如何加固外網(wǎng)上的IIS服務(wù)器安全的技巧？

關(guān)于IIS服務(wù)器的安全主要包括六步：

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比博興網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式博興網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋博興地區(qū)。費(fèi)用合理售后完善，10多年實(shí)體公司更值得信賴。

1、使用安全配置向?qū)В⊿ecurity Configuration Wizard）來決定web服務(wù)器所需的最小功能，然后禁止其他不需要的功能。具體地說，它能幫你.

1》禁止不需要的服務(wù)

2》堵住不用的端口

3》至于打開的端口，對(duì)可以訪問的地址和其他安全做進(jìn)一步的限制

4》如果可行，禁止不需要的IIS的web擴(kuò)展

5》減小對(duì)SMB，LAN Manager，和LDAP協(xié)議的顯露

6》定義一個(gè)高信噪比的對(duì)策

2、把網(wǎng)站文件放在一個(gè)非系統(tǒng)分區(qū)（partition）上，游滾仔防止directory traversal的缺陷，對(duì)內(nèi)容進(jìn)行NTFS權(quán)限稽查備握（Audit）。

3、對(duì)自己的系統(tǒng)定期做安全掃描和稽查，在別人發(fā)現(xiàn)問題前盡早先發(fā)現(xiàn)自己的薄弱處。

4、定期做日志分析，尋找多次失敗的登陸嘗試，反復(fù)出現(xiàn)的404，401，403錯(cuò)神汪誤，不是針對(duì)你的網(wǎng)站的請(qǐng)求記錄等。

5、如果使用IIS 6的話，使用Host Headers ，URL掃描，實(shí)現(xiàn)自動(dòng)網(wǎng)站內(nèi)容和IIS Metabase的Replication，對(duì)IUSR_servername帳號(hào)戶使用標(biāo)準(zhǔn)的名稱等。

6、總的web架構(gòu)的設(shè)計(jì)思路：別把你的外網(wǎng)web服務(wù)器放在內(nèi)網(wǎng)的活動(dòng)目錄（Active Directory）里，別用活動(dòng)目錄帳號(hào)運(yùn)行IIS匿名認(rèn)證，考慮實(shí)時(shí)監(jiān)測(cè)，認(rèn)真設(shè)置應(yīng)用池設(shè)置，爭(zhēng)取對(duì)任何活動(dòng)做日志記錄，禁止在服務(wù)器上使用Internet Explorer等。

什么是服務(wù)器加固，服務(wù)器有哪些加固方案？

服務(wù)器加固是給服務(wù)器上一把鎖，業(yè)務(wù)系統(tǒng)的服務(wù)器都很脆弱，即使裝了殺毒軟件，部署了防火墻，并定時(shí)打補(bǔ)丁，但仍然會(huì)有各種風(fēng)險(xiǎn)，各種中毒，各種被入侵，核心數(shù)據(jù)還是會(huì)被偷窺、被破壞、被篡改、被偷走。所以要對(duì)服務(wù)器團(tuán)慶加固。

推薦使用MCK云私鑰，服務(wù)器安全加固系統(tǒng)，重新定義操作系統(tǒng)各模塊的功能，構(gòu)建獨(dú)立的身份鑒別體系，在當(dāng)殺毒軟件、防火基脊墻都不起作用時(shí)，仍然能頑強(qiáng)的對(duì)核心數(shù)據(jù)進(jìn)行保護(hù)，防止木馬病毒入侵，防止核心數(shù)據(jù)被偷窺搏或滲、被破壞、被篡改、被偷走！

Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

我們通過以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只帆旅謹(jǐn)允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和鎮(zhèn)鋒Backup Operators;

啟用不允許匿名訪問SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理態(tài)基 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

什么是服務(wù)器加固？服務(wù)器有哪些加固方案？

我們常說的服務(wù)器加固，其實(shí)是指服務(wù)器安全加固。

一臺(tái)服務(wù)器裝好系統(tǒng)后，加固策略是少不掉備舉的。雖然沒有誰強(qiáng)制要求對(duì)服務(wù)器進(jìn)行加固操作，但是不加固的服務(wù)器受到攻擊的風(fēng)險(xiǎn)會(huì)更大。

服務(wù)器加固方案很多，主要有以下幾個(gè)大點(diǎn)：

1、系統(tǒng)帳號(hào)安全

主要是保障服務(wù)器帳號(hào)安全的，防止密碼被盜，主要措施有：

密碼復(fù)雜度

禁止超管用戶直接登錄

跳板機(jī)機(jī)制

密碼最大錯(cuò)誤次數(shù)，一旦超過則禁止當(dāng)前IP訪問服務(wù)器

密碼有效期管理，定期由系統(tǒng)強(qiáng)制要求用戶更新密碼

密鑰登錄

2、目錄及文件權(quán)限

很多木馬之所以能被上傳和執(zhí)行，文件權(quán)限過大也是很重要的因素。我們嚴(yán)格控制了目錄及文件權(quán)限，就能最大程度限制涉及文件類的操作，主要是針對(duì)不同目錄和文件的讀（R）、寫（W）、執(zhí)行（X）權(quán)限。

3、防火墻規(guī)則

防火墻規(guī)則可以控制開放哪些端口的訪問權(quán)限，還可以控制哪些IP可以訪問服務(wù)器等。

4、系統(tǒng)和程序漏洞

不管是Windows還是Linux系統(tǒng)，仿液碧或多或少都存在漏洞，對(duì)于危害較大的漏洞要及時(shí)修復(fù)。

另外，只要是程序都有可埋敬能存在漏洞，特別是遇到一些不靠譜的程序員，漏洞更多。

5、關(guān)閉不必要的系統(tǒng)服務(wù)

禁止不必要的系統(tǒng)服務(wù)，一方面節(jié)省服務(wù)器資源，另一方面減少可能的漏洞利用或者提權(quán)風(fēng)險(xiǎn)。

6、日志記錄

能記錄用戶進(jìn)行的操作，以便發(fā)現(xiàn)問題時(shí)溯源，找到是誰操作的。

7、備份還原機(jī)制

以防萬一，很有必要。

綜上，服務(wù)器加固涉及的工作很多很繁瑣，以上就是我的經(jīng)驗(yàn)之談。如果大家有其它見解，歡迎在下方評(píng)論區(qū)留言交流哦~