|
本文基于Windows 2008下使用IIS7部署的web服務(wù)器���,對(duì)IIS7的各項(xiàng)配置進(jìn)行實(shí)戰(zhàn)分析��,以提高基于此環(huán)境下的WEB服務(wù)器的安全性����,以下是本人對(duì)IIS服務(wù)的配置經(jīng)驗(yàn)總結(jié),供大家探討�����。 【關(guān)鍵詞】IIS安全�����;WEB服務(wù)器安全 1磁盤及文件夾設(shè)置 為提高系統(tǒng)下數(shù)據(jù)的安全性���,服務(wù)器文件格式一律劃分為NTFS格式���,這樣可以更好的配置磁盤的各種訪問(wèn)權(quán)限。一般情況下��,各個(gè)分區(qū)都只賦予administrators和system權(quán)限����,刪除其他用戶的訪問(wèn)權(quán)限,以保證拒絕任何未授權(quán)用戶的訪問(wèn)��。 2為站點(diǎn)建立相應(yīng)的用戶�。 每個(gè)站點(diǎn)都使用專門建立的用戶來(lái)進(jìn)行權(quán)限分配,可以保證各個(gè)站點(diǎn)間是獨(dú)立的,被隔離開的��,不會(huì)互相影響的��。 此類用戶包含為站點(diǎn)建立用于匿名訪問(wèn)的用戶和為用于應(yīng)用程序池運(yùn)行的用戶����。匿名訪問(wèn)用戶屬于GUEST組,應(yīng)用程序池運(yùn)行用戶屬于IIS_IUSRS組�����。 操作方法:右鍵點(diǎn)擊“我的電腦”中���,選擇“管理”�。選擇“本地用戶和組”窗格中�����,右鍵單擊“用戶”�����,選擇“新用戶”�。在“新用戶”對(duì)話框中,設(shè)置“用戶名”�、“密碼”并勾選“用戶不能更改密碼”、“密碼永不過(guò)期”��,然后單擊“確定”�����。 選擇創(chuàng)建好的用戶�,右鍵單擊用戶名,選擇屬性�,設(shè)置用戶到相應(yīng)的組即可。 3站點(diǎn)使用獨(dú)立的應(yīng)用程序池 每個(gè)站點(diǎn)使用的應(yīng)用程序池應(yīng)該是獨(dú)立的�����,以便資源的合理分配���,并且都以獨(dú)立的標(biāo)識(shí)賬戶運(yùn)行����,在出現(xiàn)異常情況時(shí)也不會(huì)互相影響�。 操作方法: (1)打開“IIS信息服務(wù)管理器”,右鍵單擊“應(yīng)用程序池”���,選擇“新建應(yīng)用程序池”���,填上名稱�����,確定����。 (2)單擊此應(yīng)用程序池�����,在操作欄中選擇“高級(jí)設(shè)置”�����,將“進(jìn)程模型標(biāo)識(shí)”選擇為之前創(chuàng)建的應(yīng)用程序池運(yùn)行用戶����。 (3)單擊需要配置的網(wǎng)站,在操作欄中選擇高級(jí)設(shè)置���,應(yīng)用程序池選擇為上一步創(chuàng)建的應(yīng)用程序池�����。 4啟用匿名身份驗(yàn)證 網(wǎng)站目錄下所有文件啟用匿名身份驗(yàn)證�����,便于用戶可以匿名訪問(wèn)網(wǎng)站����,并將之前建立的用戶分配到該網(wǎng)站����。 操作方法: (1)在功能視圖中雙擊“身份驗(yàn)證”,右鍵單擊“匿名身份驗(yàn)證”���,選擇“啟用”����。 (2)單擊該網(wǎng)站�,在功能視圖中雙擊“身份驗(yàn)證”,右鍵單擊“匿名身份驗(yàn)證”���,選擇“編輯”匿名身份驗(yàn)證����,并選擇“匿名用戶標(biāo)識(shí)”為之前建立的用于匿名訪問(wèn)的用戶。 注:需要賦予該匿名用戶對(duì)此網(wǎng)站目錄及文件相應(yīng)的訪問(wèn)權(quán)限�����。 5啟用基本身份驗(yàn)證 為保護(hù)指定目錄不被匿名用戶訪問(wèn)���,需要啟用基本身份驗(yàn)證��,此項(xiàng)需要關(guān)閉指定目錄的匿名用戶訪問(wèn)權(quán)限��。 操作方法: (1)在功能視圖中選擇“身份驗(yàn)證”���,右鍵單擊“匿名身份驗(yàn)證”,選擇“禁用”匿名身份驗(yàn)證����。 (2)在功能視圖中雙擊“身份驗(yàn)證”,右鍵單擊“基本身份驗(yàn)證”�����,選擇“啟用”并編輯基本身份驗(yàn)證�����,為基本身份認(rèn)證配置擁有訪問(wèn)權(quán)限的用戶�����。 6取消上傳目錄的執(zhí)行權(quán)限 網(wǎng)站程序正常運(yùn)行所需的權(quán)限并不是完全一樣的�,可以在IIS中對(duì)網(wǎng)站目錄進(jìn)行針對(duì)設(shè)置,一般目錄設(shè)置為讀取�,滿足訪問(wèn)、瀏覽即可����;需要上傳文件的目錄,在設(shè)置了寫入權(quán)限后����,可以將目錄的執(zhí)行權(quán)限去掉。這樣即使上傳了木馬文件在此目錄����,也是無(wú)法執(zhí)行的。 操作方法:選中網(wǎng)站的上傳文件夾����,選擇“處理程序映射”�,“編輯功能權(quán)限”���,取消腳本和執(zhí)行功能����。 7基于IP地址或域名授予訪問(wèn)權(quán)限和拒絕訪問(wèn)��。 在IIS 7中���,默認(rèn)情況下所有Internet協(xié)議(IP)地址���、計(jì)算機(jī)和域都可以訪問(wèn)我們的站點(diǎn)。為了增強(qiáng)安全性�����,我們可以創(chuàng)建向所有IP地址(默認(rèn)設(shè)置)��、特定IP地址�、IP地址范圍或特定域授予訪問(wèn)權(quán)限的允許規(guī)則,以此來(lái)限制對(duì)站點(diǎn)的訪問(wèn)�。 注:IP地址限制只適用于IPv4地址。 在“功能視圖”中,雙擊“IPv4地址和域限制”�����。 在“操作”窗格中����,單擊“添加允許條目”����。 在“添加允許限制規(guī)則”對(duì)話框中,選擇“特定IPv4地址”�、“IPv4地址范圍”或“域名”,接著添加IPv4地址���、范圍�、掩碼或域名����,然后單擊“確定”。 8配置url授權(quán)規(guī)則��。 我們可以允許或拒絕特定計(jì)算機(jī)��、計(jì)算機(jī)組或域訪問(wèn)服務(wù)器上的站點(diǎn)、應(yīng)用程序��、目錄或文件��。通過(guò)配置URL授權(quán)規(guī)則����,可以配置為指定組的成員訪問(wèn)受限內(nèi)容。 操作方法: (1)在“功能視圖中�����,雙擊“授權(quán)規(guī)則”��。在“操作”窗格中���,單擊“添加允許規(guī)則”��。 (2)在“添加允許授權(quán)規(guī)則”對(duì)話框中�,可以選擇“所有用戶”��、“所有匿名用戶”��、“指定的角色或用戶組”����、“指定的用戶”其中之一����。 此外���,如果要進(jìn)一步規(guī)定允許訪問(wèn)相應(yīng)內(nèi)容的用戶�����、角色或組只能使用特定HTTP謂詞列表,則還可以選中“將此規(guī)則應(yīng)用于特定謂詞”���。請(qǐng)?jiān)趯?duì)應(yīng)的文本框中鍵入這些謂詞�。 9配置ISAPI和CGI限制 默認(rèn)情況下����,存在多種文件擴(kuò)展名均可在Web服務(wù)器上運(yùn)行,為了降低此風(fēng)險(xiǎn)����,應(yīng)只允許您具有的那些特定ISAPI擴(kuò)展或CGI文件在Web服務(wù)器上運(yùn)行。 操作方法: (1)在“功能視圖”中���,雙擊“ISAPI和CGI限制”���。在“操作”窗格中����,單擊“添加”���。 (2)在“添加ISAPI或CGI限制”對(duì)話框的“ISAPI或CGI路徑”文本框中鍵入該.dll或.exe文件的路徑����,或者單擊瀏覽按鈕(...)導(dǎo)航至該文件的位置��。 在“描述”文本框中�,鍵入有關(guān)限制的簡(jiǎn)要描述。 (3)選中“允許執(zhí)行擴(kuò)展路徑”����,以允許限制自動(dòng)運(yùn)行。如果未選中此選項(xiàng)�,限制的狀態(tài)將默認(rèn)為“不允許”。以后����,您可以通過(guò)選擇限制并在“操作”窗格中單擊“允許”來(lái)允許該限制��。 10結(jié)束語(yǔ) 通過(guò)上述配置����,使用獨(dú)立的匿名訪問(wèn)用戶和應(yīng)用程序池用戶�����,杜絕了各網(wǎng)站之間相互影響的隱患��。并為網(wǎng)站目錄設(shè)置權(quán)限�,防止上傳的木馬文件執(zhí)行。在多次實(shí)踐和測(cè)試中��,證明上述操作是易于實(shí)現(xiàn)而又行之有效的��,可以提高IIS服務(wù)器在運(yùn)行中的安全性����,從而保障網(wǎng)站的正常運(yùn)行����。
|
