精心配置IIS打造安全Web服务器 5

穷苦de网民

1、为系统管理员账号改名 　　

　　对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，所以我们需要将管理员账号更名。具体设置方法如下：　　

　　鼠标右击“我的电脑”　“管理”，启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（administrator）”,选择“重命名”，将管理员帐号修改为一个很普通的用户名即可。

2、保证IIS自身的安全性　　

　　IIS安全安装　　

　　在保证系统具有较高安全性的情况下，还要保证IIS的安全性。要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。　　

　　不要将IIS安装在系统分区上　　

　　默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。　　

　　修改IIS的安装默认路径 　　

　　IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。　　

　　打上Windows和IIS的补丁　　

只要提高安全意识，经常注意系统和IIS的设置情况，并打上最新的补丁，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。
IIS的安全配置　　

　　删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。　　

　　删除危险的IIS组件 　　

　　默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。 　　

　　 ● Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。　　

　　 ● SMTP Service和NNTP Service：如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。　　

　　 ● 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。　　

　　为IIS中的文件分类设置权限 　　

　　除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：

　　● 静态文件文件夹：包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。

　　● ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。　　

　　● EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。

3、删除不必要的应用程序映射

　　IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。

　　所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射，如图3。如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项，如图4。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全 　　

　　日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。　　

　　方法一: 修改IIS日志的存放路径　　

　　IIS的日志默认保存在一个众所周知的位置（%WinDir%\System32\LogFil-es），这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径即可。
方法二: 修改日志访问权限　　

　　日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。　　

　　当然，如果条件许可，还可单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。　　

　　通过以上的一些安全设置，相信你的WEB服务器会安全许多。不过，需要提醒大家注意的是：不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全。

wsw168

发错了.请管理员删除.谢谢

yaobeattie

恩啊，谢谢楼主的分享，我平时在服务器维护这反面就没做好，网站被黑了好几次，我估计服务器也被黑客盯上了[sm`:52] 。。。。所以，慢慢跟着楼主多学习学习，谢谢！

yeyuxiaoxiang

警惕：黑客**网络密码的十个方法
(雨轩分享916656313)
**网络密码—暴力穷举

**技术中最基本的就是暴力**，也叫密码穷举。如果黑客事先知道了账

户号码，如邮件帐号、QQ用户帐号、网上银行账号等，而用户的密码又设置的

十分简单，比如用简单的数字组合，黑客使用暴力**工具很快就可以**出密

码来。因此用户要尽量将密码设置的复杂一些。

**网络密码—击键记录

如果用户密码较为复杂，那么就难以使用暴力穷举的方式**，这时黑客往往通

过给用户安装木马病毒，设计“击键记录”程序，记录和**用户的击键操作，然

后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用

户击键信息即可**出用户的密码。

**网络密码—屏幕记录

为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以

通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置

对比截屏的图片，从而**这类方法的用户密码。

**网络密码—网络钓鱼

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，

受骗者往往会泄露自己的敏感信息（如用户名、口令、帐号、PIN码或信用卡详

细信息），网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上

证券网站，骗取用户帐号密码实施**。

**网络密码—Sniffer（嗅探器）

在局域网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的

手段是使用Sniffer程序。Sniffer，中文翻译为嗅探器，是一种威胁性极大的被动

攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输

的信息。

当信息以明文的形式在网络上传输时，便可以使用网络**的方式窃取网上的传

送的数据包。将网络接口设置在**模式，便可以将网上传输的源源不断的信息

截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都

会被Sniffer程序**。

**网络密码—Password Reminder

对于本地一些保存的以星号方式密码，可以使用类似Password Reminder这样的

工具**，把Password Reminder中的放大镜拖放到星号上，便可以**这个密

码了。

**网络密码—远程控制

使用远程控制木马监视用户本地电脑的所有操作，用户的任何键盘和鼠标操作都

会被远程的黑客所截取。

**网络密码—不良习惯

有一些公司的员工虽然设置了很长的密码，但是却将密码写在纸上，还有人使用

自己的名字或者自己生日做密码，还有些人使用常用的单词做密码，这些不良的

习惯将导致密码极易被**。

**网络密码—分析推理

如果用户使用了多个系统，黑客可以通过先**较为简单的系统的用户密码，然

后用已经**的密码推算出其他系统的用户密码，比如很多用户对于所有系统都

使用相同的密码。

**网络密码—密码心理学

很多著名的黑客**密码并非用的什么尖端的技术，而只是用到了密码心理学，

从用户的心理入手，从细微入手分析用户的信息，分析用户的心理，从而更快的

**出密码。其实，获得信息还有很多途径的，密码心理学如果掌握的好，可以

非常快速**获得用户信息。

密码是保护我们**的很有效和实用的工具之一，但我们在应用过程中也要注意

安全问题的存在，黑客们的手段千变万化，我们应对起来也是非常困难的，希望

读者能够了解以上的**密码的方法，从根本上了解黑客，才能对症下药。
(雨轩分享916656313)

龙吾飞

欢迎来电:【13632932255陈經理】【QQ601094695】【开**保真最低价】】《★验证后付款★》《★信誉第一★》《★服务第一★》提供全国开**，北京上海天津重庆南浙江江苏山东福建湖南湖北河北广东辽宁等各城市各行业正规**，**的名称、南京市住宿**字轨号码、联次及用途，客户名称，开户银行及账号，商品名称或经营项目，计量单位、数量、单价、大小写金额、**人，**日期，**单位（个人）名称（章）等。 2、什么是**的分类代码？**的分类代码是为了便于**的识别而按照一定规律设置的一组12位的号码，统一印制在**右上角的第一排，**分类代码是区分新旧版**的重要标志。 3、什么是**号码？北京**号码是为了便于**的管理，防止**的造假等违法行为而在**上按照一定规律设置的8位顺序号码，统一印制在**的右上角，排在分类代码的下方。 4、什么是“专业**”？专业**是指国有金融、保险企业的存贷、汇兑、转账凭证、保险凭证；国有邮政、电信企业的邮票、邮单、话务、住宿**电报收据；国有铁路、民用航空企业和交通部门国有公路、水上运输企业的客票、货票等。 5、什么是全国统一**监制章？全国统一**监制章是税务机关管理**的法定标志，其形状、规格、内容、印色由国家税务总局规定。现行的“**监制章”形状为椭圆形，上环刻制为“全国统一**监制章”字样，下印有“国家（或地方）税务局监制”字样，中间刻有**监制税务机关所在地省（市、区）、市（县）的全称或简称，字体为正楷，印色为大红色。除经国家税务总局或国家税务总局省、自治区、直辖市税务分局和省、自治区、直辖市地方税务局依据各自的职责批准外，**均应套印全国统一**监制章。但对国有金融、保险、邮电、铁路、民航、公路和水上运输等单位的专业**，餐饮**经国家税务总局或省、自治区、直辖市分局批准，可由国务院或省、自治区、直辖市人民政 府的有关主管部门自行管理，可不套印税务局的**监制章。但上述单位承包或租赁给非国有单位和个人经营或采取国有民营形式所用的专业**，以及上述单位的其他**均应套印**监制章，纳入税务机关统一管理的**范围。欢迎来电:【13632932255陈經理】【QQ601094695】