• 3035阅读
  • 1回复

IIS的安全措施 [复制链接]

上一主题 下一主题
离线韭菜
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2005-09-25
  Internet信息服务的安全机制建立在Windows 2000安全机制之上,因此实现了公司服务器的Internet信息服务的安全性。Web服务器的安全措施可以降低或消除各种安全威胁。例如,怀有恶意的个人意外获准访问限制信息,以及无意中更改重要文件。

  IIS安全概述

  在Windows 2000中,有多种方法增强在Intranet或Internet上发布信息的计算机的安全性。参照下面内容可以确定是否可提高安全性。

  1. Windows安全

  IIS的安全功能是建立在Windows安全功能之上的。Windows中的文件系统、用户账户和服务等设置将有助于IIS的安全。

  在文件系统方面,IIS中的目录使用NTFS,要比使用FAT系统更安全。对于可执行文件还应存储在单独的NTFS目录中,这样便于指定访问权限和审核。在默认情况下,Windows创建新文件夹时,将“完全控制”权限指定给“Everyone”组,这将对共享文件夹构成极大的威胁,所以用户应该查看并调整该权限。另外,当Windows创建新的共享资源时,也将“完全控制”权限指定给“Everyone”组,用户也必须检查网络驱动器的NTFS权限,以免设置的权限过高。

  在用户账户方面,应经常进行查看,确保不是由有效管理员创建的新账户,还应检查指派给IUSRcomputername账户的权限,所有能够匿名访问站点的用户都具有指派给IUSRcomputername账户的权限。在设置用户账户密码时,应选择复杂密码。例如,密码由大小写字母、数字和特殊字符组合而成,则很难被破译。作为IIS系统的管理员,不但要维护严格的账户策略和限制管理员组的成员,还要安全地设置管理员密码,并要经常修改密码,以免密码被盗用。

  除了文件系统和用户账户外,还有一些Windows安全选项影响IIS系统的安全。系统的每一个服务都可能成为恶意攻击的入口,因此,在服务器上应运行最少的服务,对于那些不是十分必要的服务要及时停止或删除。在远程管理中,往往需要交换敏感信息,如管理员账户和密码,如果不使用安全套接字层 (SSL)进行加密,则信息很容易被别人获取。当然,定期检查病毒以及备份重要文件和注册表,是Windows安全和IIS安全的基础,这可减少系统因被攻击而造成的损失。

  2. Internet 信息服务安全

  Windows安全是Internet 信息服务安全的基本保证,但是IIS本身的安全措施可以为Web站点提供前沿保护,这些措施包括验证和Web权限等。

  IIS要求每一个站点或目录都使用客户端能够支持的最安全的验证形式。例如,集成的Windows验证和“数字”验证就比“基本”验证安全。当然,证书验证是IIS中最安全的验证形式,它允许用户使用“一对一映射”与“多对一映射”两个方法将客户证书映射到Windows用户账户。

  验证可以阻止非法用户对站点的访问,但不能阻止正常用户对站点或目录的破坏,因此,要想有效地维护站点安全,应设置Web权限。设置Web权限首先要对站点的主目录和虚拟目录进行访问许可设置,包括“读”、“脚本”、“执行”和“写”等。例如,如果Web站点仅用于查看信息,则只需指派“读”权限;如果目录或站点包含ASP应用程序,则只需指派“脚本”权限,而不是“脚本”和“执行”权限。另外,还要利用权限向导进行权限设置,利用匿名账户进行匿名访问控制,以及根据网络的攻击来源进行IP地址和域名限制。

  3. 计算机和人员安全

  在Internet信息服务的安全管理中,Windows安全设置和IIS安全措施主要是从软件的角度并针对访问者来规划的。实际上,计算机和人员安全也是服务器管理员应该考虑的问题。计算机和人员安全主要涉及到以下几个方面:

  ● 用户离开计算机前,应按快捷键Ctrl+Alt+Delete,然后选择“锁定计算机”按钮,来锁定桌面。

  ● 使用带密码保护的屏幕保护程序,而且延迟时间应很短,以确保没有人能够在您离开很短的时间内使用计算机。屏幕保护程序应该设置为空,因为动画屏幕保护程序会降低服务器性能。

  ● 将计算机锁定在安全的房间,以减少危险人物的直接访问机会和物理地破坏。

  ● 如果需要多名管理员管理系统,应为具有管理员权限的每个人指派明显不同的用户账户和密码,这将易于跟踪所做的任何更改。

  ● 要降低用户账户信息受到危害的可能性,应定期为具有管理员或其他高级权限的人员指派新账户。

  ● 尽快删除无用的账户,这样可防止离职人员或供应商访问网络。

  设置用户访问权限

  在IIS中,权限设置是服务器安全的重要措施,它可以调整Windows安全(Windows 2000目录和文件的权限)与IIS安全之间的关系,同步化它们的权限设置,并可以检查站点和目录已经应用的设置项目,包括验证方法、访问许可、IP地址限制和文件ACL将不能被修改等。

   进行权限设置的操作步骤如下:

  (1) 打开“Internet信息服务”控制台窗口,在控制台目录树中展开服务器节点。右击要进行权限设置的站点或目录,例如,“默认Web站点”节点,从弹出的快捷菜单中选择“所有任务”→“权限向导”命令,打开“权限向导”对话框。

  (2) 单击“下一步”按钮,打开“安全设置”对话框,如图9-21所示。如果要从父站点或者虚拟目录继承安全性设置,则应选择“继承所有的安全设置”单选按钮;如果需要选取新的安全性设置,则应选择“请从模板选取新的安全设置”单选按钮。



(3) 单击“下一步”按钮,打开“Windows 目录和文件权限”对话框,如图9-22所示。如果要保持Windows 目录和文件权限,则应选择“保持目录和文件权限”单选按钮;如果要保持原来Windows 目录和文件权限,并加入新设置的权限,则应选择“原封不动地保持当前的目录和文件许可配置,并加入推荐的许可权限”单选按钮。这里选择“推荐:替换全部的目录和文件访问权限”单选按钮,以新设置的权限替换原有的目录和文件权限。

  (4) 单击“下一步”按钮,打开“安全摘要”对话框,在设置列表框中列出了所有要应用的设置,如验证方法、访问许可和IP地址限制等。

  (5) 单击“下一步”按钮,打开“您已成功地完成IIS5.0权限向导”对话框,单击“完成”按钮,完成设置。



设置匿名访问

  匿名访问是最常用的Web站点和FTP站点访问控制方式,允许任何用户访问Web站点上的公共区域,防止未授权用户访问Web服务器关键的管理特性和私人信息。可以设想Web服务器就像一个博物馆,匿名访问则像公众去博物馆的公共陈列室参观展品。但是,对于某些特殊的房间,如办公室和实验室,公众却不能参观。同样,当配置Web服务器的匿名访问时,可以使用NTFS权限,禁止普通用户访问私人文件和目录。

  默认情况下,Web服务器允许所有使用匿名账户的用户登录。安装过程中,服务器创建了一个特定的匿名账户,为IUSRcomputername。例如,如果计算机名称是SalesDept1,匿名账户的名称则为IUSRSalesDept1。服务器上的每个Web站点都可以使用相同或不同的匿名用户登录账户。使用Windows本地用户和组实用程序,可以创建一个新的“匿名登录”用户账户。

   设置匿名访问的操作步骤如下:

  (1) 打开Internet信息服务管理器窗口,在控制台目录树中展开服务器节点,右击要进行匿名访问控制设置的站点,例如“默认Web站点”节点,从弹出的快捷菜单中选择“属性”命令,打开其属性对话框,并切换到“目录安全性”选项卡,如图9-23所示。



(2) 在“匿名访问和验证控制”选项组中,单击“编辑”按钮,打开“验证方法”对话框,如图9-24所示。启用“匿名访问”复选框,表示允许用户建立匿名连接,这时服务器将使用匿名或来宾账户登录。



(3) 单击“编辑”按钮,打开“匿名用户账号”对话框,如图9-25所示。在“用户名”文本框中直接输入用户账户名,或单击“浏览”按钮,选择一个特定的用户账户。

  注释:

  如果设置的Windows文件系统权限拒绝匿名访问,则在与受限制内容建立连接前,需要用户提供 Windows 用户名和密码。



(4) 在密码文本框中输入匿名连接账户使用的密码。如果选中“允许 IIS控制密码”复选框,密码将不能被更改。

  (5) 连续单击“确定”按钮,完成匿名访问设置。

  验证访问

  验证访问就是要求用户在访问服务器之前,提供有效的Windows用户账户、用户名和密码。同IIS中的许多功能一样,验证可以在Web站点和FTP 站点、目录或文件级别上进行设置。除了匿名验证和证书验证以外,IIS还为控制对服务器内容的访问提供了基本验证、集成Windows身份验证、简要身份验证等控制方式。

   选择这3种验证控制方法的操作步骤如下:

  (1) 打开“Internet信息服务”管理器窗口,在控制台目录树中展开服务器节点,右击要进行验证访问控制设置的站点,例如“默认Web站点”节点,弹出快捷菜单,选择“属性”命令,打开其属性对话框,并切换到“目录安全性”选项卡,参见图9-23所示。

  (2) 单击“匿名访问和验证控制”选项组中的“编辑”按钮,打开“验证方法”对话框,参见图9-24所示。

  (3) 启用“集成Windows验证”复选框,可使用Windows验证。

  (4) 启用“基本验证”复选框,可进行明文密码验证。

  (5) 启用“Windows域服务器的简要验证”复选框,可使Internet信息服务器与Windows 2000域账户管理器一起工作,进行简要的身份验证。

  (6) 选择了验证方法之后,单击“确定”按钮,保存设置,并返回到“默认Web站点属性”对话框,然后单击“应用”按钮应用设置。
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
grant all privileges on *.* to 'a'@'localhost' identified by 'a' with grant option;flush privileges;
离线韭菜

只看该作者 沙发  发表于: 2005-09-25
证书管理

  证书是一种数字标识,包含通过网络建立标识(即称为验证的过程)所使用的信息,用于服务器和从服务器请求信息的客户。证书是IIS安全套接字层 (SSL)功能的一部分,用于建立安全连接,通过该连接可以加密并发送敏感信息,这样就不会被未授权的一方截取和使用。

  在SSL中使用的证书有两种类型,每一种都有特定的格式和用途。“客户证书”包含关于请求访问站点的客户的个人信息,可在允许其访问站点之前加以识别;“服务器证书”包含关于服务器的信息,服务器允许客户在共享敏感信息之前对其加以识别。

   启用和管理服务器证书的操作步骤如下:

  (1) 打开“Internet信息服务”控制台窗口,在控制台目录树中展开服务器节点,右击要进行证书验证的Web站和目录,从弹出的快捷菜单中选择“属性”命令,打开其属性对话框,选择“目录安全性”选项卡,参见图9-23。

  (2) 单击的“安全通信”选项组中的“服务器证书”按钮,打开“欢迎使用Web服务器证书向导”对话框。单击“下一步”按钮,打开“IIS证书向导”对话框,如图9-26所示。



(3) 选择“创建一个新证书”单选按钮,进行新证书的创建;如果要使用一个已存在的证书,则应选择“分配一个已存在的证书”单选按钮;如果要从密钥管理器备份文件中导入一个证书,则应选择“从密钥管理器备份文件导入一个证书”单选按钮。

  (4) 单击“下一步”按钮,打开“稍后或立即请求”对话框,选择“现在准备请求,但稍后发送”单选按钮,先进行证书请求,然后再发送。

  (5) 单击“下一步”按钮,打开“命名和安全设置”对话框,如图9-27所示。在“名称”文本框中输入新证书的名称。从“位长”下拉列表框中选择或者输入要设置的位长;也可直接启用“服务器网关加密(SGC)证书(仅为了导出版本)”复选框,而不必设置位长。



(6) 单击“下一步”按钮,打开“组织信息”对话框,输入组织和部门名称。然后单击“下一步”按钮,打开“站点的公用名称”对话框,在“公用名称”文本框中输入站点的公用名称。

  注释:

  输入站点的公用名称时,假如服务器是在Internet上,可使用有效的DNS名称;假如服务器是在Intranet上,可以使用计算机的NetBIOS名称。

  (7) 单击“下一步”按钮,打开“地理信息”对话框,如图9-28所示。在“国家(地区)”下拉列表框中输入或选择所在的国家或地区;在“省、市/自治区”下拉列表框中输入所在的省、市或自治区名称;在“市/县”下拉列表框中输入所在的市或县名称。



(8) 单击“下一步”按钮,打开“证书请求文件名”对话框。在“文件名”文本框中输入一个文件名及路径,系统将以指定的文件名把证书请求保存为一个文本文件。

  (9) 单击“下一步”按钮,打开“请求文件摘要”对话框,显示文件摘要。确认设置之后,单击“下一步”按钮,打开“完成Web服务器证书向导”对话框,单击“完成”按钮,完成证书请求。

  (10) 以电子邮件方式发送证书请求文件给证书颁发机构,该机构将回复一个包含有新证书的答复文件。然后再启用该向导来附加服务器证书。

  (11) 服务器证书被启用之后,通过“查看证书”和“编辑”按钮可以对证书进行管理。

  限制地址访问

  限制地址访问就是通过IP地址及域名限制,来防止具有潜在威胁的用户对Internet信息服务器的访问。这是一种非常有用的方法,可有效地保护站点和目录的安全性。不过,地址访问限制主要应用在公司网络内部,这是因为内部网络的IP地址和域名比较容易确定,而Internet上的地址是很难确定的。

   设置IP地址及域名限制的操作步骤如下:

  (1) 打开“Internet信息服务”控制台窗口,在控制台目录树中展开服务器节点。右击要限制地址访问的站点、目录和文件,从弹出的快捷菜单中选择“属性”命令,打开其属性对话框,并选择“目录安全性”选项卡,参见图9-23。

  (2) 在“IP地址及域名限制”选项组中,单击“编辑”按钮,打开“IP地址及域名限制”对话框,如图9-29所示。



(3) 如果管理员要限制的计算机比较少,可选择“授权访问”单选按钮,然后在“例外”列表框中添加被拒绝访问的计算机名称。

  (4) 如果要限制的计算机比较多,而有访问权限的计算机比较少,可选择“拒绝访问”单选按钮,然后在“例外”列表框中添加有访问权限的计算机名称。

  (5) 要添加例外计算机,如添加授权计算机,则单击“添加”按钮,打开“授权以下访问”对话框,如图9-30所示。





(6) 如果要选择某一台计算机,则选择“单机”单选按钮,并在“IP地址”文本框中输入计算机的IP地址;或者单击“DNS查找”按钮,打开“DNS查找”对话框,选择某个DNS域中的计算机。

  (7) 如果要选择一组计算机,则选择“一组计算机”单选按钮,并在“网络标识”文本框中输入要选择的一组计算机中的任何一台计算机的IP地址,并在出现的“子网掩码”文本框中输入子网掩码,如图9-31所示。



(8) 如果要对一个域的计算机进行授权,则选择“域名”单选按钮,并在出现的“域名”文本框中输入所授权的域的域名,如图9-32所示。



(9) 确定选择对象之后,单击“确定”按钮,返回到“IP地址及域名限制”对话框。如果还要添加新的计算机,可继续单击“添加”按钮进行添加。

  (10) 设置完毕,单击“确定”按钮,应用设置。
grant all privileges on *.* to 'a'@'localhost' identified by 'a' with grant option;flush privileges;
快速回复
限100 字节
 
上一个 下一个