IIS配置安全策略
日期:2006-04-29 荐:
Web服务器的安全设置与应用 WEB服务器的设置 一、这次讲的是IIS的一些设置,由于小弟中用过win2k的服务器版,其它的我就不会了,同时我管理服务器也只有两个月的时候,在此之前,从来没有接触过is之类的,连在本机调试也没有。这次由于很多的朋友问iis的设置问题,我就将这两个月来我所积累的经验写出来,希望大家不要见笑。有不足的地方能够指出一下。好了,费话不多了,下面我们就开始吧! 二、首先我们打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 依次为 成功,失败 失败 成攻,失败 失败 失败 成攻,失败 失败 失败 功攻,失败 关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: 网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开 tcp/ip筛选,添加需要的tcp,udp,协议即可。 接着再关毕默认共亨,很多啦,像ipc等都是默认共亨的啊,你可以在计算机管理里面的共亨列表里可以查看啊,点右键关毕共亨,或者你可以在cmd下打 net share 查看共亨列表..这个东西比较麻烦啦,因为每次重启,这些共亨都自动又打开的啊..现在有一些批处理文件,但好像不能完全解决默认共亨的问题..需要在启动项里增加这个批处理文件,只要系统一运行,自动运行这个批处理文件,达到删除这个共亨的效果.. 接着我们来建立web站点吧,管理工具--Internet 服务管理器--新建一个web站点就可以了,或者就用默认的web站点。好了,建好了一个站点,我们接下来就要为这个站点捆邦一个域名了,通常大家都是会自己的国际顶级域名解析到自己的服务器上,你只要在域名服务商那里将域名解析到这台服务器的ip上就可以 了,我们打开己建好的web站点的属性,嘿嘿,那个主机头就填你的顶级域名就OK了,你有几个就填几个。很简单的啊。接下来配置合适的脚本映射。在主目录的执行许可的配置里面。 首先我们来删除一些没有什么用的并可能导致服务器被攻击的脚本映射! 1 *.htr这是一个比较厉害的文件,删掉好了。否则,任何人都可以通过你的web来进行非法操作,甚至格式化掉你的硬盘。 2 *.hta 删掉吧。 3 *.idc 所以删掉他。 4 *.printer这个是打印机文件。去掉他好了 5 *.htw , *.ida *.idq这些都是索引文件,可以去掉了。 其实只要将有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!:) 可执行的文件你可以自由配置啦啊,如果不让支持asp就将asp的脚本映射删除就行了,想让支持cgi,php(己安装了解释器),就配置这些文件的执行程序就可以了。。比如要执行php,你的php安装在c:\php,那你就在主目录的配置里的应用程序配置,添加可执行文件c:\php\php.exe,扩展名为.php就可以了,那么这个站点就可以运行php了,如果你想让他运行php3,重复上面的工作,只是将扩展名改成.php3就行了。呵。cgi也一样啊 添加cgi可执行文件,扩展名用.cgi就行了。 下面我们要做的就是将默认的站点(您可以选择停止,不让运行)的默认的一些虚拟目录删除,像iisadmin 这些,要不然可能就死得很惨哟!!呵呵很简单啊。。同样你建立一个虚拟目录也很简单啊,点击web站点的右键,新建一个虚拟目录,比如要建一个虚幻神化的江湖,就新建一个jxqy的虚拟目录名,接着就指向你程序所在的位置就可以使用www.*****.com/jxqy来访问你的虚幻神化了。 还有,如果你建的这个web站点是送朋友的或者卖给客户的,你想做他的网站作一些限制??(别太心狠啊,作太多的限制哟),打开web站点的属于,有一个链接,看到没?一个是无限,一个是限制的,我们选择下面的 限制,要限制多少人呢?得了,150人吧,那就填150链接,链接超时?一般150就够啦啊!!下面我们来对网站的性能作一些限制吧。那就在web站点的属性这里的性能这里设置吧,呵呵。你希望这个网站每天的点击量多少啊??想多少??自己选择了,下面选择启动宽带限制啊。。一般20kb/s就可以了。。。最大cpu占用资源?? 2%就可以了。呵呵,我还要为服务器上的服务站着想呢:) 在web站点的属性看到那个文档没?那个就是设置站点的默认首页的,你的站想使用什么文件作首页就在这里调吧。呵呵。还有web站点属性里面的那个目录安全性,用到的地方可大着呢,呵呵。首先,在这里设置大家匿名访问你的网站。。。管理工具--Internet 服务管理器--打开你所需设置的web站点的属性--目录安全性-- 匿名访问和验证控制--编辑--匿名访问打上勾--编辑--选择你的用来作匿名访问的帐号--确定--好了可以访了!!呵呵,想不让某些爱搞蛋的家伙不能来访问你的网站???那就将他们的IP限制住就行喽,也就在目录安全性这里。不要说你这也不会啊。。 三:我们来讲讲ftp的设置吧。。这个就很简单啦啊,在Internet信息服务里点右键,新建ftp站点,按下一步,填写这个ftp站点的说明。填写ip地址,就写你的服务器的IP吧,端口??随便你想一个啊,最好人家不好猜到的,这样的话就算是知道用户名和密码,一时也不好上FTP哟,呵呵。再下一步就是这个FTP链上的时候,指向你服务器上的哪一个目录啊,这个你自己设吧,你建立的哪个目录是用来放网站的就指向哪个目录,好了,一个FTP建成了。。接下来你就因该去管理工具里面的计算机管理,新建一个用户了,是用作链接刚才新建的这个FTP的帐号。帐号建好了,那就去要开刚才新建的FTP的属性,同样有链接的选项,呵呵,同时使用这个FTP的人?三四个就可以了。下面我们看看安全帐号这里,将匿名进行FTP的这个勾去掉,要不然别人就匿名上这个FTP了,呵呵,我最喜欢这样上人家的服务器拷贝资料了,呵呵。再添加一个操作员,也就是你刚才新建的帐号啊。还有旁边还有一个消息的功能,就用来链接FTP,服务器的提示信息,就是在这里填的,还有目录安全性?你不想让某个IP段或某个IP不准使用这个FTP?来这里限制吧。呵。好了,一些设置基本上也只有这么一些,下面我们来讲讲给用户配置空间的大小吧。。
四:磁盘分区配额 磁盘配额的启用 大家都知道,我们有时需要限制某些客户的能够使用的磁盘容量,这点,我们也可以做到,并不需要其它的什么软件,WIN2K本身有这个功能。但必须要求你格式化硬盘的时候,是采用ntfs 5.0进行分区的。在NTFS 5.0的分区中,打开“属性”对话框之后,如果当前的用户是系统管理员或是系统管理员组的一个成员,那就会看到“属性”对话框中有“配额”这一项,如果你不是采用NTFS 5.0分区的,那你就没有这项功能。 在默认的情况下,碰盘配额是被禁用的,如果要启用碰盘配额,只需选择“启用配额管理”复选框,单击“确定”或“应用”按扭就可以启用磁盘配额了。碰盘配额是由windowns 2000 中的碰盘配额程序管理和控制的,当启用磁盘配额时,磁盘配额程序就被启动。 磁盘配额的分配和设置 碰盘配额是基于用户和文件所有者的一种磁盘分配机制。利用磁盘配额机制,系统管理员可以设置每个用户使用NTFS5.0分区磁盘空间的上限.打开配额项,有两个选项: 1:不限制磁盘使用:对新用户不限制碰盘使用,任何新用户可以充分使用磁盘空间,直至达到最大的磁盘容量。 2将磁盘空间限制为:选择了这个选项之后,可以设置“配额限制(puota limit)”的大小和:配额警告等级(quota warning level)”的大小。“配额限制”指定在当前分区中新用户最大可以使用的磁盘空间,比如我将警告等级设为200MB,警告等级为198MB,如果己使用了达到198M的东西,那系统上就会警告了,如果达到200M了,那该用户就无法再上传东西了。 在“配额”对话框中还有以下设置 1:拒绝将磁盘空间给超过配额限制的用户:选择了这个选项之后,当用户使用的磁盘空间达到了配额限制之后,用户就不能再往该分区新加什么数据了。如果不选择此选项,则用户使用的磁盘空间超出配额限制,系统可能只是记录下这个事件。 2:用户超出磁盘配额时记录事件:选择了该选项之后,当用户使用的磁盘空间超出磁盘配额时,系统会在系统日志中记录这件事。 3:用户超出警告等级时记录事件:选择了该选项之后,当用户使用的磁盘空间超出警告等级时,系统会在系统日志中记录这件事。 还有服务器的安全,只要有补丁就打,多看看LOG我想没什么问题了。别忘了,微软是补丁大王。 好了,就写这么多了,累死我了。这些我都是在WIN2K服务器上,使用的是WIN2K自带的FTP,以前听很多人说IIS自带的没有限制空间大小等这些功能。。现在明白了没有?? 作为虚拟主机提供商应将filesystemobject进和dll文件发安装!!在命令提示符这里或运行这里运行Regsvr32 /u scrrun.dll进行反安装!!或者修改注册表!!只要自己知道才可以使用fos, 查找注册表中 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值,将其更改成为你想要的字 符串,比如更改成为HKEY_CLASSES_ROOT\Scripting.FileSystemObject2,这样,在ASP就必须这样引 用这个对象了: Set fso = CreateObject(
标签: