|
本文基于Windows 2008下使用IIS7部署的web服務(wù)器,對IIS7的各項配置進行實戰(zhàn)分析�����,以提高基于此環(huán)境下的WEB服務(wù)器的安全性���,以下是本人對IIS服務(wù)的配置經(jīng)驗總結(jié),供大家探討���。 【關(guān)鍵詞】IIS安全���;WEB服務(wù)器安全 1磁盤及文件夾設(shè)置 為提高系統(tǒng)下數(shù)據(jù)的安全性�����,服務(wù)器文件格式一律劃分為NTFS格式����,這樣可以更好的配置磁盤的各種訪問權(quán)限���。一般情況下���,各個分區(qū)都只賦予administrators和system權(quán)限,刪除其他用戶的訪問權(quán)限�,以保證拒絕任何未授權(quán)用戶的訪問。 2為站點建立相應(yīng)的用戶�����。 每個站點都使用專門建立的用戶來進行權(quán)限分配���,可以保證各個站點間是獨立的����,被隔離開的,不會互相影響的�����。 此類用戶包含為站點建立用于匿名訪問的用戶和為用于應(yīng)用程序池運行的用戶�����。匿名訪問用戶屬于GUEST組���,應(yīng)用程序池運行用戶屬于IIS_IUSRS組�。 操作方法:右鍵點擊“我的電腦”中����,選擇“管理”。選擇“本地用戶和組”窗格中����,右鍵單擊“用戶”,選擇“新用戶”����。在“新用戶”對話框中�,設(shè)置“用戶名”���、“密碼”并勾選“用戶不能更改密碼”、“密碼永不過期”��,然后單擊“確定”�。 選擇創(chuàng)建好的用戶,右鍵單擊用戶名��,選擇屬性�����,設(shè)置用戶到相應(yīng)的組即可�。 3站點使用獨立的應(yīng)用程序池 每個站點使用的應(yīng)用程序池應(yīng)該是獨立的,以便資源的合理分配�����,并且都以獨立的標(biāo)識賬戶運行�,在出現(xiàn)異常情況時也不會互相影響。 操作方法: (1)打開“IIS信息服務(wù)管理器”���,右鍵單擊“應(yīng)用程序池”�,選擇“新建應(yīng)用程序池”,填上名稱����,確定。 (2)單擊此應(yīng)用程序池��,在操作欄中選擇“高級設(shè)置”�,將“進程模型標(biāo)識”選擇為之前創(chuàng)建的應(yīng)用程序池運行用戶。 (3)單擊需要配置的網(wǎng)站����,在操作欄中選擇高級設(shè)置,應(yīng)用程序池選擇為上一步創(chuàng)建的應(yīng)用程序池����。 4啟用匿名身份驗證 網(wǎng)站目錄下所有文件啟用匿名身份驗證,便于用戶可以匿名訪問網(wǎng)站���,并將之前建立的用戶分配到該網(wǎng)站����。 操作方法: (1)在功能視圖中雙擊“身份驗證”���,右鍵單擊“匿名身份驗證”�,選擇“啟用”。 (2)單擊該網(wǎng)站��,在功能視圖中雙擊“身份驗證”�,右鍵單擊“匿名身份驗證”,選擇“編輯”匿名身份驗證��,并選擇“匿名用戶標(biāo)識”為之前建立的用于匿名訪問的用戶��。 注:需要賦予該匿名用戶對此網(wǎng)站目錄及文件相應(yīng)的訪問權(quán)限�����。 5啟用基本身份驗證 為保護指定目錄不被匿名用戶訪問����,需要啟用基本身份驗證����,此項需要關(guān)閉指定目錄的匿名用戶訪問權(quán)限。 操作方法: (1)在功能視圖中選擇“身份驗證”�����,右鍵單擊“匿名身份驗證”,選擇“禁用”匿名身份驗證���。 (2)在功能視圖中雙擊“身份驗證”����,右鍵單擊“基本身份驗證”����,選擇“啟用”并編輯基本身份驗證,為基本身份認(rèn)證配置擁有訪問權(quán)限的用戶�����。 6取消上傳目錄的執(zhí)行權(quán)限 網(wǎng)站程序正常運行所需的權(quán)限并不是完全一樣的��,可以在IIS中對網(wǎng)站目錄進行針對設(shè)置����,一般目錄設(shè)置為讀取,滿足訪問�����、瀏覽即可�;需要上傳文件的目錄����,在設(shè)置了寫入權(quán)限后�����,可以將目錄的執(zhí)行權(quán)限去掉��。這樣即使上傳了木馬文件在此目錄����,也是無法執(zhí)行的����。 操作方法:選中網(wǎng)站的上傳文件夾,選擇“處理程序映射”��,“編輯功能權(quán)限”�����,取消腳本和執(zhí)行功能��。 7基于IP地址或域名授予訪問權(quán)限和拒絕訪問�����。 在IIS 7中,默認(rèn)情況下所有Internet協(xié)議(IP)地址�����、計算機和域都可以訪問我們的站點���。為了增強安全性�����,我們可以創(chuàng)建向所有IP地址(默認(rèn)設(shè)置)��、特定IP地址�、IP地址范圍或特定域授予訪問權(quán)限的允許規(guī)則��,以此來限制對站點的訪問�����。 注:IP地址限制只適用于IPv4地址����。 在“功能視圖”中�����,雙擊“IPv4地址和域限制”��。 在“操作”窗格中����,單擊“添加允許條目”��。 在“添加允許限制規(guī)則”對話框中��,選擇“特定IPv4地址”����、“IPv4地址范圍”或“域名”�����,接著添加IPv4地址����、范圍、掩碼或域名�,然后單擊“確定”��。 8配置url授權(quán)規(guī)則��。 我們可以允許或拒絕特定計算機����、計算機組或域訪問服務(wù)器上的站點�、應(yīng)用程序、目錄或文件�。通過配置URL授權(quán)規(guī)則,可以配置為指定組的成員訪問受限內(nèi)容�����。 操作方法: (1)在“功能視圖中��,雙擊“授權(quán)規(guī)則”�����。在“操作”窗格中��,單擊“添加允許規(guī)則”����。 (2)在“添加允許授權(quán)規(guī)則”對話框中��,可以選擇“所有用戶”�、“所有匿名用戶”���、“指定的角色或用戶組”�、“指定的用戶”其中之一���。 此外�����,如果要進一步規(guī)定允許訪問相應(yīng)內(nèi)容的用戶���、角色或組只能使用特定HTTP謂詞列表,則還可以選中“將此規(guī)則應(yīng)用于特定謂詞”�����。請在對應(yīng)的文本框中鍵入這些謂詞��。 9配置ISAPI和CGI限制 默認(rèn)情況下�����,存在多種文件擴展名均可在Web服務(wù)器上運行��,為了降低此風(fēng)險���,應(yīng)只允許您具有的那些特定ISAPI擴展或CGI文件在Web服務(wù)器上運行�����。 操作方法: (1)在“功能視圖”中��,雙擊“ISAPI和CGI限制”�����。在“操作”窗格中���,單擊“添加”。 (2)在“添加ISAPI或CGI限制”對話框的“ISAPI或CGI路徑”文本框中鍵入該.dll或.exe文件的路徑���,或者單擊瀏覽按鈕(...)導(dǎo)航至該文件的位置��。 在“描述”文本框中����,鍵入有關(guān)限制的簡要描述。 (3)選中“允許執(zhí)行擴展路徑”��,以允許限制自動運行���。如果未選中此選項�����,限制的狀態(tài)將默認(rèn)為“不允許”���。以后,您可以通過選擇限制并在“操作”窗格中單擊“允許”來允許該限制��。 10結(jié)束語 通過上述配置���,使用獨立的匿名訪問用戶和應(yīng)用程序池用戶����,杜絕了各網(wǎng)站之間相互影響的隱患���。并為網(wǎng)站目錄設(shè)置權(quán)限��,防止上傳的木馬文件執(zhí)行��。在多次實踐和測試中��,證明上述操作是易于實現(xiàn)而又行之有效的���,可以提高IIS服務(wù)器在運行中的安全性,從而保障網(wǎng)站的正常運行����。
|
