Win2K Internet伺服器安全構建指南(五)(IIS篇)

iis|安全|伺服器 完成了以上這些任務後，可以說伺服器就是一個"准網際網路服務器"了。之所以說"准"，是因為還需要以下兩個重要的補充方案：

　　1、建立審核例行程式

　　在網站對外開放前，我們必須為這個伺服器配置一個審核程式，以及時全面地確定伺服器是否正受到攻擊或威脅。記錄檔就象一個網站的耳朵，千萬不要讓它成為擺設，每天都要安排一定的時間來查看日誌、檢查是否有異常活動發生。而且，可以使用一些商業工具方便地、及時地或定時地收集和整理相關日誌資訊，以期更有效地檢查它們。

　　以下是必須重點關注的事件：

　　● 失敗的登入
　　● 失敗的檔案和對象訪問
　　● 失敗的使用者權力使用
　　● 失敗的安全性原則修改
　　● 失敗的使用者和組策略修改

　　以下是需要關注的事件：

　　● 所有對指令碼和Bin檔案夾的訪問
　　● 所有包含Web發布檔案的檔案夾

　　2、資料保護

　　對儲存在伺服器上暴露於Internet的資料進行保護也很重要。除了設定相應許可權外，建立一個正式的備份策略，定期進行磁帶備份非常必要的。備份策略應該確定以下內容：

　　● 誰負責進行資料和伺服器配置的備份？
　　● 多長時間進行一次備份？
　　● 備份儲存介質的預設置放位置是哪裡？
　　● 誰有權恢複系統資料？
　　● 是否在網站外有備份資料的副本？
　　● 誰負責維護網站外的備份資料副本？

　　明確了這些，進一步需要確定備份位置及備份方法：

　　● 大多數情況下，本地備份比網路備份要好，因為執行備份時不需要建立網路連接。
　　● 完成系統安裝後，第一件事就是對伺服器進行完整備份。
　　● 確定備份的頻率和類型。是每天都做備份嗎？每天的備份是完整備份、增量備份還是差異備份？

四、結語以上詳細論述了使用Win2K和IIS5構建安全Internet網站的IIS安全配置指南部分，如果是嚴格按照這些步驟審視了IIS，就可以說基本上做到了從"空中部分"全力堵截入侵者的攻擊。再結合"Win2K Internet伺服器安全構建指南(Win2K篇)"，我們現在可以說一聲："無論敵人來自地面或者空中，你都將處於我們的監視之中"！

　　但是，我仍要提醒您：想要使一個存在於公用基礎上的系統完全免受攻擊是不可能的，所能做到的就是儘可能使系統堅固，而迫使攻擊者去搜尋其他比較容易攻擊的系統。呵呵，避重就輕、棄難從易嗎！