网络安全 频道

网管技术 保护WEB服务器的技巧

    IIS安全技巧七则:下篇
    8、禁用TCP/IP协议中的NetBIOS:这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到局域网上的资源了。

    9、使用TCP端口阻塞:这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。

    10、仔细检查*.bat和*.exe 文件:每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对用户来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果右击并选择编辑,可以发现黑客已经制造并能让他们能进入系统的注册表文件。可以删除这些没任何意义但却会给入侵者带来便利的主键。

    11、管理IIS目录安全:IIS目录安全允许拒绝特定的IP地址、子网甚至是域名。

    12、使用NTFS安全:缺省地,NTFS驱动器使用的是EVERYONE/完全控制权限,除非手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助保护重要的文件和应用程序。

    13、管理用户账户:如果已经安装IIS,可能产生了一个TSInternetUser账户。除非真正需要这个账户,否则应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

    14、审计你的Web服务器:审计对计算机的性能有着较大的影响,因此如果不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,可以通过Access或是 Excel打开它。如果经常察看异常数据库,能在任何时候找到服务器的脆弱点。

   上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能损失惨重,可能需要重启,从而遗失访问。

    最后的技巧:登陆Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和端口建立连接。

0
相关文章