在本篇文章中,我們將集中介紹一些方法,來幫助你在你的環境中使用並確保iis7伺服器和其應用程式的安全。
1、確保你的web伺服器是強化的os作業系統。如果你使用的是windowsserver2008r2的作業系統,那麼伺服器核心安裝版本會給你需要的——所有功能,但不能降低被攻擊的風險。如果你正在使用常規版本的windowsserver,可以試著安裝iis,它只是作用於你目前所需要的裝置。根據你的需要,也可以恢復或者安裝更多你所需要的功能。注意,當你新增了,你不使用的裝置時,這會使你受到的攻擊範圍擴大。
2、使用防火牆可以真正幫助你保護web伺服器,尤其是面向網際網路的伺服器。防火牆能確保伺服器只接收有效的有服務的封包。當外部襲擊者試圖對你的伺服器進行惡意攻擊時,防火牆就是你的第一道防線。使用入侵預防系統(ips),可以進一步保障你的系統,尤其是iis伺服器。如果你的系統不是很大,不需要裝特定的硬體防火牆裝置時,你也可以利用windowsserver2008的綜合防火牆同樣可以獲得較好的安全性。
3、用iis7控制ip和域限制訪問你web伺服器的內容。例如,你可以只授權組織內部域的訪問。或者新增除合作夥伴以外,管理員家裡的ip位址,老闆或其他任何你希望可以訪問的組織或者個人。
4、iis7可讓你更好的過濾需要處理的,需要過濾的資訊。利用這一特點你可以對特定規則要求過濾,例如處理帶有特定副檔名的檔案,或者處理在url中的特定短語。
5、當乙個有效的包進入iis處理時,同時也應該會有乙個授權的人。iis7允許你使用乙個過程呼叫url授權。特定的頁面和/或web伺服器的**,可以授權給不同的使用者。預設情況下,使用者應首先驗證自己,並根據其驗證身份,然後允許或不允許進入他們所要求的網頁/**。這與之前iss版本不同,管理員可設定檔案系統級別上的許可權。使用url授權iis7的方式來支援更詳細的授權使用者。
7、日誌是乙個讓你最有保障的方法。它可幫助你搜尋攻擊源或者乙個伺服器損壞的原因。從一開始就確保你的設定,並在危機關頭協助你的監測工作。ftp
8、如果你感覺你的iis基礎設施和所有的安全解決方案已經沒有問題的話,那麼就要進行測試了。使用測試工具微軟會提供給你大師級的策略來確保你的測試是最好的方法。做測試最常用的工具是scw和scm。下面就來介紹一下:安全配置嚮導(scw)——這是根據你的伺服器除iis伺服器之外,是否或者還扮演一些其他的角色,而有所不同。測試結束後scw會告訴你如何提高伺服器安全性的報告和建議。安全合規管理器(scm)-是微軟給你的伺服器做安全測試的工具。在與配置伺服器的預定義模板進行對比後,通過改變使用策略來配置伺服器。scm使用更新過的資料庫工具,要比scw所使用的工具更複雜。從而確保你定期進行初始化安裝伺服器後能執行這些工具。
9、上面提到了有關iis日誌記錄功能的作用,但日誌最重要的作用是為你監視特定事件可能導致伺服器或託管的應用程式中存在的問題。同樣重要的是為你監控伺服器本身的執行時間,可用性和效能問題。也可以監控iis伺服器的乙個sla協議的物件,無論是內部(公司)或外部(客戶端)的sla要求。理論上,這種監測可以由乙個伺服器管理員手動完成,但要更高效、更可靠的話可把這種工作,交給像monitis的監測公司解決。
伺服器證書安裝配置指南(IIS7)
一 生成證書請求 1.進入iis控制台 進入iis控制台,並選擇伺服器的伺服器證書設定選項。2.新增證書請求 進入伺服器證書配置頁面,並選擇 建立證書申請 3.選擇加密服務提供程式,並設定證書金鑰長度,ev證書需選擇位長2048。二 三 4.生成證書請求檔案 儲存證書請求檔案,並稍後提交給天威誠信。...
IIS7批量遷移到另一台IIS7伺服器
目標iis7伺服器 os windows server 2008 datacenter 機器名稱 web2 ip 192.168.1.30 24 安裝與源iis7相同的role services 介紹完實驗環境後,接下來介紹iis7的使用者和組,iis7使用iusr內建帳號替代了以前的iusr ma...
近期關於web伺服器安全問題的心得
2.前提在如果別人已經掛webshell後怎麼辦.嚴格的許可權分配,不要用什麼everyone,如果你整不清該用哪個使用者許可權的話,去查,去試,也不要圖方便用everyone,一般 是iuser這個使用者,只要上傳資料夾能進行寫操作,對上傳頁面的邏輯進行嚴格管理,限定上傳字尾名,不要用反排除法,如...