保護iis web伺服器

保護iis web伺服器
微軟的產品一向是眾矢之的,因此IIS伺服器特別容易成為攻擊者的靶子。搞清楚了這一點後,網路管理員必須準備執行大量的安全措施。我將要為你們提供的是一個清單,伺服器操作員也許會發現這是非常有用的。
1. 保持Windows升級
你必須在第一時間及時地更新所有的升級,並為系統打好一切補丁。考慮將所有的更新下載到你網路上的一個專用的伺服器上,並在該機器上以Web的形式將檔案發布出來。通過這些工作,你可以防止你的Web伺服器接受直接的Internet訪問。
2. 使用IIS防範工具
使用iis防範工具,能讓伺服器管理人員輕鬆管理好自己的伺服器,目前有較多出色的產品如:中智網安的iisutm網站防火牆,這個工具有許多實用的優點,如:防SQL注入,防跨站式腳本攻擊,效果明顯,能有效的保護web防火牆。下載地址是:http://www.iisutm.com。然而,請慎重的使用這個工具。如果你的Web伺服器和其他伺服器相互作用,請首先測試一下防範工具,以確定它已經被正確的配置,保證其不會影響Web伺服器與其他伺服器之間的通訊。
3. 移除預設的Web站點
很多攻擊者瞄準inetpub這個資料夾,並在裡面放置一些偷襲工具,從而造成伺服器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將預設的站點禁用。然後,因為網蟲們都是通過IP位址訪問你的網站的 (他們一天可能要訪問成千上萬個IP位址),他們的請求可能遇到麻煩。將你真實的Web站點指向一個背部分區的資料夾,且必須包含安全的NTFS許可權 (將在後面NTFS的部分詳細闡述)。
4. 如果你並不需要FTP和SMTP服務,請卸載它們
進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設計滿足簡單讀/寫訪問的,如果你執行身份認證,你會發現你的用戶名和密碼都是通過明文的形式在網路上傳播的。SMTP是另一種允許到資料夾的寫許可權的服務。通過禁用這兩項服務,你能避免更多的黑客攻擊。
5. 有規則地檢查你的管理員組和服務
有一天你發現在管理員組裡多了一個用戶。這意味著這時某個人已經成功地進入了你的系統,他或她可能冷不丁地將炸彈扔到你的系統里,這將會突然摧毀你的整個系統,或者占用大量的頻寬以便黑客使用。黑客同樣趨向於留下一個幫助服務,一旦這發生了,採取任何措施可能都太晚了,你只能重新格式化你的磁碟,從備份伺服器恢復你每天備份的檔案。因此,檢查IIS伺服器上的服務列表並保持儘量少的服務必須成為你每天的任務。
你應該記住哪個服務應該存在,哪個服務不應該存在。Windows 2000 Resource Kit帶給我們一個有用的程式,叫作tlist.exe,它能列出每種情況運行在SvcHost 之下的服務。運行這個程式可以尋找到一些你想要知道的隱藏服務。給你一個提示:任何含有daemon幾個字的服務可能不是Windows本身包含的服務,都不應該存在於IIS伺服器上。

相關詞條

熱門詞條

聯絡我們