IIS的安全機制分析(修正版)

2024-08-29 03:12:26

字體：大中小

供稿：網(wǎng)友

以Windows NT內(nèi)核的安全機制為基礎(chǔ)

1.web文件目錄應該ntsf分區(qū)模式

NTFS文件系統(tǒng)可以對文件和目錄進行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級的安全，而Windows NT的安全機制是建立在NTFS文件系統(tǒng)之上的，所以在安裝Windows NT時最好使用NTFS文件系統(tǒng)，否則將無法建立NT的安全機制。

2.修改共享權(quán)限

在系統(tǒng)默認情況下，每建立一個新的共享，Everyone用戶就享有"完全控制"的共享權(quán)限，因此，在建立新的共享后應該立即修改Everyone的缺省權(quán)限，在安全設置中刪除Everyone是個不錯的主意。

3.更改系統(tǒng)管理員賬號名

具體設置方法如下：選擇"開始"選單→"程序"→啟動"域用戶管理器"→選中"管理員賬號（adminstrator）"→選擇"用戶"選單→"重命名"，對其進行修改。需要注意的是這一步最好在服務器架設伊始進行，否則在windows server 2003以及更早的版本中，部分權(quán)限設置會丟失。

4.取消TCP/IP上的NetBIOS綁定

NT系統(tǒng)管理員可以通過構(gòu)造目標站NetBIOS名與其IP地址之間的映像，對Internet或Intranet上的其他服務器進行管理，但非法用戶也可從中找到可乘之機。如果這種遠程管理不是必須的，就應該立即取消（通過網(wǎng)絡屬性的綁定選項，取消NetBIOS與TCP/IP之間的綁定）。

設置IIS的安全機制

1.安裝時應注意的安全問題

1）避免安裝在主域控制器上

安裝IIS之后，在安裝的計算機上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，從而把應用于域用戶組的訪問權(quán)限提供給訪問Web服務器的每個匿名用戶，這不僅給IIS帶來潛在危險，而且還可能威脅整個域資源的安全。所以要盡可能避免把IIS服務器安裝在域控制器上，尤其是主域控制器上。

2）避免安裝在系統(tǒng)分區(qū)上

把IIS安裝在系統(tǒng)分區(qū)上，會使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)，所以應該避免將IIS服務器安裝在系統(tǒng)分區(qū)上。

2.用戶的安全性

1）匿名用戶訪問權(quán)限的控制

安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername（密碼隨機產(chǎn)生），其匿名訪問給Web服務器帶來潛在的安全性問題，應對其權(quán)限加以控制。如無匿名訪問需要，則可以取消Web的匿名訪問服務。具體方法：

選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務管理器" →啟動Microsoft Internet Service Manager→ 雙擊"WWW"啟動WWW服務屬性頁→取消其匿名訪問服務。

2）控制一般用戶訪問權(quán)限

可以通過使用數(shù)字與字母（包括大小寫）結(jié)合的口令，使用長口令（一般應在6位以上），經(jīng)常修改密碼，封鎖失敗的登錄嘗試以及設定賬戶的有效期等方法對一般用戶賬戶進行管理。

3.IIS三種形式認證的安全性

上一篇：IIS6上配置404頁面的圖文教程(url+文件)

下一篇：IIS6.0出錯腳本引擎異常處理方法