IIS信息安全.pptVIP

Internet信息服务安全 IIS即Internet信息服务，是一个用于配置应用程序池或网站、FTP 站点、SMTP或NNTP站点的工具，功能十分强大。利用IIS管理器，管理员可以配置IIS安全、性能和可靠性功能，可添加或删除站点，启动、停止和暂停站点，备份和还原服务器配置，创建虚拟目录以改善内容管理等。正是因为IIS具有如此强大的功能，它的安全问题也更加受到人们的重视，需要设置IIS的安全来保护系统中的数据。 在安装IIS时应注意以下问题： 避免安装在主域控制器上。安装IIS之后，在安装的计算机上将生成“IUSR_计算机名”匿名账户，该账户会被添加到域用户组中，从而把应用于域用户组的访问权限也会提供给访问IIS服务器的每个匿名用户，这不仅给IIS带来了潜在危险，而且还可能威胁整个域资源的安全。因此，要尽可能避免把IIS服务器安装在域控制器上，尤其是主域控制器上。 避免安装在系统分区上。把IIS安装在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区，所以在安装IIS的Web、FTP等服务时，应该尽量避免将IIS服务器安装在系统分区上。 避免安装在非NTFS分区上。相对于FAT32分区而言，NTFS分区拥有较高的安全性和磁盘利用效率，可以设置复杂的访问权限，以适应不同信息服务的需求。 只安装必需的组件。除非特别需要，请不要安装FrontPage服务器扩展、Internet打印等组件，以避免恶意用户借助相应的组件漏洞或设置错误，实现对IIS服务器的攻击。 定制需要的安全功能组件。IIS 7.0提供的更为丰富的安全功能设置，管理员可以根据IIS服务器的需求定制适当的安全限制。 Web安全 Web服务是Internet中最基础的服务之一，不仅被用于搭建信息发布、信息查询、电子商务、电子政务等各种Web网站，而且还被作为文件传输服务、流媒体服务、邮件服务、系统更新服务等网络服务的运行平台。因此，Web服务的安全决定着多种网络服务的安全，也决定着整个Windows系统的安全。 由IIS搭建的Web网站，默认允许所有用户匿名连接，即访问时无需进行身份验证，不用键入用户名和密码。但是，对一些安全性要求高的Web网站，或者Web网站中拥有敏感信息时，也可以采用多种用户认证方式，对用户进行身份验证，从而确保只有授权用户才能实现对Web信息的访问和浏览。 依次选择“开始”→“管理工具”→“Internet信息服务（IIS）管理器”选项，打开“Internet信息服务（IIS）管理器”窗口，依次展开“LIUXH （服务器名称）”→“网站”→“Default Web Site（默认Web站点）”选项，在右侧主窗口中选择“身份验证”， 在“操作”栏中单击“打开功能”链接，或者直接双击“身份验证” 在“身份验证”窗口中，选择“匿名身份验证”并单击“操作”栏中的“编辑”链接，显示如图10-4所示“编辑匿名身份验证凭据”对话框。默认选择“特定用户”单选按钮，IIS 7.0默认使用安装过程中自动创建的IUSR，作为用户名进行匿名访问。如果选择“应用程序池标识”单选按钮，则可以允许IIS进程，使用在应用程序池的属性页上指定的账户运行。 单击“设置”按钮，显示如图10-5所示“设置凭据”对话框。单击“确定”按钮，替换系统默认的IUSR账户，再次单击“确定”按钮，保存设置。 （5） 更改系统默认匿名访问账户，虽然可以起到一定的安全保护作用，但仍不能适用于安全需求较高的Web服务器。在“身份验证”窗口中，选择“匿名身份验证”选项，单击“操作”栏中的“禁用”链接，即可禁用匿名访问。此时，来访用户必须使用有效的用户账户凭证，通过Web服务器的身份验证，才可以进行正常访问。 （6） 继续在“身份验证”窗口中，选择希望使用的身份验证方式，并单击“操作”栏中的“启用”链接即可，例如选择“基本身份验证”方式。 访问权限限制 如果使用用户验证的方式，每次访问站点都需要键入用户名和密码，对于授权用户而言比较麻烦。由于IIS会检查每个来访者的IP地址，通过IP地址的访问来防止或允许某些特定的计算机、域甚至整个网络访问站点。因此，通过IP地址限制来在Internet上排除未知用户是非常有效的方法。同时，IIS 7.0还提供了基于Windows域的访问限制，管理员可以禁止或允许来自指定域的用户，访问站点或目录，该功能默认是未启用的。 （1） 在“Internet信息服务（IIS）管理器”的“Default Web Site主页”窗口中，双击“IPv4地址和域限制”图标，显示如图10-10所示“IPv4地址和域限制”窗口。 （2） 单击“添加允许条目”链接，打开“添加允许限制规则”对话框。系统默认选择“特定IPv4地址”单选按钮，在对应文本框中，输入想