em32\inetsrv\iisadmpwd,此目录在管理iis密码时使用(如因密码不同步造成500 错误时使用owa或iisadmpwd 修改同步密码),当把账户策略 > 密码策略 > 密码最短使用期限 设为0天[即密码不过期时,可避免iis密码不同步问题。这里就可删掉此目录。
○13修改注册表防止小规模ddos攻击。
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建 "dword值"名为 "synattackprotect" 数值为"1"
○14本地策略→安全选项:
将清除虚拟内存页面文件 、不显示上次的用户名、不需要按ctrl+alt+del、不允许 sam 账户的匿名枚举、不允许 sam 账户和共享的匿名枚举、均更改为"已启用" ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的administrat账户。
2iis安全策略应用
①不使用默认的web站点,将iis目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的 \inetpub\wwwroot 目录,以减轻目录遍历攻击(这种攻击试图浏览 web 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。
②删除iis默认创建的inetpub目录(在系统磁盘上)并配置网站访问权限。为web 服务器配置站点、目录和文件的访问权限。
③删除系统盘下的虚拟目录:vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
④删除不必要的iis扩展名映射。
右键单击“默认web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。
⑤更改iis日志的路径。
右键单击“默认web站点→属性→网站→在启用日志记录下→点击属性更改设置。
⑥只选择网站和 web 应用程序正确运行所必需的服务和子组件。开始→控制面板→ 添加或删除程序→添加/删除 windows 组件→应用程序服务器→详细信息→ internet 信息服务 (iis) →详细信息→然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 iis 组件和服务。 iis 子组件和服务的推荐设置:禁用:后台智能传输服务 (bits) 服务器扩展、ftp 服务、frontpage 2002 server extensions、internet 打印、nntp 服务。启用:公用文件、internet 信息服务管理器、万维网服务。
⑦删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名 iusr 帐户。
在 iis 元数据库中更改 iusr 帐户的值: “管理工具”→“internet 信息服务 (iis) 管理器” →右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 metabase.xml 文件的位置,默认情况下为 c:\windows\system32\inetsrv →右键单击 metabase.xml 文件→“编辑” → 搜索“anonymoususername”属性,→键入 iusr 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
⑧使用应用程序池来隔离应用程序,提高 web 服务器的可靠性和安全性。
创建应用程序池: “管理工具”→“internet 信息服务 (iis) 管理器” →本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池 id”框中,为应用程序池键入一个新 id→“应用程序池设置” →“use default settings for the new application pool”(使用新应用程序池的默认设置)→“确定”。
将网站或应用程序分配到应用程序池: “管理工具”→“internet 信息服务 (iis) 管理器” → 右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。
经过以上设置, iis安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击web服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业web服务器有一个安全、稳定、高效的运行环境。
参考文献:
[1]王淑江,刘晓辉,张奎亭. windowsserver2003系统安全管理[m].北京:电子工业出版社, 2009.
[2]托洛斯.iis6管理指南[m].北京:清华大学出版社,2005.
[3]李新,李成友.基于windows系统的web服务器安全研究与实践[j].教育信息化,2006,(4).
[4]马琰.如何提高个人web服务器的安全性[j].职业圈,2007,(9).
上一页 [1] [2] [3] 下一页