网络安全之小技巧保护(IIS)Web服务器

　　通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供实时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

　　高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外，他们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多他们的私有部门也面临着相似的局面)。

　　正因为如此，我在这里将为预算而头疼的大学IT经理们提供一些技巧，以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的，但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上，这里面的一些技巧对拥有强大预算的IIS管理人员也是很有用的。

　　首先，研发一套安全策略

　　保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。假如公司高层没有把服务器的安全看作是必须被保护的资产，那么保护工作是完全没有意义的。这项工作需要长期的努力。假如预算不支持或他不是长期IT战略的一部分，那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
　
　　网络管理员为各方面资源建立安全性的直接结果是什么呢？一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层，管理层人员又会去质问网络管理员究竟发生了什么。那么，网络管理员没办法建立支持他们安全工作的文档，因此，冲突发生了。

　　通过标注Web服务器安全级别连同可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。

　　IIS安全技巧

　　微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。我将要为您们提供的是个清单，服务器操作员也许会发现这是很有用的。

　　1. 保持Windows升级：

　　您必须在第一时间及时地更新任何的升级，并为系统打好一切补丁。考虑将任何的更新下载到您网络上的一个专用的服务器上，并在该机器上以Web的形式将文档发布出来。通过这些工作，您能够防止您的Web服务器接受直接的Internet访问。

　　2. 使用IIS防范工具：

　　这个工具备许多实用的长处，然而，请慎重的使用这个工具。假如您的Web服务器和其他服务器相互作用，请首先测试一下防范工具，以确定他已被正确的配置，确保其不会影响Web服务器和其他服务器之间的通讯。

　　3. 移除缺省的Web站点：

　　很多攻击者瞄准inetpub这个文档夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问您的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能碰到麻烦。将您真实的Web站点指向一个背部分区的文档夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分周详阐述)。

　　4. 假如您并无需FTP和SMTP服务，请卸载他们：

　　进入电脑的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，假如您执行身份认证，您会发现您的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文档夹的写权限的服务。通过禁用这两项服务，您能避免更多的黑客攻击。

　　5. 有规则地检查您的管理员组和服务：

　　有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已成功地进入了您的系统，他或她可能冷不丁地将炸弹扔到您的系统里，这将会突然摧毁您的整个系统，或占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，您只能重新格式化您的磁盘，从备份服务器恢复您每天备份的文档。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为您每天的任务。您应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程式，叫作tlist.exe，他能列出每种情况运行在svchost 之下的服务。运行这个程式能够寻找到一些您想要知道的隐藏服务。给您一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道他们各自有什么作用，请点击这里。

　　6. 严格控制服务器的写访问权限：

　　这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望和其他的职员共享他们的工作信息。服务器上的文档夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置您的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

　　7. 配置复杂的密码：

　　我最近进入到教室，从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。假如有用户使用弱密码 (例如"password"或是 changeme"或任何字典单词)，那么黑客能快速并简单的入侵这些用户的账号。

　　8. 减少/排除Web服务器上的共享：

　　假如网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文档，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有