Windows system >> Conocimiento de Windows >  >> Tutorial de software de computadora >> Tecnología de servidor >> Sobre el servidor

15 formas de configurar de forma segura IIS

  

Normalmente, la mayoría de los sitios web están diseñados para proporcionar acceso instantáneo a la información de la manera más aceptable. En los últimos años, más y más problemas de seguridad causados ​​por piratas informáticos, virus y gusanos han afectado seriamente la accesibilidad de los sitios web. Aunque los servidores Apache a menudo son el objetivo de los atacantes, el Servicio de Información de Internet (IIS) de Microsoft. El servidor web es el verdadero objetivo del público.

Las organizaciones de educación avanzada a menudo luchan por encontrar un equilibrio entre crear un sitio web dinámico y fácil de usar o crear un sitio web altamente seguro. Además, ahora deben centrarse en mejorar la seguridad de sus sitios web ante la reducción de los presupuestos tecnológicos (de hecho, muchos de sus sectores privados también se enfrentan a situaciones similares).
Eso es por eso que estoy aquí por presupuesto universitario dolor de cabeza administradores de TI proporcionan algunos consejos para ayudar a proteger sus servidores IIS. Aunque principalmente para los profesionales de TI de la universidad, estas técnicas son básicamente aplicables a los administradores de IIS que desean aumentar la seguridad con un presupuesto pequeño. De hecho, algunas de las técnicas también son muy útiles para los gerentes de IIS con presupuestos sólidos.

Primero, desarrolle una política de seguridad

El primer paso para proteger un servidor web es asegurarse de que el administrador de la red conozca todos los sistemas de la política de seguridad. Si la alta dirección de la empresa no considera la seguridad del servidor como un activo que debe protegerse, entonces el trabajo de protección no tiene ningún significado. Este trabajo requiere esfuerzos a largo plazo. Si el presupuesto no lo admite o si no forma parte de una estrategia de TI a largo plazo, los administradores que pasan mucho tiempo protegiendo la seguridad del servidor no obtendrán un apoyo de administración significativo.

¿Cuáles son las consecuencias directas de que los administradores de red establezcan la seguridad de todos los aspectos de los recursos? Algunos usuarios que son particularmente aventureros se mantendrán fuera de la puerta. Esos usuarios se quejarán de la administración de la compañía y la administración le preguntará al administrador de la red qué sucedió. Entonces, los administradores de red no pueden crear documentos que admitan su trabajo seguro, por lo que se han producido conflictos.

Al etiquetar el nivel de seguridad del servidor web y la política de seguridad de disponibilidad, los administradores de red podrán implementar varias herramientas de software en diferentes sistemas operativos con facilidad.
Sugerencias de seguridad de IIS

Los productos de Microsoft siempre han sido objeto de críticas públicas, por lo que el servidor IIS es particularmente fácil de convertirse en el objetivo del atacante. Teniendo esto en cuenta, los administradores de red deben estar preparados para implementar una serie de medidas de seguridad. Lo que le voy a ofrecer es una lista que los operadores de servidores pueden encontrar útil.

1. Mantenga la actualización de Windows:

Debe actualizar todas las actualizaciones a tiempo y corregir todos los parches para su sistema. Considere la posibilidad de descargar todas las actualizaciones a un servidor dedicado en su red y publicar los archivos en la máquina como un sitio web. A través de estas tareas, puede evitar que su servidor web acepte el acceso directo a Internet.

2. Uso de las herramientas de prevención de IIS:

Esta herramienta tiene muchas ventajas prácticas, sin embargo, utilice esta herramienta con precaución. Si su servidor web interactúa con otros servidores, primero pruebe la herramienta de prevención para asegurarse de que esté correctamente configurada para garantizar que no afecte la comunicación entre el servidor web y otros servidores.

3. Elimine el sitio web predeterminado:

Muchos atacantes atacan la carpeta inetpub y colocan algunos ataques furtivos en ella, provocando fallos en el servidor. La forma más fácil de prevenir este tipo de ataque es deshabilitar el sitio predeterminado en IIS. Luego, debido a que los gusanos acceden a su sitio a través de direcciones IP (pueden tener acceso a miles de direcciones IP al día), sus solicitudes pueden estar en problemas. Dirija su sitio web real a una carpeta con partición posterior y debe incluir permisos NTFS seguros (que se describen con más detalle en la sección NTFS a continuación).

4. Si no necesita los servicios de FTP y SMTP, desinstálelos:

La forma más fácil de ingresar a su computadora es a través de FTP. El propio FTP está diseñado para manejar el acceso simple de lectura /escritura. Si realiza la autenticación, encontrará que su nombre de usuario y contraseña se transmiten a través de la red en texto sin cifrar. SMTP es otro servicio que permite el acceso de escritura a las carpetas. Al deshabilitar estos dos servicios, puede evitar más ataques de piratería.

5. Verifique sus grupos de administradores y servicios con regularidad:

Un día ingresé a nuestro aula y descubrí que había un usuario más en el grupo de Administradores. Esto significa que alguien ha ingresado con éxito a su sistema en este momento, él o ella puede lanzar la bomba a su sistema, lo que de repente destruirá todo su sistema o ocupará una gran cantidad de ancho de banda para los piratas informáticos. Los piratas informáticos también tienden a dejar un servicio de ayuda. Una vez que esto sucede, puede ser demasiado tarde para realizar alguna acción. Solo puede reformatear su disco y recuperar los archivos de los que realiza copias de seguridad todos los días desde el servidor de respaldo. Por lo tanto, revisar su lista de servicios en el servidor IIS y mantener la menor cantidad posible de servicios debe ser su tarea diaria.

Debes recordar qué servicio debería existir y qué servicio no debería existir. El Kit de recursos de Windows 2000 nos ofrece un programa útil llamado tlist.exe, que enumera los servicios que se ejecutan bajo svchost en cada caso. La ejecución de este programa puede encontrar algunos servicios ocultos que desea conocer. Darle una pista: cualquier servicio que contenga algunas palabras del demonio puede no ser un servicio que contenga Windows, y no debería existir en el servidor IIS.

6. Controle estrictamente el acceso de escritura del servidor:

Esto suena fácil, sin embargo, en un campus universitario, un servidor web en realidad tiene muchos "autores". Los miembros de la facultad quieren que la información de su clase sea accesible para los estudiantes remotos. El personal quisiera compartir su información de trabajo con otro personal. Las carpetas en el servidor pueden tener derechos de acceso extremadamente peligrosos. Una forma de compartir o difundir esta información es instalar un segundo servidor para proporcionar propósitos de almacenamiento y compartición dedicados, y luego configurar su servidor web para que apunte al servidor compartido. Este paso permite al administrador de la red limitar el acceso de escritura del servidor web al grupo de administradores.

7. Configura contraseñas complejas:

Recientemente ingresé al aula y encontré muchos hackers posibles desde el visor de eventos. La estructura de dominio en la que él o ella ingresó al laboratorio es lo suficientemente profunda para ejecutar una herramienta de descifrado de contraseñas para cualquier usuario. Si un usuario usa una contraseña débil (como "password" o changeme "o cualquier palabra del diccionario), el pirata informático puede invadir la cuenta del usuario de forma rápida y fácil.

8. Reducir /excluir el uso compartido en el servidor web :

Si el administrador de la red es el único que tiene acceso de escritura al servidor web, no existe ninguna razón para que exista ningún recurso compartido. Compartir es la mayor tentación para los piratas informáticos. Además, al ejecutar un simple archivo por lotes de bucles, los piratas informáticos Puede ver una lista de direcciones IP y usar el comando para buscar los derechos de Compartir /Todos /Full Control.

9. Deshabilite NetBIOS en el protocolo TCP /IP:

Esto es cruel. Muchos usuarios desean pasar La ruta de acceso UNC accede al servidor web. Como NETBIOS está deshabilitado, no pueden hacer esto. Por otra parte, con NETBIOS deshabilitado, los piratas informáticos no pueden ver los recursos en su LAN. Esto es un arma de doble filo. Si el administrador de la red implementa esta herramienta, el siguiente paso es cómo educar a los usuarios de la Web sobre cómo publicar información si NETBIOS falla.

10. Bloquear usando el puerto TCP:

Esta es otra herramienta cruel. Si está familiarizado con cada puerto TCP que accede a su servidor por razones legítimas, puede ir a la pestaña Propiedades de su tarjeta de interfaz de red, seleccionar el protocolo TCP /IP vinculado y bloquear todos No necesita puertos. Debe usar esta herramienta con cuidado porque no quiere bloquearse fuera del servidor web, especialmente si necesita iniciar sesión en el servidor de forma remota. Para obtener los detalles del puerto TCP, Haga clic aquí.

11. Vuelva a verificar los archivos * .bat y * .exe: busque los archivos * .bat

y * .exe una vez a la semana para verificar si hay hackers en el servidor. Y para usted será un archivo ejecutable de pesadilla. Entre estos archivos destructivos, tal vez algunos son archivos * .reg. Si hace clic con el botón derecho y selecciona editar, puede encontrar que el hacker ha creado y puede hacer Pueden ingresar al archivo de registro de su sistema. Puede eliminar estas claves principales que no tienen sentido, pero le brindan comodidad al intruso.

12. Administre la seguridad del directorio de IIS:

Directorio de IIS La seguridad te permite rechazar Una dirección IP específica, subred o incluso un nombre de dominio. Como alternativa, elegí un software llamado WhosOn que me permite saber qué direcciones IP están intentando acceder a un archivo en particular en el servidor. WhosOn enumera una serie de excepciones. Si encuentra a un usuario que intenta acceder a su cmd.exe, puede optar por negar el acceso de este usuario al servidor web. Por supuesto, en un sitio web ocupado, esto puede requerir un empleado de tiempo completo. Sin embargo, en la intranet, esto realmente Es una herramienta muy útil. Puede proporcionar recursos a todos los usuarios dentro de la LAN, así como a usuarios específicos.

13. Uso de la seguridad de NTFS:

De forma predeterminada, las unidades NTFS utilizan los permisos de TODOS /Control total a menos que los desactive manualmente. La clave no es el bloqueo, las diferentes personas necesitan permisos diferentes, los administradores necesitan un control total y las cuentas de administración en segundo plano necesitan un control completo. Cada sistema y servicio necesita un nivel de acceso, dependiendo de los diferentes archivos. La carpeta más importante es System32. Cuanto más pequeños sean los permisos de acceso de esta carpeta, mejor. El uso de permisos NTFS en un servidor web puede ayudarlo a proteger archivos y aplicaciones importantes.

14. Administrar cuentas de usuario:

Si ya instaló IIS, es posible que haya generado una cuenta de TSInternetUser. A menos que realmente necesite esta cuenta, debe deshabilitarla. Este usuario es fácil de penetrar y es un objetivo importante para los hackers. Para ayudar a administrar las cuentas de usuario, asegúrese de que su política de seguridad local esté bien. Los permisos de los usuarios de IUSR también deben ser lo más pequeños posible.

15. Auditoría de su servidor web:

La auditoría tiene un gran impacto en el rendimiento de su computadora, por lo que si no la verifica a menudo, no lo haga. Si realmente puede usarlo, audite los eventos del sistema y agregue las herramientas de auditoría cuando las necesite. Si está utilizando la herramienta WhosOn mencionada anteriormente, la auditoría es menos importante. De forma predeterminada, IIS siempre registra el acceso, y WhosOn coloca estos registros en una base de datos muy fácil de leer que puede abrir a través de Access o Excel. Si observa la base de datos de excepciones con frecuencia, puede encontrar la vulnerabilidad del servidor en cualquier momento.

Resumen

Todos los consejos y herramientas de IIS anteriores (excepto WhosOn) se incluyen con Windows. No olvide utilizar estos consejos y herramientas uno por uno antes de probar la accesibilidad de su sitio. Si se implementan juntos, los resultados pueden costarle mucho y es posible que deba reiniciar para perder el acceso.

Último consejo: inicie sesión en su servidor web y ejecute netstat -an desde la línea de comandos. Observe cuántas direcciones IP están tratando de establecer una conexión con su puerto, y entonces tendrá mucha investigación e investigación que hacer.

Sobre el servidor
Conocimiento de Windows
La modificación del intervalo de sincronización de la hora del servidor de Windows2003

la función de sincronización de la hora de Windows nos puede ayudar a sincronizar la hora del sistem
Configuración de IIS7 Tutorial gráfico del entorno PHP (versión más rápida de fastcgi fast)

                   Sabemos que hay varias configuraciones de php: 1, el modo CGI para cargar el en
Guía de compras de accesorios para servidores: comprenda la placa madre del servidor AMD Los procesadores de la serie Intel E7 /E3

se han incluido este año, el mercado también es optimista, pero la plataforma principal del mercado

Cuando se utiliza ASP.NET para conectarse a la base de datos de ACCESS bajo IIS7, se solicita el siguiente método de manejo de errores:

" /" Error de servidor en la aplicación. El programa no está registrado en la compu
Configuración del modo de interfaz de usuario RHEL5 y Guía del servidor web

                  El tema de este artículo es la configuración de SELinux en RHEL 5. RHEL también pr
Tres pasos para portar la base de datos del servidor DHCP

                  Para el servidor DHCP, entendemos algunas de sus condiciones básicas y el contenid
  • Servidor DNS
  • Servidor FTP
  • Servidor web
  • Servidor proxy
  • Servidor de correo
  • Síntesis de servidor
  • Sobre el servidor

    • Solución: La mejor manera de personalizar la biblioteca de documentos es

    Configurar el método de inicio de sesión automático de Windows 10

    Sistema de portátil Win8, modelo de conexión de red inalámbrica /por cable, aviso de "red limitada"

    Por qué el qq siempre muestra el tiempo de espera de inicio de sesión cuando inicia sesión en la computadora, verifique su red o la configuración del firewall local. Y en

    Algunos consejos para comprender las nuevas funciones de Windows 7

    Abrir página web de reproducción lenta a través de la tarjeta de pantalla blanca del sistema windows7

    Sistema Win10 cómo compartir la carpeta

    Pantalla de arranque del portátil Lenovo Windows no se moverá

    Sistema de Windows 7 viene con una nota desapareció cómo hacerlo?

    Cómo rechazar la modificación remota del valor de la clave de registro de Win8

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved