iis的安全功能的配置过程.docxVIP

IIS的安全功能的配置过程 IIS作为当今流行的 Web服务器之一，提供了强大的In ternet和Intran et服务功能。如 何加强IIS的安全机制，建立一个高安全性能的 Web服务器，已成为IIS设置中不可忽视的 重要的组成部分。IIS的安全功能是建立在 Windows 2000 Server 安全功能之上的。如表 12-1所示的设置有助于 Web站点的安全。 表1文件系统 使用NTFS文件系统 FAT文件系统谈不上安全性 检查文件夹权限 Windows创建新的文件夹默认将 元全控 制的权限指派给 “ Everyone 组 检查网络驱动器的 NTFS权限 Windows创建新的共享资源默认将 完全控 制的权限指派给 “ Everyone 组 设置“IUSR服务器名字”账户的访 问控制 有助于限制匿名用户访问服务器 将可执行文件放在单独的目录 便于指定访问权限和审核 以Windows NT 的安全机制为基础 要建立高效安全的 Web服务器首先需要以 Windows NT的安全机制为基础。作为运行 在 Windows NT 操作系统环境下的IIS，其安全性也应建立在 Windows NT 安全性的基础 之上。 .应用NTFS文件系统 NTFS可以对文件和目录进行管理， 而FAT (文件分配表)文件系统只能提供共享级的 安全。建议在安装 Windows NT时使用NTFS系统。 ?共享权限的修改 在默认情况下，每建立一个新的共享，其 Everyone用户就能享有”完全控制的共享权 限，因此，在建立新共享后要立即修改 Everyone默认权限。 .为系统管理员账号更名 域用户管理器虽可限制猜测口令的次数， 但这种方法对系统管理员账号却没有作用， 这 可能给非法用户带来攻击管理员账号口令的机会， 通过域用户管理器对管理员账号更名不失 为一种好办法。具体设置如下。 启动域用户管理器”。 选中管理员账号。 单击【用户】菜单下的【重命名】命令进行修改。 4．废止 TCP/IP 上的 NetBIOS 管理员可以通过构造目标站 NetBIOS 名与其 IP 地址之间的映像， 对 Internet 上的其他 服务器进行管理， 非法用户也可从中找到可乘之机。 如果这种远程管理不是必需的， 应立即 废止（通过网络属性的绑定选项，废止 NetBIOS 与 TCP/IP 之间的绑定）。 安装时应注意的安全问题 IIS 安装应注意的安全问题 1．避免安装在主域控制器上 在安装 IIS 之后，将在安装的计算机上生成 IUSR_Computername 匿名账户，该账户 被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问 Web 服务器的每个匿 名用户。这不仅会给 IIS 带来巨大的潜在危险，而且还可能牵连整个域资源的安全。要尽可 能避免把 IIS 安装在域控制器上，尤其是主域控制器。 2．避免安装在系统分区上 把 IIS 安放在系统分区上，会使系统文件与 IIS 同样面临非法访问，容易使非法用户侵 入系统分区。 用户控制的安全性 1．匿名用户 安装 IIS 后产生的匿名用户 IUSR_Computername （密码随机产生），其匿名访问给 Web 服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可取消 Web 的 匿名服务。具体方法如下。 （1）启动 ISM（ Internet Server Manager ）。 （2 ）启动 WWW 服务属性页。 （3）取消其匿名访问服务。 2．一般用户 通过使用数字与字母 （包括大小写） 结合的口令， 提高修改密码的频率， 封锁失败的登 录尝试及账户的生存期等方法对一般用户账户进行管理。 IIS 对 IP 地址和域名的限制 IIS 可以被设置为根据用户或工作组的 IP 地址或域名控制其访问 Web 站点、虚拟目录 和单独文件。在In ternet服务管理器中，选择要设置的站点， 如默认Web站点”，单击【属 性】按钮，在对话框中的”目录安全性选项卡中，单击IP地址及域名限制”框中的【编辑】 按钮，如图1所示。 图1设置IIS中的IP地址和域名限制 如果是给虚拟目录或服务器下面的文件配置 IP地址或域名限制，方法与上面类似。为 单独文件进行配置时，在MMC窗口右边选择要操作的文件， 然后单击鼠标右键，从弹出的 快捷菜单中选择【属性】选项，就会看到 文件安全性”选项卡，其余步骤完全一样。 IIS权限的设置 IIS权限的设置是在In ternet服务管理器中相应的虚拟服务器、虚拟目录、目录、文件 的属性中的主目录、虚拟目录、目录和文件中进行。 IIS 5.0提供了两种访问权限：读取和 写入权限。对于应用程序而言，有 3种执行许可类别：无、纯脚本、脚本和可执行程序。 如图2所示。 TJ图2