配置一个安全的IIS5初探
发表于:2007-06-30来源:作者:点击数:
标签:
Iee说希望我能整理一个架设一个比较 安全 的IIS的东西出来,但本人技术有限,感到有些心有余而力不足,只整理 了一个初步的做法,请大家进行补充. 一.iis5的安装 iis5信息服务安装有10个或选项: 1.frontpage 2000扩展 2.Inte .net 服务管理器 3.Internet服务管理
Iee说希望我能整理一个架设一个比较
安全的IIS的东西出来,但本人技术有限,感到有些心有余而力不足,只整理
了一个初步的做法,请大家进行补充.
一.iis5的安装
iis5信息服务安装有10个或选项:
1.frontpage 2000扩展
2.Inte
.net服务管理器
3.Internet服务管理器(HTML)
4.NNTP服务(
新闻组)
5.SMTP服务(邮件服务)
6.Visual InterDev RAD远程配置支持
7.WWW
服务器
8.公用文件
9.文档
10.FTP服务器
如果你的服务器只是做为一个web服务器用,那么我建议只安装:
2.Internet服务管理器
7.WWW服务器
8.公用文件
9.文档
10.ftp(如果不安装可用其它更专业的ftp代替,如serv-u等)
可选项:
3.Internet服务管理器(HTML)
Internet服务管理器(HTML)是Internet服务管理器的HTML版,主要用于让管理员远程管理Internet服务服务器.
如果不使用远程管理,这个可以不安装.这个管理器全部是使用asp写的,非常有参考价值,写程序的朋友可以安装
上个看看,很好的.:)
二.IIS配置
(一)禁止不用的WEB站点.
通常你安装好IIS后都打开IIS管理器都会看到两个站点:默认的web站点和管理web站点.前者使用80口,允许尼名
访问,后者使用的端口是随机的,有IP地址限制,也允许尼名访问,但没有足够的权限会出现页面错误.
通常情况下这两个站点你在安装完IIS后应该立即禁止它们,至少应该添加IP地址限制,修改端口,不允许尼名访
问并将这种限制应用到所有的虚拟目录中去.
注意,管理性web站点与默认web站点中的iisadmin虚拟目录都指向一个位置:C:\WINNT\System32\inetsrv\iisad
min.也就是说如果你关闭了管理web站点而仍然开着默认的web站点,那么仍然可以进行远程web管理的.
这样做至少有两方面的好处:
1.使默认的WEB站点不再占用80口,这样其它web就可以使用(不考虑使用主机头名的情况).
2.避免了许多的安全方面的隐患,现在的一些扫描通常都是扫描默认的WEB站点的.如果你禁止了这个站点那么你
将避免许多的安全方面的问题.
(二)删除不用的应用程序映射
一般的站点上只保留asp/asa/cer/cdx就可以了.printer/htw/ida之流还是删除的好.:)删除这些可以直接在服
务器节点上做,不必每个web都去做.这样即使以后再添加新的web站点也不必再进行删除了.
(三)启用访问日志
如果可能将日志的路径修改个地方,缺省是在%WinDir%\System32\LogFiles下的,这样经常导致一些黑客入侵了
后直接使用命令就删除了,即使删除不掉的也可能使用其它文件给覆盖掉了.你换个地方放置这些目志至少让黑
客们找些时候,再说找到找不到还是一说.:)
听说有些管理员直接将日志接到了打印机上,那就永远删除不掉了.:)
(四)应用程序设置
1.如果只是运行htm静态文件,将虚拟目录的执行许可设置为无,运行asp程序则设置为运行脚本,除非万不得已不
要设置成脚本和应用程序,级别越低越好一些.
2.应用程序选项中不启动父路径.
3.应用程序调试中不要发送详细的出错信息给客户端,只要当
程序员进行调试时才发送.如果发送详细的信息给
客户端有时会导致源码泄露,招来不必要的攻击.
(五)编辑目录安全性
根据需要设置尼名访问,如果可能建议将尼名用户名改一下.尼名用名通常是IUSR_机器名,很容易猜出来,如果你
设置了用户锁定的话可能会导致攻击使用尼名用户被锁定而导致网站不能够被访问.
根据需要设置IP安全策略,过滤掉一些不允许访问的IP.
根据需要建立SSL站点,通常微软建议管理WEB站点要使用ssl连接的.
(六)打补丁,这是日常基本的操作.
原文转自:http://www.ltesting.net