本文主要向大家講述的是IIS安全機(jī)制的深入解析，IIS(Internet Information Server)作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能。如何加強(qiáng)IIS的安全機(jī)制，建立高安全性能的可靠的Web服務(wù)器，已成為網(wǎng)絡(luò)管理的重要組成部分。

IIS(Internet Information Server)作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能。如何加強(qiáng)IIS的安全機(jī)制，建立高安全性能的可靠的Web服務(wù)器，已成為網(wǎng)絡(luò)管理的重要組成部分。

以Windows NT的安全機(jī)制為基礎(chǔ)

1.應(yīng)用NTFS文件系統(tǒng)

NTFS文件系統(tǒng)可以對(duì)文件和目錄進(jìn)行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級(jí)的安全，而Windows NT的安全機(jī)制是建立在NTFS文件系統(tǒng)之上的，所以在安裝Windows NT時(shí)最好使用NTFS文件系統(tǒng)，否則將無(wú)法建立NT的安全機(jī)制。

2.共享權(quán)限的修改

在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，Everyone用戶就享有“完全控制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限。

3.為系統(tǒng)管理員賬號(hào)更名

域用戶管理器雖可限制猜測(cè)口令的次數(shù)，但對(duì)系統(tǒng)管理員賬號(hào)(adminstrator)卻無(wú)法限制，這就可能給非法用戶攻擊管理員賬號(hào)口令帶來(lái)機(jī)會(huì)，通過(guò)域用戶管理器對(duì)管理員賬號(hào)更名不失為一種好辦法。具體設(shè)置方法如下：

選擇“開(kāi)始”選單→“程序”→啟動(dòng)“域用戶管理器”→選中“管理員賬號(hào)(adminstrator)”→選擇“用戶”選單→“重命名”，對(duì)其進(jìn)行修改。

4.取消TCP/IP上的NetBIOS綁定

NT系統(tǒng)管理員可以通過(guò)構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像，對(duì)Internet或Intranet上的其他服務(wù)器進(jìn)行管理，但非法用戶也可從中找到可乘之機(jī)。如果這種遠(yuǎn)程管理不是必須的，就應(yīng)該立即取消(通過(guò)網(wǎng)絡(luò)屬性的綁定選項(xiàng)，取消NetBIOS與TCP/IP之間的綁定)。

設(shè)置IIS安全機(jī)制

1.安裝時(shí)應(yīng)注意的安全問(wèn)題

1)避免安裝在主域控制器上

安裝IIS之后，在安裝的計(jì)算機(jī)上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問(wèn)權(quán)限提供給訪問(wèn)Web服務(wù)器的每個(gè)匿名用戶，這不僅給IIS帶來(lái)潛在危險(xiǎn)，而且還可能威脅整個(gè)域資源的安全。所以要盡可能避免把IIS服務(wù)器安裝在域控制器上，尤其是主域控制器上。

2)避免安裝在系統(tǒng)分區(qū)上

把IIS安裝在系統(tǒng)分區(qū)上，會(huì)使系統(tǒng)文件與IIS同樣面臨非法訪問(wèn)，容易使非法用戶侵入系統(tǒng)分區(qū)，所以應(yīng)該避免將IIS服務(wù)器安裝在系統(tǒng)分區(qū)上。

2.用戶的安全性

1)匿名用戶訪問(wèn)權(quán)限的控制

安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername(密碼隨機(jī)產(chǎn)生)，其匿名訪問(wèn)給Web服務(wù)器帶來(lái)潛在的安全性問(wèn)題，應(yīng)對(duì)其權(quán)限加以控制。如無(wú)匿名訪問(wèn)需要，則可以取消Web的匿名訪問(wèn)服務(wù)。具體方法：

選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→取消其匿名訪問(wèn)服務(wù)。

2)控制一般用戶訪問(wèn)權(quán)限

可以通過(guò)使用數(shù)字與字母(包括大小寫)結(jié)合的口令，使用長(zhǎng)口令(一般應(yīng)在6位以上)，經(jīng)常修改密碼，封鎖失敗的登錄嘗試以及設(shè)定賬戶的有效期等方法對(duì)一般用戶賬戶進(jìn)行管理。

3.IIS三種形式認(rèn)證的安全性

1)匿名用戶訪問(wèn)：允許任何人匿名訪問(wèn)，在這三種中安全性最低。

2)基本(Basic)認(rèn)證：用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，安全性能一般。

3)Windows NT請(qǐng)求/響應(yīng)方式：瀏覽器通過(guò)加密方式與IIS服務(wù)器進(jìn)行交流，有效地防止了竊聽(tīng)者，是安全性比較高的認(rèn)證形式(需IE 3.0以上版本支持)。

4.訪問(wèn)權(quán)限控制

1)設(shè)置文件夾和文件的訪問(wèn)權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對(duì)其權(quán)限加以控制，對(duì)不同的組和用戶設(shè)置不同的權(quán)限;另外，還可以利用NTFS的審核功能對(duì)某些特定組的成員讀、寫文件等方面進(jìn)行審核，通過(guò)監(jiān)視“文件訪問(wèn)”、“用戶對(duì)象的使用”等動(dòng)作，來(lái)有效地發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆，及時(shí)加以預(yù)防和制止。具體方法：

選擇“開(kāi)始”選單→“程序”→啟動(dòng)“域用戶管理器” →選擇“規(guī)則”選項(xiàng)卡下的“審核”選項(xiàng)→設(shè)置“審核規(guī)則”。

2)設(shè)置WWW目錄的訪問(wèn)權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過(guò)操作Web站點(diǎn)屬性頁(yè)實(shí)現(xiàn)對(duì)WWW目錄訪問(wèn)權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些IIS安全機(jī)制。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限——允許用戶讀取或下載WWW目錄中的文件;執(zhí)行權(quán)限——允許用戶運(yùn)行WWW目錄下的程序和腳本。具體設(shè)置方法如下：

選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→選擇“目錄”選項(xiàng)卡→選定需要編輯的WWW目錄→選擇“編輯屬性”中的“目錄屬性”進(jìn)行設(shè)置。

5.IP地址的控制

IIS可以設(shè)置允許或拒絕從特定IP發(fā)來(lái)的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問(wèn)?？梢酝ㄟ^(guò)設(shè)置來(lái)阻止指定IP地址外的網(wǎng)絡(luò)用戶訪問(wèn)你的Web服務(wù)器。具體設(shè)置方法如下：

選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→啟動(dòng)Web屬性頁(yè)中“高級(jí)”選項(xiàng)卡;進(jìn)行IP地址的控制設(shè)置。

6.端口安全性的實(shí)現(xiàn)

對(duì)于IIS服務(wù)，無(wú)論是WWW站點(diǎn)、Fpt站點(diǎn)，還是NNpt、SMpt服務(wù)等都有各自偵聽(tīng)和接收瀏覽器請(qǐng)求的TCP端口號(hào)(Post)，一般常用的端口號(hào)為：WWW是80，F(xiàn)pt是21，SMpt是25，你可以通過(guò)修改端口號(hào)來(lái)提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置，只有知道端口號(hào)的用戶才可以訪問(wèn)，不過(guò)用戶在訪問(wèn)時(shí)需要指定新端口號(hào)。

7.IP轉(zhuǎn)發(fā)的安全性

IIS服務(wù)可提供IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，此時(shí)，充當(dāng)路由器角色的IIS服務(wù)器將會(huì)把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能將提高IIS服務(wù)的安全性。設(shè)置方法如下：

選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→選擇“協(xié)議”選項(xiàng)卡→在TCP/IP屬性中去掉“路由選擇”。

8.SSL安全機(jī)制

SSL(加密套接字協(xié)議層)位于HTpt層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保信息傳遞的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的。任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。

使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)唯一的安全通道。具體設(shè)置方法如下：

選擇“開(kāi)始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁(yè)→選擇“目錄安全性”選項(xiàng)卡→單擊“密鑰管理器”按鈕→通過(guò)密鑰管理器生成密鑰文件和請(qǐng)求文件→從身份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書(shū)→通過(guò)密鑰管理器在服務(wù)器上安裝證書(shū)→激活Web站點(diǎn)的SSL安全性。

建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，注意輸入的是“htpts://”，而不是“htpt://”。

SSL安全機(jī)制的實(shí)現(xiàn)，將增加系統(tǒng)開(kāi)銷，增加服務(wù)器CPU的額外負(fù)擔(dān)，從而會(huì)在一定程度上降低系統(tǒng)性能。筆者建議在規(guī)劃網(wǎng)絡(luò)時(shí)，僅考慮為高敏感度的Web目錄使用SSL安全機(jī)制。另外，SSL客戶端需要使用IE 3.0及以上版本才能使用。

以上的相關(guān)內(nèi)容就是對(duì)IIS安全機(jī)制的介紹，望你能有所收獲。