【摘要】目前Web服務(wù)器應(yīng)用非常廣泛，人們利用它能夠快速方便地獲取豐富的信息資料。但隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，Web服務(wù)器面臨著許多安全威脅，導(dǎo)致黑客攻擊、蠕蟲(chóng)病毒等，因此，提高安全策略尤為重要。本文將闡述從服務(wù)器和IIS設(shè)置兩個(gè)方面入手來(lái)加強(qiáng)服務(wù)器的安全防護(hù)。

【關(guān)鍵詞】Web；IIS；服務(wù)器；安全策略

1引言

Web服務(wù)器的正常運(yùn)轉(zhuǎn)是一個(gè)單位或企業(yè)進(jìn)行正常辦公的重要保證， 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，Web服務(wù)器面臨著許多安全威脅，常見(jiàn)的安全漏洞譬如盜用賬號(hào)、緩沖區(qū)溢出、黑客攻擊、蠕蟲(chóng)病毒以及木馬等，直接影響到Web服務(wù)器的安全。因此對(duì)Web服務(wù)器的安全維護(hù)需要從多方面考慮，提高安全策略防患于未然。

2加強(qiáng)服務(wù)器的安全設(shè)置

2.1開(kāi)啟防火墻，關(guān)閉不需要的端口

開(kāi)啟系統(tǒng)自帶的防火墻，能有效屏蔽無(wú)用的端口。關(guān)閉默認(rèn)開(kāi)啟的無(wú)用端口，開(kāi)啟需要的端口。一般情況下只需要開(kāi)啟遠(yuǎn)程桌面連接、FTP、數(shù)據(jù)庫(kù)連接、網(wǎng)站默認(rèn)端口端口。

2.2修改遠(yuǎn)程桌面連接默認(rèn)端口

將默認(rèn)端口3389改為其他，在注冊(cè)表中修改兩項(xiàng)內(nèi)容，HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/ CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/ TCP和HKEY_LOCAL_MACHINE/SYSTEM/CUR RENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/中PortNumber鍵值，并在防火墻啟用此端口。

2.3關(guān)閉不需要的服務(wù)

關(guān)閉不需要的服務(wù)，降低系統(tǒng)資源的損耗，提高系統(tǒng)的安全性。有些默認(rèn)開(kāi)啟的服務(wù)，比如TCP/IPNetBIOS Helper、Server、Computer Browser等，在Web服務(wù)器中一般不會(huì)用到，所以根據(jù)自身需求關(guān)閉此類(lèi)服務(wù)。

2.4磁盤(pán)權(quán)限的設(shè)置

根據(jù)分區(qū)和系統(tǒng)盤(pán)分區(qū)的權(quán)限設(shè)置：給予根分區(qū)administrator和system完全控制權(quán)限； c：＼Documents and Settings 目錄給予administrators和system用戶(hù)全部權(quán)限，users用戶(hù)給予讀取和運(yùn)行、列出文件夾目錄權(quán)限；C：＼Program Files 目錄給予administrators和system用戶(hù)全部權(quán)限， IIS_WPG用戶(hù)給予讀取和運(yùn)行、列出文件夾目錄權(quán)限，users和TERMINAL SERVER USER用戶(hù)給予修改權(quán)限；刪除c：＼inetpub目錄，刪除iis不必要的映射。

數(shù)據(jù)備份盤(pán)權(quán)限設(shè)置，最好只指定一個(gè)特定的用戶(hù)對(duì)其有完全操作的權(quán)限。

網(wǎng)站權(quán)限設(shè)置，假設(shè)網(wǎng)站在e：＼www目錄下，此目錄給予administrators、system和service用戶(hù)全部權(quán)限。

其它地方的權(quán)限設(shè)置，找到系統(tǒng)盤(pán)的以下所列文件， net.exe；cmd.exe；tftp.exe；netstat.exe；regedit.exe；at.exe；attrib.exe；cacls.exe；format.com，將這些文件安全性設(shè)置只有管理員Administrators 和system有完全操作權(quán)限，刪除其他用戶(hù)。

2.5用戶(hù)安全設(shè)置

Administrator賬號(hào)改名， 管理員賬號(hào)會(huì)經(jīng)常被黑客攻擊企圖破解密碼，我們把它偽裝成普通用戶(hù)，創(chuàng)建一個(gè)Administrator陷阱用戶(hù)，權(quán)限設(shè)置為最低，并且加上復(fù)雜的密碼，造成對(duì)黑客的困惑和干擾；禁用Guest賬號(hào)；限制不必要的用戶(hù)，去掉所有的Duplicate User用戶(hù)、測(cè)試用戶(hù)、共享用戶(hù)等；用戶(hù)組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶(hù)，刪除已經(jīng)不再使用的用戶(hù)，這些用戶(hù)很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口；禁止系統(tǒng)顯示上次登錄的用戶(hù)名，默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶(hù)名，這樣很容易讓別人得到系統(tǒng)的用戶(hù)名而猜測(cè)密碼。

2.6刪除默認(rèn)共享

系統(tǒng)安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，我們運(yùn)行命令net share查看，禁止這些共享，打開(kāi)“管理工具”-“計(jì)算機(jī)管理”-“共享文件夾”-“共享”，選擇相應(yīng)共享文件夾單擊右鍵，停止共享，但是服務(wù)器重新啟動(dòng)后，這些共享又會(huì)重新開(kāi)啟。因此需要修改注冊(cè)表取消默認(rèn)共享， 在注冊(cè)表中將HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Lanman Server＼ Parameters： AutoShareServer的REG_DWORD 值改為0 。

2.7密碼安全設(shè)置

提高密碼安全性，一般管理員創(chuàng)建賬號(hào)的時(shí)候習(xí)慣于用單位、計(jì)算機(jī)名做用戶(hù)名，密碼設(shè)置又太簡(jiǎn)單，很容易破解，所以需要注意密碼的復(fù)雜性，定期改密碼；設(shè)置屏幕保護(hù)密碼，能防止內(nèi)部人員破壞服務(wù)器；開(kāi)啟密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位 ，設(shè)置強(qiáng)制密碼歷史為5次等。

2.8安裝防毒軟件

安全的服務(wù)器需要安裝殺毒軟件，并且要經(jīng)常升級(jí)病毒庫(kù)。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門(mén)程序，使得系統(tǒng)更加穩(wěn)定。

3加強(qiáng)服務(wù)器Web服務(wù)IIS的安全設(shè)置

3.1IIS安全安裝

首先IIS需要安裝在非系統(tǒng)分區(qū)上。在默認(rèn)情況下，IIS與操作系統(tǒng)安裝在同一個(gè)分區(qū)中，這是一個(gè)潛在的安全隱患，一旦入侵者繞過(guò)了IIS的安全機(jī)制，就有可能入侵到系統(tǒng)分區(qū)，所以需要將IIS安裝到其他分區(qū)，即便入侵者能繞過(guò)IIS的安全機(jī)制，也很難訪問(wèn)到系統(tǒng)分區(qū)；其次在安裝時(shí)修改IIS的默認(rèn)路徑，IIS的默認(rèn)安裝的路徑是＼inetpub，Web服務(wù)的頁(yè)面路徑是＼inetpub＼wwwroot，這是任何一個(gè)熟悉IIS的人都知道的，當(dāng)然這些人中包括了入侵者，所以需要更改成其他路徑；最后需要及時(shí)打好IIS的補(bǔ)丁，它就會(huì)成為一個(gè)比較安全的服務(wù)器平臺(tái)，能為我們提供安全穩(wěn)定的服務(wù)。endprint

3.2刪除不需要的IIS組件和示例

IIS默認(rèn)安裝后有些不需要的多余的組件會(huì)造成安全威脅，需要從系統(tǒng)中刪除，降低隱患。比如Internet服務(wù)管理器（HTML）組件，它是基于Web 的IIS服務(wù)器管理頁(yè)面，一般情況下不會(huì)通過(guò)Web進(jìn)行管理，可以卸載它；SMTP Service和NNTP Service組件，這兩個(gè)組件是用來(lái)轉(zhuǎn)發(fā)郵件和提供新聞組服務(wù)的，不需要這個(gè)功能可以刪除；樣本頁(yè)面和腳本，這些樣本可被用來(lái)從Internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器，建議刪除；IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄里存放的是用來(lái)示范安裝和應(yīng)用該技術(shù)的示例應(yīng)用程序，沒(méi)有多少實(shí)際的作用，反而會(huì)讓黑客利用存放的位置發(fā)動(dòng)惡意攻擊，所以可以直接刪除。

3.3刪除無(wú)用映射

在默認(rèn)狀態(tài)下，IIS服務(wù)器會(huì)自動(dòng)創(chuàng)建十幾種應(yīng)用程序的映射關(guān)系，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、等，通過(guò)這些程序映射，IIS就能知道對(duì)于什么樣的文件該調(diào)用什么樣的動(dòng)態(tài)鏈接庫(kù)文件來(lái)進(jìn)行解析處理?？墒聦?shí)上，許多Web網(wǎng)站僅僅用到asp這個(gè)應(yīng)用程序映射，其他應(yīng)用程序映射幾乎沒(méi)有任何作用；如果將這些用不著的映射保留在Web服務(wù)器中，很容易出現(xiàn)緩存溢出問(wèn)題，入侵者就可以利用緩存溢出獲得系統(tǒng)的權(quán)限。為此，只需將Web網(wǎng)站使用到的幾個(gè)應(yīng)用程序映射保留下來(lái)，其他無(wú)用映射及時(shí)刪除。

3.4關(guān)閉父路徑

在IIS應(yīng)用程序配置中如果啟用父路徑瀏覽，意味著允許別人在調(diào)用MapPath功能時(shí)使用“..”瀏覽系統(tǒng)文件 ，它能讓黑客訪問(wèn)那些不想讓他們?cè)L問(wèn)的目錄，所以禁用它將是明智之舉。

3.5啟用日志功能

日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，用日志可以來(lái)記錄IIS收到的HTTP請(qǐng)求，使我們能夠驗(yàn)證服務(wù)器在任意給定的時(shí)間干什么事情，包括我們?cè)O(shè)置好的安全方案正在如何運(yùn)轉(zhuǎn)等，因此啟用日志記錄并確保日志的安全能有效提高系統(tǒng)整體安全性。我們啟動(dòng)IIS MMC，并單擊Web站點(diǎn)或者想要啟用日志記錄的虛擬目錄，然后右擊目錄節(jié)點(diǎn)并且選擇“屬性”選項(xiàng)，打開(kāi)對(duì)應(yīng)的屬性對(duì)話框。在Web site標(biāo)簽內(nèi)啟用“啟用日志記錄”復(fù)選框。在啟用日志記錄時(shí)選擇W3C擴(kuò)展日志格式，這種日志格式，會(huì)在每天記錄客戶(hù)IP地址、用戶(hù)名、服務(wù)器端口、方法、URI字根、HTTP狀態(tài)、用戶(hù)代理等，當(dāng)IIS服務(wù)器受到安全威脅時(shí)，可以利用日志文件對(duì)細(xì)節(jié)執(zhí)行排疑式審查， IIS服務(wù)器發(fā)生故障后也可以利用這個(gè)日志文件所記錄的信息來(lái)檢查維護(hù)過(guò)程并識(shí)別系統(tǒng)中的問(wèn)題，所以說(shuō)日志記錄在排障時(shí)顯得尤為重要。

除了啟用日志記錄以外，還需要對(duì)日志文件進(jìn)行安全設(shè)置。默認(rèn)情況下，IIS的日志存放在%WinDir%＼System32＼ LogFiles，日志文件會(huì)提供所有發(fā)向IIS請(qǐng)求的消息，IIS日志文件可能會(huì)受到攻擊，或者黑客有可能試圖刪除IIS日志文件以便隱藏他們一起在搞的破壞，因此需要修改IIS日志的存放路徑，并且還要修改日志訪問(wèn)權(quán)限，設(shè)置只有管理員才能訪問(wèn)。

3.6IIS權(quán)限設(shè)置

IIS服務(wù)器的權(quán)限設(shè)置有兩個(gè)地方，一個(gè)是 NTFS 文件系統(tǒng)本身的權(quán)限設(shè)置，另一個(gè)是 IIS管理器中。這兩個(gè)地方是密切相關(guān)的。ASP、PHP、ASP.NET 程序所在目錄的權(quán)限設(shè)置：一般不要打開(kāi)主目錄的寫(xiě)入、腳本資源訪問(wèn)，純腳本和可執(zhí)行程序權(quán)限，只需選擇純腳本就可以了，文件夾不要啟用Web共享；上傳目錄的權(quán)限設(shè)置：上傳目錄的權(quán)限設(shè)置：一般asp.php等程序都有上傳目錄，它們繼承了上一層目錄的屬性，可以運(yùn)行腳本，我們需要將這些目錄的純腳本權(quán)限取消；Access 數(shù)據(jù)庫(kù)所在目錄的權(quán)限設(shè)置：Internet 來(lái)賓賬號(hào)或 IIS_WPG 組賬號(hào)的權(quán)限可讀可寫(xiě)，那么Access所在目錄或者文件的讀取、寫(xiě)入權(quán)限都取消掉，就可以防止被人下載或篡改了；其它目錄的權(quán)限設(shè)置：在網(wǎng)站下可能有純圖片目錄、純 html 模版目錄、純客戶(hù)端 js 文件目錄或者樣式表目錄等，這些目錄只需要設(shè)置讀取權(quán)限，執(zhí)行權(quán)限取消。

3.7IP地址的控制

IIS可以設(shè)置允許或拒絕從特定IP發(fā)來(lái)的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶(hù)訪問(wèn)服務(wù)，對(duì)于Web服務(wù)器，我們并不想讓所有人都能訪問(wèn)，或者將一些總是攻擊網(wǎng)站的用戶(hù)屏蔽掉，這就需要添加授權(quán)訪問(wèn)或者限制訪問(wèn)網(wǎng)站的IP地址，實(shí)現(xiàn)讓目標(biāo)用戶(hù)訪問(wèn)。

3.8啟用SSL安全機(jī)制

IIS有一種安全性很高的認(rèn)證，即通過(guò)SSL（Security Socket Layer）安全機(jī)制使用數(shù)字證書(shū)。SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶(hù)與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶(hù)都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶(hù)端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給客戶(hù)端，客戶(hù)端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶(hù)端和服務(wù)器端就建立了一個(gè)惟一的安全通道。

參考文獻(xiàn)

[1] 張振東，鮮坤林. Windows Server 2003 Web 服務(wù)器安全設(shè)置初探[M].遼寧農(nóng)業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，（6）.

[2] 許順雄.加強(qiáng)IIS的安全管理確保Web服務(wù)器安全 [M].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2006，（5）.

[3] 佘學(xué)兵，傅蕾.Windows Server 2003 的安全性實(shí)現(xiàn)[M].科技廣場(chǎng)，2008，（5）.

作者簡(jiǎn)介：

馬玉芳 （1975-），女，撒拉族，碩士，青海民族大學(xué)計(jì)算機(jī)學(xué)院，教師，實(shí)驗(yàn)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)應(yīng)用。endprint