当前页面位置: » 丰搜网 » 文档中心 » 详细内容
源码e家 - 网络学院 -文章首页 - 服务器技术 - iis安全保卫战(二) -
(4)为各项inte.net服务使用单独帐户(如果你计划运行的不止是web服务器的话),这使得跟踪用户的活动相当容易。
(5)核查,然后再三核查为指定进行匿名访问的帐户分配的权限和许可权。需要给用户分配最小的许可权,通常这是读许可权。
(6)只在你iis机器上存储非机密信息,并将信息放置在防火墙。这样,如果信息安全性遭到破坏,黑客仍必须穿越防火墙。
(7)在服务器上使用windows nt server的tcp/ip过滤功能,只允许连接到你需要支持iis服务的端口。比如,如果你只想运行web服务器只须启动端口80。
(8)如果用户利用非匿名帐户对服务器进行访问,务必通过加密口令进行验证。
三、安全性与web服务器web服务器是iis中一个强有力的功能全面的工具,它优于其他同类产品。它的性能得到优化。且作为windows nt server下的一项服务运行时,能为各种规模的网络提供快速、方便、安全的web出版功能。
(一)如何保护web服务器的安全呢?如果你计划建立web网站,要确保你web网站及其内容的安全以及你网络及其资源的安全,除了我们曾经提到过的安全措施外,你还要采取其它相应的手段。
**注意**由于iis提供的三种服务配置起来非常相似,故我们只详细介绍web服务器的配置,接着只说明ftp服务器和gopher服务器的差异。
1、用户和口令验证明首先你需要了解匿名访问的严重后果,并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权。若要设置用户对你的web服务器进行访问的类型,请在iis manager中双击www,调出你的web服务器再双击web服务器,就会显示出www service properties对话框。在对话框中,你可以看到,设置web服务器服务程序可以使用多种选项。对于安装的大多数的iis而言,缺省选项最好。然而,有两种关键的设置将决定用户对web网站的访问等级:匿名登录和口令验证。
如果你希望允许大众进行访问,一定要确保你同意匿名访问。按照缺省设置,当iis安装好后,在你的用户数据库就会创建一个新用户帐户,其名字为iusr_,后接已安装好的服务器名。举例说明:如果服务器名为samuel-1,新用户帐户则为iusr_samue-1。当帐户创建好,它被赋予有限的访问权,并增加到域用户、客人用户和everyone组中。
此外,iusr_帐户被赋予在本地登录的权限(logon locally)。所有web用户都必须具有这种权限,原因是他们的请求被传送至web服务器服务程序,该服务程序利用他们的帐户去登录,接着允许windows nt分配相应的访问权。
如果你希望所有用户按照特定的用户帐户和口令得到验证,你仅仅清除anonymous logon(匿名登录)选项即可。那将要求各用户在访问服务器的资源前输入有效的用户id和口令。如果你能启动启示功能,你就能查看到谁正访问web服务器以及他们所进行的操作。
另一项决定你网站安全性的重要设置是你想使用的口令验证类型,这里我们不再深入探讨。为了实现最大的安全性,你可以激活windows nt challenge/response选项,它在传输信息前对你的用户id和口令进行加密,从而保证帐户信息在网络安全传输。(遗憾的是只有microsoft inte.net explorer 2.0及2.0以上版本才支持这种功能。)
2、虚拟目录为确保你网站的安全性,配置web服务器可以看到的目录以及相应的访问层次也是很重要的。当你第一次安装iis时,按照缺省设置,它会自行创建一个叫做.netpub的目录(安装老版本的iis则创建.netpub),接着为其提供的inte.net服务生成根目录。web服务器的根目录缺省为wwwroot,它应当是你主页所在位置。接着你可以使用directories标签来增加存储额外内容的新目录。
3、web服务器安全提示如果你正运行web服务器,尽管你已根据以前所讨论过的内容采取了预防措施,也许仍有些安全漏洞有待于你填补。以下列出当提供web服务时,你应当采取的一般措施:
*停用.bat和.cmd文件的映射功能。如果黑客们拿到这些web服务器上的可执行文件的话,他们就可运行这些web文件。你通过取消对脚本程序的所有目录的阅读许可权,就可以停用某些文件夹映射功能。
*总是将你的脚本程序和数据存储在不同的目录,务必使包含脚本程序的目录只拥有执行许可权。
*禁止使用directory browsing allowed(允许目录浏览)。这一功能启动后会给出一个浏览器,该浏览器含有某个目录中的超文本文件列表,从而使黑客能篡改目录中的文件。
*避免使用remote virtual directories(远程虚拟目录)。务必将iis所有的可执行文件以及数据安装在同一台机器上,并利用ntfs来保护。当用户试图从远程目录访问文档时,总是使用输入到属性页上的用户名和口令,这就有可能绕过访问控制列表。*当编写和使用cgi脚本程序时,一定要小心。有经验的黑客也许会利用编写拙劣的cgi脚本程序来对你的系统进行访问。
*牢记特权最小的原则,如果你计划只运行web服务器,那么请只激活web服务器主机的端口80。
*全面测试你的web服务器——设法发现并弥补任何漏洞。最好的方法是,让可靠而且内行的同事设法破坏你网络的安全性。
*想了解额外的情况,请上网www.ncsa.com/webcert/sgl_site.html去查看ncsa web site certification program文档,寻求使你的web服务器安全的灵丹妙药。
四、安全性与ftp服务器ftp服务器是唯一一项允许用户通过inte.net将文件传输至你服务器的iis服务程序。设置ftp安全性能、用户和口令验证与web服务器大致相似。但是有一点值得你**注意**:用户名和口令将以明文(非加密)形式传输至ftp服务器服务程序,这意味着如果使用网络嗅探器就可以捕捉到这一信息,从而破坏网络的安全!
在你允许大众进行访问时,一定要熟悉ftp service properties页的current session钮。它告诉你哪个用户与ftp服务器相连,他们何时连接,以及他们已连接多长时间。
虚拟目录设置ftp服务器的目录与设置web服务器服务程序十分类似,一定要保证用户不能访问ftproot目录之外的目录,并要正确设置ftp目录的访问许可。
ftp服务器安全提示运行ftp服务器时,为保证安全你应当了解的以下事项:
1、谨记用户可以修改ftp服务器的目录。一定要确保他们无法进入ftproot目录以外的目录,同时要使用ntfs来保证你服务器的安全。
2、避免使用远程虚拟目录。当用户度图从远程目录访问文档时,总是要求其提供输入到属性页的用户名和口令,这就有可能绕过访问控制表表。
3、一定要启动记录功能,查找可疑活动,如在日志和事件查看器中查找没有成功的登录4、如果你只计划运行ftp服务器,只启动ftp主机的端口20和端口21。
5、全面测试你的ftp服务器,并设法找到任何漏洞。你还可以让一个可靠的内行的同事设法打入系统。
五、安全性和gopher服务器保护gopher服务器与保护ftp服务程序和web服务程序很类似,差别在于gopher只允许匿名登录。
