IIS(Internet Information Server)作為當(dāng)今流行的Web服務(wù)器之一�,提供了強(qiáng)大的Internet和Intranet服務(wù)功能�����。怎樣加強(qiáng)IIS的安全機(jī)制�,建立高安全性能的可靠的Web服務(wù)器���,已成為網(wǎng)絡(luò)管理的重要組成部分�。
以Windows NT的安全機(jī)制為基礎(chǔ)
1.應(yīng)用NTFS文件系統(tǒng)
NTFS文件系統(tǒng)可以對(duì)文件和目錄進(jìn)行管理�,F(xiàn)AT文件系統(tǒng)則只能提供共享級(jí)的安全,而Windows NT的安
全機(jī)制是建立在NTFS文件系統(tǒng)之上的��,所以在安裝Windows NT時(shí)最好使用NTFS文件系統(tǒng)�,否則將無(wú)法建立NT的安全機(jī)制。
2.共享權(quán)限的修改
在系統(tǒng)默認(rèn)情況下�����,每建立一個(gè)新的共享�����,Everyone用戶(hù)就享有“完全控制”的共享權(quán)限�,因此��,在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限��。
3.為系統(tǒng)管理員賬號(hào)更名
域用戶(hù)管理器雖可限制猜測(cè)口令的次數(shù)��,但對(duì)系統(tǒng)管理員賬號(hào)(adminstrator)卻無(wú)法限制����,這就可能給非法用戶(hù)攻擊管理員賬號(hào)口令帶來(lái)機(jī)會(huì)��,通過(guò)域用戶(hù)管理器對(duì)管理員賬號(hào)更名不失為一種好辦法��。具體設(shè)置方法如下:
選擇“開(kāi)始”選單→“程序”→啟動(dòng)“域用戶(hù)管理器”→選中“管理員賬號(hào)(adminstrator)”→選擇“用戶(hù)”選擇→“ 重命名”��,對(duì)其進(jìn)行修改���。
4.取消TCP/IP上的NetBIOS綁定
NT系統(tǒng)管理員可以通過(guò)構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像�����,對(duì)Internet或Intranet上的其他服務(wù)器進(jìn)行管理�,但非法用戶(hù)也可從中找到可乘之機(jī)����。如果這種遠(yuǎn)程管理不是必須的�,就應(yīng)該立即取消(通過(guò)網(wǎng)絡(luò)屬性的綁定選項(xiàng)���,取消NetBIOS與TCP/IP之間的綁定)�。
設(shè)置IIS的安全機(jī)制
1.安裝時(shí)應(yīng)注意的安全問(wèn)題
1)避免安裝在主域控制器上
安裝IIS之后���,在安裝的計(jì)算機(jī)上將生成IUSR_Computername匿名賬戶(hù)。該賬戶(hù)被添加到域用戶(hù)組中�����,從而把應(yīng)用于域用戶(hù)組的訪(fǎng)問(wèn)權(quán)限提供給訪(fǎng)問(wèn)Web服務(wù)器的每個(gè)匿名用戶(hù)����,這不僅給IIS帶來(lái)潛在危險(xiǎn),而且還可能威脅整個(gè)域資源的安全��。所以要盡可能避免把IIS服務(wù)器安裝在域控制器上���,尤其是主域控制器上��。
2)避免安裝在系統(tǒng)分區(qū)上把IIS安裝在系統(tǒng)分區(qū)上��,會(huì)使系統(tǒng)文件與IIS同樣面臨非法訪(fǎng)問(wèn)�����,容易使非法用戶(hù)侵入系統(tǒng)分區(qū)��,所以應(yīng)該避免將IIS服務(wù)器安裝在系統(tǒng)分區(qū)上����。
2.用戶(hù)的安全性
1)匿名用戶(hù)訪(fǎng)問(wèn)權(quán)限的控制
安裝IIS后產(chǎn)生的匿名用戶(hù)IUSR_Computername(密碼隨機(jī)產(chǎn)生),其匿名訪(fǎng)問(wèn)給Web服務(wù)器帶來(lái)潛在的安全性問(wèn)題�,應(yīng)對(duì)其權(quán)限加以控制。如無(wú)匿名訪(fǎng)問(wèn)需要���,則可以取消Web的匿名訪(fǎng)問(wèn)服務(wù)���。具體方法:
選擇“開(kāi)始”選單→“程序”→“ Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→取消其匿名訪(fǎng)問(wèn)服務(wù)。
2)控制一般用戶(hù)訪(fǎng)問(wèn)權(quán)限
可以通過(guò)使用數(shù)字與字母(包括大小寫(xiě))結(jié)合的口令���,使用長(zhǎng)口令(一般應(yīng)在6位以上)�����,經(jīng)常修改密碼����,封鎖失敗的登錄嘗試以及設(shè)定賬戶(hù)的有效期等方法對(duì)一般用戶(hù)賬戶(hù)進(jìn)行管理。
3.IIS三種形式認(rèn)證的安全性
1)匿名用戶(hù)訪(fǎng)問(wèn):允許任何人匿名訪(fǎng)問(wèn)���,在這三種中安全性最低�。
2)基本(Basic)認(rèn)證:用戶(hù)名和口令以明文方式在網(wǎng)絡(luò)上傳輸����,安全性能一般。
3)Windows NT請(qǐng)求/響應(yīng)方式:瀏覽器通過(guò)加密方式與IIS服務(wù)器進(jìn)行交流��,有效地防止了竊聽(tīng)者�����,是安全性比較高的認(rèn)證形式(需IE 3.0以上版本支持)��。
4.訪(fǎng)問(wèn)權(quán)限控制
1)設(shè)置文件夾和文件的訪(fǎng)問(wèn)權(quán)限:安放在NTFS文件系統(tǒng)上的文件夾和文件�����,一方面要對(duì)其權(quán)限加以控制�����,對(duì)不同的組和用戶(hù)設(shè)置不同的權(quán)限��;另外����,還可以利用NTFS的審核功能對(duì)某些特定組的成員讀、寫(xiě)文件等方面進(jìn)行審核�,通過(guò)監(jiān)視“文件訪(fǎng)問(wèn)”、“用戶(hù)對(duì)象的使用”等動(dòng)作����,來(lái)有效地發(fā)現(xiàn)非法用戶(hù)進(jìn)行非法活動(dòng)的前兆,及時(shí)加以預(yù)防和制止����。具體方法:
選擇“開(kāi)始”選單→“程序”→啟動(dòng)“域用戶(hù)管理器” →選擇“規(guī)則”選項(xiàng)卡下的“審核”選項(xiàng)→設(shè)置“審核規(guī)則”。
2)設(shè)置WWW目錄的訪(fǎng)問(wèn)權(quán)限:已經(jīng)設(shè)置成Web目錄的文件夾����,可以通過(guò)*作Web站點(diǎn)屬性頁(yè)實(shí)現(xiàn)對(duì)WWW目錄訪(fǎng)問(wèn)權(quán)限的控制,而該目錄下的所有文件和子文件夾都將繼承這些安全機(jī)制�。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外,還提供讀取權(quán)限——允許用戶(hù)讀取或下載WWW目錄中的文件�;執(zhí)行權(quán)限 ——允許用戶(hù)運(yùn)行WWW目錄下的程序和腳本。具體設(shè)置方法如下:
選擇“開(kāi)始”選單→“程序”→“Microsoft InternetServer(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→選擇“目錄”選項(xiàng)卡→選定需要編輯的WWW目錄→選擇“編輯屬性”中的“目錄屬性”進(jìn)行設(shè)置�。
5.IP地址的控制
IIS可以設(shè)置允許或拒絕從特定IP發(fā)來(lái)的服務(wù)請(qǐng)求,有選擇地允許特定節(jié)點(diǎn)的用戶(hù)訪(fǎng)問(wèn)??梢酝ㄟ^(guò)設(shè)置來(lái)阻止指定IP地址外的網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)你的Web服務(wù)器。具體設(shè)置方法如下:
選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→啟動(dòng)Web屬性頁(yè)中“高級(jí)”選項(xiàng)卡���;進(jìn)行IP地址的控制設(shè)置��。
6.端口安全性的實(shí)現(xiàn)
對(duì)于IIS服務(wù)���,無(wú)論是WWW站點(diǎn)、Fpt站點(diǎn)�����,還是NNpt����、SMpt服務(wù)等都有各自偵聽(tīng)和接收瀏覽器請(qǐng)求的TCP端口號(hào)(Post)��,一般常用的端口號(hào)為:WWW是80�,F(xiàn)pt是21,SMpt是25�����,你可以通過(guò)修改端口號(hào)來(lái)提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置���,只有知道端口號(hào)的用戶(hù)才可以訪(fǎng)問(wèn)�,不過(guò)用戶(hù)在訪(fǎng)問(wèn)時(shí)需要指定新端口號(hào)�。