iis加固

1、IIS加固加固精心配置精心配置IIS打造安全打造安全Web服務(wù)器服務(wù)器因?yàn)镮IS（InterInfmationServer）的方便性和易用性，所以成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS從誕生起，其安全性就一直受到人們的置疑，原因在于其經(jīng)常被發(fā)現(xiàn)有新的安全漏洞。雖然IIS的安全性與其他的Web服務(wù)軟件相比有差距，不過(guò)，只要我們精心對(duì)IIS進(jìn)行安全配置，仍然能建立一個(gè)安全性的Web服務(wù)器的。構(gòu)造一個(gè)安全的構(gòu)造一個(gè)安全的Window

2、sWindows20002000操作系統(tǒng)操作系統(tǒng)要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows2000操作系統(tǒng)和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows2000的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows2000操作系統(tǒng)的安全。實(shí)際上，Web服務(wù)器安全的根本就是保障操作系統(tǒng)的安全。使用使用NTFSNTFS文件系統(tǒng)文件系統(tǒng)在NT系統(tǒng)

3、中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對(duì)文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享級(jí)的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。而在NTFS文件下，建立新共享后可以通過(guò)修改權(quán)限保證系統(tǒng)安全。關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享在Windows2000中，有一個(gè)“默認(rèn)共享”，這是在安裝服務(wù)器的時(shí)候，把系統(tǒng)安裝分區(qū)自動(dòng)進(jìn)行共享，雖然對(duì)其訪問(wèn)還需要超級(jí)用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮

4、，最好關(guān)閉這個(gè)“默認(rèn)共享”，以保證系統(tǒng)安全。方法是：?jiǎn)螕簟伴_(kāi)始運(yùn)行”，在運(yùn)行窗口中輸入“Regedit”，打開(kāi)注冊(cè)表編輯器，展開(kāi)“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項(xiàng)，添加鍵值A(chǔ)utoShareServer，類型為REG_DWD，值為0。這樣就可以徹底關(guān)閉“默認(rèn)共享”。共享權(quán)限的修改共享權(quán)限的修改在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的

5、共享，Everyone用戶就享有“完全控制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限，不能讓W(xué)eb服務(wù)器訪問(wèn)者得到不必要的權(quán)限，給服務(wù)器帶來(lái)被攻擊的危險(xiǎn)。為系統(tǒng)管理員賬號(hào)改名為系統(tǒng)管理員賬號(hào)改名添加”按鈕，如圖2，只填入80端口即可。方法二利用IP安全策略IPSecPolicyFilters（IP安全策略過(guò)濾器）彌補(bǔ)了傳統(tǒng)TCPIP設(shè)計(jì)上的“隨意信任”重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCPIP安全。它

6、是一個(gè)基于通訊分析的策略，將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后據(jù)此允許或拒絕通訊的傳輸。我們同樣可以設(shè)置只允許80端口的數(shù)據(jù)通過(guò)，其它端口來(lái)的數(shù)據(jù)一律攔截。防范拒絕服務(wù)攻擊防范拒絕服務(wù)攻擊DDoS攻擊現(xiàn)在很流行，例如SYN使用巨量畸形TCP信息包向服務(wù)器發(fā)出請(qǐng)求，最終導(dǎo)致服務(wù)器不能正常工作。改寫(xiě)注冊(cè)表信息雖然不能完全阻止這類攻擊，但是可以降低其風(fēng)險(xiǎn)。打開(kāi)注冊(cè)表：將HKLMSystemCurrentContro

7、lSetServicesTcpipParameters下的SynAttackProtect的值修改為2。這樣可以使TCPIP調(diào)整SYNACKS的重傳，當(dāng)出現(xiàn)SYNATTACK跡象時(shí)，使連接對(duì)超時(shí)的響應(yīng)更快。保證保證IISIIS自身的安全性自身的安全性IIS安全安裝在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性。要構(gòu)建一個(gè)安全的IIS服務(wù)器，必須從安裝時(shí)就充分考慮安全問(wèn)題。不要將IIS安裝在系統(tǒng)分區(qū)上默認(rèn)情況下，IIS與操作系統(tǒng)

8、安裝在同一個(gè)分區(qū)中，這是一個(gè)潛在的安全隱患。因?yàn)橐坏┤肭终呃@過(guò)了IIS的安全機(jī)制，就有可能入侵到系統(tǒng)分區(qū)。如果管理員對(duì)系統(tǒng)文件夾、文件的權(quán)限設(shè)置不是非常合理，入侵者就有可能篡改、刪除系統(tǒng)的重要文件，或者利用一些其他的方式獲得權(quán)限的進(jìn)一步提升。將IIS安裝到其他分區(qū)，即使入侵者能繞過(guò)IIS的安全機(jī)制，也很難訪問(wèn)到系統(tǒng)分區(qū)。修改IIS的安裝默認(rèn)路徑IIS的默認(rèn)安裝的路徑是ipub，Web服務(wù)的頁(yè)面路徑是ipubwwwroot，這是任何一個(gè)熟