IIS六大安全設(shè)置技巧

在WindowsServer2003中對(duì)于IIS因此，掌握安全設(shè)置具有重要意義IIS六種安全設(shè)置技能是網(wǎng)絡(luò)管理員必備的基本技能。

下面就是對(duì)IIS六大安全設(shè)置技巧：

技能1。安裝操作系統(tǒng)后，最好在托管前安裝補(bǔ)丁。配置網(wǎng)絡(luò)后，如果是2000，則確定安裝SP4，如果是WindowsServer最好安裝2003系統(tǒng)SP然后點(diǎn)擊開(kāi)始→WindowsUpdate，安裝所有關(guān)鍵更新。

2.設(shè)置端口保護(hù)和防火墻WindowsServer2003系統(tǒng)的端口屏蔽可以通過(guò)自己的防火墻來(lái)解決，比篩選更靈活，桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet連接防火墻—>設(shè)置，選擇服務(wù)器上使用的服務(wù)端口。例如：一臺(tái)WEB提供服務(wù)器WEB(80)、FTP(21)服務(wù)和遠(yuǎn)程桌面管理(3389)“FTP服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”如果您想提供服務(wù)的端口不在前面，也可點(diǎn)擊“添加”添加銨鈕，具體參數(shù)可參考系統(tǒng)中的原始參數(shù)。然后確定。然后點(diǎn)擊確定。注：如果是遠(yuǎn)程管理服務(wù)器，請(qǐng)確定是否選擇或添加遠(yuǎn)程管理端口。

技能3、合理的權(quán)限設(shè)置需要重點(diǎn)設(shè)置以下三個(gè)權(quán)限：WINDOWS用戶，在WINNT大多數(shù)時(shí)候，系統(tǒng)根據(jù)用戶(組)劃分權(quán)限。在【開(kāi)始→程序→管理工具→計(jì)算機(jī)管理→管理系統(tǒng)用戶和用戶組。NTFS設(shè)置權(quán)限時(shí)，請(qǐng)記住將所有硬盤(pán)分成分區(qū)NTFS然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開(kāi)放的權(quán)限。右鍵在文件(夾)上→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。IIS匿名用戶，每一個(gè)IIS網(wǎng)站或虛擬目錄都可以設(shè)置匿名訪問(wèn)用戶(現(xiàn)在暫時(shí)稱之為“IIS匿名用戶”)，當(dāng)用戶訪問(wèn)您的網(wǎng)站時(shí).ASP這件時(shí)，這個(gè).ASP這就是文件所擁有的權(quán)限“IIS匿名用戶”所有權(quán)。在設(shè)置上述用戶和文件系統(tǒng)權(quán)限后，記得設(shè)置以下磁盤(pán)權(quán)限，設(shè)置原則如下：只給系統(tǒng)盤(pán)和所有磁盤(pán)Administrators組和SYSTEM完全控制權(quán)限系統(tǒng)盤(pán)\DocumentsandSettings目錄只給Administrators組和SYSTEM完全控制權(quán)限系統(tǒng)盤(pán)\DocumentsandSettings\AllUsers目錄只給Administrators組和SYSTEM完全控制權(quán)限系統(tǒng)盤(pán)\Inetpub目錄及以下目錄和文件僅供給Administrators組和SYSTEM完全控制權(quán)限系統(tǒng)盤(pán)\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只給Administrators組和SYSTEM完全控制權(quán)限。

技能4.禁用不必要的服務(wù)操作路徑如下:開(kāi)始菜單—>管理工具—>服務(wù)PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer默認(rèn)啟動(dòng)服務(wù)中禁用2003系統(tǒng)，如果沒(méi)有特殊需要，不要啟動(dòng)默認(rèn)禁用服務(wù)。

5.卸載不安全部件最簡(jiǎn)單的方法是直接卸載并刪除相應(yīng)的程序文件。將以下代碼保存為一個(gè).BAT(以下均為WIN例如，如果使用2000，WindowsServer2003系統(tǒng)，系統(tǒng)文件夾應(yīng)該是C:\WINDOWS\)

regsvr32/uC:\WINNT\System32\wshom.ocxdelC:\WINNT\System32\wshom.ocxregsvr32/uC:\WINNT\system32\shell32.dlldelC:\WINNT\system32\shell32.dll然后操作，WScript.Shell,Shell.application,WScript.Network它將被卸載?？赡軙?huì)提示無(wú)法刪除文件，不用擔(dān)心，重啟服務(wù)器。

技巧6、IIS一般來(lái)說(shuō)，黑客總是瞄準(zhǔn)論壇和其他程序，因?yàn)檫@些程序具有上傳功能，可以輕松上傳ASP即使設(shè)置了權(quán)限，木馬也可以控制當(dāng)前網(wǎng)站的所有文件。此外，有了木馬，我們將使用木馬上傳提升工具獲得更高的權(quán)限，我們將關(guān)閉它shell在很大程度上，組件的目的是防止攻擊者操作提升工具。如果論壇管理員關(guān)閉上傳功能，黑客將找到獲取超級(jí)管理密碼的方法。例如，如果您使用網(wǎng)絡(luò)論壇，忘記更改數(shù)據(jù)庫(kù)的名稱，人們可以直接下載您的數(shù)據(jù)庫(kù)，然后找到論壇管理員的密碼。作為管理員，首先要檢查我們ASP做好必要的設(shè)置，防止網(wǎng)站被黑客進(jìn)入。此外，防止攻擊者使用黑色網(wǎng)站來(lái)控制整個(gè)服務(wù)器，因?yàn)槿绻愕姆?wù)器也為你的朋友打開(kāi)了一個(gè)網(wǎng)站，你可能不確定你的朋友會(huì)安全地設(shè)置他上傳的論壇。這使用了上面提到的很多東西。在設(shè)置和預(yù)防這些權(quán)限后，即使黑客進(jìn)入一個(gè)網(wǎng)站，他們也不能破壞網(wǎng)站以外的東西。