实战基于iis7WEB服务器安全配置.docVIP

实战基于iis7WEB服务器安全配置 　　摘要本文基于Windows 2008下使用IIS7部署的web服务器，对IIS7的各项配置进行实战分析，以提高基于此环境下的WEB服务器的安全性，以下是本人对IIS服务的配置经验总结，供大家探讨。 　　【关键词】IIS安全WEB服务器安全 　　1 磁盘及文件夹设置 　　为提高系统下数据的安全性，服务器文件格式一律划分为NTFS格式，这样可以更好的配置磁盘的各种访问权限。一般情况下，各个分区都只赋予administrators和system权限，删除其他用户的访问权限，以保证拒绝任何未授权用户的访问。 　　2 为站点建立相应的用户。 　　每个站点都使用专门建立的用户来进行权限分配，可以保证各个站点间是独立的，被隔离开的，不会互相影响的。 　　此类用户包含为站点建立用于匿名访问的用户和为用于应用程序池运行的用户。匿名访问用户属于GUEST组，应用程序池运行用户属于IIS_IUSRS组。 　　操作方法：右键点击“我的电脑”中，选择“管理”。选择“本地用户和组”窗格中，右键单击“用户”，选择“新用户”。在“新用户”对话框中，设置“用户名”、“密码”并勾选“用户不能更改密码”、“密码永不过期”，然后单击“确定”。 　　选择创建好的用户，右键单击用户名，选择属性，设置用户到相应的组即可。 　　3 站点使用独立的应用程序池 　　每个站点使用的应用程序池应该是独立的，以便资源的合理分配，并且都以独立的标识账户运行，在出现异常情况时也不会互相影响。 　　操作方法： 　　（1）打开“IIS信息服务管理器”，右键单击“应用程序池”，选择“新建应用程序池”，填上名称，确定。 　　（2）单击此应用程序池，在操作栏中选择“高级设置”，将“进程模型标识”选择为之前创建的应用程序池运行用户。 　　（3）单击需要配置的网站，在操作栏中选择高级设置，应用程序池选择为上一步创建的应用程序池。 　　4 启用匿名身份验证 　　网站目录下所有文件启用匿名身份验证，便于用户可以匿名访问网站，并将之前建立的用户分配到该网站。 　　操作方法： 　　（1）在功能视图中双击“身份验证”，右键单击“匿名身份验证”，选择“启用”。 　　（2）单击该网站，在功能视图中双击“身份验证”，右键单击“匿名身份验证”，选择“编辑”匿名身份验证，并选择“匿名用户标识”为之前建立的用于匿名访问的用户。 　　注：需要赋予该匿名用户对此网站目录及文件相应的访问权限。 　　5 启用基本身份验证 　　为保护指定目录不被匿名用户访问，需要启用基本身份验证，此项需要关闭指定目录的匿名用户访问权限。 　　操作方法： 　　（1）在功能视图中选择“身份验证”，右键单击“匿名身份验证”，选择“禁用”匿名身份验证。 　　（2）在功能视图中双击“身份验证”，右键单击“基本身份验证”，选择“启用”并编辑基本身份验证，为基本身份认证配置拥有访问权限的用户。 　　6 取消上传目录的执行权限 　　网站程序正常运行所需的权限并不是完全一样的，可以在IIS中对网站目录进行针对设置，一般目录设置为读取，满足访问、浏览即可；需要上传文件的目录，在设置了写入权限后，可以将目录的执行权限去掉。这样即使上传了木马文件在此目录，也是无法执行的。 　　操作方法:选中网站的上传文件夹，选择“处理程序映射”，“编辑功能权限”，取消脚本和执行功能。 　　7 基于IP地址或域名授予访问权限和拒绝访问。 　　在 IIS 7 中，默认情况下所有 Internet 协议 (IP) 地址、计算机和域都可以访问我们的站点。 为了增强安全性，我们可以创建向所有 IP 地址（默认设置）、特定 IP 地址、IP 地址范围或特定域授予访问权限的允许规则，以此来限制对站点的访问。 　　注：IP 地址限制只适用于 IPv4 地址。 　　在“功能视图”中，双击“IPv4 地址和域限制”。 　　在“操作”窗格中，单击“添加允许条目”。 　　在“添加允许限制规则”对话框中，选择“特定 IPv4 地址”、“IPv4 地址范围”或“域名”，接着添加 IPv4 地址、范围、掩码或域名，然后单击“确定”。 　　8 配置url授权规则。 　　我们可以允许或拒绝特定计算机、计算机组或域访问服务器上的站点、应用程序、目录或文件。通过配置 URL 授权规则，可以配置为指定组的成员访问受限内容。 　　操作方法： 　　（1）在“功能视图中，双击“授权规则”。在“操作”窗格中，单击“添加允许规则”。 　　（2）在“添加允许授权规则”对话框中，可以选择“所有用户”、“所有匿名用户”、“指定的角色或用户组”、“指定的用户”其中之一。 　　此外，如果要进一步规定允许访问相应内容的用户、