(课件)-IIS网站的安全性管理.pptVIP

IIS網站的安全性管理 羅英嘉 2007年4月 全球資訊網的威脅 網站安全性的保護層面 作業系統安全性原則 若無安全的作業環境，即無法提供安全性的網站 實體安全 (Physical Security) 採用高安全性的範本 即時更新作業系統的安全性修補檔 (自動更新、WSUS) 強制密碼原則 (使用嚴謹不易猜測的密碼) 變更administrator名稱並設嚴謹密碼 停用或移除不必要的帳戶(guest, service account) 定期執行MBSA掃瞄是否存在弱點 關閉不必要及有安全疑慮的服務 (最好是專屬的網站伺服器) File and print share for Microsoft network NetBIOS Over TCP/IP CIFS 啟用並設定稽核日誌功能並定期檢視 IIS 網站安全性管理策略與技術 IIS 存取控制機制 利用網域來控制存取 以網域名稱來控制存取雖簡單直接，但需作反向對應，影響效能 網頁權限 (Web Permission) 網頁權限使用原則 遵循最低權限賦予原則 啟用『寫入』、『指令碼來源存取』、『瀏覽目錄』和『指令碼及執行檔』四個網頁權限易形成可利用的弱點而遭受攻擊，非有必要不要啟用。 共用網頁權限和NTFS使用權限 IIS網頁權限的權限等級通常不夠細分化，只針對網頁物件。 基於更高安全性考量，需搭配NTFS檔案系統的使用權限，才足