服務(wù)器2003 iis 怎樣設(shè)置網(wǎng)站目錄安全

IIS安全配置主要有3個方面需要注意

創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司一直秉承“誠信做人，踏實(shí)做事”的原則，不欺瞞客戶，是我們最起碼的底線！ 以服務(wù)為基礎(chǔ)，以質(zhì)量求生存，以技術(shù)求發(fā)展，成交一個客戶多一個朋友！專注中小微企業(yè)官網(wǎng)定制，網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計，塑造企業(yè)網(wǎng)絡(luò)形象打造互聯(lián)網(wǎng)企業(yè)效應(yīng)。

設(shè)置主目錄權(quán)限

刪除不需要的擴(kuò)展名映射

刪除危險的IIS組件

以上三個方面修改的話 需要技術(shù)人員參與！！ ?建議以后租用服務(wù)器選擇河南帝通科技的服務(wù)器，他們有售后技術(shù)支持，這些都可以讓技術(shù)售后幫你做

ASP配置IIS服務(wù)器的注意事項(xiàng)

對于配置IIS服務(wù)器 我想大家也許有不是很明白的地方 下面介紹ASP配置IIS服務(wù)器時需要注意的地方 把好安全關(guān)是所有網(wǎng)站都必須要做好的功課 如果服務(wù)器本身不安全 給網(wǎng)站帶來的將是毀滅性的

一 操作系統(tǒng)的安裝

我這里說的操作系統(tǒng)以Windows 為例 高版本的Windows也有類似功能

格式化硬盤時候 必須格式化為NTFS的 絕對不要使用FAT 類型

C盤為操作系統(tǒng)盤 D盤放常用軟件 E盤網(wǎng)站 格式化完成后立刻設(shè)置磁盤權(quán)限 C盤默認(rèn) D盤的安全設(shè)置為Administrator和System完全控制 其他用戶刪除 E盤放網(wǎng)站 如果只有一個網(wǎng)站 就設(shè)置Administrator和System完全控制 Everyone讀取 如果網(wǎng)站上某段代碼必須完成寫操作 這時再單獨(dú)對那個文件所在的文件夾權(quán)限進(jìn)行更改

系統(tǒng)安裝過程中一定本著最小服務(wù)原則 無用的服務(wù)一概不選擇 達(dá)到系統(tǒng)的最小安裝 在安裝IIS的過程中 只安裝最基本必要的功能 那些不必要的危險服務(wù)千萬不要安裝 例如 FrontPage 服務(wù)器擴(kuò)展 Internet服務(wù)管理器（HTML） FTP服務(wù) 文檔 索引服務(wù)等等

二 網(wǎng)絡(luò)安全配置

網(wǎng)絡(luò)安全最基本的是端口設(shè)置 在 本地連接屬性 點(diǎn) Internet協(xié)議（TCP/IP） 點(diǎn) 高級 再點(diǎn) 選項(xiàng) TCP/IP篩選 僅打開網(wǎng)站服務(wù)所需要使用的端口 配置界面如下圖

進(jìn)行如下設(shè)置后 從你的服務(wù)器將不能使用域名解析 因此上網(wǎng) 但是外部的訪問是正常的 這個設(shè)置主要為了防止一般規(guī)模的DDOS攻擊

三 安全模板設(shè)置

運(yùn)行MMC 添加獨(dú)立管理單元 安全配置與分析 導(dǎo)入模板basicsv inf或者securedc inf 然后點(diǎn) 立刻配置計算機(jī) 系統(tǒng)就會自動配置 帳戶策略 本地策略 系統(tǒng)服務(wù) 等信息 一步到位 不過這些配置可能會導(dǎo)致某些軟件無法運(yùn)行或者運(yùn)行出錯

四 WEB服務(wù)器的設(shè)置

以IIS為例 絕對不要使用IIS默認(rèn)安裝的WEB目錄 而需要在E盤新建立一個目錄 然后在IIS管理器中右擊主機(jī) 屬性 WWW服務(wù) 編輯 主目錄配置 應(yīng)用程序映射 只保留asp和asa 其余全部刪除

五 ASP的安全

在IIS系統(tǒng)上 大部分木馬都是ASP寫的 因此 ASP組件的安全是非常重要的

ASP木馬實(shí)際上大部分通過調(diào)用Shell Application WScript Shell WScript Neork FSO Adodb Stream組件來實(shí)現(xiàn)其功能 除了FSO之外 其他的大多可以直接禁用

WScript Shell組件使用這個命令刪除 regsvr WSHom ocx /u

WScript Neork組件使用這個命令刪除 regsvr wshom ocx /u

Shell Application可以使用禁止Guest用戶使用shell dll來防止調(diào)用此組件 使用命令 cacls C \WINNT\system \shell dll /e /d guests

禁止guests用戶執(zhí)行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests

FSO組件的禁用比較麻煩 如果網(wǎng)站本身不需要用這個組件 那么就通過RegSrv scrrun dll /u命令來禁用吧 如果網(wǎng)站本身也需要用到FSO 那么請參看這篇文章

lishixinzhi/Article/program/net/201311/11873

windows2003服務(wù)器安全配置的建議

設(shè)置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。

2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼

3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，當(dāng)然現(xiàn)在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。

4、在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時瀋櫛?0分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。

5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用

6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計算機(jī)”中只保留Internet來賓賬戶、啟動IIS進(jìn)程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

7、創(chuàng)建一個User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。

三、網(wǎng)絡(luò)服務(wù)安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享

打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0

2、 解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS

3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng)

Computer Browser:維護(hù)網(wǎng)絡(luò)計算機(jī)更新，禁用

Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

Error reporting service：禁止發(fā)送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機(jī)可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助

四、打開相應(yīng)的審核策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項(xiàng)目是：

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務(wù)訪問 失敗

特權(quán)使用 失敗

五、其它安全相關(guān)設(shè)置

1、隱藏重要文件/目錄

可以修改注冊表實(shí)現(xiàn)完全隱藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7、禁用DCOM：

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計算機(jī)”子文件夾。

對于本地計算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺計算機(jī)上啟用分布式 COM”復(fù)選框。

注：3-6項(xiàng)內(nèi)容我采用的是Server2000設(shè)置，沒有測試過對2003是否起作用。但有一點(diǎn)可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。

六、配置 IIS 服務(wù)：

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數(shù)據(jù)包進(jìn)行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接

如果沒有特殊的要求采用UrlScan默認(rèn)配置就可以了。

但如果你在服務(wù)器運(yùn)行ASP.NET程序，并要進(jìn)行調(diào)試你需打開要%WINDIR%\System32\Inetsrv\URLscan

文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添加debug謂詞，注意此節(jié)是區(qū)分大小寫的。

如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。

如果你的網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1

在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運(yùn)行中輸入iisreset

如果你在配置后出現(xiàn)什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描.

下載地址：VB.NET愛好者

七、配置Sql服務(wù)器

1、System Administrators 角色最好不要超過兩個

2、如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸

3、不要使用Sa賬戶，為其配置一個超級復(fù)雜的密碼

4、刪除以下的擴(kuò)展存儲過程格式為：

use master

sp_dropextendedproc '擴(kuò)展存儲過程名'

xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除

訪問注冊表的存儲過程，刪除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認(rèn)的1433端口。

八、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSec

1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為Web篩選器—點(diǎn)擊添加—在描述中輸入Web服務(wù)器—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為Tcp——IP協(xié)議端口第一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口80——點(diǎn)擊完成——點(diǎn)擊確定。

2、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為所有入站篩選器—點(diǎn)擊添加—在描述中輸入所有入站篩選—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定。

3、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口

4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認(rèn)激活響應(yīng)原則——下一步——完成

5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定

6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點(diǎn)擊指派，不需要重啟，IPSec就可生效.

九、建議

如果你按本文去操作，建議每做一項(xiàng)更改就測試一下服務(wù)器，如果有問題可以馬上撤消更改。而如果更改的項(xiàng)數(shù)多，才發(fā)現(xiàn)出問題，那就很難判斷問題是出在哪一步上了。

十、運(yùn)行服務(wù)器記錄當(dāng)前的程序和開放的端口

1、將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來，將其保存，方便以后對照查看是否有不明的程序。

2、將當(dāng)前開放的端口抓圖或記錄下來，保存，方便以后對照查看是否開放了不明的端口。當(dāng)然如果你能分辨每一個進(jìn)程，和端口這一步可以省略。

改3389

將下列兩個注冊表鍵中的 PortNumber 均改成自定義的端口即可：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

網(wǎng)頁名稱：iis服務(wù)器配置安全規(guī)范 服務(wù)器配置iis環(huán)境
鏈接地址：http://jinyejixie.com/article30/ddogdso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動態(tài)網(wǎng)站、網(wǎng)站設(shè)計公司、微信小程序、網(wǎng)站收錄、手機(jī)網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)