iis服務(wù)器安全設(shè)置 iis提供的服務(wù)

ASP配置IIS服務(wù)器的注意事項(xiàng)

對(duì)于配置IIS服務(wù)器 我想大家也許有不是很明白的地方 下面介紹ASP配置IIS服務(wù)器時(shí)需要注意的地方 把好安全關(guān)是所有網(wǎng)站都必須要做好的功課 如果服務(wù)器本身不安全 給網(wǎng)站帶來(lái)的將是毀滅性的

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到大安市網(wǎng)站設(shè)計(jì)與大安市網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名申請(qǐng)、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋大安市地區(qū)。

一 操作系統(tǒng)的安裝

我這里說(shuō)的操作系統(tǒng)以Windows 為例 高版本的Windows也有類似功能

格式化硬盤(pán)時(shí)候 必須格式化為NTFS的 絕對(duì)不要使用FAT 類型

C盤(pán)為操作系統(tǒng)盤(pán) D盤(pán)放常用軟件 E盤(pán)網(wǎng)站 格式化完成后立刻設(shè)置磁盤(pán)權(quán)限 C盤(pán)默認(rèn) D盤(pán)的安全設(shè)置為Administrator和System完全控制 其他用戶刪除 E盤(pán)放網(wǎng)站 如果只有一個(gè)網(wǎng)站 就設(shè)置Administrator和System完全控制 Everyone讀取 如果網(wǎng)站上某段代碼必須完成寫(xiě)操作 這時(shí)再單獨(dú)對(duì)那個(gè)文件所在的文件夾權(quán)限進(jìn)行更改

系統(tǒng)安裝過(guò)程中一定本著最小服務(wù)原則 無(wú)用的服務(wù)一概不選擇 達(dá)到系統(tǒng)的最小安裝 在安裝IIS的過(guò)程中 只安裝最基本必要的功能 那些不必要的危險(xiǎn)服務(wù)千萬(wàn)不要安裝 例如 FrontPage 服務(wù)器擴(kuò)展 Internet服務(wù)管理器（HTML） FTP服務(wù) 文檔 索引服務(wù)等等

二 網(wǎng)絡(luò)安全配置

網(wǎng)絡(luò)安全最基本的是端口設(shè)置 在 本地連接屬性 點(diǎn) Internet協(xié)議（TCP/IP） 點(diǎn) 高級(jí) 再點(diǎn) 選項(xiàng) TCP/IP篩選 僅打開(kāi)網(wǎng)站服務(wù)所需要使用的端口 配置界面如下圖

進(jìn)行如下設(shè)置后 從你的服務(wù)器將不能使用域名解析 因此上網(wǎng) 但是外部的訪問(wèn)是正常的 這個(gè)設(shè)置主要為了防止一般規(guī)模的DDOS攻擊

三 安全模板設(shè)置

運(yùn)行MMC 添加獨(dú)立管理單元 安全配置與分析 導(dǎo)入模板basicsv inf或者securedc inf 然后點(diǎn) 立刻配置計(jì)算機(jī) 系統(tǒng)就會(huì)自動(dòng)配置 帳戶策略 本地策略 系統(tǒng)服務(wù) 等信息 一步到位 不過(guò)這些配置可能會(huì)導(dǎo)致某些軟件無(wú)法運(yùn)行或者運(yùn)行出錯(cuò)

四 WEB服務(wù)器的設(shè)置

以IIS為例 絕對(duì)不要使用IIS默認(rèn)安裝的WEB目錄 而需要在E盤(pán)新建立一個(gè)目錄 然后在IIS管理器中右擊主機(jī) 屬性 WWW服務(wù) 編輯 主目錄配置 應(yīng)用程序映射 只保留asp和asa 其余全部刪除

五 ASP的安全

在IIS系統(tǒng)上 大部分木馬都是ASP寫(xiě)的 因此 ASP組件的安全是非常重要的

ASP木馬實(shí)際上大部分通過(guò)調(diào)用Shell Application WScript Shell WScript Neork FSO Adodb Stream組件來(lái)實(shí)現(xiàn)其功能 除了FSO之外 其他的大多可以直接禁用

WScript Shell組件使用這個(gè)命令刪除 regsvr WSHom ocx /u

WScript Neork組件使用這個(gè)命令刪除 regsvr wshom ocx /u

Shell Application可以使用禁止Guest用戶使用shell dll來(lái)防止調(diào)用此組件 使用命令 cacls C \WINNT\system \shell dll /e /d guests

禁止guests用戶執(zhí)行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests

FSO組件的禁用比較麻煩 如果網(wǎng)站本身不需要用這個(gè)組件 那么就通過(guò)RegSrv scrrun dll /u命令來(lái)禁用吧 如果網(wǎng)站本身也需要用到FSO 那么請(qǐng)參看這篇文章

lishixinzhi/Article/program/net/201311/11873

IIS高能性服務(wù)器安全設(shè)置的重要性是什么？

1、百度搜索一下iis安全設(shè)置

2、還有服務(wù)器的安全設(shè)置

3、原則上是這樣的

（1、刪除不必要的端口，2、刪除不必要的服務(wù)，3、刪除不必要的用戶組和用戶，4、給每個(gè)網(wǎng)站配置獨(dú)立的訪客賬戶，5、給每個(gè)網(wǎng)站配置獨(dú)立的數(shù)據(jù)庫(kù)、6、給每個(gè)網(wǎng)站配置獨(dú)立的應(yīng)用程序池、7、給每個(gè)網(wǎng)站設(shè)置好讀寫(xiě)權(quán)限，8、可寫(xiě)入的不能有執(zhí)行權(quán)限。9、可執(zhí)行的不能有寫(xiě)入權(quán)限，10、給服務(wù)器系統(tǒng)打好安全補(bǔ)丁，11、給網(wǎng)站系統(tǒng)打好安全補(bǔ)丁。12、給網(wǎng)站做好安全備份。13、給服務(wù)器做好殺毒措施，14、刪除不必要的網(wǎng)站文件，特別是可以寫(xiě)入的程序文件。15、做好網(wǎng)站后臺(tái)安全設(shè)置

如何來(lái)配置iis服務(wù)器加強(qiáng)安全

隨著校園網(wǎng)絡(luò)建設(shè)和應(yīng)用的逐步深入，越來(lái)越多的學(xué)校建立了自己的Web服務(wù)器。IIS(Internet Information Server)作為目前最為流行的Web服務(wù)器平臺(tái)，在校園網(wǎng)中發(fā)揮著巨大的作用。因此，了解如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器就顯得尤為重要。

保證系統(tǒng)的安全性

因?yàn)镮IS是建立在Windows NT/2000操作系統(tǒng)下，安全性也應(yīng)該建立在系統(tǒng)安全性的基礎(chǔ)上，因此，保證系統(tǒng)的安全性是IIS安全性的基礎(chǔ)，為此，我們要做以下事情。

1、使用NTFS文件系統(tǒng)

在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對(duì)文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享級(jí)的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。和FAT文件系統(tǒng)不同，在NTFS文件下，建立新共享后可以通過(guò)修改權(quán)限保證系統(tǒng)安全。

2、關(guān)閉默認(rèn)共享

在Windows 2000中，有一個(gè)“默認(rèn)共享”，這是在安裝服務(wù)器的時(shí)候，把系統(tǒng)安裝分區(qū)自動(dòng)進(jìn)行共享，雖然對(duì)其訪問(wèn)還需要超級(jí)用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個(gè)“默認(rèn)共享”，以保證系統(tǒng)安全。方法是：?jiǎn)螕簟伴_(kāi)始/運(yùn)行”，在運(yùn)行窗口中輸入“Regedit”，打開(kāi)注冊(cè)表編輯器，展開(kāi)“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右側(cè)窗口中創(chuàng)建一個(gè)名為“AutoShare-

Wks”的雙字節(jié)值，將其值設(shè)置為0，這樣就可以徹底關(guān)閉“默認(rèn)共享”。

3、設(shè)置用戶密碼

用戶一定要設(shè)置密碼，用戶的密碼盡量使用數(shù)字與字母大小混排的口令，還需要經(jīng)常修改密碼，封鎖失敗的登錄嘗試，并且設(shè)定嚴(yán)格的賬戶生存時(shí)間。應(yīng)避免設(shè)置簡(jiǎn)單的密碼，且用戶的密碼盡可能不要和用戶名有任何關(guān)聯(lián)。

保證IIS自身的安全性

在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性，主要請(qǐng)注意以下事情：

1、要盡量避免把IIS安裝在網(wǎng)絡(luò)中的主域控制器上。因?yàn)樵诎惭b完IIS后，會(huì)在所安裝的計(jì)算機(jī)上生成IUSR_Computername的匿名賬戶。這個(gè)賬戶會(huì)被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問(wèn)權(quán)限提供給訪問(wèn)Web服務(wù)器的每個(gè)匿名用戶，這樣不僅不能保證IIS的安全性，而且會(huì)威脅到主域控制器。

2、限制網(wǎng)站的目錄權(quán)限。目前有很多的腳本都有可能導(dǎo)致安全隱患，因此在設(shè)定IIS中網(wǎng)站的目錄權(quán)限時(shí)，要嚴(yán)格限制執(zhí)行、寫(xiě)入等權(quán)限。

3、經(jīng)常到微軟的站點(diǎn)下載IIS的補(bǔ)丁程序，保證IIS最新版本。

只要提高安全意識(shí)，經(jīng)常注意系統(tǒng)和IIS的設(shè)置情況，IIS就會(huì)是一個(gè)比較安全的服務(wù)器平臺(tái)，能為我們提供安全穩(wěn)定的服務(wù)。

web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn)，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c:inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶。

對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷(xiāo)掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)?？梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問(wèn)題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無(wú)法操 作文 件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft，必須給d盤(pán)該用戶的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置

對(duì)于專用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成 企業(yè)管理 器中部分功能不能使用),這些過(guò)程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪問(wèn)過(guò)程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過(guò)程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過(guò)程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過(guò)程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫(kù)的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬(wàn)不要這么做，否則你只能重裝MSSQL了。

當(dāng)前文章：iis服務(wù)器安全設(shè)置 iis提供的服務(wù)
分享地址：http://muchs.cn/article10/dojhcdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司、建站公司、、全網(wǎng)營(yíng)銷(xiāo)推廣、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)