- 1、本文档共47页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
精心配置IIS打造安全Web服务器200652711554962
IIS加固精心配置IIS打造安全Web服务器因为IIS(Internet Information Server)的方便性和易用性,所以成为最受欢迎的Web服务器软件之一.但是,IIS从诞生起,其安全性就一直受到人们的置疑,原因在于其经常被发现有新的安全漏洞.虽然IIS的安全性与其他的Web服务软件相比有差距,不过,只要我们精心对IIS进行安全配置,仍然能建立一个安全性的Web服务器的.构造一个安全的Windows 2000 操作系统要创建一个安全可靠的Web服务器,必须要实现Windows 2000操作系统和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全.实际上,Web服务器安全的根本就是保障操作系统的安全.使用NTFS文件系统在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性.而在NTFS文件下,建立新共享后可以通过修改权限保证系统安全.关闭默认共享在Windows 2000中,有一个默认共享,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个默认共享,以保证系统安全.方法是:单击开始/运行,在运行窗口中输入Regedit,打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项,添加键值AutoShareServer,类型为REG_DWORD,值为0. 这样就可以彻底关闭默认共享.共享权限的修改在系统默认情况下,每建立一个新的共享,Everyone用户就享有完全控制的共享权限,因此,在建立新的共享后应该立即修改Everyone的缺省权限,不能让Web服务器访问者得到不必要的权限,给服务器带来被攻击的危险.为系统管理员账号改名对于一般用户,我们可以在本地安全策略中的帐户锁定策略中限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,所以我们需要将管理员账号更名.具体设置方法如下:鼠标右击我的电脑 管理,启动计算机管理程序,在本地用户和组中,鼠标右击管理员账号(administrator),选择重命名,将管理员帐号修改为一个很普通的用户名即可.禁用TCP/IP 上的NetBIOSNetBIOS是许多安全缺陷的源泉,所以我们需要禁用它.鼠标右击桌面上网络邻居 属性 本地连接 属性,打开本地连接属性对话框.选择Internet协议(TCP/IP) 属性 高级 WINS,选中禁用TCP/IP上的NetBIOS一项即可解除TCP/IP上的NetBIOS,如图1.TCP/IP上对进站连接进行控制方法一 利用TCP/IP筛选鼠标右击桌面上网络邻居 属性 本地连接 属性,打开本地连接属性对话框.选择Internet协议(TCP/IP) 属性 高级 选项, 在列表中单击选中TCP/IP筛选选项.单击属性按钮,选择只允许,再单击添加按钮,如图2,只填入80端口即可.方法二 利用IP安全策略IPSec Policy Filters(IP安全策略过滤器)弥补了传统TCP/IP设计上的随意信任重大安全漏洞,可以实现更仔细更精确的TCP/IP安全.它是一个基于通讯分析的策略,将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输.我们同样可以设置只允许80端口的数据通过,其它端口来的数据一律拦截.防范拒绝服务攻击DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作.改写注册表信息虽然不能完全阻止这类攻击,但是可以降低其风险.打开注册表:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2.这样可以使TCP/IP调整SYN-ACKS的重传,当出现SYN-ATTACK迹象时,使连接对超时的响应更快.保证IIS自身的安全性IIS安全安装在保证系统具有较高安全性的情况下,还要保证IIS的安全性.要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题.不要将IIS安装在系统分区上默认情况
您可能关注的文档
- 第04章_组织市场和购买行为分析.ppt
- 第05章 微机保护.ppt
- 第05章 静电场 5-4 电场强度通量 高斯定理马文蔚《物理学》 课件.ppt
- 第03讲 三类负荷法.ppt
- 第04章-复合材料结构设计基础.ppt
- 第05课中国古代壁画.ppt
- 第07章 氢的储存.doc
- 第06章-随机性决策的应用与行为决策理论.ppt
- 第07章 消息认证与散列函数.ppt
- 第04章_设置颜色与绘画工具.ppt
- 分析let s单元56ago2卷纸zheng unit56.pdf
- 塑胶材料其它分类原料pa9t 12.pdf
- md16x16数字媒体切换器设备.pdf
- 者参考项目发起人学科类型单位序列承包商修订页代码顺序典型.pdf
- 届世界天然气大会阿姆斯特丹2006add10288.pdf
- 期测试记录表每周weekly g1g6 journeys tests level 6 lesson26.pdf
- modernize-whitepaper现代化您应用程序白皮书.pdf
- anybackup产品典型案例分析.pdf
- 约克金融工程课程tfeslide32.pdf
- 广州市妇女儿童医疗中心历份教学药历01tjy.pdf
文档评论(0)