15個技巧保護(hù)好IIS Web服務(wù)器
一般Web站點的設(shè)計目標(biāo)是用最快鍵的方式,為訪問者提供即時的信息訪問。在過去的幾年中,越來越多的安全問題嚴(yán)重影響了網(wǎng)站的可訪問性,雖然Apache服務(wù)器也經(jīng)常成為被攻擊的目標(biāo),但是微軟的Internet信息服務(wù)(IIS)Web服務(wù)器才是真正的眾矢之的。
企業(yè)總是糾結(jié)該構(gòu)建充滿活力、界面友好的網(wǎng)站還是構(gòu)建高安全性高的網(wǎng)站,因為他們無法從總找到兩者的平衡點。除此之外,它們還必須致力于提高網(wǎng)站的安全性,面對技術(shù)預(yù)算的縮減。
為了更好的保護(hù)IIS服務(wù)器,這里將給因為預(yù)算問題而頭疼的IT經(jīng)理們提供一些技巧。
安全策略的開發(fā)
保護(hù)Web服務(wù)器的必須確保網(wǎng)絡(luò)管理員清楚安全策略中的每一項制度。如果公司高層沒有重視服務(wù)器的安全,那么保護(hù)工作就完全沒有任何意義的。這項工作需要長時間的努力。如果沒有預(yù)算的支持或者它不是長時間IT戰(zhàn)略的一部分,那么花費(fèi)大量時間保護(hù)服務(wù)器安全的管理員就得不到管理層方面的重視。
如果網(wǎng)絡(luò)管理員為各方面資源建立安全性,一些喜歡冒險的用戶就會被關(guān)在門外,然后抱怨公司的管理層,管理層又會去質(zhì)問網(wǎng)絡(luò)管理員。這樣的話,網(wǎng)絡(luò)管理員就不可以建立支持他們安全工作的文檔,因此,矛盾就產(chǎn)生了。
網(wǎng)絡(luò)管理員可以通過標(biāo)注Web服務(wù)器安全級別以及可用性的安全策略,將能夠從容地在不同的操作系統(tǒng)上部署各種軟件工具。
IIS的安全技巧
微軟的產(chǎn)品一向是眾矢之的,因此IIS服務(wù)器很容易成為攻擊者的靶子,網(wǎng)絡(luò)管理員必須打醒十二分精神準(zhǔn)備執(zhí)行大量的安全措施。
1.保持Windows的更新升級
你必須在第一時間內(nèi)更新所有的升級,并為系統(tǒng)安裝好一切補(bǔ)丁,將所有的更新都下載到你的一個網(wǎng)絡(luò)專用的服務(wù)器上,并以Web的形式發(fā)布文件,這樣可以防止Web服務(wù)器接受直接的Internet訪問。
2.使用IIS的防范工具
IIS的防范工實用優(yōu)點很多,但是還需要謹(jǐn)慎的使用。如果你的Web服務(wù)器和其他服務(wù)器相互作用,就需要對防范工具進(jìn)行測試,確定它的配置沒有問題,不會影響Web服務(wù)器與其他服務(wù)器之間的通訊。
3.刪除缺省的Web站點
很多黑客都會看準(zhǔn)inetpub這個文件夾,里面放置一些偷襲工具,服務(wù)器就會出現(xiàn)癱瘓。要防止這種情況的發(fā)生就要將IIS的缺省站點禁用。然后,當(dāng)網(wǎng)蟲們想要通過IP地址訪問你的網(wǎng)站的時候,他們的請求就會遇到麻煩。如果你想將你真實的Web站點指向一個背部分區(qū)的文件夾的時候,必須包含安全的NTFS權(quán)限。
4.卸載不需要的FTP和SMTP服務(wù)
FTP訪問是進(jìn)入計算機(jī)的最簡單的途徑。FTP本身就是為了簡單讀/寫訪問而存在的,如果你執(zhí)行的是身份認(rèn)證,那么你的用戶名和密碼都是通過明文的形式在網(wǎng)絡(luò)上傳播的。另一種允許到文件夾的寫權(quán)限的服務(wù)是SMTP,禁用這兩項服務(wù),能夠避免更多的黑客攻擊。
5.學(xué)會檢查你的管理員組和服務(wù)
當(dāng)管理員組里多了一個用戶,就多一個人可以成功地進(jìn)入了你的系統(tǒng),如果他或她冷不丁地將炸彈扔到你的系統(tǒng)里,整個系統(tǒng)將會突然被摧毀,或者被黑客使用。黑客同樣趨向于留下一個幫助服務(wù),一旦這發(fā)生了,任何采取措施都已經(jīng)是太晚了,只能格式化磁盤,從備份服務(wù)器中恢復(fù)每天的備份文件。因此,檢查IIS服務(wù)器上的服務(wù)列表并保持盡量少的服務(wù)是每天必須的任務(wù)。Windows2000ResourceKit有一個程序叫作tlist.exe,它可以列出每種情況運(yùn)行在svchost之下的服務(wù)。這個程序可以幫助你尋找到一些隱藏的服務(wù)。順便說一句,有daemon幾個字的服務(wù)可能不是Windows本身包含的服務(wù),不應(yīng)該存在于IIS服務(wù)器上。
6.控制服務(wù)器的寫訪問權(quán)限
這聽起來很容易,但做起來很難,一個Web服務(wù)器上是有很多”作者”的。共享是互聯(lián)網(wǎng)的意義,這樣服務(wù)器上的文件夾可能會有極其危險的訪問權(quán)限。避免這一情況,可以安裝第2個服務(wù)器以提供專門的共享和存儲目的,將信息共享或是傳播出去,然后配置你的Web服務(wù)器來指向共享服務(wù)器。這樣Web服務(wù)器本身的寫權(quán)限僅僅限制給管理員組。
7.密碼必須復(fù)雜
從事件察看器,你可能會發(fā)現(xiàn)很多可能的黑客。他或她進(jìn)入了足夠深的實驗室域結(jié)構(gòu),能夠?qū)θ魏斡脩暨\(yùn)行密碼破解工具。如果不是有復(fù)雜的密碼,黑客可以快速并簡單的入侵這些用戶的賬號。
8.減少Web服務(wù)器上的共享
如果唯一擁有Web服務(wù)器寫權(quán)限的人是網(wǎng)絡(luò)管理員,就共享的存在。共享是對黑客來說是極大的誘惑。黑客可以通過運(yùn)行一個簡單的循環(huán)批處理文件就能夠察看一個IP地址列表,尋找Everyone/完全控制權(quán)限的共享。
9.禁用TCP/IP協(xié)議中的NetBIOS
這是沒有辦法的。很多用戶希望訪問Web服務(wù)器通過UNC路徑名。如果NETBIOS被禁用了,他們像這樣做就變成了妄想,但是,這樣黑客就不可以看到你局域網(wǎng)上的資源了。這是一把雙刃劍,網(wǎng)絡(luò)管理員需要做的是學(xué)會在NETBIOS失效的情況下發(fā)布信息。
10.TCP端口阻塞
這是一個危險的工具。只要你熟悉每個通過合法原因訪問你服務(wù)器的TCP端口,那么就可以通過網(wǎng)絡(luò)接口卡的屬性選項卡,選擇綁定的TCP/IP協(xié)議,阻塞所有不需要的端口。但你必須小心一點,因為你有可能將自己鎖在Web服務(wù)器之外,特別是在當(dāng)你需要遠(yuǎn)程登陸服務(wù)器的情況下。
11.仔細(xì)檢查*.bat和*.exe文件
每周搜索一次*.bat和*.exe文件,看一下服務(wù)器上是否存在黑客喜歡,而對你來說將是一場惡夢的可執(zhí)行文件,就像是*.reg文件,如果你選擇編輯,就可以發(fā)現(xiàn)黑客已經(jīng)制造出可以讓他們進(jìn)入你系統(tǒng)的注冊表文件。果斷刪除這些沒任何意義但卻會給入侵者帶來便利的主鍵。
12.IIS目錄安全
IIS目錄安全允許你拒絕特定的IP地址、子網(wǎng)、域名。有一款軟件叫做WhosOn能夠幫助你了解哪些IP地址正在試圖訪問服務(wù)器上的特定文件,并列出了一系列的異常。當(dāng)你發(fā)現(xiàn)有人正在試圖訪問你的cmd.exe,可以拒絕這個用戶訪問Web服務(wù)器。當(dāng)然,這可能需要一個全職的員工!在內(nèi)部網(wǎng),你也可以選擇對所有局域網(wǎng)內(nèi)部用戶提供資源,或者對特定的用戶提供。
13.NTFS安全
NTFS驅(qū)動器使用的是EVERYONE/完全控制權(quán)限,除非手工關(guān)掉它們。不同的人有不同的權(quán)限需要,管理員、后臺管理賬戶需要完全的控制。根據(jù)不同的文件,系統(tǒng)和服務(wù)各自需要一種級別的訪問權(quán)限。System32是一個最重要的文件夾,這個文件夾的訪問權(quán)限越小越好。使用NTFS權(quán)限能幫助你保護(hù)重要的文件和應(yīng)用程序。
14.用戶賬戶
IIS會產(chǎn)生了一個TSInternetUser賬戶,如果你不需要這個賬戶,請禁用它。這個用戶很容易成為黑客的目標(biāo)。為了幫助管理用戶賬戶,確定你的本地安全策略沒有問題。IUSR用戶的權(quán)限也應(yīng)該盡可能的小。
15.審計Web服務(wù)器
審計對你計算機(jī)的性能有著較大的影響,如果不經(jīng)常察看的話,那還是免了吧。但如果你經(jīng)常察看異常數(shù)據(jù)庫,你能在任何時候找到服務(wù)器的脆弱點。需要用它的話,請審計系統(tǒng)事件并在你需要的時候加入審計工具。如果你正在使用的是WhosOn工具,審計就不那么重要了。IIS總是紀(jì)錄訪問,WhosOn會將這些紀(jì)錄放置在一個非常容易易讀的數(shù)據(jù)庫中,你可以通過Access或是Excel打開它。
總結(jié)
上述所有IIS技巧和工具除了WhosOn以外,都是Windows自帶的。測試網(wǎng)站可達(dá)性之前記得一個一個的使用這些技巧和工具,否則可能讓你損失慘重,你可能會遺失訪問。
關(guān)鍵字:服務(wù)器、Web、數(shù)據(jù)庫、網(wǎng)站、IIS、WhosOn、NTFS
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解