高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。
正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。
首先,开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。
通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
IIS安全技巧
微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。
1. 保持Windows升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
2. 使用IIS防范工具:
这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。
3. 移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。
4. 如果你并不需要FTP和SMTP服务,请卸载它们:
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
5. 有规则地检查你的管理员组和服务:
有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。
6. 严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。
7. 设置复杂的密码:
我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。
8. 减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。
9. 禁用TCP/IP协议中的NetBIOS:
这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。
10. 使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。
11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat
和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13. 使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15. 审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。
仅供参考
1.本地搭建测试服务器-IIS如果读者现在正在设计网站,为了测试,要在自己的电脑上通过IP访问本地站点才能达到最佳的测试效果。因此会涉及安装IIS的相关内容。但是,Windows7系统默认是没有安装IIS管理工具的,需要调用IIS的安装程序进行安装。
(1)首先确认本地计算机是否安装IIS打开控制面板找到管理工具,如图4所示。确认管理工具列表里面没有IIS,然后进入IIS安装的步骤,如图5所示。1)首先,单击开始→控制面板。
2)在控制面板里找到并单击:程序和功能,如果你找不到的话,可以更改一个查看方式,如图6所示。3)打开后,会看到很多程序,这些都是系统安装的第三方程序,而要添加系统自带的功能程序,所以在左上角找到并单击:打开或关闭Windows功能,如图7所示。
4)系统会检索一会,很快就显示出来了,勾选就是系统已经打开的功能了,找到Internet信息服务,并在其前面的复选框打钩,这个钩是灰色的,是因为默认情况下Internet信息服务里面的功能并没有全部选择上的意思,当然,可以单击其前面的+号细看里面的各个子功能,如图8所示。5)单击“确定”按钮后,系统就会配置并添加该功能,如图9所示。6)完成之后是没有提示的,返回程序和功能界面。
下面来看看是否添加了该功能,如图10所示。
执行:开始→管理工具,找到Internet信息服务(IIS)管理器,就证明已经添加了该功能了。
配置IIS:
1)安装好了后,当然还要做些设置的,为了以后更方便使用,主要修改三个地方:
①网站名称。
②物理路径。
③端口。2)首先,我们打开IIS,如图11所示。边框的+号点开。找到:DefaultWebSite,单击右键。执行管理网站→高级设置,如图12所示。3)在高级设置里,网站名称和IP端口都是灰色的,无法更改。我们先来修改网站的物理路径吧,如图13所示。
4)选择好要设置的路径后,再确定,会返回上一层,如图14所示。5)现在再来修改网站名称,在DefaultWebSite处单击右键,选择:重命名。输入要用的名字,如图15所示。6)网站名称也可以是中文的,如图16所示。
7)最后,来修改IP地址和端口,先说明两点:
①网站的默认端口是:80,如果不是有特别要求的话,可以选择默认即可。
②IP地址,如果服务器是通过防火墙(或者路由器)直接发布到外网给客户访问的话,也是不用在这里设置IP地址都可以的。但我们现在是在内网测试,同事之间访问(即没有做商品映射)的,所以这里应该要设置一下IP地址。操作,在网站名称那单击右键,选择:编辑绑定,如图17所示。8)然后选中并编辑(图18)。
9)编辑的内容不多,单击“全部未分配”右边的下拉三角形。并选择本地计算机的IP地址,在本例中为:192.168.0.178,如图19所示。3.申请网站公网空间服务器给网站申请完地址和名称后,就需要为网站在网络上申请出相应的空间。网站是建立在网络服务器上的一组电脑文件,它需要占据一定的硬盘空间,这就是一个网站所需的网站空间。一般来说,一个企业网站的基本网页文件和网页图片大概需要100Mb空间,加上产品照片和各种介绍性页面,一般在500Mb以下。另外,企业需要存放反馈信息和备用文件的空间。所以企业网站总共需要500Mb~1000Mb的网站空间(即虚拟主机空间)。
想建立一个网站,就要选择适合自身条件的网站空间。目前主流的有4种网站空间选择形式。
1)购买个人服务器:服务器空间大小可根据需要增减服务器硬盘空间,然后选择好ISP商,将服务器接入Internet,将网页内容上传到服务器中,这样就可以访问网站了。服务器管理一般有两种办法,即服务器托管和专线接入维护。
2)租用专用服务器:就是建立一个专用的服务器,该服务器只为用户使用,用户有完全的管理权和控制权。中小企业用户适合于这种vps服务器,但个人用户一般不适合这种服务,因为其费用很高。
3)使用虚拟主机:这种技术的目的是让多个用户共用一个服务器,但是对于每一个用户而言,感觉不到其他用户的存在。在此情况下该服务器要为每一个用户建立一个域名、一个IP地址、一定大小的硬盘空间、各自独立的服务。这一技术参考了操作系统中虚拟内存的思想,使得有限的资源可以满足较多的需求,且使需求各自独立,互不影响。由于这种方式中多个用户共同使用一个服务器,所以价格是租用专用服务器的十几分之一,而且可以让用户有很大的管理权和控制权。可以建立邮件系统的(数量上有限制)个人FTP、WWW站点、提供CGI支持等。
4)免费网站空间:这种服务是免费的。用户加入该ISP后,该ISP商会为用户提供相应的免费服务,不过权限会受到很大限制,很多操作都不能够使用。
用户可以根据需要来选择正确的方式。如果想架构WWW网站,那么只要加入一个ISP就可以得到一个WWW网站。如果想尝试做网管,则可以考虑申请虚拟主机服务,而且现在租用虚拟主机的费用并不高。如果想建立很专业的商业网站,建议最好租用服务器或购买自己的服务器。
下面以阿里云为例讲解怎么购买网络主机空间。
在地址栏输入:https://wanwang.aliyun.com/hosting/打开后如图20所示,选择相应的服务如图21所示。
选择好后可以看到服务器具体参数(图22、图23)。
确认购买此款主机,单击立即购买。进入网络付款的状态。网络付款方式可以选择支付宝和各家银行的网银等方式进行网站。
网站空间成功拿到以后,如何把文件传上去。让网页文件正确的显示在远程主机上。这个一般使用FTP上传方式实现。
4.使用FTP工具上传网页购买了虚拟主机后,可以从主机商那边获得主机空间的FTP地址、用户名和密码。通过FTP地址和密码,就可以开始上传网站了。FTP上传工具可使用FlashFXP工具。下载解压后并打开后,出现界面如图24所示:选择菜单上的“站点”->“站点管理器”,如图25所示:单击“新建站点”按钮,在新出的窗口输入网站名称,如输入“我的网站”,单击“确定”按钮,如图26所示。建立新站点后,下一步需要做的是输入“IP地址”“用户名称”“密码”,其他设置不需要填写,如图27所示,然后单击“连接”按钮。IP地址、用户名称、密码正确的话,就可以连接到网站空间了,参考如图28所示:
传送完毕后可以再浏览器上进行页面刷新,即可看到打开的页面或者进行内容更新的页面。
图4
图5
图6
图7
图8
图9
图10
图11
图12
图13
图14
图15
图16
图17
图18
图19
图20
图21
图22
图23
图24
图25
图26
图27
图28
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)