如何加固外網(wǎng)上的IIS服務(wù)器安全的技巧����?
關(guān)于IIS服務(wù)器的安全主要包括六步:
讓客戶滿意是我們工作的目標(biāo)��,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛���。我們立志把好的技術(shù)通過有效�、簡單的方式提供給客戶��,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任�����、有價值的長期合作伙伴����,公司提供的服務(wù)項(xiàng)目有:空間域名�����、網(wǎng)站空間���、營銷軟件����、網(wǎng)站建設(shè)����、晉安網(wǎng)站維護(hù)����、網(wǎng)站推廣�。
1、使用安全配置向?qū)В⊿ecurity Configuration Wizard)來決定web服務(wù)器所需的最小功能��,然后禁止其他不需要的功能�����。具體地說���,它能幫你.
1》禁止不需要的服務(wù)
2》堵住不用的端口
3》至于打開的端口�����,對可以訪問的地址和其他安全做進(jìn)一步的限制
4》如果可行����,禁止不需要的IIS的web擴(kuò)展
5》減小對SMB���,LAN Manager�����,和LDAP協(xié)議的顯露
6》定義一個高信噪比的對策
2�����、把網(wǎng)站文件放在一個非系統(tǒng)分區(qū)(partition)上�,防止directory traversal的缺陷,對內(nèi)容進(jìn)行NTFS權(quán)限稽查(Audit)����。
3�����、對自己的系統(tǒng)定期做安全掃描和稽查�,在別人發(fā)現(xiàn)問題前盡早先發(fā)現(xiàn)自己的薄弱處。
4�、定期做日志分析,尋找多次失敗的登陸嘗試��,反復(fù)出現(xiàn)的404����,401�����,403錯誤��,不是針對你的網(wǎng)站的請求記錄等��。
5�����、如果使用IIS 6的話���,使用Host Headers ,URL掃描�����,實(shí)現(xiàn)自動網(wǎng)站內(nèi)容和IIS Metabase的Replication���,對IUSR_servername帳號戶使用標(biāo)準(zhǔn)的名稱等�。
6���、總的web架構(gòu)的設(shè)計思路:別把你的外網(wǎng)web服務(wù)器放在內(nèi)網(wǎng)的活動目錄(Active Directory)里����,別用活動目錄帳號運(yùn)行IIS匿名認(rèn)證,考慮實(shí)時監(jiān)測�����,認(rèn)真設(shè)置應(yīng)用池設(shè)置��,爭取對任何活動做日志記錄���,禁止在服務(wù)器上使用Internet Explorer等�。
關(guān)于外網(wǎng)服務(wù)器安全問題
1���、安裝配置防火墻iptables;
2��、關(guān)閉系統(tǒng)除了用到的端口外所有其他端口��;
3���、關(guān)閉一切用不到的服務(wù)�。
4、對用戶權(quán)限加以限制����。
5、監(jiān)控服務(wù)器服務(wù)等采用短信報警機(jī)制����。
如何提高服務(wù)器的安全性?
1����、系統(tǒng)漏洞的修復(fù)
安裝好的系統(tǒng)都會有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁,一些高危漏洞是需要我們及時補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊�����。
2�、系統(tǒng)賬號優(yōu)化
我們服務(wù)器的密碼需要使用強(qiáng)口令,同時有一些來賓賬戶例如guest一定要禁用掉�����。
3���、目錄權(quán)限優(yōu)化
對于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改���,確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁�。
例如我們的windows文件夾權(quán)限����,我們給的就應(yīng)該盡可能的少,對于用戶配置信息文件夾���,不要給予everyone權(quán)限�����。
4���、數(shù)據(jù)庫優(yōu)化
針對數(shù)據(jù)密碼和數(shù)據(jù)庫端口訪問都要進(jìn)行優(yōu)化,不要將數(shù)據(jù)庫暴露在公網(wǎng)訪問環(huán)境����。
5��、系統(tǒng)服務(wù)優(yōu)化
去除一些不必要的系統(tǒng)服務(wù)�,可以優(yōu)化我們系統(tǒng)性能,同時優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性���。
6��、注冊表優(yōu)化
注冊表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力���,去除不必要的端口��,幫助抵御snmp攻擊��,優(yōu)化網(wǎng)絡(luò)����,是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)�。
7、掃描垃圾文件
垃圾文件冗余可能會造成我們的服務(wù)器卡頓�����,硬盤空間不足�,需要我們定期進(jìn)行清理。
當(dāng)前題目:外網(wǎng)服務(wù)器安全控制 外網(wǎng)安全訪問內(nèi)網(wǎng)服務(wù)器
鏈接URL:
http://weahome.cn/article/ddjceph.html
重慶分公司
重慶分公司
