IIS crea un servidor web altamente seguro

IIS (es decir, Internet Information Server), es conveniente y fácil de usar, lo que lo convierte en uno de los software de servidor web más populares. Sin embargo, la seguridad de IIS ha sido preocupante. Cómo usar IIS para construir un servidor web seguro es un tema que a muchas personas les importa.

Construyendo un sistema de seguridad

Para crear un servidor web seguro y confiable, debe implementar la seguridad dual para Windows 2000 e IIS, porque los usuarios de IIS también son usuarios de Windows 2000 y directorios de IIS. Los permisos dependen de los permisos del sistema de archivos NTFS de Windows, por lo que el primer paso para proteger IIS es garantizar la seguridad del sistema operativo Windows 2000: este artículo se publica en www.xker.com (新 技术 网)

1. Utilice el sistema de archivos NTFS para administrar archivos y directorios.

2. Cierre el recurso compartido predeterminado

Abra el Editor del Registro, expanda la opción "HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters", agregue el valor clave AutoShareServer, escriba REG_DWORD, valor Es 0 Esto cerrará completamente " compartir por defecto ".

3. Modificar permisos de recursos compartidos

Inmediatamente después de crear un nuevo recurso compartido, modifique los permisos predeterminados de Todos para evitar que los visitantes del servidor web obtengan permisos innecesarios.

4. Cambie el nombre de la cuenta de administrador del sistema para evitar ataques de usuarios no autorizados.

Haga clic con el botón derecho en [Mi PC] → [Administrar] → Inicio " Administración de equipos " programa, en "usuarios y grupos locales", haga clic con el botón derecho en la "cuenta de administrador" Administrador) " → Seleccione " Renombrar ", cambie la cuenta de administrador a un nombre de usuario muy común.

5. Desactive NetBIOS en TCP /IP

Haga clic con el botón derecho en [Entorno de red] → [Propiedades] → [Conexión de área local] → [Propiedades] en el escritorio, abra " Propiedades de conexión local y cuadro de diálogo. Seleccione [Protocolo de Internet (TCP /IP)] → [Propiedades] → [Avanzado] → [WINS], seleccione la parte inferior "Deshabilitar NetBIOS en TCP /IP"; uno puede liberar TCP /IP NetBIOS.

6. Controle la conexión entrante en TCP /IP

Haga clic con el botón derecho en [Entorno de red] → [propiedad] → [conexión local] → [atributo] en el escritorio. Abra el cuadro de diálogo " Propiedades de conexión local ". Seleccione [Protocolo de Internet (TCP /IP)] → [Propiedades] → [Avanzado] → [Opciones], haga clic para seleccionar la opción "Filtro TCP /IP" en la lista. Haga clic en el botón [Propiedades], seleccione " Permitir solo ", luego haga clic en el botón [Agregar] para llenar solo el puerto 80.

7. Modifique el registro para reducir el riesgo de ataques de denegación de servicio.

Abra el registro: cambie el valor de SynAttackProtect en HKLM \\ System

CurrentControlSet \\ Services \\ Tcpip \\ Parameters a 2 para que la conexión responda más rápido a los tiempos de espera.

Asegurar el propio IIS

Instalación de seguridad de IIS

Para crear un servidor IIS seguro, se deben tener en cuenta los problemas de seguridad desde el momento de la instalación.

1. No instale IIS en la partición del sistema.

2. Modifique la ruta predeterminada para la instalación de IIS.

3. Ponga los últimos parches para Windows e IIS.

Configuración de seguridad de IIS

1. Elimine directorios virtuales innecesarios

Una vez completada la instalación de IIS, algunos directorios se generan de forma predeterminada en wwwroot, incluidos IISHelp, IISAdmin, IISamples, MSADC, etc., estos directorios no tienen ningún efecto práctico y se pueden eliminar directamente.

2. Eliminación de componentes peligrosos de IIS

Algunos componentes de IIS después de la instalación predeterminada pueden presentar amenazas de seguridad como Internet Service Manager (HTML), Servicio SMTP y Servicio NNTP, páginas de muestra y Script, usted puede decidir si desea eliminar de acuerdo a sus necesidades.

3. Establezca permisos para la clasificación de archivos en IIS

Además de configurar los permisos necesarios para los archivos IIS en el sistema operativo, también debe configurar permisos para ellos en el Administrador de IIS. Una buena estrategia de configuración es crear directorios para diferentes tipos de archivos en su sitio web y luego asignarles los permisos adecuados. Por ejemplo, la carpeta de archivos estáticos permite leer y rechazar escrituras, la carpeta de secuencias de comandos ASP permite la ejecución, la denegación de escritura y lectura, y los programas ejecutables como EXE permiten la ejecución y la denegación de lectura y escritura.

4. Elimine las asignaciones de aplicaciones innecesarias

Por defecto, hay muchas asignaciones de aplicaciones en ISS. A excepción de la asignación de programas de ASP, otros archivos rara vez se usan en sitios web.

En el "Administrador de servicios de Internet", haga clic con el botón derecho en el directorio del sitio web y seleccione "Propiedades". En la página "Directorio principal" del cuadro de diálogo de Propiedades del directorio del sitio web, haga clic en el botón [Configurar]. , en el cuadro de diálogo emergente "Configuración de la aplicación", en la página "Asignación de la aplicación", elimine la asignación inútil del programa. Si necesita este tipo de archivo, debe instalar el último parche del sistema y seleccionar el mapa del programa correspondiente, luego haga clic en el botón [Editar], marque el cuadro de diálogo "Agregar /Editar asignación de extensión de la aplicación". Compruebe si el archivo existe con la opción " De esta manera, cuando un cliente solicita un archivo de este tipo, IIS primero verificará si el archivo existe. Después de que el archivo exista, no llamará a la biblioteca de enlace dinámico definida en el mapa del programa para su análisis.

5. Proteger la seguridad del registro

El registro es una parte importante de la política de seguridad del sistema, asegurando que la seguridad del registro pueda mejorar efectivamente la seguridad general del sistema.

● Modificar la ruta de almacenamiento de los registros de IIS

De forma predeterminada, los registros de IIS se almacenan en% WinDir% \\ System32 \\ LogFiles. El hacker es, por supuesto, muy claro, por lo que es mejor modificar la ruta de almacenamiento. En el "Administrador de servicios de Internet", haga clic con el botón derecho en el directorio del sitio web y seleccione "Atributos". En la página "Sitio web" del cuadro de diálogo Propiedades del directorio del sitio web, seleccione "Activar registro". A continuación, haga clic en el botón [Propiedades] a su lado, en la página "Propiedades generales", haga clic en el botón [Examinar] o ingrese la ruta de almacenamiento de registro directamente en el cuadro de entrada. Este artículo se publicó en www.xker.com (小 新 技术 网)

● Modificar los permisos de acceso al registro, solo los administradores pueden acceder a la configuración.

Con algunas de las configuraciones de seguridad anteriores, creo que su servidor web será mucho más seguro.