windowsserver2003WEB服务器IIS的安全配置.docVIP

PAGE PAGE 1 windowsserver2003WEB服务器IIS的安全配置 　　摘要：针对目前windowsserver2003Web服务器所存在的安全隐患，阐述了如何通过IIS服务器组件的安全管理来提高IIS的安全机制，建立一个高安全性的Web服务器。 　　关键字：WEB服务器IIS安全配置 　　中图分类号：P624.8文献标识码：A文章编号： 　　IIS即InternetInformationServices互联网信息服务，通过使用超文本传输协议HTTP传输信息，它是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。有很多其他的服务器软件如Netscape的服务器、ApacheforWin服务器等，但是IIS是Windows平台下最简单易用的服务器，IIS作为当今流行的Web服务器之一，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。下面将通过以下几个方面来阐述加强IIS安全机制的方法 　　一、IIS安全安装 　　首先IIS需要安装在非系统分区上。在默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患，原因是一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区，所以需要将IIS安装到其他分区，即便入侵者能绕过IIS的安全机制，也很难访问到系统分区；其次在安装时修改IIS的默认路径，IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，当然这些人中包括了入侵者，所以需要更改成其他路径；最后需要及时打好IIS的补丁，它就会成为一个比较安全的服务器平台，能为我们提供安全稳定的服务。 　　二、删除不需要的IIS组件 　　IIS默认安装后有些不需要的多余的组件会造成安全威胁，需要从系统中删除，降低隐患。比如Internet服务管理器(HTML)组件，它是基于Web的IIS服务器管理页面，一般情况下不会通过Web进行管理，可以卸载它；SMTPService和NNTPService组件，这两个组件是用来转发邮件和提供新闻组服务的，不需要这个功能可以删除；样本页面和脚本，这些样本可被用来从Internet上执行应用程序和浏览服务器，建议删除， 　　三、删除IIS示例 　　IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录里存放的是用来示范安装和应用该技术的示例应用程序，没有多少实际的作用，反而会让黑客利用存放的位置发动恶意攻击，所以可以直接删除。 　　四、不启用父路径 　　在IIS应用程序配置中如果启用父路径浏览，意味着允许别人在调用MapPath功能时使用..浏览系统文件，它能让黑客访问那些我们不想让他们访问的目录，所以禁用它将是明智之举。 　　五、启用日志记录，修改日志存放路径 　　日志是系统安全策略的一个重要环节，用日志可以来记录IIS收到的HTTP请求，使我们能够验证服务器在任意给定的时间干什么事情，包括我们设置好的安全方案正在如何运转等等，因此启用日志记录并确保日志的安全能有效提高系统整体安全性。我们启动IISMMC，并单击web站点或者想要启用日志记录的虚拟目录，然后右击目录节点并且选择“属性”选项，打开对应的属性对话框。在website标签内启用“启用日志记录”复选框。在启用日志记录时选择W3C扩展日志格式，这种日志格式，会在每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理等，当IIS服务器受到安全威胁时，可以利用日志文件对细节执行排疑式审查，IIS服务器发生故障后也可以利用这个日志文件所记录的信息来检查维护过程并识别系统中的问题，所以说日志记录在排障时显得尤为重要。 　　除了启用日志记录以外，还需要对日志文件进行安全设置。默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，日志文件会提供所有发向IIS请求的消息，IIS日志文件可能会受到攻击，或者黑客有可能试图删除IIS日志文件以便隐藏他们一起在搞的破坏，因此需要修改IIS日志的存放路径，并且还要修改日志访问权限，设置只有管理员才能访问。 　　六、删除无用映射 　　在默认状态下，IIS服务器会自动创建十几种应用程序的映射关系，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。可事实上，许多Web网站仅仅用到asp这个应用程序映射，其他应用程序映射几乎没有任何作用；如果将这些用不着的映射保留在W