惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
S
Securelist
Simon Willison's Weblog
Simon Willison's Weblog
Security Latest
Security Latest
博客园 - 司徒正美
T
Threat Research - Cisco Blogs
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
C
Check Point Blog
Jina AI
Jina AI
H
Heimdal Security Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
B
Blog
美团技术团队
W
WeLiveSecurity
G
Google Developers Blog
K
Kaspersky official blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
C
Cybersecurity and Infrastructure Security Agency CISA
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
V
Visual Studio Blog
T
Threatpost
酷 壳 – CoolShell
酷 壳 – CoolShell
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Attack and Defense Labs
Attack and Defense Labs
腾讯CDC
Hacker News - Newest:
Hacker News - Newest: "LLM"
Cyberwarzone
Cyberwarzone
Apple Machine Learning Research
Apple Machine Learning Research
P
Privacy & Cybersecurity Law Blog
H
Hacker News: Front Page
博客园 - 【当耐特】
人人都是产品经理
人人都是产品经理
有赞技术团队
有赞技术团队
Hugging Face - Blog
Hugging Face - Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
D
Darknet – Hacking Tools, Hacker News & Cyber Security
C
CERT Recently Published Vulnerability Notes
V
Vulnerabilities – Threatpost
AI
AI
MongoDB | Blog
MongoDB | Blog
Project Zero
Project Zero
Hacker News: Ask HN
Hacker News: Ask HN
量子位
A
Arctic Wolf
GbyAI
GbyAI
Recorded Future
Recorded Future
SecWiki News
SecWiki News
小众软件
小众软件
Martin Fowler
Martin Fowler

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
WIN2000下IIS安全配置
投稿 · 2005-09-28 · via 月光博客

Win2000操作系统的一个主要特色就是将IIS融入其内核之中,并提供一些用来配置和维护软件的向导工具,使构建一个Internet网站轻松易得。但是,如果要创建一个安全可靠的Internet网站,实现“地面部分”-Win2000操作系统和“空中部分”-IIS的双重安全,还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分-IIS进行讨论,旨在帮助管理员一步步地实施网站安全构建工作。

一、TCP/IP方面要重点考虑的安全配置信息

Win2000提供了三种方式对进站连接进行访问控制,以下分别介绍。

1、TCP/IP安全配置 Win2000中的TCP/IP安全配置与Windows NT 4.0中的执行方式完全相同,配置方法非常基本也非常简单,根本原则就是“全部允许或只允许”, “全部允许”表示放行来自所有端口的通讯数据,“只允许”表示除了特别列出端口外的通讯数据都拒绝。TCP/IP筛选虽然简单,但过滤总比没有过滤好,建议管理员不要漏掉这个防线。

2、对路由和远程访问服务(Routing and Remote Access Service,RRAS)形式的进站连接设置访问控制列表 路由和远程访问服务(RRAS)能够配置出更加灵活复杂的信息包过滤器,尽管过滤方式是静态的,但它的过滤细节却很多,包括信息包方向、IP地址、各种协议类型。 3、IPSec Policy Filters(IP安全策略过滤器) IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)强制执行,是Win2000操作系统的新生功能。它弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的TCP/IP安全。可以说,IPSec是一个基于通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输。这些规则叫做过滤器列表,管理员可以围绕各种不同的安全认证协议来设计它们,协议包括: 1 Internet密钥交换协议(Internet Key Exchange Protocol,IKE): 一种使VPN节点之间达成安全通信的协议,其功能强大、设计灵活。 2 认证IP数据包(Authentication Header,AH):也就是将数据包中的数据和一个变化的数字签字结合起来,使得接收者能够确认数据发送者的身份以及确认数据在传输过程中没有被纂改过。 3 Encapsulation Security Payload (ESP):指使用硬件对数据包中的数据进行加密,使象Sniffer类的网络监听软件无法得到任何有用信息。

3.配置安全的IIS

1、单独设置IIS服务器

如果可能,IIS应该安装在一个单独的服务器上。就是说,这个服务器不是任何域中的成员,不必与域控制器建立Netlogon信道,从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。而且,由于系统之间不传递认证通讯信息,也就降低了登录口令被截获的可能。

2、禁止不需要的服务 另外,如果仅仅是单纯的Web 服务器,那么最好禁止掉以下不需要的服务: ALERTER CLIPBOOK SERVER COMPUTER BROWSER DHCP CLIENT MESSENGER NETLOGON NETWORK DDE NET DDE DSDM NETWORK MONITOR AGENT SIMPLE TCP/IP SERVICES SPOOLER NETBIOS INTERFACE TCP/IP NETBIOS HELPER NWLINK NETBIOS

3、合理设置Web根文件夹 同前面论述的将操作系统与应用程序单独存放在不同的分区或磁盘驱动器一样,现在又要使用到隔离技术了。建议将Web根文件夹wwwroot定位在操作系统分区以外的地方甚至是另外的物理磁盘驱动器上。而且,当设置Web站点的虚拟目录或重定向文件夹时,也要保证这些目录不会被重定向到操作系统的启动分区,因为有些攻击能够危及访问文件夹所在分区上的其它文件夹。还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上,使IIS服务器成为一个只缓冲请求、应答请求的系统。而且,经过这样处理后,整个服务器基本上是一个通用型的,其上没有存储任何内容,即使站点遭到攻击而瘫痪,也可以从磁带或其它备份中快速简单地恢复服务器。

4、为重要系统文件改头换面 操作系统中有许多非常重要的文件,它们就象“双刃剑”,既可以让管理员方便地执行维护工作,又可能被攻击者利用进行破坏活动。为此,建议对这些文件进行删除、重命名或者为其设置NTFS权限,目的就是使攻击者再也找不到熟悉的面孔。这些文件包括: XCOPY.EXE at.exe regedit.exe cacls.exe regedt32.exe edlin.exe rsh.exe finger.exe runas.exe ftp.exe net.exe tracert.exe netsh.exe tskill.exe poledit.exe cmd.exe regini.exe cscript.exe regsrv32.exe tftp.exe netstat.exe issync.exe runonce.exe telnet.exe debug.exe rexec.exe wscript.exe

5、删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,所谓“多一个组件,不如少一个组件”。以下是一些“黑名单”参考,请管理员酌情考虑:

Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。

样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,这不是好事情,建议删除。

Win2000资源工具箱 或IIS资源工具箱:这些由专家编写的软件大概是现在最好的黑客工具了,其中有许多项目可以被攻击者利用从服务器上提取信息、进行破坏。

SMTP和NNTP:如果不打算使用服务器转发邮件和提供新闻组服务,就删除这些项目吧。否则,别因为它们的漏洞带来新的不安全。 @ Internet打印:Internet打印是Win2000中的一个新特性,它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的,所以也就使系统增加了许多受到利用的可能。

6、改写注册表降低被攻击风险

DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击,但是可以降低其风险,所以,建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。

7、简化IIS5中的验证方法

Win2000和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法,这包括:匿名访问、基本验证(密码用明文送出)、Windows域服务器的简要验证、集成Windows验证等等。对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!

8、为IIS5中的文件分类设置权限

除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:

Scripts目录:包含站点的所有脚本文件,如cgi、vbs、asp等等,为这个文件夹设置“纯脚本”执行许可权限。

BIN目录:包含站点上的二禁止执行文件,应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。

Static目录:包括所有静态文件,如HTM 或HTML,为这个文件夹设置“读权限”

9、全力保护IIS

metabase IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施:

把HTTP和FTP根文件夹从%systemroot%下移走

慎重考虑重新命名Metabase和移动Metabase位置

安全设置确定Metabase位置的注册表关键字

审核所有试图访问并编辑Metabase的失败日志

删除文件%systemroot%\system32\inetserv\Iissync.exe

为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制完成IIS配置后对Metabase 进行备份,这时会创建文件夹%systemroot%\system32\inetserv\MetaBack,备份文件就存储在其中。对于这个地方,要采取如下措施进行保护:

审核对\MetaBack文件夹的所有失败访问尝试

为\MetaBack文件夹设置如下权限:Administrators/完全控制,System/完全控制最后,要保护能够编辑Metabase的工具,步骤是:

移走文件夹\Inetpub\Adminscripts,这里包含着IIS的所有管理脚本

将"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下,并调整相应的开始菜单快捷方式。

审核对\Adminscripts文件夹的所有失败访问尝试

对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为“Administrators/完全控制”。

对\Adminscripts文件夹设置权限“Administrators/完全控制”。

不要在服务器上面安装FRONPAGE等系列的软件。。。这样也可能是黑客的入侵口!

关掉自己不需要的服务和映射...[建议最好把不用的映射DEL掉] 还有就是注意建立审核例行程序和备份策略和数据保护对存储在服务器上暴露于Internet的数据进行保护也很重要。除了设置相应权限外,建立一个正式的备份策略,定期进行磁带备份非常必要的。对于以上两点都需要明确目标。可以把备份分两份。1备份在SERVER外“光盘。磁带。或者局域网中的其他COMPUTER硬盘中。 2备份在SERVER其他盘中,把权限设置为adminstrators。

作者:佚名 来源:网络

WIN2000下IIS安全配置