Win2K Internet服务器安全构建指南(四)(IIS篇)
作者 佚名技术
来源 服务器技术
浏览
发布时间 2012-07-07
对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的! 8、为IIS5中的文件分类设置权限 除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到"不忠的坏分子"。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如: ● Scripts目录:包含站点的所有脚本文件,如CGI、VBs、ASP等等,为这个文件夹设置"纯脚本"执行许可权限。 ● BIN目录:包含站点上的二禁止执行文件,应该为这个文件夹设置"脚本和可执行程序" 执行许可权限。 ● Static目录:包括所有静态文件,如HTM 或HTML,为这个文件夹设置"读权限" 9、全力保护IIS metabase IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施: ● 把HTTP和FTP根文件夹从%systemroot%下移走 ● 慎重考虑重新命名Metabase和移动Metabase位置 ● 安全设置确定Metabase位置的注册表关键字 ● 审核所有试图访问并编辑Metabase的失败日志 ● 删除文件%systemroot%\system32\inetserv\Iissync.exe ● 为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制 完成IIS配置后对Metabase 进行备份,这时会创建文件夹%systemroot%\system32\inetserv\MetaBack,备份文件就存储在其中。对于这个地方,要采取如下措施进行保护: ● 审核对\MetaBack文件夹的所有失败访问尝试 ● 为\MetaBack文件夹设置如下权限:Administrators/完全控制,System/完全控制 最后,要保护能够编辑Metabase的工具,步骤是: ● 移走文件夹\Inetpub\Adminscripts,这里包含着IIS的所有管理脚本 ● 将"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下,并调整相应的开始菜单快捷方式。 ● 审核对\Adminscripts文件夹的所有失败访问尝试 ● 对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为"Administrators/完全控制"。 ● 对\Adminscripts文件夹设置权限"Administrators/完全控制"。 关键词:IIS |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: 给IIS Web服务器装上一把锁 上下一篇: WEB服务器配置全攻略(四)
关于Win2K Internet服务器安全构建指南(四)(IIS篇)的所有评论