因為IIS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務器軟件之一。但是,IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器,是很多人關心的話題。要創建一個安全可靠的Web服務器,必須要實現Windows 2003和IIS的雙重安全,因為IIS的用戶同時也是Windows 2003的用戶,並且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制,所以保護IIS安全的第一步就是確保Windows 2000操作系統的安全,所以要對服務器進行安全加固,以免遭到黑客的攻擊,造成嚴重的後果。
我們通過以下幾個方面對您的系統進行安全加固:
1. 系統的安全加固:我們通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固您的系統,整體提高服務器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站點的安全性,合理分配用戶權限,配置相應的安全策略,有效的防止iis用戶溢出提權。
3. 系統應用程序加固,提供應用程序的安全性,例如sql的安全配置以及服務器應用軟件的安全加固。
系統的安全加固:
1.目錄權限的配置:
1.1 除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權,之後再對其下的子目錄作單獨的目錄權限,如果WEB站點目 錄,你要為其目錄權限分配一個與之對應的匿名訪問帳號並賦予它有修改權限,如果想使網站更加堅固,可以分配只讀權限並對特殊的目錄作可寫權限。
1.2 系統所在分區下的根目錄都要設置為不繼承父權限,之後為該分區只賦予Administrators和SYSTEM有完全控制權。
1.3 因為服務器只有管理員有本地登錄權限,所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權,其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。 因為如果你安裝有PCAnyWhere那麼他的的配置信息都保存在其下,使用webshell或FSO可以輕松的調取這個配置文件。
1.4 配置Program files目錄,為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。
1.5 配置Windows目錄,其實這一塊主要是根據自身的情況如果使用默認的安全設置也是可行的,不過還是應該進入SYSTEM32目錄下,將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。
1.6審核MetBase.bin,C:/WINNT/system32/inetsrv目錄只有administrator只允許Administrator用戶讀寫。
2.組策略配置:
在用戶權利指派下,從通過網絡訪問此計算機中刪除Power Users和Backup Operators;
啟用不允許匿名訪問SAM帳號和共享;