以Windows NT內(nèi)核的安全機(jī)制為基礎(chǔ)

1.web文件目錄應(yīng)該ntsf分區(qū)模式

NTFS文件系統(tǒng)可以對(duì)文件和目錄進(jìn)行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級(jí)的安全，而Windows NT的安全機(jī)制是建立在NTFS文件系統(tǒng)之上的，所以在安裝Windows NT時(shí)最好使用NTFS文件系統(tǒng)，否則將無法建立NT的安全機(jī)制。

2.修改共享權(quán)限

在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，Everyone用戶就享有"完全控制"的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限，在安全設(shè)置中刪除Everyone是個(gè)不錯(cuò)的主意。

3.更改系統(tǒng)管理員賬號(hào)名

具體設(shè)置方法如下：選擇"開始"選單→"程序"→啟動(dòng)"域用戶管理器"→選中"管理員賬號(hào)（adminstrator）"→選擇"用戶"選單→"重命名"，對(duì)其進(jìn)行修改。需要注意的是這一步最好在服務(wù)器架設(shè)伊始進(jìn)行，否則在windows server 2003以及更早的版本中，部分權(quán)限設(shè)置會(huì)丟失。

4.取消TCP/IP上的NetBIOS綁定

NT系統(tǒng)管理員可以通過構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像，對(duì)Internet或Intranet上的其他服務(wù)器進(jìn)行管理，但非法用戶也可從中找到可乘之機(jī)。如果這種遠(yuǎn)程管理不是必須的，就應(yīng)該立即取消（通過網(wǎng)絡(luò)屬性的綁定選項(xiàng)，取消NetBIOS與TCP/IP之間的綁定）。


設(shè)置IIS的安全機(jī)制

1.安裝時(shí)應(yīng)注意的安全問題

1）避免安裝在主域控制器上

安裝IIS之后，在安裝的計(jì)算機(jī)上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個(gè)匿名用戶，這不僅給IIS帶來潛在危險(xiǎn)，而且還可能威脅整個(gè)域資源的安全。所以要盡可能避免把IIS服務(wù)器安裝在域控制器上，尤其是主域控制器上。

2）避免安裝在系統(tǒng)分區(qū)上

把IIS安裝在系統(tǒng)分區(qū)上，會(huì)使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)，所以應(yīng)該避免將IIS服務(wù)器安裝在系統(tǒng)分區(qū)上。

2.用戶的安全性

1）匿名用戶訪問權(quán)限的控制

安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername（密碼隨機(jī)產(chǎn)生），其匿名訪問給Web服務(wù)器帶來潛在的安全性問題，應(yīng)對(duì)其權(quán)限加以控制。如無匿名訪問需要，則可以取消Web的匿名訪問服務(wù)。具體方法：

選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動(dòng)Microsoft Internet Service Manager→ 雙擊"WWW"啟動(dòng)WWW服務(wù)屬性頁→取消其匿名訪問服務(wù)。

2）控制一般用戶訪問權(quán)限

可以通過使用數(shù)字與字母（包括大小寫）結(jié)合的口令，使用長(zhǎng)口令（一般應(yīng)在6位以上），經(jīng)常修改密碼，封鎖失敗的登錄嘗試以及設(shè)定賬戶的有效期等方法對(duì)一般用戶賬戶進(jìn)行管理。

3.IIS三種形式認(rèn)證的安全性

1）匿名用戶訪問：允許任何人匿名訪問，在這三種中安全性最低。

2）基本（Basic）認(rèn)證：用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，安全性能一般。

3）Windows NT請(qǐng)求/響應(yīng)方式：瀏覽器通過加密方式與IIS服務(wù)器進(jìn)行交流，是安全性比較高的認(rèn)證形式（需IE 3.0以上版本支持）。

4.訪問權(quán)限控制

1）設(shè)置文件夾和文件的訪問權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對(duì)其權(quán)限加以控制，對(duì)不同的組和用戶設(shè)置不同的權(quán)限；另外，還可以利用NTFS的審核功能對(duì)某些特定組的成員讀、寫文件等方面進(jìn)行審核，通過監(jiān)視"文件訪問"、"用戶對(duì)象的使用"等動(dòng)作，來有效地發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆，及時(shí)加以預(yù)防和制止。具體方法：


選擇"開始"選單→"程序"→啟動(dòng)"域用戶管理器" →選擇"規(guī)則"選項(xiàng)卡下的"審核"選項(xiàng)→設(shè)置"審核規(guī)則"。

2）設(shè)置WWW目錄的訪問權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過操作Web站點(diǎn)屬性頁實(shí)現(xiàn)對(duì)WWW目錄訪問權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全機(jī)制。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限——允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權(quán)限——允許用戶運(yùn)行WWW目錄下的程序和腳本。具體設(shè)置方法如下：


選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動(dòng)Microsoft Internet Service Manager→ 雙擊"WWW"啟動(dòng)WWW服務(wù)屬性頁→選擇"目錄"選項(xiàng)卡→選定需要編輯的WWW目錄→選擇"編輯屬性"中的"目錄屬性"進(jìn)行設(shè)置。

5.IP地址的控制

IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問?？梢酝ㄟ^設(shè)置來阻止指定IP地址外的網(wǎng)絡(luò)用戶訪問你的Web服務(wù)器。具體設(shè)置方法如下：

選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動(dòng)Microsoft Internet Service Manager→雙擊"WWW"啟動(dòng)WWW服務(wù)屬性頁→啟動(dòng)Web屬性頁中"高級(jí)"選項(xiàng)卡；進(jìn)行IP地址的控制設(shè)置。

6.端口安全性的實(shí)現(xiàn)

對(duì)于IIS服務(wù)，無論是WWW站點(diǎn)、Fpt站點(diǎn)，還是NNpt、SMpt服務(wù)等都有各自偵聽和接收瀏覽器請(qǐng)求的TCP端口號(hào)（Post），一般常用的端口號(hào)為：WWW是80，F(xiàn)pt是21，SMpt是25，你可以通過修改端口號(hào)來提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置，只有知道端口號(hào)的用戶才可以訪問，不過用戶在訪問時(shí)需要指定新端口號(hào)。

7.IP轉(zhuǎn)發(fā)的安全性

IIS服務(wù)可提供IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，此時(shí)，充當(dāng)路由器角色的IIS服務(wù)器將會(huì)把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能將提高IIS服務(wù)的安全性。設(shè)置方法如下：

選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動(dòng)Microsoft Internet Service Manager→ 雙擊"WWW"啟動(dòng)WWW服務(wù)屬性頁→選擇"協(xié)議"選項(xiàng)卡→在TCP/IP屬性中去掉"路由選擇"。

8.SSL安全機(jī)制

SSL（加密套接字協(xié)議層）位于HTpt層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保信息傳遞的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的。任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)唯一的安全通道。具體設(shè)置方法如下：

選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動(dòng)Microsoft Internet Service Manager→ 雙擊"WWW"啟動(dòng)WWW服務(wù)屬性頁→選擇"目錄安全性"選項(xiàng)卡→單擊"密鑰管理器"按鈕→通過密鑰管理器生成密鑰文件和請(qǐng)求文件→從身份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書→通過密鑰管理器在服務(wù)器上安裝證書→激活Web站點(diǎn)的SSL安全性。
SSL安全機(jī)制的實(shí)現(xiàn)，將增加系統(tǒng)開銷，增加服務(wù)器CPU的額外負(fù)擔(dān)，從而會(huì)在一定程度上降低系統(tǒng)性能。筆者建議在規(guī)劃網(wǎng)絡(luò)時(shí)，僅考慮為高敏感度的Web目錄使用SSL安全機(jī)制。

最新評(píng)論