Windows2003中IIS的安全設置技巧

在Windows Server 2003中對於IIS的安全設置具備十分重要的意義，因此掌握IIS安全設置的六大技巧是一個網管員必備的基本技能。下面就是對IIS的安全設置的六大技巧。

 

技巧一、安裝系統補丁

安裝好操做系統以後，最好能在託管以前就完成補丁的安裝，配置好網絡後，若是是2000則肯定安裝上了SP4，若是是Windows Server 2003 系統，則最好安裝上SP1，而後點擊開始→Windows Update，安裝全部的關鍵更新。

技巧二、設置端口保護和防火牆

Windows Server 2003 系統的端口屏蔽能夠經過自身防火牆來解決，這樣比較好，比篩選更有靈活性，桌面—>網上鄰居—>（右鍵）屬性—>本地鏈接—>（右鍵）屬性—>高級—>（選中）Internet 鏈接防火牆—>設置，把服務器上面要用到的服務端口選中 便可。

例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）

在「FTP 服務器」、「WEB服務器（HTTP）」、「遠程桌面」前面打上對號

若是你要提供服務的端口不在裏面，你也能夠點擊「添加」銨鈕來添加，具體參數能夠參照系統裏面原有的參數。

而後點擊肯定。注意：若是是遠程管理這臺服務器，請先肯定遠程管理的端口是否選中或添加。

技巧三、合理的權限設置

須要重點設置以下三種權限：

WINDOWS用戶，在WINNT系統中大多數時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS權限設置，請記住分區的時候把全部的硬盤都分爲NTFS分區，而後咱們能夠肯定每一個分區對每一個用戶開放的權限。【文件（夾）上右鍵→屬性→安全】在這裏管理NTFS文件（夾）權限。

IIS匿名用戶，每一個IIS站點或者虛擬目錄，均可以設置一個匿名訪問用戶（如今暫且把它叫「IIS匿名用戶」），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具備的權限，就是這個「IIS匿名用戶」所具備的權限。

設置好上述用戶和文件系統權限後，還要記住設置以下的磁盤權限，設置原則以下：

系統盤及全部磁盤只給 Administrators 組和 SYSTEM 的徹底控制權限

系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限

系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限

系統盤\Inetpub 目錄及下面全部目錄、文件只給 Administrators 組和 SYSTEM 的徹底控制權限

系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的徹底控制權限

技巧四、禁用沒必要要的服務

操做路徑爲：開始菜單—>管理工具—>服務

 

1. Print Spooler   
2. Remote Registry   
3. TCP/IP NetBIOS Helper   
4. Server  

 

以上是在Windows Server 2003 系統上面默認啓動的服務中禁用的，默認禁用的服務如沒特別須要的話不要啓動。

技巧五、卸載不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存爲一個.BAT文件，( 如下均以 WIN2000 爲例，若是使用Windows Server 2003 系統，則系統文件夾應該是 C:\WINDOWS\ )

 

1. regsvr32/u C:\WINNT\System32\wshom.ocx   
2. del C:\WINNT\System32\wshom.ocx   
3. regsvr32/u C:\WINNT\system32\shell32.dll   
4. del C:\WINNT\system32\shell32.dll  

 

而後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示沒法刪除文件，不用管它，重啓一下服務器便可。

技巧六、IIS服務器安全的防禦原則

通常狀況下，黑客老是瞄準論壇等程序，由於這些程序都有上傳功能，他們很容易的就能夠上傳ASP木馬，即便設置了權限，木馬也能夠控制當前站點的全部文件了。另外，有了木馬就而後用木立刻傳提高工具來得到更高的權限，咱們關閉shell組件的目的很大程度上就是爲了防止攻擊者運行提高工具。

若是論壇管理員關閉了上傳功能，則黑客會想辦法得到超管密碼，好比，若是你用動網論壇而且數據庫忘記了更名，人家就能夠直接下載你的數據庫了，而後距離找到論壇管理員密碼就不遠了。

做爲管理員，咱們首先要檢查咱們的ASP程序，作好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個服務器，由於若是你的服務器上還爲朋友開了站點，你可能沒法肯定你的朋友會把他上傳的論壇作好安全設置。這就用到了前面所說的那一大堆東西，作了那些權限設置和防提高以後，黑客就算是進入了一個站點，也沒法破壞這個網站之外的東西。

更多內容：http://www.wangzhanjianshegs.com/北京網站建設