iis(internet information server)作為當今流行的web伺服器之一,提供了強大的internet和intranet服務功能,如何加強iis的安全機制,建立乙個高安全效能的web伺服器,已成為iis設定中不可忽視的重要組成部分。
本文將通過以下兩個方面來闡述加強iis安全機制的方法。
一、 以windows nt的安全機制為基礎
作為執行在 windows nt作業系統環境下的iis,其安全性也應建立在windows nt安全性的基礎之上。
1.應用ntfs檔案系統
ntfs可以對檔案和目錄進行管理,而fat(檔案分配表)檔案系統只能提供共享級的安全,建議在安裝windows nt時使用ntfs系統。
2.共享許可權的修改
在預設情況下,每建立乙個新的共享,其everyone使用者就能享有「完全控制」的共享許可權,因此,在建立新共享後要立即修改everyone預設許可權。
3.為系統管理員賬號更名
域使用者管理器雖可限制猜測口令的次數,但對系統管理員賬號卻用不上,這可能給非法使用者帶來攻擊管理員賬號口令的機會,通過域使用者管理器對管理員賬號更名不失為一種好辦法。具體設定如下:
(1) 啟動「域使用者管理器」;
(2) 選中管理員賬號;
(3) 啟動「使用者」選單下的「重新命名」對其進行修改。
4.廢止tcp/ip上的netbios
管理員可以通過構造目標站netbios名與其ip位址之間的映像,對internet上的其他伺服器進行管理,非法使用者也可從中找到可乘之機。如果這種遠端管理不是必須的,應立即廢止(通過網路屬性的繫結選項,廢止netbios與tcp/ip之間的繫結)。
二、 設定iis的安全機制
1.安裝時應注意的安全問題
(1)避免安裝在主域控制器上
在安裝iis之後,將在安裝的計算機上生成iusr_computername匿名賬戶,該賬戶被新增到域使用者組中,從而把應用於域使用者組的訪問許可權提供給訪問web伺服器的每個匿名使用者,這不僅給iis帶來巨大的潛在危險,而且還可能牽連整個域資源的安全,要盡可能避免把iis安裝在域控制器上,尤其是主域控制器。
(2)避免安裝在系統分割槽上
把iis安放在系統分割槽上,會使系統檔案與iis同樣面臨非法訪問,容易使非法使用者侵入系統分割槽。
2.使用者控制的安全性
(1)匿名使用者
安裝iis後產生的匿名使用者iusr_computername(密碼隨機產生),其匿名訪問給web伺服器帶來潛在的安全性問題,應對其許可權加以控制。如無匿名訪問需要,可取消web的匿名服務。具體方法:
①啟動i**(internet server manager);
②啟動www服務屬性頁;
③取消其匿名訪問服務。
(2)一般使用者
通過使用數字與字母(包括大小寫)結合的口令,提高修改密碼的頻率,封鎖失敗的登入嘗試以及賬戶的生存期等對一般使用者賬戶進行管理。
3.登入認證的安全性
iis伺服器提供對使用者三種形式的身份認證。
匿名訪問:不需要與使用者之間進行互動,允許任何人匿名訪問站點,在這三種身份認證中的安全性是最低的。
基本(basic)驗證:在此方式下使用者輸入的使用者名稱和口令以明文方式在網路上傳輸,沒有任何加密,非法使用者可以通過網上監聽來攔截資料報,並從中獲取使用者名稱及密碼,安全效能一般。
windows nt請求/響應方式:瀏覽器通過加密方式與iis伺服器進行交流,有效地防止了竊聽者,是安全性比較高的認證形式。這種方式的缺點是只有ie3.0及以上版本才支援。
4.訪問許可權控制
(1)資料夾和檔案的訪問許可權:安放在ntfs檔案系統上的資料夾和檔案,一方面要對其許可權加以控制,對不同的使用者組和使用者進行不同的許可權設定;另外,還可利用ntfs的審核功能對某些特定使用者組成員讀檔案的企圖等方面進行審核,有效地通過監視如檔案訪問、使用者物件的使用等發現非法使用者進行非法活動的前兆,及時加以預防制止。具體方法:
①啟動「域使用者管理器」;
②啟動「規則」選單下的「審核」選項;
③設定「審核規則」。
①啟動i**(internet伺服器管理器);
②啟動web屬性頁並選擇「目錄」選項卡;
③選擇www目錄;
④選擇「編輯屬性」中的「目錄屬性」進行設定。
5.ip位址的控制
iis可以設定允許或拒絕從特定ip發來的服務請求,有選擇地允許特定節點的使用者訪問服務,你可以通過設定來阻止除指定ip位址外的整個網路使用者來訪問你的web伺服器。具體設定:
(1) 啟動i**(internet伺服器管理器);
(2) 啟動web屬性頁中「高階」選項卡;
(3) 進行指定ip位址的控制設定。
6.埠安全性的實現
對於iis服務,無論是www站點、ftp站點,還是nntp、**tp服務等都有各自監聽和接收瀏覽器請求的tcp埠號(post),一般常用的埠號為:www是80,ftp是21,**tp是25,你可以通過修改埠號來提高iis伺服器的安全性。如果你修改了埠設定,只有知道埠號的使用者才可以訪問,但使用者在訪問時需要指定新埠號
7.ip**的安全性
iis服務可提供ip資料報**功能,此時,充當路由器角色的iis伺服器將會把從internet介面收到的ip資料報**到內部網中,禁用這一功能不失為提高安全性的好辦法。具體設定如下:
(1) 啟動「網路屬性」並選擇「協議」選項卡;
(2) 在tcp/ip屬性中去掉「路由選擇」。
8.ssl安全機制
iis的身份認證除了匿名訪問、基本驗證和windows nt請求/響應方式外,還有一種安全性更高的認證:通過ssl(security socket layer)安全機制使用數字證書。
ssl(加密套接字協議層)位於http層和tcp層之間,建立使用者與伺服器之間的加密通訊,確保所傳遞資訊的安全性。ssl是工作在公共金鑰和私人金鑰基礎上的,任何使用者都可以獲得公共金鑰來加密資料,但解密資料必須要通過相應的私人金鑰。使用ssl安全機制時,首先客戶端與伺服器建立連線,伺服器把它的數字證書與公共金鑰一併傳送給客戶端,客戶端隨機生成會話金鑰,用從伺服器得到的公共金鑰對會話金鑰進行加密,並把會話金鑰在網路上傳遞給伺服器,而會話金鑰只有在伺服器端用私人金鑰才能解密,這樣,客戶端和伺服器端就建立了乙個惟一的安全通道。具體步驟如下:
(1) 啟動i**並開啟web站點的屬性頁;
(2) 選擇「目錄安全性」選項卡;
(3) 單擊「金鑰管理器」按鈕;
(4) 通過金鑰管理器生成金鑰對檔案和請求檔案;
(5) 從身份認證許可權中申請乙個證書;
(6) 通過金鑰管理器在伺服器上安裝證書;
(7) 啟用web站點的ssl安全性。
建立了ssl安全機制後,只有ssl允許的客戶才能與ssl允許的web站點進行通訊,並且在使用url資源定位器時,輸入https:// ,而不是http:// 。
ssl安全機制的實現,將增大系統開銷,增加了伺服器cpu的額外負擔,從而降低了系統效能,在規劃時建議僅考慮為高敏感度的web目錄使用。另外,ssl客戶端需要使用ie 3.0及以上版本才能使用。
用IIS建立高安全性Web伺服器
因為iis 即internet information server 的方便性和易用性,使它成為最受歡迎的web伺服器軟體之一。但是,iis的安全性卻一直令人擔憂。如何利用iis建立乙個安全的web伺服器,是很多人關心的話題。構造乙個安全系統 要建立乙個安全可靠的web伺服器,必須要實現window...
用IIS建立高安全性Web伺服器
因為iis 即internet information server 的方便性和易用性,使它成為最受歡迎的web伺服器軟體之一。但是,iis的安全性卻一直令人擔憂。如何利用iis建立乙個安全的web伺服器,是很多人關心的話題。構造乙個安全系統 要建立乙個安全可靠的web伺服器,必須要實現window...
用IIS建立高安全性Web伺服器
因為iis 即internet information server 的方便性和易用性,使它成為最受歡迎的web伺服器軟體之一。但是,iis的安全性卻一直令人擔憂。如何利用iis建立乙個安全的web伺服器,是很多人關心的話題。構造乙個安全系統 要建立乙個安全可靠的web伺服器,必須要實現window...