些用来配置和维护软件的向导工具,使构建一个Internet网站轻松易得。本文就帮助管理员一步步地实施网站安全构建工作。

作者:51CTO.COM 2007年10月29日

关键字: iis-server 安全配置 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  6、改写注册表降低被攻击风险

  DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击,但是可以降低其风险,所以,建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。

  7、简化IIS5中的验证方法

  Win2K和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法,这包括:匿名访问、基本验证(密码用明文送出)、Windows域服务器的简要验证、集成Windows验证等等。

  

  

  对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!

  8、为IIS5中的文件分类设置权限

  除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:

  ● Scripts目录:包含站点的所有脚本文件,如cgi、vbs、asp等等,为这个文件夹设置“纯脚本”执行许可权限。

  ● BIN目录:包含站点上的二禁止执行文件,应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。

  ● Static目录:包括所有静态文件,如HTM 或HTML,为这个文件夹设置“读权限”

  9、全力保护IIS metabase

  IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施:

  ● 把HTTP和FTP根文件夹从%systemroot%下移走

  ● 慎重考虑重新命名Metabase和移动Metabase位置

  ● 安全设置确定Metabase位置的注册表关键字

  ● 审核所有试图访问并编辑Metabase的失败日志

  ● 删除文件%systemroot%\system32\inetserv\Iissync.exe

  ● 为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制

  完成IIS配置后对Metabase 进行备份,这时会创建文件夹%systemroot%\system32\inetserv\MetaBack,备份文件就存储在其中。对于这个地方,要采取如下措施进行保护:

  ● 审核对\MetaBack文件夹的所有失败访问尝试

  ● 为\MetaBack文件夹设置如下权限:Administrators/完全控制,System/完全控制

  最后,要保护能够编辑Metabase的工具,步骤是:

  ● 移走文件夹\Inetpub\Adminscripts,这里包含着IIS的所有管理脚本

  ● 将"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下,并调整相应的开始菜单快捷方式。

  ● 审核对\Adminscripts文件夹的所有失败访问尝试

  ● 对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为“Administrators/完全控制”。

  ● 对\Adminscripts文件夹设置权限“Administrators/完全控制”。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章