安全防护:如何提高IIS 6.0的安全问题


  烈火网(LieHuo.Net)教程 没有任何系统是100%安全的,系统漏洞会不断地发现,这是因为黑客和系统管理员一样也在整天看着新闻组,收集着这方面的信息。黑与反黑之间的战斗会永远进行下去。Web 服务器通常是各种安全攻击的目标。其中一些攻击非常严重,足以对企业资产、工作效率和客户关系造成相当的破坏—所有攻击都会带来不便和麻烦。Web 服务器的安全是企业成功的关键。

  初次安装 IIS 6.0 时,Web 服务器仅服务于或显示静态网页 (HTML),这降低了服务于动态网页或可执行文件、内容而带来的风险。默认情况下禁用 ASP 和 ASP.NET。由于 IIS 6.0 的默认设置禁用了 Web 服务通常使用的许多功能,所以,如何在降低服务器暴露给潜在攻击者的程度,同时配置 Web 服务器的其他功能呢?

烈火网:http://www.bkjia.com/

  一、减少 Web 服务器的攻击面,通过减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度,来开始保护 Web 服务器的过程。例如,仅启用 Web 服务器正常运行所必需的组件、服务和端口:

  1、 禁用面向 Internet 连接上的 SMB:开始---设置---控制面板---网络连接---本地连接---属性---清除“Microsoft 网络客户端”复选框---清除“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。

  SMB 使用的端口:

  TCP 端口 139、TCP 和 UDP 端口 445 (SMB Direct Host)

  2、禁用基于 TCP/IP 的 NetBIOS:我的电脑---属性---硬件---设备管理”器---单击查看---显示隐藏的设备---双击非即插即用驱动程序---右键单击“NetBios over Tcpip”---停用

  NetBIOS 使用的端口: TCP 和 UDP 端口 137(NetBIOS 命名服务)、TCP 和 UDP 端口 138(NetBIOS 数据报服务)、TCP 和 UDP 端口 139(NetBIOS 会话服务)

  上述过程不仅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主侦听者,而且禁用 Nbt.sys 驱动程序,并需要重新启动系统。

  3、 配置 IIS 组件和服务,只选择基本的 IIS 组件和服务。IIS 6.0 除了包括 WWW 服务之外,还包括一些子组件和服务,例如 FTP 服务和 SMTP 服务。为了最大限度地降低针对特定服务和子组件的攻击风险,建议您只选择网站和 Web 应用程序正确运行所必需的服务和子组件。开始---控制面板--- 添加或删除程序---添加/删除 Windows 组件---应用程序服务器单击详细信息--- Internet 信息服务 (IIS)单击详细信息---然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。

  IIS 子组件和服务的推荐设置:

  禁用:后台智能传输服务 (BITS) 服务器扩展;FTP 服务;FrontPage 2002 Server Extensions;Internet 打印;NNTP 服务

  启用:公用文件;Internet 信息服务管理器;万维网服务

  二、建议您删除未使用的帐户,因为攻击者可能发现这些帐户,然后利用这些帐户来获取您服务器上的数据和应用程序的访问权。始终使用强密码,因为弱密码增加了成功进行强力攻击或字典攻击(即攻击者竭尽全力地猜密码)的可能性。使用以最低特权运行的帐户。否则,攻击者可以通过使用以高级特权运行的帐户来获取未经授权的资源的访问权。

  1、禁用来宾帐户(Guest),采用匿名连接来访问 Web 服务器时,使用来宾帐户。在默认安装 Windows Server 2003 时,禁用来宾帐户。 要限制对服务器的匿名连接,请确保禁用来宾帐户。

  2、重命名管理员帐户,默认的本地管理员帐户因其在计算机上的更高特权而成为恶意用户的目标。要增强安全性,请重命名默认的管理员帐户并分配一个强密码。

  3、重命名 IUSR 帐户,默认的匿名 Internet 用户帐户 IUSR_ComputerName 是在 IIS 安装期间创建的。ComputerName 的值是安装 IIS 时服务器的 NetBIOS 名称。

  4、在 IIS 元数据库中更改 IUSR 帐户的值:单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”, 右键单击“本地计算机”,然后单击“属性”。 选中“允许直接编辑配置数据库”复选框,然后单击“确定”。 浏览至 MetaBase.xml 文件的位置,默认情况下为 C:\Windows\system32\inetsrv。右键单击 MetaBase.xml 文件,然后单击“编辑”。 搜索“AnonymousUserName”属性,然后键入 IUSR 帐户的新名称。在“文件”菜单上,单击“退出”,然后单击“是”。

  • 共4页:
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 下一页

相关内容