IIS安全配置主要有3個方面需要注意
- 設定主目錄許可權
- 刪除不需要的副檔名映射
- 刪除危險的IIS組件
- 安裝IIS時應該注意只安裝必需的服務,建議不要安裝 Index Server、FrontPage Server Extensions、樣本WWW網站等功能。
- 關閉不必要的服務,服務開的多不是好事,將不必要的服務通通關掉,特別是連管理員都不知道的和一些危險的服務,免得給系統帶來災難,同時也能節約一些系統資源。可在伺服器上關閉以下服務:
- Computer Browser:維護網路上電腦的最新列表,以及提供這個列表
- Task scheduler:允許程式在指定時間運行
- Routing and Remote Access:在區域網路及廣域網路環境中為企業提供路由服務。
- Removable storage:管理抽取式媒體、驅動程式和庫。
- Remote Registry Service:允許遠端登錄操作
- Print Spooler:將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項。
- Distributed Link Tracking Client:當檔案在網路域的NTFS卷中移動時發送通知。
- Com+ Event System:提供事件的自動發布到訂閱COM組件。
- Alerter:通知選定的使用者和電腦管理警報。
- Messenger:傳輸用戶端和伺服器之間的NET SEND和警報器服務訊息。
- Telnet:允許遠端使用者登入到此電腦並運行程式。
- 開啟IIS管理器,刪除“預設WEB網站”及其下的所有目錄,並且將磁碟上這些檔案全部刪除。在非系統磁碟分割建立WEB根目錄,如在D盤建立“WebMain”作為網站的根目錄。
- 開啟IIS管理器,按右鍵左側列表中的“網站”,在彈出的菜單中選擇“建立/網站”命令,按嚮導的提示選擇上一步建立的目錄作為網站根目錄。
- 按右鍵新建立的網站名稱,在彈出的菜單中選擇“屬性”命令,彈出“網站屬性設定”對話方塊,選擇“主目錄”選項卡,史選中“讀取”複選框,並在下方的“執行許可權”中選擇“純指令碼”。需要注意的是,在安裝作業系統service pack以後,IIS的應用程式對應應重新設定。因為安裝新的 service pack後,某些應用程式對應又會重新出現,導致出現安全性漏洞。這是較易疏忽的一個問題。
- 在“主目錄”選項卡中,單擊“配置”按鈕,彈出“應用程式配置”對話方塊,在“映射”選項卡中刪除不必要的IIS副檔名映射,如.idc .hrt .stm .ida .htw .shtml .shtm等。如果伺服器只使用ASP,則可將除.asp和.asa之外的全部刪除。
- 接下來限制危險組件的運行。如果在伺服器端做好檔案系統和使用者賬戶的使用權限設定,FSO、XML、Stream都應該是安全性群組件,因為它們都沒有跨出自己的檔案夾或者網站的許可權。最危險的組件是WSH和Shell,因為它們可以運行伺服器硬碟裡的EXE等程式,因此應該將其刪除。可使用以下代碼刪除這兩個組件:
複製代碼 代碼如下:
regsvr32/u c:\系統檔案夾\system32\wshom.ocx
regsvr32/u c:\系統檔案夾\system32\shell32.dll
del c:\系統檔案夾\system32\wshom.ocx
del c:\系統檔案夾\system32\shell32.dll (註:一般無法刪除,只需反註冊即可)