亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來(lái)到思海網(wǎng)絡(luò),我們將竭誠(chéng)為您提供優(yōu)質(zhì)的服務(wù)! 誠(chéng)征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購(gòu)買流程 | 付款方式 | 聯(lián)系我們 [ 會(huì)員登錄/注冊(cè) ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點(diǎn)擊這里…  531199185
有事點(diǎn)擊這里…  61352289
點(diǎn)擊這里給我發(fā)消息  81721488
有事點(diǎn)擊這里…  376585780
有事點(diǎn)擊這里…  872642803
有事點(diǎn)擊這里…  459248018
有事點(diǎn)擊這里…  61352288
有事點(diǎn)擊這里…  380791050
技術(shù)支持
有事點(diǎn)擊這里…  714236853
有事點(diǎn)擊這里…  719304487
有事點(diǎn)擊這里…  1208894568
有事點(diǎn)擊這里…  61352289
在線客服
有事點(diǎn)擊這里…  531199185
有事點(diǎn)擊這里…  61352288
有事點(diǎn)擊這里…  983054746
有事點(diǎn)擊這里…  893984210
當(dāng)前位置:首頁(yè) >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

保護(hù)IIS服務(wù)器

添加時(shí)間:2012-4-27  添加: admin 

IIS安全技巧

  微軟的產(chǎn)品一向是眾矢之的,因此IIS服務(wù)器特別容易成為攻擊者的靶子。搞清楚了這一點(diǎn)后,網(wǎng)絡(luò)管理員必須準(zhǔn)備執(zhí)行大量的安全措施。我將要為你們提供的是一個(gè)清單,服務(wù)器操作員也許會(huì)發(fā)現(xiàn)這是非常有用的。

  1. 保持Windows升級(jí):

  你必須在第一時(shí)間及時(shí)地更新所有的升級(jí),并為系統(tǒng)打好一切補(bǔ)丁。考慮將所有的更新下載到你網(wǎng)絡(luò)上的一個(gè)專用的服務(wù)器上,并在該機(jī)器上以Web的形式將文件發(fā)布出來(lái)。通過這些工作,你可以防止你的Web服務(wù)器接受直接的Internet訪問。

  2. 使用IIS防范工具:

  這個(gè)工具有許多實(shí)用的優(yōu)點(diǎn),然而,請(qǐng)慎重的使用這個(gè)工具。如果你的Web服務(wù)器和其他服務(wù)器相互作用,請(qǐng)首先測(cè)試一下防范工具,以確定它已經(jīng)被正確的配置,保證其不會(huì)影響Web服務(wù)器與其他服務(wù)器之間的通訊。

  3. 移除缺省的Web站點(diǎn):

  很多攻擊者瞄準(zhǔn)inetpub這個(gè)文件夾,并在里面放置一些偷襲工具,從而造成服務(wù)器的癱瘓。防止這種攻擊最簡(jiǎn)單的方法就是在IIS里將缺省的站點(diǎn)禁用。然后,因?yàn)榫W(wǎng)蟲們都是通過IP地址訪問你的網(wǎng)站的 (他們一天可能要訪問成千上萬(wàn)個(gè)IP地址),他們的請(qǐng)求可能遇到麻煩。將你真實(shí)的Web站點(diǎn)指向一個(gè)背部分區(qū)的文件夾,且必須包含安全的NTFS權(quán)限 (將在后面NTFS的部分詳細(xì)闡述)。

  4. 如果你并不需要FTP和SMTP服務(wù),請(qǐng)卸載它們:

  進(jìn)入計(jì)算機(jī)的最簡(jiǎn)單途徑就是通過FTP訪問。FTP本身就是被設(shè)計(jì)滿足簡(jiǎn)單讀/寫訪問的,如果你執(zhí)行身份認(rèn)證,你會(huì)發(fā)現(xiàn)你的用戶名和密碼都是通過明文的形式在網(wǎng)絡(luò)上傳播的。SMTP是另一種允許到文件夾的寫權(quán)限的服務(wù)。通過禁用這兩項(xiàng)服務(wù),你能避免更多的黑客攻擊。

  5. 有規(guī)則地檢查你的管理員組和服務(wù):

  有一天我進(jìn)入我們的教室,發(fā)現(xiàn)在管理員組里多了一個(gè)用戶。這意味著這時(shí)某個(gè)人已經(jīng)成功地進(jìn)入了你的系統(tǒng),他或她可能冷不丁地將炸彈扔到你的系統(tǒng)里,這將會(huì)突然摧毀你的整個(gè)系統(tǒng),或者占用大量的帶寬以便黑客使用。黑客同樣趨向于留下一個(gè)幫助服務(wù),一旦這發(fā)生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盤,從備份服務(wù)器恢復(fù)你每天備份的文件。因此,檢查IIS服務(wù)器上的服務(wù)列表并保持盡量少的服務(wù)必須成為你每天的任務(wù)。你應(yīng)該記住哪個(gè)服務(wù)應(yīng)該存在,哪個(gè)服務(wù)不應(yīng)該存在。Windows 2000 Resource Kit帶給我們一個(gè)有用的程序,叫作tlist.exe,它能列出每種情況運(yùn)行在svchost 之下的服務(wù)。運(yùn)行這個(gè)程序可以尋找到一些你想要知道的隱藏服務(wù)。給你一個(gè)提示:任何含有daemon幾個(gè)字的服務(wù)可能不是Windows本身包含的服務(wù),都不應(yīng)該存在于IIS服務(wù)器上。想要得到Windows服務(wù)的列表并知道它們各自有什么作用,請(qǐng)點(diǎn)擊這里。

  6. 嚴(yán)格控制服務(wù)器的寫訪問權(quán)限:

  這聽起來(lái)很容易,然而,在大學(xué)校園里,一個(gè)Web服務(wù)器實(shí)際上是有很多"作者"的。教職人員都希望讓他們的課堂信息能被遠(yuǎn)程學(xué)生訪問。職員們則希望與其他的職員共享他們的工作信息。服務(wù)器上的文件夾可能出現(xiàn)極其危險(xiǎn)的訪問權(quán)限。將這些信息共享或是傳播出去的一個(gè)途徑是安裝第2個(gè)服務(wù)器以提供專門的共享和存儲(chǔ)目的,然后配置你的Web服務(wù)器來(lái)指向共享服務(wù)器。這個(gè)步驟能讓網(wǎng)絡(luò)管理員將Web服務(wù)器本身的寫權(quán)限僅僅限制給管理員組。

  7. 設(shè)置復(fù)雜的密碼:

  我最近進(jìn)入到教室,從事件察看器里發(fā)現(xiàn)了很多可能的黑客。他或她進(jìn)入了實(shí)驗(yàn)室的域結(jié)構(gòu)足夠深,以至于能夠?qū)θ魏斡脩暨\(yùn)行密碼破解工具。如果有用戶使用弱密碼 (例如"password"或是 changeme"或者任何字典單詞),那么黑客能快速并簡(jiǎn)單的入侵這些用戶的賬號(hào)。

  8. 減少/排除Web服務(wù)器上的共享:

  如果網(wǎng)絡(luò)管理員是唯一擁有Web服務(wù)器寫權(quán)限的人,就沒有理由讓任何共享存在。共享是對(duì)黑客最大的誘惑。此外,通過運(yùn)行一個(gè)簡(jiǎn)單的循環(huán)批處理文件,黑客能夠察看一個(gè)IP地址列表,利用\\命令尋找Everyone/完全控制權(quán)限的共享。

  9. 禁用TCP/IP協(xié)議中的NetBIOS:

  這是殘忍的。很多用戶希望通過UNC路徑名訪問Web服務(wù)器。隨著NETBIOS被禁用,他們便不能這么做了。另一方面,隨著NETBIOS被禁用,黑客就不能看到你局域網(wǎng)上的資源了。這是一把雙刃劍,如果網(wǎng)絡(luò)管理員部署了這個(gè)工具,下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發(fā)布信息。

  10. 使用TCP端口阻塞:

  這是另一個(gè)殘忍的工具。如果你熟悉每個(gè)通過合法原因訪問你服務(wù)器的TCP端口,那么你可以進(jìn)入你網(wǎng)絡(luò)接口卡的屬性選項(xiàng)卡,選擇綁定的TCP/IP協(xié)議,阻塞所有你不需要的端口。你必須小心的使用這一工具,因?yàn)槟悴⒉幌M麑⒆约烘i在Web服務(wù)器之外,特別是在當(dāng)你需要遠(yuǎn)程登陸服務(wù)器的情況下。要得到TCP端口的詳細(xì)細(xì)節(jié),點(diǎn)擊這里。

  11. 仔細(xì)檢查*.bat和*.exe 文件:

  每周搜索一次*.bat和*.exe文件,檢查服務(wù)器上是否存在黑客最喜歡,而對(duì)你來(lái)說將是一場(chǎng)惡夢(mèng)的可執(zhí)行文件。在這些破壞性的文件中,也許有一些是*.reg文件。如果你右擊并選擇編輯,你可以發(fā)現(xiàn)黑客已經(jīng)制造并能讓他們能進(jìn)入你系統(tǒng)的注冊(cè)表文件。你可以刪除這些沒任何意義但卻會(huì)給入侵者帶來(lái)便利的主鍵。

  12. 管理IIS目錄安全:

  IIS目錄安全允許你拒絕特定的IP地址、子網(wǎng)甚至是域名。作為選擇,我選擇了一個(gè)被稱作WhosOn的軟件,它讓我能夠了解哪些IP地址正在試圖訪問服務(wù)器上的特定文件。WhosOn列出了一系列的異常。如果你發(fā)現(xiàn)一個(gè)家伙正在試圖訪問你的cmd.exe,你可以選擇拒絕這個(gè)用戶訪問Web服務(wù)器。當(dāng)然,在一個(gè)繁忙的Web站點(diǎn),這可能需要一個(gè)全職的員工!然而,在內(nèi)部網(wǎng),這真的是一個(gè)非常有用的工具。你可以對(duì)所有局域網(wǎng)內(nèi)部用戶提供資源,也可以對(duì)特定的用戶提供。

  13. 使用NTFS安全:

  缺省地,你的NTFS驅(qū)動(dòng)器使用的是EVERYONE/完全控制權(quán)限,除非你手工關(guān)掉它們。關(guān)鍵是不要把自己鎖定在外,不同的人需要不同的權(quán)限,管理員需要完全控制,后臺(tái)管理賬戶也需要完全控制,系統(tǒng)和服務(wù)各自需要一種級(jí)別的訪問權(quán)限,取決于不同的文件。最重要的文件夾是System32,這個(gè)文件夾的訪問權(quán)限越小越好。在Web服務(wù)器上使用NTFS權(quán)限能幫助你保護(hù)重要的文件和應(yīng)用程序。

  14.管理用戶賬戶:

  如果你已經(jīng)安裝IIS,你可能產(chǎn)生了一個(gè)TSInternetUser賬戶。除非你真正需要這個(gè)賬戶,否則你應(yīng)該禁用它。這個(gè)用戶很容易被滲透,是黑客們的顯著目標(biāo)。為了幫助管理用戶賬戶,確定你的本地安全策略沒有問題。IUSR用戶的權(quán)限也應(yīng)該盡可能的小。

  15. 審計(jì)你的Web服務(wù)器:

  審計(jì)對(duì)你計(jì)算機(jī)的性能有著較大的影響,因此如果你不經(jīng)常察看的話,還是不要做審計(jì)了。如果你真的能用到它,請(qǐng)審計(jì)系統(tǒng)事件并在你需要的時(shí)候加入審計(jì)工具。如果你正在使用前面提到的WhosOn工具,審計(jì)就不那么重要了。缺省地,IIS總是紀(jì)錄訪問, WhosOn 會(huì)將這些紀(jì)錄放置在一個(gè)非常容易易讀的數(shù)據(jù)庫(kù)中,你可以通過Access或是 Excel打開它。如果你經(jīng)常察看異常數(shù)據(jù)庫(kù),你能在任何時(shí)候找到服務(wù)器的脆弱點(diǎn)。


關(guān)鍵詞:IIS   資源

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國(guó)增值電信業(yè)務(wù)經(jīng)營(yíng)許可證: 粵B1.B2-20030321 備案號(hào):粵B2-20030321-1
網(wǎng)站公安備案編號(hào):44060602000007 交互式欄目專項(xiàng)備案編號(hào):200303DD003  
察察 工商 網(wǎng)安 舉報(bào)有獎(jiǎng)  警警  手機(jī)打開網(wǎng)站