利用IIS建立高安全性Web服務器

    IIS（Inte.net Information Server）作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能，如何加強IIS的安全機制，建立一個高安全性能的Web服務器，已成為IIS設置中不可忽視的重要組成部分。

　　本文將通過以下兩個方面來闡述加強IIS安全機制的方法。

　　一、 以Windows NT的安全機制為基礎

　　作為運行在 Windows NT操作系統環境下的IIS，其安全性也應建立在Windows NT安全性的基礎之上。

　　1.應用NTFS文件系統

　　NTFS可以對文件和目錄進行管理，而FAT（文件分配表）文件系統只能提供共享級的安全，建議在安裝Windows NT時使用NTFS系統。

　　2.共享權限的修改

　　在缺省情況下，每建立一個新的共享，其everyone用戶就能享有“完全控制”的共享權限，因此，在建立新共享后要立即修改everyone缺省權限。

　　3.為系統管理員賬號更名

　　域用戶管理器雖可限制猜測口令的次數，但對系統管理員賬號卻用不上，這可能給非法用戶帶來攻擊管理員賬號口令的機會，通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體設置如下：

　?。?） 啟動“域用戶管理器”；

　?。?） 選中管理員賬號；

　?。?） 啟動“用戶”選單下的“重命名”對其進行修改。

　　4.廢止TCP/IP上的NetBIOS

　　管理員可以通過構造目標站NetBIOS名與其IP地址之間的映像，對Internet上的其他服務器進行管理，非法用戶也可從中找到可乘之機。如果這種遠程管理不是必須的，應立即廢止（通過網絡屬性的綁定選項，廢止NetBIOS與TCP/IP之間的綁定）。

　　二、 設置IIS的安全機制

　　1.安裝時應注意的安全問題

　?。?）避免安裝在主域控制器上

　　在安裝IIS之后，將在安裝的計算機上生成IUSR_Computername匿名賬戶，該賬戶被添加到域用戶組中，從而把應用于域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶，這不僅給IIS帶來巨大的潛在危險，而且還可能牽連整個域資源的安全，要盡可能避免把IIS安裝在域控制器上，尤其是主域控制器。

　?。?）避免安裝在系統分區上

　　把IIS安放在系統分區上，會使系統文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統分區。

　　2.用戶控制的安全性

　?。?）匿名用戶

　　安裝IIS后產生的匿名用戶IUSR_Computername（密碼隨機產生），其匿名訪問給Web服務器帶來潛在的安全性問題，應對其權限加以控制。如無匿名訪問需要，可取消Web的匿名服務。具體方法：

　?、賳覫SM（Internet Server Manager）；

　?、趩覹WW服務屬性頁；

　?、廴∠淠涿L問服務。

　?。?）一般用戶

　　通過使用數字與字母（包括大小寫）結合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶賬戶進行管理。

　　3.登錄認證的安全性

　　IIS服務器提供對用戶三種形式的身份認證。

　　匿名訪問：不需要與用戶之間進行交互，允許任何人匿名訪問站點，在這三種身份認證中的安全性是最低的。

　　基本（Basic）驗證：在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸，沒有任何加密，非法用戶可以通過網上監聽來攔截數據包，并從中獲取用戶名及密碼，安全性能一般。

　　Windows NT請求/響應方式：瀏覽器通過加密方式與IIS服務器進行交流，有效地防止了竊聽者，是安全性比較高的認證形式。這種方式的缺點是只有IE3.0及以上版本才支持。

[1]    

原文轉自：http://www.kjueaiud.com