在曩昔的幾年中，不斷增加的黑(hēi)客、病毒和(hé)蠕蟲帶來(lái)的安全問題嚴重影(yǐng)響了網站(zhàn)的可(kě)拜訪性，雖然Apache效勞器(qì)也常常是進犯者的方針，可(kě)是微軟的Internet信息效勞（IIS） Web效勞器(qì)才是實在意義上(shàng)的衆矢之的。

觀一般地，大(dà)多(duō)數(shù)Web站(zhàn)點的規劃方針都是：以最易承受的辦法，為(wèi)拜訪者供給即時(shí)的信息拜訪。在曩昔的幾年中，不斷增加的黑(hēi)客、病毒和(hé)蠕蟲帶來(lái)的安全問題嚴重影(yǐng)響了網站(zhàn)的可(kě)拜訪性，雖然Apache效勞器(qì)也常常是進犯者的方針，可(kě)是微軟的Internet信息效勞（IIS） Web效勞器(qì)才是實在意義上(shàng)的衆矢之的。

高(gāo)檔教學組織通(tōng)常無法在構建充滿活力、界面友(yǒu)愛(ài)的網站(zhàn)還(hái)是構建高(gāo)安全性的網站(zhàn)之間(jiān)找到平衡點。另外，它們現在有(yǒu)必要緻力于進步網站(zhàn)安全性以面臨減縮中的技(jì)能核算(suàn) （本來(lái)許多(duō)它們的私有(yǒu)有(yǒu)些(xiē)也面臨着類似的局勢）。

正由于如此，我在這兒将為(wèi)核算(suàn)而頭疼的大(dà)學IT經理(lǐ)們供給一些(xiē)竅門(mén)，以協助他們維護他們的IIS效勞器(qì)。雖然主要是面臨大(dà)學裏的IT專業人(rén)員的，可(kě)是這些(xiē)竅門(mén)也基本上(shàng)适用于希望經過少(shǎo)數(shù)的财政核算(suàn)來(lái)進步安全性的IIS管理(lǐ)人(rén)員。實際上(shàng)，這兒面的一些(xiē)竅門(mén)對具有(yǒu)強壯核算(suàn)的IIS管理(lǐ)人(rén)員也是非常有(yǒu)用的。

首要，開(kāi)發一套安全策略

維護Web效勞器(qì)的第一步是保證網絡管理(lǐ)員清楚安全策略中的每一項準則。假如公司高(gāo)層沒有(yǒu)把效勞器(qì)的安全看作(zuò)是有(yǒu)必要被維護的财物，那(nà)麽維護作(zuò)業是徹底沒有(yǒu)意義的。這項作(zuò)業需要長時(shí)刻的盡力。假如核算(suàn)不支撐或許它不是長時(shí)刻IT戰略的一有(yǒu)些(xiē)，那(nà)麽花(huā)費許多(duō)時(shí)刻維護效勞器(qì)安全的管理(lǐ)員将得(de)不到管理(lǐ)層方面的重要支撐。

網絡管理(lǐ)員為(wèi)各方面資本樹(shù)立安全性的直接成果是啥呢？一些(xiē)格外喜愛(ài)冒險的用戶将會(huì)被關在門(mén)外。那(nà)些(xiē)用戶随後會(huì)訴苦公司的管理(lǐ)層，管理(lǐ)層人(rén)員又會(huì)去責問網絡管理(lǐ)員終究發生(shēng)了啥。那(nà)麽，網絡管理(lǐ)員沒辦法樹(shù)立支撐他們安全作(zuò)業的文檔，因而，抵觸發生(shēng)了。

經過标示Web效勞器(qì)安全級别以及可(kě)用性的安全策略，網絡管理(lǐ)員将能夠沉着地在不一樣的操作(zuò)體(tǐ)系上(shàng)布置各種軟件東西。

IIS安全竅門(mén)

微軟的商品一向是衆矢之的，因而IIS效勞器(qì)格外容易變成進犯者的靶子。搞清楚了這一點後，網絡管理(lǐ)員有(yǒu)必要預備履行(xíng)許多(duō)的安全措施。我将要為(wèi)你(nǐ)們供給的是一個(gè)清單，效勞器(qì)操作(zuò)員或許會(huì)發現這是非常有(yǒu)用的。

1. 堅持Windows晉級：

你(nǐ)有(yǒu)必要在第一時(shí)刻及時(shí)地更新全部的晉級，并為(wèi)體(tǐ)系打好全部補丁。思考将全部的更新下載到你(nǐ)網絡上(shàng)的一個(gè)專用的效勞器(qì)上(shàng)，并在該機器(qì)上(shàng)以Web的方式将文件發布出來(lái)。經過這些(xiē)作(zuò)業，你(nǐ)能夠防止你(nǐ)的Web效勞器(qì)承受直接的Internet拜訪。

在曩昔的幾年中，不斷增加的黑(hēi)客、病毒和(hé)蠕蟲帶來(lái)的安全問題嚴重影(yǐng)響了網站(zhàn)的可(kě)拜訪性，雖然Apache效勞器(qì)也常常是進犯者的方針，可(kě)是微軟的Internet信息效勞（IIS） Web效勞器(qì)才是實在意義上(shàng)的衆矢之的。

2. 運用IIS防備東西：

這個(gè)東西有(yǒu)許多(duō)有(yǒu)用的長處，可(kě)是，請(qǐng)穩重的運用這個(gè)東西。假如你(nǐ)的Web效勞器(qì)和(hé)其他效勞器(qì)相互作(zuò)用，請(qǐng)首要測驗一下防備東西，以斷定它現已被準确的裝備，保證其不會(huì)影(yǐng)響Web效勞器(qì)與其他效勞器(qì)之間(jiān)的通(tōng)訊。

3. 移除缺省的Web站(zhàn)點：

許多(duō)進犯者瞄準inetpub這個(gè)文件夾，并在裏邊放置一些(xiē)狙擊東西，從而形成效勞器(qì)的癱瘓。防止這種進犯最簡略的辦法即是在IIS裏将缺省的站(zhàn)點禁用。然後，由于網蟲們都是經過IP地址拜訪你(nǐ)的網站(zhàn)的 （他們一天可(kě)能要拜訪不計(jì)其數(shù)個(gè)IP地址），他們的懇求可(kě)能遇到麻煩。将你(nǐ)實在的Web站(zhàn)點指向一個(gè)背有(yǒu)些(xiē)區(qū)的文件夾，且有(yǒu)必要包含安全的NTFS權限 （将在後邊NTFS的有(yǒu)些(xiē)具體(tǐ)論述）。

4. 假如你(nǐ)并不需要FTP和(hé)SMTP效勞，請(qǐng)卸載它們：

進入計(jì)算(suàn)機的最簡略路徑即是經過FTP拜訪。FTP自身即是被規劃滿意簡略讀/寫拜訪的，假如你(nǐ)履行(xíng)身份認證，你(nǐ)會(huì)發現你(nǐ)的用戶名和(hé)暗碼都是經過明(míng)文的方式在網絡上(shàng)傳達的。SMTP是另一種答(dá)應到文件夾的寫權限的效勞。經過禁用這兩項效勞，你(nǐ)能防止更多(duō)的黑(hēi)客進犯。

5. 有(yǒu)規則地檢查你(nǐ)的管理(lǐ)員組和(hé)服務：

有(yǒu)一天我進入我們的教室，發現在管理(lǐ)員組裏多(duō)了一個(gè)用戶。這意味着這時(shí)某個(gè)人(rén)已經成功地進入了你(nǐ)的系統，他或她可(kě)能冷不丁地将炸彈扔到你(nǐ)的系統裏，這将會(huì)突然摧毀你(nǐ)的整個(gè)系統，或者占用大(dà)量的帶寬以便黑(hēi)客使用。黑(hēi)客同樣趨向于留下一個(gè)幫助服務，一旦這發生(shēng)了，采取任何措施可(kě)能都太晚了，你(nǐ)隻能重新格式化你(nǐ)的磁盤，從備份服務器(qì)恢複你(nǐ)每天備份的文件。因此，檢查IIS服務器(qì)上(shàng)的服務列表并保持盡量少(shǎo)的服務必須成為(wèi)你(nǐ)每天的任務。你(nǐ)應該記住哪個(gè)服務應該存在，哪個(gè)服務不應該存在。Windows 2000 Resource Kit帶給我們一個(gè)有(yǒu)用的程序，叫作(zuò)tlist.exe，它能列出每種情況運行(xíng)在svchost 之下的服務。運行(xíng)這個(gè)程序可(kě)以尋找到一些(xiē)你(nǐ)想要知道(dào)的隐藏服務。給你(nǐ)一個(gè)提示：任何含有(yǒu)daemon幾個(gè)字的服務可(kě)能不是Windows本身包含的服務，都不應該存在于IIS服務器(qì)上(shàng)。想要得(de)到Windows服務的列表并知道(dào)它們各自有(yǒu)什麽作(zuò)用，請(qǐng)點擊這裏。

6. 嚴格控制(zhì)服務器(qì)的寫訪問權限：

這聽(tīng)起來(lái)很(hěn)容易，然而，在大(dà)學校(xiào)園裏，一個(gè)Web服務器(qì)實際上(shàng)是有(yǒu)很(hěn)多(duō)“作(zuò)者”的。教職人(rén)員都希望讓他們的課堂信息能被遠程學生(shēng)訪問。職員們則希望與其他的職員共享他們的工作(zuò)信息。服務器(qì)上(shàng)的文件夾可(kě)能出現極其危險的訪問權限。将這些(xiē)信息共享或是傳播出去的一個(gè)途徑是安裝第2個(gè)服務器(qì)以提供專門(mén)的共享和(hé)存儲目的，然後配置你(nǐ)的Web服務器(qì)來(lái)指向共享服務器(qì)。這個(gè)步驟能讓網絡管理(lǐ)員将Web服務器(qì)本身的寫權限僅僅限制(zhì)給管理(lǐ)員組。

7. 設置複雜的密碼：

我最近進入到教室，從事件察看器(qì)裏發現了很(hěn)多(duō)可(kě)能的黑(hēi)客。他或她進入了實驗室的域結構足夠深，以至于能夠對任何用戶運行(xíng)密碼破解工具。如果有(yǒu)用戶使用弱密碼 （例如“password”或是 changeme“或者任何字典單詞），那(nà)麽黑(hēi)客能快速并簡單的入侵這些(xiē)用戶的賬号。

8. 減少(shǎo)/排除Web服務器(qì)上(shàng)的共享：

如果網絡管理(lǐ)員是唯一擁有(yǒu)Web服務器(qì)寫權限的人(rén)，就沒有(yǒu)理(lǐ)由讓任何共享存在。共享是對黑(hēi)客最大(dà)的誘惑。此外，通(tōng)過運行(xíng)一個(gè)簡單的循環批處理(lǐ)文件，黑(hēi)客能夠察看一個(gè)IP地址列表，利用命令尋找Everyone/完全控制(zhì)權限的共享。

在過去的幾年中，越來(lái)越多(duō)的黑(hēi)客、病毒和(hé)蠕蟲帶來(lái)的安全問題嚴重影(yǐng)響了網站(zhàn)的可(kě)訪問性，盡管Apache服務器(qì)也常常是攻擊者的目标，然而微軟的Internet信息服務（IIS） Web服務器(qì)才是真正意義上(shàng)的衆矢之的。

9. 禁用TCP/IP協議中的NetBIOS：

這是殘忍的。很(hěn)多(duō)用戶希望通(tōng)過UNC路徑名訪問Web服務器(qì)。随着NETBIOS被禁用，他們便不能這麽做(zuò)了。另一方面，随着NETBIOS被禁用，黑(hēi)客就不能看到你(nǐ)局域網上(shàng)的資源了。這是一把雙刃劍，如果網絡管理(lǐ)員部署了這個(gè)工具，下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發布信息。

10. 使用TCP端口阻塞：

這是另一個(gè)殘忍的工具。如果你(nǐ)熟悉每個(gè)通(tōng)過合法原因訪問你(nǐ)服務器(qì)的TCP端口，那(nà)麽你(nǐ)可(kě)以進入你(nǐ)網絡接口卡的屬性選項卡，選擇綁定的TCP/IP協議，阻塞所有(yǒu)你(nǐ)不需要的端口。你(nǐ)必須小(xiǎo)心的使用這一工具，因為(wèi)你(nǐ)并不希望将自己鎖在Web服務器(qì)之外，特别是在當你(nǐ)需要遠程登陸服務器(qì)的情況下。要得(de)到TCP端口的詳細細節，點擊這裏。

11. 仔細檢查*.bat和(hé)*.exe 文件：

每周搜索一次*.bat和(hé)*.exe文件，檢查服務器(qì)上(shàng)是否存在黑(hēi)客最喜歡，而對你(nǐ)來(lái)說将是一場(chǎng)惡夢的可(kě)執行(xíng)文件。在這些(xiē)破壞性的文件中，也許有(yǒu)一些(xiē)是*.reg文件。如果你(nǐ)右擊并選擇編輯，你(nǐ)可(kě)以發現黑(hēi)客已經制(zhì)造并能讓他們能進入你(nǐ)系統的注冊表文件。你(nǐ)可(kě)以删除這些(xiē)沒任何意義但(dàn)卻會(huì)給入侵者帶來(lái)便利的主鍵。

12. 管理(lǐ)IIS目錄安全：

IIS目錄安全允許你(nǐ)拒絕特定的IP地址、子網甚至是域名。作(zuò)為(wèi)選擇，我選擇了一個(gè)被稱作(zuò)WhosOn的軟件，它讓我能夠了解哪些(xiē)IP地址正在試圖訪問服務器(qì)上(shàng)的特定文件。WhosOn列出了一系列的異常。如果你(nǐ)發現一個(gè)家(jiā)夥正在試圖訪問你(nǐ)的cmd.exe，你(nǐ)可(kě)以選擇拒絕這個(gè)用戶訪問Web服務器(qì)。當然，在一個(gè)繁忙的Web站(zhàn)點，這可(kě)能需要一個(gè)全職的員工！然而，在內(nèi)部網，這真的是一個(gè)非常有(yǒu)用的工具。你(nǐ)可(kě)以對所有(yǒu)局域網內(nèi)部用戶提供資源，也可(kě)以對特定的用戶提供。

13. 使用NTFS安全：

缺省地，你(nǐ)的NTFS驅動器(qì)使用的是EVERYONE/完全控制(zhì)權限，除非你(nǐ)手工關掉它們。關鍵是不要把自己鎖定在外，不同的人(rén)需要不同的權限，管理(lǐ)員需要完全控制(zhì)，後台管理(lǐ)賬戶也需要完全控制(zhì)，系統和(hé)服務各自需要一種級别的訪問權限，取決于不同的文件。最重要的文件夾是System32，這個(gè)文件夾的訪問權限越小(xiǎo)越好。在Web服務器(qì)上(shàng)使用NTFS權限能幫助你(nǐ)保護重要的文件和(hé)應用程序。

14.管理(lǐ)用戶賬戶：

如果你(nǐ)已經安裝IIS，你(nǐ)可(kě)能産生(shēng)了一個(gè)TSInternetUser賬戶。除非你(nǐ)真正需要這個(gè)賬戶，否則你(nǐ)應該禁用它。這個(gè)用戶很(hěn)容易被滲透，是黑(hēi)客們的顯著目标。為(wèi)了幫助管理(lǐ)用戶賬戶，确定你(nǐ)的本地安全策略沒有(yǒu)問題。IUSR用戶的權限也應該盡可(kě)能的小(xiǎo)。

15. 審計(jì)你(nǐ)的Web服務器(qì)：

審計(jì)對你(nǐ)計(jì)算(suàn)機的性能有(yǒu)着較大(dà)的影(yǐng)響，因此如果你(nǐ)不經常察看的話(huà)，還(hái)是不要做(zuò)審計(jì)了。如果你(nǐ)真的能用到它，請(qǐng)審計(jì)系統事件并在你(nǐ)需要的時(shí)候加入審計(jì)工具。如果你(nǐ)正在使用前面提到的WhosOn工具，審計(jì)就不那(nà)麽重要了。缺省地，IIS總是紀錄訪問， WhosOn 會(huì)将這些(xiē)紀錄放置在一個(gè)非常容易易讀的數(shù)據庫中，你(nǐ)可(kě)以通(tōng)過Access或是 Excel打開(kāi)它。如果你(nǐ)經常察看異常數(shù)據庫，你(nǐ)能在任何時(shí)候找到服務器(qì)的脆弱點。

總結

上(shàng)述所有(yǒu)IIS技(jì)巧和(hé)工具（除了WhosOn以外）都是Windows自帶的。不要忘記在測試你(nǐ)網站(zhàn)可(kě)達性之前一個(gè)一個(gè)的使用這些(xiē)技(jì)巧和(hé)工具。如果它們一起被部署，結果可(kě)能讓你(nǐ)損失慘重，你(nǐ)可(kě)能需要重啓，從而遺失訪問。

最後的技(jì)巧： 登陸你(nǐ)的Web服務器(qì)并在命令行(xíng)下運行(xíng)netstat -an。觀察有(yǒu)多(duō)少(shǎo)IP地址正嘗試和(hé)你(nǐ)的端口建立連接，然後你(nǐ)将有(yǒu)一大(dà)堆的調查和(hé)研究要做(zuò)了。