Crear un servidor web altamente seguro con IIS

  
                              

Debido a la comodidad y facilidad de uso de IIS (Internet Information Server), se ha convertido en uno de los software de servidor web más populares. Sin embargo, la seguridad de IIS ha sido preocupante. Cómo usar IIS para construir un servidor web seguro es un tema que a muchas personas les importa.

Construyendo un sistema de seguridad

Para crear un servidor web seguro y confiable, debe implementar la seguridad dual para Windows 2000 e IIS, porque los usuarios de IIS también son usuarios de Windows 2000 y directorios de IIS. Los permisos dependen de los permisos del sistema de archivos NTFS de Windows, por lo que el primer paso para garantizar la seguridad de IIS es garantizar la seguridad del sistema operativo Windows 2000:

1. Utilice el sistema de archivos NTFS para administrar archivos y directorios.

2. Cierre el recurso compartido predeterminado

Abra el editor de registro, expanda el elemento "HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters", agregue el valor clave AutoShareServer, escriba REG_DWORD, el valor es 0. Esto apagará completamente el "recurso compartido predeterminado".

3. Modificar permisos de recursos compartidos

Inmediatamente después de crear un nuevo recurso compartido, modifique los permisos predeterminados de Todos para evitar que los visitantes del servidor web obtengan permisos innecesarios.

4. Cambie el nombre de la cuenta de administrador del sistema para evitar ataques de usuarios no autorizados.

Haga clic con el botón derecho en [Mi PC] → [Administrativo] → Inicie el programa “Administración de equipos”. En “Usuarios y grupos locales”, haga clic con el botón derecho en “Administrador” → seleccione “Pesado” Nombre ", modifique la cuenta del administrador a un nombre de usuario muy común.

5. Desactive NetBIOS sobre TCP /IP

Haga clic con el botón derecho en [Entorno de red] → [Propiedades] → [Conexión de área local] → [Propiedades] en el escritorio para abrir las "Propiedades de conexión de área local" Diálogo Seleccione [Protocolo de Internet (TCP /IP)] → [Propiedades] → [Avanzado] → [WINS], y seleccione el elemento "Deshabilitar NetBIOS sobre TCP /IP" en la parte inferior para liberar NetBIOS sobre TCP /IP.

6. Controle la conexión de entrada en TCP /IP

Haga clic con el botón derecho en [Entorno de red] → [Propiedades] → [Conexión de área local] → [Propiedades] en el escritorio para abrir el local Cuadro de diálogo Propiedades de conexión. Seleccione [Protocolo de Internet (TCP /IP)] → [Propiedades] → [Avanzado] → [Opciones], y haga clic para seleccionar la opción "Filtro TCP /IP" en la lista. Haga clic en el botón [Propiedades], seleccione "Permitir solo" y, a continuación, haga clic en el botón [Agregar] para llenar solo el puerto 80.

7. Modifique el registro para reducir el riesgo de ataques de denegación de servicio.

Abra el registro: cambie el valor de SynAttackProtect en HKLM \\ System \\

CurrentControlSet \\ Services \\ Tcpip \\ Parameters a 2 para que la conexión responda más rápido a los tiempos de espera.
Garantice la seguridad de IIS

Instalación segura de IIS

Para crear un servidor IIS seguro, los problemas de seguridad deben considerarse desde el momento de la instalación.

1. No instale IIS en la partición del sistema.

2. Modifique la ruta predeterminada para la instalación de IIS.

3. Ponga los últimos parches para Windows e IIS.

Configuración de seguridad de IIS

1. Elimine directorios virtuales innecesarios.

Una vez completada la instalación de IIS, algunos directorios se generan de forma predeterminada en wwwroot, incluidos IISHelp, IISAdmin, IISamples, MSADC, etc., estos directorios no tienen ningún efecto práctico y se pueden eliminar directamente.

2. Elimine los componentes peligrosos de IIS

Algunos componentes de IIS después de la instalación predeterminada pueden presentar amenazas de seguridad como Internet Service Manager (HTML), Servicio SMTP y Servicio NNTP, páginas de muestra y Script, usted puede decidir si desea eliminar de acuerdo a sus necesidades.

3. Establezca permisos para la clasificación de archivos en IIS

Además de configurar los permisos necesarios para los archivos IIS en el sistema operativo, también debe establecer permisos para ellos en el Administrador de IIS. Una buena estrategia de configuración es crear directorios para diferentes tipos de archivos en su sitio web y luego asignarles los permisos adecuados. Por ejemplo, la carpeta de archivos estáticos permite leer y rechazar escrituras, la carpeta de secuencias de comandos ASP permite la ejecución, la denegación de escritura y lectura, y los programas ejecutables como EXE permiten la ejecución y la denegación de lectura y escritura.

4. Elimine las asignaciones de aplicaciones innecesarias

Por defecto, hay muchas asignaciones de aplicaciones en ISS. A excepción de la asignación de programas de ASP, otros archivos rara vez se usan en sitios web.

En el "Administrador de servicios de Internet", haga clic con el botón derecho en el directorio del sitio web, seleccione "Propiedades", en la página "Directorio principal" del cuadro de diálogo de Propiedades del directorio del sitio web, haga clic en el botón [Configurar] y aparecerá la "Configuración de la aplicación". En el cuadro de diálogo, en la página "Asignación de aplicaciones", elimine el mapa de programa inútil. Si necesita este tipo de archivo, debe instalar el último parche del sistema y seleccionar el mapa del programa correspondiente, luego haga clic en el botón [Editar], en el cuadro de diálogo "Agregar /Editar asignación de extensión de la aplicación", marque "Verificar si el archivo está Hay una opción. De esta manera, cuando un cliente solicita un archivo de este tipo, IIS primero verificará si el archivo existe. Después de que el archivo exista, no llamará a la biblioteca de enlace dinámico definida en el mapa del programa para su análisis.

5. Proteger la seguridad del registro

El registro es una parte importante de la política de seguridad del sistema, asegurando que la seguridad del registro pueda mejorar efectivamente la seguridad general del sistema.

● Modificar la ruta de almacenamiento de los registros de IIS

De forma predeterminada, los registros de IIS se almacenan en% WinDir% \\ System32 \\ LogFiles. El hacker es, por supuesto, muy claro, por lo que es mejor modificar la ruta de almacenamiento. En el "Administrador de servicios de Internet", haga clic con el botón derecho en el directorio del sitio web, seleccione "Propiedades", en la página "Sitio web" del cuadro de diálogo Propiedades del directorio del sitio web, en el caso de "Habilitar registro", haga clic en [Propiedades] junto a este. En el botón, en la página "Propiedades generales", haga clic en el botón [Examinar] o ingrese la ruta de almacenamiento del registro directamente en el cuadro de entrada.

● Modificar el permiso de acceso al registro, y solo el administrador puede acceder a él.

Con algunas de las configuraciones de seguridad anteriores, creo que su servidor web será mucho más seguro.

Copyright © Conocimiento de Windows All Rights Reserved