文章內容

Windows服務器中Web服務的安全配置

發布時間: 2012/5/24 19:49:29

由于Windows服務器操作系統繼承了Windows桌面操作系統友好的用戶界面，同時具有配置簡單、使用方便的優點，在服務器操作系統市場內占有率很高。Web服務是Windows服務器內應用最為廣泛的一種服務，該組件在Windows系統內稱為InternetInformationServices，簡稱IIS。IIS經過簡單配置即可快速發布網站，但由于目前互聯網上惡意軟件和人為的增加，使用默認配置的IIS極易被攻破，這就需要我們針對IIS進行一些安全設置，提升系統的安全性。

　　一、Windows系統安全配置

　　IIS是Windows系統的一個組件，因此，Windows操作系統是IIS的安全基礎，操作系統安裝完成后應做如下配置：

　　1．文件系統的配置

　　把Windows目錄、Web目錄和日志目錄放在不同的分區下，并且設置好各個分區的用戶訪問權限。操作系統分區和日志分區僅允許administrators和system用戶完全控制，Web目錄允許iuser_computemame用戶讀取和運行。如果要發布的網站沒有上傳之類的寫權限要求，盡量不要給iuser__computemame用戶寫入的權限；如果確實需要寫操作，應單獨創建目錄供iuser_computemame用戶寫入，不要和網站代碼放在同一目錄下。對于Everyone這個用戶，盡量不要給予它任何權限。

　　2．用戶系統的配置

　　administrators用戶組內最好僅使用一個管理員用戶，并且把默認的administrator這個用戶名改成其他不易猜到的名字，密碼不得少于14位，且密碼內須包含數字、大小寫字母和字符等。同時，還要使用組策略編輯器(gpedit.msc)，修改賬戶策略，賬戶鎖定時間定義為30分鐘，鎖定閥值改為5次，重置賬戶鎖定時間改為30分鐘，防止者使用窮舉法獲取密碼。同時，在組策略編輯器內把“顯示上次登錄用戶名”這一功能關閉。

　　3．關閉默認共享

　　為了管理方便，在默認配置下，Windows系統把各個分區根目錄都設置為可以通過共享訪問。然而凡事有利就有弊，在默認共享方便管理的同時，也給服務器帶來了安全隱患。如果知道了管理員賬號和密碼，那么任何人都可訪問該服務器。因此，若無必要，最好去掉共享功能。方法是打開網絡連接屬性一TCP/IP協議一屬性，把“Microsoft網絡的文件和打印機共享”這一服務刪掉。

　　4．Windows防火墻的配置

　　從Windows2003開始，Windows系統有了一個自帶的防火墻軟件。我們可以根據服務器需要實現的功能，打開必要的TCP/UDP端口，如Web服務對應80端口、SMTP服務對應25端口，其他不用的端口(如常常被的139、445端口等)應全部關閉。管理員如需在局域網內對服務器進行遠程管理，可在防火墻上打開3389端口，將訪問者的IP范圍定義為“子網”，從而過濾掉來自互聯網的。

　　服務器安全設置5．審核策略的配置

　　審核功能就像Windows的器，可通過該功能了解服務器的運行狀況，并根據這些信息來提前發現針對服務器的或者服務器運行中的問題。基于文件的審核，可以對任件的修改、運行、刪除等行為進行記錄；基于賬戶的審核，可以記錄系統賬戶在日常運行中發生的登錄行為、使用行為。

　　二、IIS的安全配置

　　Windows配置完成之后，我們就可以開始對IIS進行配置。默認配置的IIS安全性很低，直接拿來用的話很容易被攻破。

　　1．刪除IIS的默認網站目錄

　　IIS安裝后會自動生成兩個站點——默認Web站點和管理Web站點，其中，管理Web站點性最大。微軟為了管理方便，在其中加入了很多通過Web遠程管理的功能。由于目前遠程桌面使用更方便、功能更強大，Web管理就沒有多大使用價值了，因此，最好整個站點刪除。另外要注意的是，盡管虛擬的站點刪除了，但系統分區上的相應文件還存在，最好一并刪除，以減少被利用的隱患。需要刪除的文件如下：

　　%SystemRoot%\help\iishelp

　　%SystemRoot%\system32\inetsrv\iisadmin

　　C:\\ProgramFiles\CommonFiles\System\msadc\%SystemRoot%\inetpub

　　2．刪除不必要的IIS映射和擴展

　　IIS在默認安裝時，被配置為支持常用的文件名擴展，如asp和shtm文件。IIS接收到這些類型的文件請求時，調用相應的DLL文件進行處理。如果不需要其中的某些擴展或功能，則應刪除該映射，一般不常用的映射是．htw，．htr,．idc，．ida,．idq和．printer，如果不使用serversideinclude，則．shtm,．stm和。shtml也一起刪除。

　　3．禁用父徑

　　“父徑”選項允許在對諸如MapPath函數調用中使用“．．”訪問上一層目錄。在默認情況下，該選項處于啟用狀態，如不禁用的話，惡意程序就可以通過該方法訪問到整個分區內的所有文件，同一分區內其他站點的安全。程序員在開發程序時也要注意這一點，不要使用多層目錄調用，否則，禁用該選項將導致該程序無法正常運行。

　　4．針對不同功能的目錄，設置相應的訪問控制權限

　　網站使用的各種文件按照功能應配置不同的訪問權限，對靜態頁面不要分配“腳本和可執行文件”權限，腳本文件給個“純腳本”權限就足夠了。如網站有上能，對于存儲上傳文件目錄，執行權限設置為“無”最安全，即使者上傳了腳本木馬，沒有執行權限也無法運行。

　　5．關閉詳細錯誤提示功能

　　為方便程序調試，Windows系統有一個“向客戶端返回詳細出錯信息”的功能，而且這一功能是默認的，給SQL注入打開了后門。者根據程序返回的錯誤信息就可以看到諸如管理員密碼這些關鍵數據，因此，這一功能必須關閉。關閉后，無論后臺程序出什么錯誤，返回給客戶端的都是一條簡單的錯誤提示，不要為了調試代碼方便就隨意打開這一功能。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

本文出自：億恩科技【www.23lll.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]