一、 以Windows NT的安全機制為基礎
作為運行在 Windows NT操作系統環境下的IIS,其安全性也應建立在Windows NT安全性的基礎之上。
1.應用NTFS文件系統
NTFS可以對文件和目錄進行管理,而FAT(文件分配表)文件系統只能提供共享級的安全,建議在安裝Windows NT時使用NTFS系統。
2.共享權限的修改
在缺省情況下,每建立一個新的共享,其everyone用戶就能享有“完全控制”的共享權限,因此,在建立新共享後要立即修改everyone缺省權限。
3.為系統管理員賬號更名
域用戶管理器雖可限制猜測口令的次數,但對系統管理員賬號卻用不上,這可能給非法用戶帶來攻擊管理員賬號口令的機會,通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體設置如下:
(1) 啟動“域用戶管理器”;
(2) 選中管理員賬號;
(3) 啟動“用戶”選單下的“重命名”對其進行修改。
4.廢止TCP/IP上的NetBIOS
管理員可以通過構造目標站NetBIOS名與其IP地址之間的映像,對Internet上的其他服務器進行管理,非法用戶也可從中找到可乘之機。如果這種遠程管理不是必須的,應立即廢止(通過網絡屬性的綁定選項,廢止NetBIOS與TCP/IP之間的綁定)。
二、 設置IIS的安全機制
1.安裝時應注意的安全問題
(1)避免安裝在主域控制器上
在安裝IIS之後,將在安裝的計算機上生成IUSR_Computername匿名賬戶,該賬戶被添加到域用戶組中,從而把應用於域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶,這不僅給IIS帶來巨大的潛在危險,而且還可能牽連整個域資源的安全,要盡可能避免把IIS安裝在域控制器上,尤其是主域控制器。
(2)避免安裝在系統分區上
把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。(www.002pc.com)
2.用戶控制的安全性
(1)匿名用戶
安裝IIS後產生的匿名用戶IUSR_Computername(密碼隨機產生),其匿名訪問給Web服務器帶來潛在的安全性問題,應對其權限加以控制。如無匿名訪問需要,可取消Web的匿名服務。具體方法:
①啟動ISM(Internet Server Manager);
②啟動WWW服務屬性頁;
③取消其匿名訪問服務。
(2)一般用戶
通過使用數字與字母(包括大小寫)結合的口令,提高修改密碼的頻率,封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶賬戶進行管理。
3.登錄認證的安全性
IIS服務器提供對用戶三種形式的身份認證。
匿名訪問:不需要與用戶之間進行交互,允許任何人匿名訪問站點,在這三種身份認證中的安全性是最低的。
基本(Basic)驗證:在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸,沒有任何加密,非法用戶可以通過網上監聽來攔截數據包,並從中獲取用戶名及密碼,安全性能一般。
Windows NT請求/響應方式:浏覽器通過加密方式與IIS服務器進行交流,有效地防止了竊聽者,是安全性比較高的認證形式。這種方式的缺點是只有IE3.0及以上版本才支持。
