保护IIS十个步骤- 十月的专栏- CSDN博客企业库|免费b2b网站

保护IIS十个步骤- 十月的专栏- CSDN博客

保护IIS十个步骤

下面的十个步骤可以作为保护IIS的基础。

问题
IIS（Internet Information Server）是一个黑客们特别喜欢的目标。因此，对于管理IIS网页服务器的管理员来说，确保服务器被保护是一件至关重要的事情。IIS 4.0和IIS 5.0的缺省安装尤其容易受到攻击。

解决方案
采取下面的10个步骤来保证IIS的安全：

专门为IIS应用和数据设置一个NTFS格式的驱动器。如果可能的话，不允许IUSER（或者无论什么匿名用户）访问任何其他的驱动器。如果应用遇到任何由于匿名用户没有权限访问位于其他驱动器上的程序而造成的问题，那么，使用Sysinternals的FileMon来监控哪一个文件该用户不能访问，试着通过将程序转移到IIS驱动器来开展工作。如果这样不可行的话，则允许IUSER仅仅可以访问这个文件。

设置驱动器上的NTFS权限：
研发人员＝xx的
IUSER ＝只读和只执行
系统和管理员＝xx的

使用一个软件防火墙来确保没有终端用户（只有研发人员）可以访问IIS机器上的除了端口80之外的其他端口。

使用微软的工具来保护机器：IIS Lockdown和UrlScan。

xx使用IIS的日志。除了IIS日志外，如果可能的话，同时使用来自防火墙的日志。

从缺省位置移动日志时，确保已经对他们进行备份。为日志文件夹建立一个备份，这样在另一个位置总是有一个可以使用的拷贝。

xx机器上的Windows检查，因为在试图反向追查攻击者的行为的时候从来都是没有足够的数据。利用检查日志，可以使用脚本来检查任何可疑的行为，然后可以发送一个报告给管理员。现在，这听起来好像有一点极端，但是如果安全在你公司真的非常重要的话，这种行为是一个很好的实践。建立审计来报告所有的失败账号登录事件。另外，对于IIS日志，将缺省的位置（c:\winnt\system32\config\secevent.log）改变为另一个不同的位置，并且确保你有一个备份而且有一个复制的拷贝。

基于常规的经验，尽可能多的阅读安全文章（各种来源的）。{zh0}是尽可能多的了解IIS并进行全面的安全实践而不仅仅是按照其他人（比如我）告诉你的经验来实现。

申请一个IIS漏洞邮件列表，并且坚持阅读{zx1}的文章。这种列表有来自因特网安全系统的。

{zh1}，确保你经常运行Windows更新并且验证补丁是否真的得到了配置。

转自：techrepublic.com.com

发表于 @ 2005年02月28日　16:05:00 | | | |

郑重声明：资讯【保护IIS十个步骤- 十月的专栏- CSDN博客】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——