近期精彩文章导读
| 新手入门之服务器操作系统Unix篇 | 新手入门之认识服务器热插拔技术 |
| 轻松玩转远程桌面(另类远程管理) | 轻松玩转远程桌面(突破系统的缺陷) |
| 轻松玩转远程桌面(使用技巧揭密) | 轻松玩转远程桌面(基本使用方法) |
| 网管经验谈:服务器成功维护经历纪实 | 保护服务器就要多种方式打补丁(图) |
| 手把手教你玩转NAS之实战篇(图) | 手把手教你玩转NAS之新手入门(图) |
【IT168 专稿】上期(《打造坚固WWW大厦之十全大补(图)》)为大家介绍了WWW服务赖以生存的操作系统的安全性,当然如果仅仅从操作系统上做防护是远远不够的,毕竟WWW服务是由WINDOWS下的IIS提供的,IIS的安全与否直接关系到WWW服务的稳定。今天我们就来谈一谈IIS自身安全性的防护。
一、删除危险的IIS组件
有些默认安装的IIS组件可能会造成安全威胁,比如internet服务管理器(HTML),SMTP service等,我们可以根据自己需要将这些不用的组件删除掉。方法如下:
第一步:通过任务栏的“开始->控制面板->添加删除程序”,在左边找到添加删除WINDOWS组件。
第二步:在组件中依次找到“应用程序服务器->internet信息服务(IIS)”。(如图1)
第三步:在internet信息服务(IIS)窗口中将不必要的组件全部删除,这样就最有效的杜绝了这些无用组件带来的安全威胁。
&picid=342844.jpg) |
| 图1 点击看大图 |
小提示:如果服务器只开放WWW服务,则可以在第三步中将FTP服务也删除掉。
二、删除不必要的应用程序映射
IIS中默认存在很多应用程序映射,除了ASP文件其他的文件映射关系都很少用到,由于IIS的一些程序映射存在安全漏洞,所以建议删除不必要的应用程序映射,减少发生安全问题的可能。方法如下:
第一步:通过任务栏的“开始->管理工具->IIS启动管理器”。
第二步:打开网站下级目录,在“默认网站”上点鼠标右键选择“属性”。
第三步:在默认网站属性窗口中找到“主目录”标签,在应用程序设置处按“配置”按钮,将无用的应用程序映射删除即可。(如图2)
&picid=342846.jpg) |
| 图2 点击看大图 |
小提示:如果需要某类应用程序映射时必须安装最新的系统修补补丁,并且选中相应的程序映射再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“确认文件是否存在”选项。这样当客户请求这类文件时IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
三、启用过期内容
启用过期内容就是指通过设置来保证自己站点的过期信息不被发布出去。这样有利于净化用户的WEB站点,并且有利于访问者进行信息查找。在启用过期内容时可以直接为整个站点设置也可以为某个目录单独设置。具体设置步骤如下:
第一步:通过任务栏的“开始->管理工具->IIS启动管理器”。
第二步:打开网站下级目录,在“默认网站”上点鼠标右键选择“属性”。
第三步:在默认网站属性窗口中找到“HTTP头”标签,勾选“启用内容过期”。然后设置内容过期时间,选择“在此过期时刻以后过期”然后在文本框中输入一个数值并在其后的下拉菜单中选择一个时间单位,如30天。这样在30天以后访问者就不能再访问该站点现在的信息了。(如图3)
&picid=342848.jpg) |
| 图3 点击看大图 |
小提示:我们也可以设置过期的具体日期,例如2005年5月8日24:00。
四、加强IIS日志安全管理
网络中没有服务器是万无一失的,任何WWW服务器都有可能被黑客攻击。如何在第一时间查明是否被攻击以及被攻击的程度呢?IIS的日志记录可以帮助我们。日志记录对于网络管理员是非常重要的,当网站遭受黑客攻击时可以通过日志发现查找攻击者。具体操作如下:
第一步:通过任务栏的“开始->管理工具->IIS启动管理器”。
第二步:打开网站下级目录,在“默认网站”上点鼠标右键选择“属性”。
第三步:在默认网站的属性对话框中选择“网站”标签,勾选启用日志记录。(如图4)
&picid=342850.jpg) |
| 图4 点击看大图 |
第四步:点“属性”按钮打开日志记录属性对话框,在默认情况下IIS的日志存放在系统目录的SYSTEM32目录下的LOGFILE中,黑客非常清楚这个存放位置,一般在攻击后都会删除该目录下的日志文件,我们可以通过“浏览”按钮设置为其他路径。(如图5)
&picid=342852.jpg) |
| 图5 点击看大图 |
第五步:在资源管理器中设置日志访问权限,设置只有管理员才能访问,另外要注意的是日志文件要存放在NTFS格式的分区中才能进行权限的设置。
小提示:我们还可以通过对IIS中的不同文件分类设置相应的权限来提高IIS安全,具体是通过默认网站的属性中的“网站”标签对网站的权限进行设置的。设置时依照为WEB站点上不同类型的文件建立目录,然后给他们分配适当权限的原则即可。
五、有备无患IIS
数据被毁!系统被攻击!怎么办?亡羊补牢尤为迟也,你是否做了备份呢?为防患于未燃,建议平时做好IIS的备份工作。这样即使网站崩溃也可以在第一时间迅速将备份信息恢复,使网站继续提供服务。具体步骤如下:
第一步:在internet信息服务IIS管理器对话窗口中的“网站”上点鼠标右键选择“所有任务->将配置保存到一个文件”。(如图6)
&picid=342855.jpg) |
| 图6 点击看大图 |
第二步:在弹出的将配置保存到一个文件窗口中输入要保存的文件名和路径。如果要加密请勾选“用密码对配置进行加密”并设置密码即可。(如图7)
|
| 图7 |
第三步:备份还原时直接在internet信息服务IIS管理器对话窗口中的“网站”上点鼠标右键选择“新建->网站(来自文件),在导入配置对话框中选择原来保存的文件,然后点“读文件”按钮就可以恢复IIS站点了。
总结:经过上面介绍的五种方法我们有效的提高了IIS站点的安全性,更好的为我们提供了WWW服务。不过任何服务器都是存在漏洞的,仅仅依靠上面介绍的几个方法是远远不够的,只有不断学习不断提高网络管理员自身安全水平才能将整个网络的安全性提升到一个更高的高度,保证公司服务的正常运行。(完)
