沒有系統是絕對安全的,因為系統漏洞會不斷被發現。老虎機機率計算駭客和系統管理員都在不斷收集訊息,這場黑白之戰永遠都在進行。 Web 伺服器經常是各種安全攻擊的目標之一。一些攻擊可能對企業資產、工作效率和客戶關係造成嚴重破壞,所有這些攻擊都會帶來不便和麻煩。因此,保障 Web 伺服器的安全性對於企業的成功至關重要。
當初次安裝 IIS 6.0 時,Web 伺服器僅提供靜態網頁服務,這降低了服務動態內容所帶來的風險。預設情況下,ASP 和 ASP.NET 是被停用的。由於 IIS 6.0 的預設設定停用了許多 Web 服務通常會使用的功能,因此,如何在降低伺服器暴露給潛在攻擊者的同時配置 Web 伺服器的其他功能呢?
一、減少 Web 伺服器的攻擊面
透過減少 Web 伺服器的攻擊面或降低伺服器暴露給潛在攻擊者的程度來開始保護 Web 伺服器的過程。水滸傳老虎機例如,只啟用 Web 伺服器正常運作所需的元件、服務和連接埠:
1.停用面向 Internet 連線上的 SMB:
開啟「開始」功能表-> 進入「設定」 -> 選擇「控制台」 -> 進入「網路連線」 -> 右鍵點選「本機連線」 -> 選擇「屬性」 -> 在屬性視窗中找到「Microsoft 網路客戶端」和「Microsoft 網路的檔案和印表機共用」的複選框並取消勾選-> 點選「確定」。
SMB 使用的連接埠包括 TCP 連接埠 139 和 TCP/UDP 連接埠 445(SMB Direct Host)。
2.停用基於 TCP/IP 的 NetBIOS:
開啟「我的電腦」 -> 右鍵點選「屬性」 -> 進入「硬體」標籤-> 選擇「裝置管理員」 -> 點擊「檢視」選單-> 勾選「顯示隱藏的裝置」 -> 找到“非即插即用驅動程式”,雙擊開啟-> 右鍵點擊“NetBios over Tcpip”並選擇“停用”。
NetBIOS 使用的連接埠包括 TCP/UDP 連接埠 137(NetBIOS 命名服務)、TCP/UDP 連接埠 138(NetBIOS 資料封包服務)、TCP/UDP 連接埠 139(NetBIOS 會話服務)。
上述操作不僅停用了 TCP 連接埠 445 和 UDP 連接埠 445 上的 SMB 直接宿主監聽器,老虎機 遊戲 免費還停用了 Nbt.sys 驅動程序,需重新啟動系統。
3.配置 IIS 組件和服務
只選擇基本的 IIS 元件和服務。除了 WWW 服務外,IIS 6.0 還包括一些子元件和服務,如 FTP 服務和 SMTP 服務。為了最大限度地降低特定服務和子元件受到攻擊的風險,建議僅選擇網站和 Web 應用程式正常運作所需的服務和子元件。
開啟「開始」功能表-> 進入「控制台」 -> 選擇「新增或刪除程式」 -> 進入「新增/刪除Windows 元件」 -> 在「應用程式伺服器」中點選「詳細資料」 -> 在「網路在資訊服務(IIS)」中點選「詳細資料」 -> 透過選取或取消對應元件或服務的核取方塊來選擇或取消對應的IIS 元件和服務。
建議的 IIS 子組件和服務設定:
停用:後台智慧傳輸服務 (BITS) 伺服器擴充功能、FTP 服務、FrontPage 2002 Server Extensions、Internet 列印、NNTP 服務。
啟用:公用檔案、Internet 資訊服務管理員。
二、建議您刪除未使用的帳戶,角子老虎機 iphone因為攻擊者可能會發現這些帳戶並利用它們來獲取您伺服器上的資料和應用程式的存取權。始終使用強密碼,因為弱密碼會增加成功進行暴力攻擊或字典攻擊(即攻擊者不斷嘗試猜測密碼)的可能性。使用以最低特權運行的帳戶。否則,攻擊者可能會透過使用具有高級特權的帳戶來取得未經授權的資源的存取權。
1.停用來賓帳戶(Guest),當使用匿名連線存取 Web 伺服器時,使用來賓帳戶。在預設安裝 Windows Server 2003 時,來賓帳戶是已停用的。若要限制對伺服器的匿名連接,請確保已停用來賓帳戶。
2.重新命名管理員帳戶,預設的本機管理員帳戶因其在電腦上的更高特權而成為惡意使用者的目標。若要增強安全性,請重新命名預設的管理員帳戶並指派一個強密碼。
3.重新命名 IUSR 帳戶,預設的匿名 Internet 使用者帳戶 IUSR_ComputerName 是在 IIS 安裝期間建立的。 ComputerName 的值是安裝 IIS 時伺服器的 NetBIOS 名稱。
4.在IIS 元資料庫中更改IUSR 帳戶的值:按一下“開始”,選擇“控制面板”,然後選擇“管理工具”,雙擊“Internet 資訊服務(IIS) 管理員”,右鍵單擊“本機計算機”,然後選擇“屬性”。選取「允許直接編輯配置資料庫」複選框,然後點選「確定」。瀏覽至 MetaBase.xml 檔案的位置,預設為 C:\Windows\system32\inetsrv。右鍵點選 MetaBase.xml 文件,選擇“編輯”。搜尋「AnonymousUserName」屬性,然後鍵入 IUSR 帳戶的新名稱。在“檔案”選單上,點擊“退出”,然後點擊“是”。
三、使用應用程式集區來隔離應用程序,使用 IIS 6.0,可以將應用程式隔離到應用程式集區。應用程式集區是包含一個或多個 URL 的一個群組,一個工作進程或一組工作進程對應用程式集區提供服務。因為每個應用程式都獨立於其他應用程式運行,因此,使用應用程式集區可以提高 Web 伺服器的可靠性和安全性。在 Windows 作業系統上執行進程的每個應用程式都有一個進程標識,以確定此進程如何存取系統資源。每個應用程式集區也有一個進程標識,此標識是一個以應用程式所需的最低權限運行的帳戶。可以使用此進程標識來允許匿名存取您的網站或應用程式。
1.建立應用程式集區:點選“開始”,吃角子老虎機選擇“控制台”,然後選擇“管理工具”,雙擊“Internet 資訊服務 (IIS) 管理員”。雙擊本機計算機,右鍵單擊“應用程式集區”,選擇“新建”,然後選擇“應用程式集區”。在「應用程式集區 ID」方塊中,為應用程式集區鍵入新 ID(例如,ContosoAppPool)。在“應用程式集區設定”下,選擇“使用新應用程式集區的預設設定”,然後點選“確定”。
2.將網站或應用程式指派到應用程式集區:點選“開始”,選擇“控制台”,然後選擇“管理工具”,雙擊“Internet 資訊服務 (IIS) 管理員”。右鍵單擊您想要指派到應用程式集區的網站或應用程序,選擇“屬性”。根據您選擇的應用程式類型,選擇「主目錄」、「虛擬目錄」或「目錄」標籤。如果您將目錄或虛擬目錄指派到應用程式集區,則驗證“應用程式名稱”方塊是否包含正確的網站或應用程式名稱,或者如果在“應用程式名稱”方塊中沒有名稱,則點擊“建立”,然後輸入網站或應用程式的名稱在「應用程式集區」列錶框中,選擇您想要指派網站或應用程式的應用程式集的名稱,然後點選「確定」。
四、設定檔和目錄的安全性使用強存取控制來幫助保護敏感的檔案和目錄。在大多數情況下,允許對特定帳戶的存取比拒絕對特定帳戶的存取更有效。如有可能,請將存取設定在目錄級。當檔案新增至資料夾時,它們繼承資料夾的權限,因此您不需要採取進一步的措施。
1.重新定位和設定 IIS 日誌檔案的權限,為了增強 IIS 日誌檔案的安全性,您應該將檔案重新定位到非系統磁碟機,此磁碟機格式化為使用 NTFS 檔案系統。此位置應該與網站內容的位置不同。點擊“開始”,右鍵單擊“我的電腦”,然後選擇“資源管理器”。瀏覽至您想要重新定位 IIS 日誌檔案的位置。右鍵單擊您想要重新定位 IIS 日誌檔案的上一層目錄,選擇“新建”,然後選擇“資料夾”。輸入資料夾的名稱,例如 ContosoIISLogs,然後按 Enter 鍵。點選“開始”,選擇“控制台”,然後選擇“管理工具”,雙擊“Internet 資訊服務 (IIS) 管理員”。右鍵單擊網站,然後選擇“屬性”。點選「網站」選項卡,然後點選「啟用日誌記錄」框架中的「屬性」。在“常規屬性”標籤中,點擊“瀏覽”,然後導航到您剛剛建立的資料夾以儲存 IIS 日誌文件,然後點擊“確定”。 (注意:如果您在原來的位置 Windows\System32\Logfiles 上有 IIS 日誌文件,則必須將這些文件手動移動到新位置。IIS 不會自動移動這些文件。)
2.設定 IIS 日誌檔案的 ACL,點擊“開始”,右鍵點擊“我的電腦”,然後選擇“資源管理器”。瀏覽至日誌檔案所在的資料夾。右鍵單擊此資料夾,選擇“屬性”,然後點選“安全性”標籤。在頂部窗格中,點擊「Administrators」(管理員),確保底部窗格中的權限設定為「完全控制」。在頂部窗格中,點擊“System”(系統),確保底部窗格中的權限設定為“完全控制”,然後點擊“確定”。
3.設定 IIS 元資料庫權限,點選“開始”,右鍵點選“我的電腦”,然後選擇“資源管理器”。瀏覽至 Windows\System32\Inetsrv\MetaBase.xml 文件,右鍵點選此文件,然後選擇「屬性」。點擊「安全性」選項卡,確認只有 Administrators 群組的成員和 LocalSystem 帳戶擁有對元資料庫的完全控制存取權,刪除所有其他檔案權限,然後點擊「確定」。
停用 FileSystemObject 元件,ASP、Windows 腳本主機和其他編寫腳本的應用程式使用 FileSystemObject (FSO) 元件來建立、刪除、取得資訊以及操縱磁碟機、資料夾和檔案。可考慮停用 FSO 元件,但要注意,這也將刪除字典物件。另外,驗證是否沒有其他程式需要這個元件:點擊“開始”,選擇“執行”,在“開啟”方塊中鍵入 cmd,然後點擊“確定”。切換到 C:\Windows\system32 目錄。在命令提示字元處,鍵入 regsvr32 scrrun.dll /u ,然後按 Enter 鍵。將顯示:DllUnregisterServer in scrrun.dll succeeded,然後點選「確定」。
