关于iis的问题 〈本贴参照 第7楼解决办法〉

[这个贴子最后由绿茶之星在 2005/07/22 07:17am 第 1 次编辑]

最近为了便于对一些论坛或者blog调试的方便我想在自己的机器上安装个iis服务
   但他的安全性让我实在是有点~~~~~~~
请问有什么好的安装建议和维护建议吗?

IIS确实有点那个~
配合需要该装的就装

不用时不运行IIS不就行了

简单
装个或者用系统息带的防火墙不让他访问网络就ok了

嘿嘿   把网线拔掉 不久最安全了 谁要能通过网络能黑你 你到党中央告我去

IIS安全是要学习，你可以参看WIN版的绝对倾情发的贴

保证IIS自身的安全性
　　
　　IIS安全安装
　　
　　在保证系统具有较高安全性的情况下，还要保证IIS的安全性。要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。
　　
　　不要将IIS安装在系统分区上
　　
　　默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。
　　
　　修改IIS的安装默认路径
　　
　　IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。
　　
　　打上Windows和IIS的补丁
　　
　　只要提高安全意识，经常注意系统和IIS的设置情况，并打上最新的补丁，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。
　　
　　IIS的安全配置
　　
　　删除不必要的虚拟目录
　　
　　IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。
　　
　　删除危险的IIS组件
　　
　　默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。
　　
　　● Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。
　　
　　● SMTP Service和NNTP Service：如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。
　　
　　● 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。
　　
　　为IIS中的文件分类设置权限
　　
　　除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：
　　
　　● 静态文件文件夹：包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。
　　
　　● ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。
　　
　　● EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。
　　
　　删除不必要的应用程序映射
　　
　　IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。
　　
　　所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射，如图3。如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项，如图4。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
　　
　　日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。
　　
　　方法一: 修改IIS日志的存放路径
　　
　　IIS的日志默认保存在一个众所周知的位置（%WinDir%\System32\LogFil-es），这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径即可，如图5。
　　

　　方法二: 修改日志访问权限
　　
　　日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。
　　
　　当然，如果条件许可，还可单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。
　　
　　通过以上的一些安全设置，相信你的WEB服务器会安全许多。不过，需要提醒大家注意的是：不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全。