安全性与IIS（2）

　　三、安全性与WEB服务器WEB服务器是IIS中一个强有力的功能全面的工具，它优于其他同类产品。它的性能得到优化。且作为WINDOWS NT SERVER下的一项服务运行时，能为各种规模的网络提供快速、方便、安全的WEB出版功能。
　　（一）如何保护WEB服务器的安全呢？如果你计划建立WEB网站，要确保你WEB网站及其内容的安全以及你网络及其资源的安全，除了我们曾经提到过的安全措施外，你还要采取其它相应的手段。
　　**注意**由于IIS提供的三种服务配置起来非常相似，故我们只详细介绍WEB服务器的配置，接着只说明FTP服务器和Gopher服务器的差异。
　　1、用户和口令验证明首先你需要了解匿名访问的严重后果，并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权。若要设置用户对你的WEB服务器进行访问的类型，请在IIS MANAGER中双击WWW，调出你的WEB服务器再双击WEB服务器，就会显示出WWW SERVICE PROPERTIES对话框。在对话框中，你可以看到，设置WEB服务器服务程序可以使用多种选项。对于安装的大多数的IIS而言，缺省选项最好。然而，有两种关键的设置将决定用户对WEB网站的访问等级：匿名登录和口令验证。
　　如果你希望允许大众进行访问，一定要确保你同意匿名访问。按照缺省设置，当IIS安装好后，在你的用户数据库就会创建一个新用户帐户，其名字为IUSR_，后接已安装好的服务器名。举例说明：如果服务器名为SAMUEL-1，新用户帐户则为IUSR_SAMUE-1。当帐户创建好，它被赋予有限的访问权，并增加到域用户、客人用户和EVERYONE组中。
　　此外，IUSR_帐户被赋予在本地登录的权限（LOGON LOCALLY）。所有WEB用户都必须具有这种权限，原因是他们的请求被传送至WEB服务器服务程序，该服务程序利用他们的帐户去登录，接着允许WINDOWS NT分配相应的访问权。
　　如果你希望所有用户按照特定的用户帐户和口令得到验证，你仅仅清除Anonymous Logon（匿名登录）选项即可。那将要求各用户在访问服务器的资源前输入有效的用户ID和口令。如果你能启动启示功能，你就能查看到谁正访问WEB服务器以及他们所进行的操作。
　　另一项决定你网站安全性的重要设置是你想使用的口令验证类型，这里我们不再深入探讨。为了实现最大的安全性，你可以激活Windows NT Challenge/Response选项，它在传输信息前对你的用户ID和口令进行加密，从而保证帐户信息在网络安全传输。（遗憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持这种功能。）
　　2、虚拟目录为确保你网站的安全性，配置WEB服务器可以看到的目录以及相应的访问层次也是很重要的。当你第一次安装IIS时，按照缺省设置，它会自行创建一个叫做InetPub的目录（安装老版本的IIS则创建InetPub），接着为其提供的INTERNET服务生成根目录。Web服务器的根目录缺省为wwwroot，它应当是你主页所在位置。接着你可以使用Directories标签来增加存储额外内容的新目录。
　　3、Web服务器安全提示如果你正运行WEB服务器，尽管你已根据以前所讨论过的内容采取了预防措施，也许仍有些安全漏洞有待于你填补。以下列出当提供WEB服务时，你应当采取的一般措施：
　　*停用.bat和.cmd文件的映射功能。如果黑客们拿到这些Web服务器上的可执行文件的话，他们就可运行这些Web文件。你通过取消对脚本程序的所有目录的阅读许可权，就可以停用某些文件夹映射功能。
　　*总是将你的脚本程序和数据存储在不同的目录，务必使包含脚本程序的目录只拥有执行许可权。
　　*禁止使用Directory Browsing Allowed（允许目录浏览）。这一功能启动后会给出一个浏览器，该浏览器含有某个目录中的超文本文件列表，从而使黑客能篡改目录中的文件。
　　*避免使用Remote Virtual Directories（远程虚拟目录）。务必将IIS所有的可执行文件以及数据安装在同一台机器上，并利用NTFS来保护。当用户试图从远程目录访问文档时，总是使用输入到属性页上的用户名和口令，这就有可能绕过访问控制列表。*当编写和使用CGI脚本程序时，一定要小心。有经验的黑客也许会利用编写拙劣的CGI脚本程序来对你的系统进行访问。
　　*牢记特权最小的原则，如果你计划只运行Web服务器，那么请只激活Web服务器主机的端口80。
　　*全面测试你的Web服务器——设法发现并弥补任何漏洞。最好的方法是，让可靠而且内行的同事设法破坏你网络的安全性。
　　*想了解额外的情况，请上网www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文档，寻求使你的Web服务器安全的灵丹妙药。
　　四、安全性与FTP服务器FTP服务器是唯一一项允许用户通过INTERNET将文件传输至你服务器的IIS服务程序。设置FTP安全性能、用户和口令验证与WEB服务器大致相似。但是有一点值得你**注意**：用户名和口令将以明文（非加密）形式传输至FTP服务器服务程序，这意味着如果使用网络嗅探器就可以捕捉到这一信息，从而破坏网络的安全！
　　在你允许大众进行访问时，一定要熟悉FTP Service Properties页的Current Session钮。它告诉你哪个用户与FTP服务器相连，他们何时连接，以及他们已连接多长时间。
　　虚拟目录设置FTP服务器的目录与设置Web服务器服务程序十分类似，一定要保证用户不能访问FTPRoot目录之外的目录，并要正确设置FTP目录的访问许可。
　　FTP服务器安全提示运行FTP服务器时，为保证安全你应当了解的以下事项：
　　1、谨记用户可以修改FTP服务器的目录。一定要确保他们无法进入FTPRoot目录以外的目录，同时要使用NTFS来保证你服务器的安全。
　　2、避免使用远程虚拟目录。当用户度图从远程目录访问文档时，总是要求其提供输入到属性页的用户名和口令，这就有可能绕过访问控制表表。
　　3、一定要启动记录功能，查找可疑活动，如在日志和事件查看器中查找没有成功的登录4、如果你只计划运行FTP服务器，只启动FTP主机的端口20和端口21。
　　5、全面测试你的FTP服务器，并设法找到任何漏洞。你还可以让一个可靠的内行的同事设法打入系统。
　　五、安全性和Gopher服务器保护Gopher服务器与保护FTP服务程序和Web服务程序很类似，差别在于Gopher只允许匿名登录。

原文转自：http://www.ltesting.net