IIS服务器.docx

1、IIS服务器IIS 安全设置1.关闭并删除默认站点默认FTP站点 默认Web站点管理Web站点2.建立自己的站点，与系统不在一个分区如：D:wwwroot3建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）3.删除IIS的部分目录IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc 删除 C:inetpub 4.删除不必

2、要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型 的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器： 选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录， 点击配置 选择扩展名 .htw, .htr,.idc,.ida,.idq和，点击删除如果不使用server side include，则删除.shtm .stm 和 .shtml5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）“父路径”选项允许您在对诸如 Map

3、Path 函数调用中使用“.”。在默认情况下，该选项 处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。6.在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制）System（完全控制）脚本文件 (.asp) Everyone (X) Administrators（完全控制）System（完全控

4、制）include文件 (.inc, .shtm, .shtml) Everyone (X) Administrators（完全控制）System（完全控制）静态内容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制）System（完全控制）在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如，目录结构可为以下形式：D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinc

5、lude (.inc) D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable (.dll) D:wwwrootmyserver images (.gif, .jpeg) 7.启用日志记录1）日志的审核配置确定服务器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下： 打开 Internet 服务管理器： 右键单击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。 选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选

6、项卡，然后设置以下属性：* 客户 IP 地址 * 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址 * 服务器端口2）日志的安全管理1、启用操作系统组策略中的审核功能，对关键事件进行审核记录；2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。5、准备一款日志分析工具，以便随时

7、可用。6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。8.备份IIS配置可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复9.修改IIS标志1）使用工具程序修改IIS标志修改IIS标志Banner的方法：下载一个修改IIS Banner显示信息的软件IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner

8、Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。高版本Windows的文件路径为 C:WINDOWSsystem32inetsrvw3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache

9、的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。2）修改IIS的默认出错提示信息等。四、数据及备份管理1备份1）要经常把重要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。 可采用自动的备份工具进行，要求支持FTP方式备份。2）使用系统的备份功能对安装好的系统进行阶段性备份。3）使用WonRescue等工具对注册表进行阶段性备份。4）使用Ghost对全面配置完毕的系统分区进行映像备份，并存放到隐藏的分区中。2设置文件共享权限1）限制共享权限设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享。2）关闭默认共享Wi

10、n 2000安装好以后，系统会创建一些隐藏的共享，在cmd下可用net share命令查看它们。要禁止这些共享。*作方法是：打开“管理工具计算机管理共享文件夹共享”，在相应的共享文件夹上按右键，点“停止共享”即可。不当过机器重新启动后，这些共享又会重新开启。 3.防止文件名欺骗设置以下选项可防止文件名欺骗，如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件，从而使人大意打开该文件: 双击“我的电脑工具文件夹选项查看”，选择“显示所有文件和文件夹”属性设置，去掉“隐藏已知文件类型扩展名”属性设置。4.Access数据库的安全概要1）新生成的数据库在保证干净的前提下，主动在尾部合并一行

11、ASP代码，内容一般可以为重定向，以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行；2）对MDB文件创建一个无效的映射，以便在IE中下载时出错；3）修改出错页面，建议将出错页面设计为正常被曝库后的内容，但给一个数据库的虚假地址（最好存在相应的虚假数据库文件，比如一个改名后的病毒等）；4）在防火墙中对MDB类型的扩展名进行过滤；5）删除或禁用网站的后台数据库备份功能，而用本地安装的专门自动备份程序进行自动增量备份。6）ASP 通用防止注入的程序：功能简单说明：1.自动获取页面所有参数，无需手工定义参数名.2.提供三种错误处理方式供选择. (1).提示信息. (2).转向页面. (3).提示信

12、息,再转向页面.3.自定义转向页面.使用方法很简单，只需要在ASP页面头部插入代码包含 Fy_SqlX.Asp 就可以了简单实用%Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx-定义部份 头-Fy_Cl = 1 处理方式：1=提示信息,2=转向页面,3=先提示再转向Fy_Zx = Error.Asp 出错时转向的页面On Error Resume NextFy_Url=Request.ServerVariables(QUERY_STRING)Fy_a=split(Fy_Url,&)redim Fy_Cs(ubound(Fy_a)On Error R

13、esume Nextfor Fy_x=0 to ubound(Fy_a)Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),=)-1)NextFor Fy_x=0 to ubound(Fy_Cs)If Fy_Cs(Fy_x) ThenIf Instr(LCase(Request(Fy_Cs(Fy_x),)0 or Instr(LCase(Request(Fy_Cs(Fy_x),and)0 or Instr(LCase(Request(Fy_Cs(Fy_x),select)0 or Instr(LCase(Request(Fy_Cs(Fy_x),upda

14、te)0 or Instr(LCase(Request(Fy_Cs(Fy_x),chr)0 or Instr(LCase(Request(Fy_Cs(Fy_x),delete%20from)0 or Instr(LCase(Request(Fy_Cs(Fy_x),;)0 or Instr(LCase(Request(Fy_Cs(Fy_x),insert)0 or Instr(LCase(Request(Fy_Cs(Fy_x),mid)0 Or Instr(LCase(Request(Fy_Cs(Fy_x),master.)0 ThenSelect Case Fy_Cl Case 1Respon

15、se.Write alert( 出现错误！参数 &Fy_Cs(Fy_x)& 的值中包含非法字符串！nn 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！);window.close(); Case 2Response.Write location.href=&Fy_Zx& Case 3Response.Write alert( 出现错误！参数 &Fy_Cs(Fy_x)&的值中包含非法字符串！nn 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！);location.href=

16、&Fy_Zx&;End SelectResponse.EndEnd IfEnd IfNext%-组件的定制不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是：公用文件、Internet 服务管理器、WWW服务器。3.接入网络时间在安装完成Win 2000*作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起

17、到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。4.账户安全管理1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。2）停用Guest账号，并给Guest 加一个复杂的密码。3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 4）不让系统显示上次登录的用户名，具体*作如下： 修改注册表“HKLMSoftwareMicrosoft WindowsNT Current VersionWinlogonDont Display Last User Name”的键值，把REG_SZ

18、的键值改成1。5.安全审核在“管理工具远程控制服务配置连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具日记查看安全日记”可看到该审核记录。6.卸载无用的组件模块将Winntinf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。二、基本系统设置1.安装补丁安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。2.分区内容规划1）操作系

19、统、Web主目录、日志分别安装在不同的分区。2）关闭任何分区的自动运行特性：可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。3.协议管理卸载不需要的协议，比如IPX/SPX, NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。4.关闭所有以下不需要的服务以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目！* Alerter (di

20、sable) * ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (dis

21、able)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* *Telephone Service (disable)*在必要时禁止如下服务

22、：* SNMP service (optional)* SNMP trap (optional)* UPS (optional设置如下服务为自动启动：* Eventlog ( required )* NT LM Security Provider (required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document* MSDTC (required)* Protected Storage (required)清理系统文件：

23、第一招：清除系统垃圾在Windows在安装和使用过程中都会产生相当多的垃圾文件，包括临时文件(如:*.tmp*._mp)日志文件(*.log)临时帮助文件(*.gid)磁盘检查文件(*.chk)临时备份文件(如:*.old*.bak)以及其他临时文件特别是如果一段时间不清理 IE的临时文件夹Temporary Internet Files，其中的缓存文件有时会占用上百MB的磁盘空间这些垃圾文件不仅仅浪费了宝贵的磁盘空间，严重时还会使系统运行缓慢下面是步骤很简单就两步!在桌面上点鼠标右键，选择新建一个记事本，把下面的字复制进去，点另存为，把文件名定为清除系统垃圾.bat就完成，记住后缀名一定要是

24、.bat，好ok了!你的垃圾清除器就这样制作成功了!双击它就能很快地清理垃圾文件，大约一分钟不到PS. 要复制进去的字是 见下 （红色部分）echo offecho 正在清除系统垃圾文件，请稍等.del /f /s /q %systemdrive%*.tmpdel /f /s /q %systemdrive%*._mpdel /f /s /q %systemdrive%*.giddel /f /s /q %systemdrive%*.chkdel /f /s /q %systemdrive%*.olddel /f /s /q %systemdrive%recycled*.*del /f /s

25、/q %windir%*.bakdel /f /s /q %windir%prefetch*.*rd /s /q %windir%temp & md %windir%tempdel /f /q %userprofile%cookies*.*del /f /q %userprofile%recent*.*del /f /s /q %userprofile%Local SettingsTemporary Internet Files*.*del /f /s /q %userprofile%Local SettingsTemp*.*del /f /s /q %userprofile%recent*.

26、*echo 清除系统LJ完成!echo. & pause以后只要双击运行该文件，当屏幕提示清除系统LJ完成，系统就清理ok!第二招：清除所有多余的启动项目此命令将自动清理所有非必要的启动项目，仅保留输入法(ctfmon)目的是减少不必要的资源占用，使系统运行顺畅方法如上，复制内容见下（红色部分） ECHO OFFcolor 1ftitle 清除所有多余的启动项目PAUSEreg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /va /freg delete HKEY_CURRENT_USERSoftware

27、MicrosoftWindowsCurrentVersionRun /va /freg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v ctfmon.exe /d C:WINDOWSsystem32ctfmon.exereg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg /freg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartup

28、regIMJPMIG8.1reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregIMJPMIG8.1 /v command /d C:WINDOWSIMEimjp8_1IMJPMIG.EXE /Spoil /RemAdvDef /Migration32reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregIMJPMIG8.1 /v hkey /d HKLMreg add HKEY_LOCAL_MACHINESOF

29、TWAREMicrosoftShared ToolsMSConfigstartupregIMJPMIG8.1 /v inimapping /d 0reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregIMJPMIG8.1 /v item /d IMJPMIGreg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregIMJPMIG8.1 /v key /d SOFTWAREMicrosoftWindowsCurrentVersionRunreg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregPHIME2002Areg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregPHIME2002A /v command /d C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMENamereg add HKEY_LOCAL_MACHINESOF