팁 보호 (IIS) 웹 서버

일반적으로, 대부분의 웹 사이트는 방문자에 게 가장 수락 가능한 방법으로 즉시 정보 액세스를 제공 하도록 설계 되었습니다. 지난 몇 년 동안, 해커, 바이러스 및 웜 보안 문제의 증가 심각 하 게 영향을 사이트의 액세스 가능성 있지만 아파치 서버, 공격자의 목표는 종종 마이크로 소프트의 인터넷 정보 서비스 (IIS) 웹 서버 이지만 진짜 목표. 고 등 교육 기관 자주 활기찬, 사용자 친화적인 웹 사이트를 구축 하거나 건물 높은 보안 사이트 사이의 균형을 찾을 수 없습니다. 또한, 그들은 지금 감소 기술 예산 (그들의 사적을 많이 사실, 비슷한 상황에 직면) 얼굴을 그들의 웹 사이트의 보안을 개선 하기 위해 작동 해야 합니다. 그 때문에, 나 여기 있어 IT 관리자가 IIS 서버를 보호 하는 그들을 돕기 위해 예산 두통 대학에 대 한 몇 가지 도움말을 제공 했다. 비록 대학 IT 전문가 앞에서 주로 하지만 이러한 기술을 희망에도 기본적으로 적용 되는 적은 양의 예산 IIS 관리 직원의 보안을 개선 하기. 사실, 이러한 기술 중 일부는 강한 예산이 IIS 관리자에 대 한 유용 합니다. 먼저, 웹 서버를 보호 하기 위해 보안 정책을 개발 하는 첫 번째 단계는 네트워크 관리자는 모든 시스템 보안 정책에 자각 하도록입니다. 회사의 경영진의 서버 보안을 보호 해야 하는 자산으로 간주 하지 않는다, 만약 보호 작업은 완전히 의미가 없다. 이 작업에는 오랜 노력이 필요합니다. 예산 지원 하지 않습니다, 그것은 장기적인 IT 전략의 일환 경우 서버 보안을 보호 하는 시간의 상당한 금액을 지출 하는 관리자는 중요 한 관리 지원을 없습니다. 네트워크 관리자는 자원의 모든 측면에 대 한 보안을 설정 하는 직접적인 결과? 특히 모험 인 일부 사용자는 문 밖으로 잠겨있을 것입니다. 사용자는 다음 회사의 관리에 대 한 불평 하 고 관리 네트워크 관리자에 게 무슨 일이 있었는지 질문 한다. 다음, 네트워크 관리자가 충돌이 발생 하는 그래서 그들의 보안 작업을 지 원하는 문서를 설정 하는 방법은 없습니다. 웹 서버 보안 수준 및 가용성 보안 정책 으로써, 네트워크 관리자가 다른 운영 체제에서 다양 한 소프트웨어 도구를 쉽게 배포할 수 있게 됩니다. IIS 서버는 공격에 특히 취약 하므로 IIS 보안 팁 마이크로소프트의 제품 항상 대상 되었습니다. 이 염두에서에 두고, 네트워크 관리자는 다양 한 보안 조치를 수행 하기 위해 준비 되어야 한다. 제공 하려고 서버 운영자 유용할 수 있는 검사 목록입니다. 1. Windows 업그레이드 유지: 모든 업그레이 드를 적시에 업데이트 하 고 시스템에 대 한 모든 패치를 만들어 해야 합니다 당신은. 네트워크에 전용된 서버에 모든 업데이트를 다운로드 하 고 컴퓨터에 그들을 웹으로 게시를 고려 합니다. 이 작품으로 직접 인터넷에서 웹 서버를 방지할 수 있습니다. 그러나 2. IIS 방지 도구를 사용 하 여:이 도구는 많은 실용적인 장점을,, 주의이 도구를 사용 하십시오.웹 서버, 다른 서버와 상호 작용 하는 경우 우선 예방 도구를 웹 서버와 다른 서버 간의 통신에는 영향을 주지 않습니다 있도록 올바르게 구성 되어 있는지 확인을 테스트 합니다. 3. 기본 웹 사이트를 제거: 많은 공격자 Inetpub 폴더 대상 고, 몰래 공격 일부 서버 마비 될를 일으키는. 이 공격을 방지 하는 가장 쉬운 방법은 IIS에서 기본 사이트를 사용 하지 않도록 설정 하는 것입니다. 다음 IP 주소를 통해 귀하의 사이트를 액세스 하는 웹 버그 때문에 (그들은 IP의 수천을 방문 할 수 있습니다 하루에 해결), 그들의 요청에 문제가 있을 수 있습니다. 다시 섹션 폴더에 실제 웹 사이트를 가리키고는 다음 섹션에서는 NTFS에에서 정교 보안 NTFS 사용 권한을 포함 해야 합니다. 4. 해당 되는 경우 FTP 및 SMTP 서비스를 필요로 하지 않습니다, 그들을 제거 하십시오: FTP 액세스를 통해 컴퓨터에 얻을 수 있는 가장 쉬운 방법입니다. FTP 자체는 간단한 읽기/쓰기 액세스를 위해 설계 되었습니다 id 인증을 수행 하는 경우 확산 네트워크에서 일반 텍스트 형태로 사용자 이름과 암호는을 찾을 것입니다. SMTP는 폴더에 대 한 쓰기 액세스를 허용 하는 다른 서비스입니다. 두 서비스를 해제 하 여 더 많은 해커 공격을 피할 수 있습니다. 5. 관리자 그룹 및 서비스를 정기적으로 확인: 어느 날 내가 우리의 교실을 입력 하 고 관리자 그룹에 사용자를 발견. 즉, 그 들어가면 누군가가 성공적으로 시스템, 그 또는 그녀 수 있습니다 던져 폭탄 시스템, 갑자기 전체 시스템을 파괴 또는 많은 대역폭 사용 하는 해커에 대 한 걸릴 것입니다. 해커는 또한 일단이 발생, 어떤 조치를 취하기 것이 너무 늦을 수 있습니다, 당신은 수만 디스크를 다시 포맷, 백업 서버 복원에서 일일 백업 파일 도움말 서비스를 떠날 경향이 있습니다. 따라서, IIS 서버에 서비스의 목록을 확인 하 고 가능한 적은 서비스를 유지 해야 합니다 귀하의 일일 작업. 어떤 서비스가 존재 해야 하 고 어떤 서비스가 존재 해서는 안 기억 한다. Windows 리소스 키트 우리에 게 각 경우에서 Svchost에서 실행 되는 서비스를 나열 Tlist.exe 유용한 프로그램을 제공 합니다. 이 프로그램을 알고 싶은 몇 가지 숨겨진 서비스 실행. 당신에 게 힌트를 제공 하자: 몇 단어 데몬 포함 된 모든 서비스는 서비스를 자체 포함, 창과 IIS 서버에 존재 해서는 안 되지 않을 수 있습니다. Windows 서비스의 목록이 고 각각 그들의 역할이 무엇 인지, 여기를 클릭 합니다. 그러나 6. 서버 쓰기 액세스 관리: 이것은 쉽게,, 대학 캠퍼스에서에서 "저자"의 많습니다 실제로 웹 서버. 교직원 그들의 교실 정보를 원격 학생에 액세스할 수를 원한다. 직원 다른 직원 들과 그들의 작업 정보를 공유 하고자. 서버에 있는 폴더는 매우 위험한 액세스 권한이 수 있습니다. 공유 하거나이 정보를 확산밖으로 한 가지 방법은 전용된 공유 및 스토리지 목적을 제공 하 고 다음 공유 서버를 가리키도록 웹 서버를 구성 하는 2 서버를 설치 하는 것입니다. 이 단계는 웹 서버 자체의 관리자 그룹에 쓰기 권한을 제한 하는 네트워크 관리자를 수 있습니다. 7. 복잡 한 암호를 설정: 최근 발견 가능한 해커의 많은 이벤트 뷰어에서 교실을 입력. 그 또는 그녀가 실행 하는 모든 사용자에 대 한 도구를 크래킹 비밀 번호 수 연구소의 도메인 구조 충분히 깊은 입력. 사용자 (예: "암호" 또는 "changeme" 또는 어떤 사전 단어) 약한 암호를 사용 하는 경우 해커가 침략할 수 있다 신속 하 고 간단 하 게 사용자의 계정. 8. 감소/제외 웹 서버에 공유: 네트워크 관리자가 웹 서버에 대 한 쓰기 액세스를가지고 있는 유일한 사람 인 경우에, 거기 아무 이유도 어떤 공유 존재. 공유는 해커에 대 한 가장 큰 유혹입니다. 또한, 간단한 순환 배치 파일을 실행 하 여 해커가 볼 수 IP 주소 목록에 있으며 사용는 \ 찾을 모두/전체 공유의 제어 명령. 9. TCP/IP 프로토콜에서 NetBIOS 해제: 그것은 잔인 한. 많은 사용자가 UNC 경로 이름을 통해 웹 서버에 액세스 싶어요. NetBIOS를 사용 안 함으로 그들은 그렇게 할 수 없습니다. 다른 한편으로, NetBIOS 해제 해커 로컬 영역 네트워크에서 리소스를 볼 수 없습니다. 이것은 양날의 칼, 그리고 네트워크 관리자 도구를 배포 하는 경우 다음 단계는 NetBIOS 오류 발생 시 정보를 게시 하는 방법에 대 한 웹 사용자를 교육 하는 방법. 10. 사용 TCP 포트 차단: 이것은 또 다른 잔인 한 도구 이다. 당신이 합법적인 이유를 통해 서버에 액세스 하는 각 TCP 포트에 잘 알고 있다면, 당신은 수 네트워크 인터페이스 카드의 속성 탭에 액세스 바인딩된 TCP/IP 프로토콜을 선택한 필요 하지 않은 모든 포트 차단. 서버에 원격으로 로그온 하려는 경우에 특히 웹 서버 자신을 잠글 싶지 않기 때문에이 도구를 사용 하 여에 대 한 조심 해야 합니다. TCP 포트의 자세한 정보를 얻으려면, 여기를 클릭 하십시오. 11. *.bat 및 *.exe 파일을 두 번 확인: 일주일에 한 번, *.bat 및 *.exe 파일을 검색 하 고 서버는 해커의 좋아하는 실행 파일을 것입니다 당신을 위해 악몽의 존재에 대 한 확인. 이러한 파괴적인 파일에서 일부 *.reg 파일 있을 수 있습니다. 마우스 오른쪽 단추로 클릭 하 고 편집을 선택 하는 경우 해커가 만든 및 시스템의 레지스트리 파일에 접근할 수 있는 찾을 수 있습니다. 침입자에 게 편의 가져올 것 이다 하지만 이해가 되지 않는 기본 키를 제거할 수 있습니다. 12. IIS 디렉터리 보안 관리: IIS 디렉터리 보안을 사용 하면 거부할 특정 IP 주소, 서브넷 또는 심지어 도메인 이름. 선택, 나는 소프트웨어 라는 Whoson IP를 알아야 나를 사용 하는 주소는 특정 파일 서버에 액세스 하려고 하는 선택 했다. Whoson는 일련의 예외를 나열합니다. 방문 하려고 하는 사람을 찾을 경우요청을 Cmd.exe를 웹 서버에이 사용자 액세스를 거부 하도록 선택할 수 있습니다. 물론, 바쁜 웹 사이트에이 풀 타임 직원을 필요할 수 있습니다! 그러나, 인트라넷, 이건 정말 매우 유용한 도구입니다. 모든 인트라넷 사용자에 게 또는 특정 사용자에 게 리소스를 제공할 수 있습니다. 13.를 사용 하 여 NTFS 보안: 기본적으로 NTFS 드라이브 모두 사용/완전 수동으로 그들을 설정 하지 않는 한. 열쇠는 밖으로 자신을 잠글 수 없는, 다른 사람들이 서로 다른 사용 권한 필요, 관리자 모든 권한 필요, 배경 관리 계정 모든 권한 필요, 시스템 및 서비스 필요에 따라 다른 파일 액세스 수준을. 가장 중요 한 폴더는 System32, 및 폴더에 대 한 작은 액세스 더 나은. 웹 서버에서 NTFS 사용 권한을 사용 하 여 중요 한 파일 및 응용 프로그램을 보호 하는 데 도울 수 있다. 14. 사용자 계정 관리: IIS를 설치 하는 경우 당신은 TsInternetUser 계정 만들 수 있습니다. 이 계정, 정말 필요 하지 않으면 당신은 그것을 해제 해야 합니다. 사용자가 쉽게 침투 하 고 해커에 대 한 주목할 만한 대상 이다. 사용자 계정을 관리 하려면 로컬 보안 정책입니다 괜 찮 아 요 있는지 확인 합니다. IUSR 사용자 권한 가능한 작게 해야 합니다. 15. 웹 서버 감사: 감사 컴퓨터의 성능, 그래서 정기적으로 그것을 보이지 않는 경우를 감사 하지 않습니다에 큰 영향. 만약 당신이 정말 그것을 사용할 수 있습니다, 시스템 이벤트 감사 하 고 감사 도구를 필요로 할 때 가입. 앞에서 언급 한 Whoson 도구를 사용 하는 경우 감사 하는 것은 덜 중요 하다입니다. 기본적으로 IIS는 항상 액세스를 기록 하 고 Whoson Access 또는 Excel을 통해 열 수 있는 매우 읽을 수 있는 데이터베이스에 레코드를 배치 합니다. 자주 보면 예외 데이터베이스를 언제 든 지 서버 취약점을 찾을 수 있습니다. 위의 IIS 기술과 도구 (Whoson)를 제외 하 고 모든 Windows에서 요약 된다. 이러한 기술과 도구 중 하나를 사용 하 여 내게 필요한 옵션에 대 한 귀하의 사이트를 테스트 하기 전에 한 번에 잊지 마세요. 그들은 함께 배포 하는 경우 결과 무거운 손실 비용이 있습니다 하 고 액세스를 다시 부팅 해야 할 수 있습니다. 마지막 팁: 웹 서버 및 실행 로그 명령줄에서 Netstat는. 얼마나 많은 IP 주소를 포트에 연결 하려고 확인 하 고 조사 및 할 연구의 전체 무리를 있을 것 이다. 책임 편집자: 눈송이 (전화: (010) 68476636-8008) (0 표)를 (0 표) 넌센스 (0 표)의 전문 (0 표) 전달 (0 표) 파티 (0 표)의 제목 텍스트: 팁 보호 (IIS) 웹 서버 홈 네트워크 보안에 반환