iis加固

1、IIS加固加固精心配置精心配置IIS打造安全打造安全Web服務器服務器因為IIS（InterInfmationServer）的方便性和易用性，所以成為最受歡迎的Web服務器軟件之一。但是，IIS從誕生起，其安全性就一直受到人們的置疑，原因在于其經常被發(fā)現有新的安全漏洞。雖然IIS的安全性與其他的Web服務軟件相比有差距，不過，只要我們精心對IIS進行安全配置，仍然能建立一個安全性的Web服務器的。構造一個安全的構造一個安全的Window

2、sWindows20002000操作系統(tǒng)操作系統(tǒng)要創(chuàng)建一個安全可靠的Web服務器，必須要實現Windows2000操作系統(tǒng)和IIS的雙重安全，因為IIS的用戶同時也是Windows2000的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統(tǒng)的權限控制，所以保護IIS安全的第一步就是確保Windows2000操作系統(tǒng)的安全。實際上，Web服務器安全的根本就是保障操作系統(tǒng)的安全。使用使用NTFSNTFS文件系統(tǒng)文件系統(tǒng)在NT系統(tǒng)

3、中應該使用NTFS系統(tǒng)，NTFS可以對文件和目錄進行管理，而FAT文件系統(tǒng)只能提供共享級的安全，而且在默認情況下，每建立一個新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。而在NTFS文件下，建立新共享后可以通過修改權限保證系統(tǒng)安全。關閉默認共享關閉默認共享在Windows2000中，有一個“默認共享”，這是在安裝服務器的時候，把系統(tǒng)安裝分區(qū)自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務器的安全考慮

4、，最好關閉這個“默認共享”，以保證系統(tǒng)安全。方法是：單擊“開始運行”，在運行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項，添加鍵值AutoShareServer，類型為REG_DWD，值為0。這樣就可以徹底關閉“默認共享”。共享權限的修改共享權限的修改在系統(tǒng)默認情況下，每建立一個新的

5、共享，Everyone用戶就享有“完全控制”的共享權限，因此，在建立新的共享后應該立即修改Everyone的缺省權限，不能讓Web服務器訪問者得到不必要的權限，給服務器帶來被攻擊的危險。為系統(tǒng)管理員賬號改名為系統(tǒng)管理員賬號改名添加”按鈕，如圖2，只填入80端口即可。方法二利用IP安全策略IPSecPolicyFilters（IP安全策略過濾器）彌補了傳統(tǒng)TCPIP設計上的“隨意信任”重大安全漏洞，可以實現更仔細更精確的TCPIP安全。它

6、是一個基于通訊分析的策略，將通訊內容與設定好的規(guī)則進行比較以判斷通訊是否與預期相吻合，然后據此允許或拒絕通訊的傳輸。我們同樣可以設置只允許80端口的數據通過，其它端口來的數據一律攔截。防范拒絕服務攻擊防范拒絕服務攻擊DDoS攻擊現在很流行，例如SYN使用巨量畸形TCP信息包向服務器發(fā)出請求，最終導致服務器不能正常工作。改寫注冊表信息雖然不能完全阻止這類攻擊，但是可以降低其風險。打開注冊表：將HKLMSystemCurrentContro

7、lSetServicesTcpipParameters下的SynAttackProtect的值修改為2。這樣可以使TCPIP調整SYNACKS的重傳，當出現SYNATTACK跡象時，使連接對超時的響應更快。保證保證IISIIS自身的安全性自身的安全性IIS安全安裝在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性。要構建一個安全的IIS服務器，必須從安裝時就充分考慮安全問題。不要將IIS安裝在系統(tǒng)分區(qū)上默認情況下，IIS與操作系統(tǒng)

8、安裝在同一個分區(qū)中，這是一個潛在的安全隱患。因為一旦入侵者繞過了IIS的安全機制，就有可能入侵到系統(tǒng)分區(qū)。如果管理員對系統(tǒng)文件夾、文件的權限設置不是非常合理，入侵者就有可能篡改、刪除系統(tǒng)的重要文件，或者利用一些其他的方式獲得權限的進一步提升。將IIS安裝到其他分區(qū)，即使入侵者能繞過IIS的安全機制，也很難訪問到系統(tǒng)分區(qū)。修改IIS的安裝默認路徑IIS的默認安裝的路徑是ipub，Web服務的頁面路徑是ipubwwwroot，這是任何一個熟