教你如何保護好你的IIS Web服務器

2011/5/24 9:41:31  出處：本站   人氣：11次    字號：小  中  大

這篇文章提供給大家，教你如何保護好你的IIS Web服務器，下面提供了十個步驟給大家參考，希望跟各位一起分享學習。

IIS（Internet Information Services，Internet 信息服務）是黑客們喜歡攻擊的對象。因此，對那些管理 IIS Web 服務器的來說，鎖定IIS是非常關鍵的。IIS 4.0 和IIS 5.0 的默認設置存在很多漏洞。

通過下面 10 步來保護 IIS：

1、為IIS 應用程序和數據專門安裝一個NTFS 設備。如果有可能，不要允許IUSER（或其它任何匿名用戶名）去訪問任何其它設備。如果應用程序因為匿名用戶無法訪問其它設備上的程序而出了問題，馬上使用Sysinternals 的FileMon檢測出哪個文件無法訪問，并吧這個程序轉移到IIS 設備上。如果無法做到這些，就允許IUSER 訪問且只能訪問這個文件。

2、在設備上設置NTFS 權限：

Developers = Full（所有權限）

IUSER = Read and execute only（讀和執行權限）

System and admin = Full（所有權限）

3、使用一個軟件防火墻，確認沒有終端用戶能夠訪問 IIS 計算機上的除了 80 端口之外的其它端口。

4、使用microsoft 工具鎖定計算機：IIS Lockdown和UrlScan.

5、啟用IIS 事件日志。除了使用IIS

事件日志之外，如果有可能的話，盡量也對防火墻啟用事件日志。

6、把日志文件從默認的存儲位置移走，并保證對它們的備份。為日志文件建立一個重復的拷貝，以確保這個放在第二位置的拷貝是可用的。

7、在計算機上啟用Windows 審核，因為當我們試圖去追蹤那些攻擊者的行為的時候，我們總是缺少足夠的數據。通過使用審核日志，甚至有可能擁有一個腳本來進行可疑行為的審核，這個腳本隨后會向管理員發送一個報告。這聽起來好像有點走極端了，不過如果對你的組織來說安全性非常重要的話，這樣做是最好的選擇。建立審核制度來報告任何失敗帳戶登錄行為。另外，同IIS日志文件一樣，把它的默認存儲位置(c:\winnt\system32\config\secevent.log)改到另外一個地方，并確保它有一個備份和一個重復的拷貝。

8、一般來說，盡你所能的查找安全方面的文章（從不同的地方），并按照它們進行實踐。在IIS和安全實踐方面，它們說的通常被你懂得的要好一些，而且不要只信服其他人（比如說我）告訴你的東西。

9、訂閱一份IIS 缺陷列表郵件，并堅持按時對它進行閱讀。其中一個列表是Internet Security Systems（Internet　安全系統）的X-Force Alerts and Advisories

10、最后，確保你定期的對Windows 進行了更新，并檢驗補丁是否被成功的安裝了。

通過這些精選的文章完成下面的步驟

TechRepublic

用最優的 IIS 日志來跟蹤用戶行為

感受安全工具為 IIS 帶來的好處

保護 IIS Web 服務器安全的十五個技巧（TechProGuild 成員資格必需）

使用工具加強 IIS 安全性（TechProGuild 成員資格必需）

Microsoft

加固 IIS 服務器

其它

IIS 5.0 安全配置和管理指南

IIS 安全檢驗表

加固 IIS 4.0 Web 服務器