果洛皆料电子有限公司

IIS5安全策略設(shè)計概要

  • 發(fā)布于:2023-04-08
  • 198 人圍觀

IIS5是Windows2000操作系統(tǒng)所帶的Internet服務(wù)程式包,他包含了www、ftp、smtp連同index server等等眾多實用功能。無論是創(chuàng)建一個Internet外部站點,還是構(gòu)造一個Intranet內(nèi)部應(yīng)用,使用IIS5都是很好的選擇。同時,如何保障IIS5安全穩(wěn)定運行、內(nèi)容發(fā)布正確可靠,這是系統(tǒng)管理員必須高度重視的問題。本文就IIS5的安全策略設(shè)計進(jìn)行概要分析,旨在讓大家從宏觀角度了解系統(tǒng)管理員都應(yīng)在哪些方面執(zhí)行必要的安全配置,然后根據(jù)實際環(huán)境再在各個環(huán)節(jié)分別擴(kuò)展,最終創(chuàng)建一個安全的IIS5服務(wù)器。

為虛擬目錄配置適當(dāng)?shù)脑L問權(quán)限

正確配置虛擬目錄的訪問權(quán)限,將會很大程度地影響其中文檔的安全可靠性。建議考慮以下幾個方面的配置原則:

文檔類型 建議的訪問權(quán)限


CGI 程式(.exe, .dll, .cmd, .pl) Everyone (X)
Administrators (Full Control)
System (Full Control)

腳本文檔(.asp) Everyone (X)

Administrators (Full Control)
System (Full Control)

包含文檔(.inc, .shtm, .shtml) Everyone (X)
Administrators (Full Control)
System (Full Control)

靜態(tài)文檔 (.txt, .gif, .jpg, .html) Everyone (R)
Administrators (Full Control)
System (Full Control)

為不同類型的文檔創(chuàng)建不同的目錄

假如一個虛擬目錄下面有多種類型的文檔,按照上面的原則為每一種文檔配置訪問權(quán)限,無疑是很煩瑣的事情。因此,我們能夠采取為不同類型文檔創(chuàng)建不同目錄的方式,然后再按照上面的原則為每一個目錄配置相應(yīng)的訪問權(quán)限。比如,我們能夠創(chuàng)建如下的目錄結(jié)構(gòu):

C:\inetpub\wwwroot\myserver\static:存放靜態(tài)文本文檔(.html)

C:\inetpub\wwwroot\myserver\include:存放包含文檔(.inc)

C:\inetpub\wwwroot\myserver\script:存放腳本文檔(.asp)

C:\inetpub\wwwroot\myserver\executable:存放可執(zhí)行文檔(.exe,.dll, .cmd, .pl)

C:\inetpub\wwwroot\myserver\images:存放圖像文檔(.gif,.jpeg)

另外,請注意以下2個特別的目錄:

C:\inetpub\ftproot:FTP服務(wù)所在目錄

C:\inetpub\mailroot:SMTP服務(wù)所在目錄

這2個目錄的訪問權(quán)限是Everyone 完全控制(Full Control),每個用戶都具備向其中添加數(shù)據(jù)的權(quán)限。這樣,就有可能造成目錄所在磁盤的空間耗盡。因此,我們建議:

將這2個目錄放置到另外的磁盤卷中,和其他的IIS服務(wù)程式分開。

使用Windows 2000 磁盤配額功能限制添加到這2個目錄的數(shù)據(jù)量。

為IIS日志文檔配置適合的訪問權(quán)限

IIS日志文檔記錄了任何訪問IIS服務(wù)程式的信息,他對于系統(tǒng)管理員檢測故障很重要。攻擊者為了銷毀他們的侵入痕跡,總是要想方設(shè)法刪除掉日志文檔。因此,我們建議對這些日志文檔進(jìn)行重點保護(hù),配置如下的訪問權(quán)限:


Administrators (Full Control)
System (Full Control)
Everyone (RWC)

IIS日志文檔一般位于如下路徑:%systemroot%\system32\LogFiles。

使用日志文檔

日志文檔對于檢查服務(wù)器是否被攻擊是極為重要的。日志文檔有多種,我們建議使用"W3C擴(kuò)充日志文檔格式",步驟如下:

啟動"Internet服務(wù)管理器"

點擊鼠標(biāo)右鍵選擇要配置的站點,在從彈出菜單中選擇"屬性"

點擊"Web站點"選項卡

點擊選中"啟用日志記錄"復(fù)選框

從"活動日志格式"下拉選擇框中選擇"W3C 擴(kuò)充日志文檔格式"

點擊"屬性"

點擊"擴(kuò)充的屬性"選項卡,然后依次選中如下屬性:

客戶IP地址

用戶名

方法

URI資源

HTTP狀態(tài)

Win32狀態(tài)

用戶代理

服務(wù)器IP地址

服務(wù)器端口

以上最后2個屬性只當(dāng)一個電腦充當(dāng)多個Web服務(wù)器時有意義,也就是所謂的虛擬主機(jī)。屬性"Win32狀態(tài)"對于調(diào)試很有用,當(dāng)他的數(shù)值等于5時,表示禁止訪問(access denied)。我們能夠在命令行執(zhí)行如下命令得到其他的"Win32狀態(tài)碼"所表示的含義:

net helpmsg err

其中err表示W(wǎng)in32狀態(tài)碼。

禁止或刪除任何的例子程式

默認(rèn)安裝選項中,例子程式不會被安裝到機(jī)器中。對于一個正式應(yīng)用的服務(wù)器,我們不應(yīng)該在其中安裝任何例子程式。假如已安裝了某些例子程式,建議將他們完整刪除掉。為了查找方便,以下我們列出一些例子程式的默認(rèn)安裝路徑:

例子程式類別 所在虛擬目錄 默認(rèn)安裝路徑

IIS例子程式 \IISSamples c:\inetpub\iissamples

IIS文檔 \IISHelp c:\winnt\help\iishelp

Data Access \MSADC c:\program files\common files\system\msadc

刪除虛擬目錄IISADMPWD

萬企互聯(lián)
標(biāo)簽:

相關(guān)推薦