如何用如何用 IIS 建立高安全性建立高安全性 Web 服务器服务器减小字体 增大字体 作者：无从考证 来源：转载 发布时间：2005-10-13 20:07:29IIS（Internet Information Server）作为当今流行的 Web 服务器之一，提供了强大的 Internet和 Intranet 服务功能，如何加强 IIS 的安全机制，建立一个高安全性能的 Web 服务器，已成为 IIS 设置中不可忽视的重要组成部分。 本文将通过以下两个方面来阐述加强 IIS 安全机制的方法。 一、 以 Windows NT 的安全机制为基础 作为运行在 Windows NT 操作系统环境下的 IIS，其安全性也应建立在 Windows NT 安全性的基础之上。 1.应用 NTFS 文件系统 NTFS 可以对文件和目录进行管理，而 FAT（文件分配表）文件系统只能提供共享级的安全，建议在安装 Windows NT 时使用 NTFS 系统。 2.共享权限的修改 在缺省情况下，每建立一个新的共享，其 everyone 用户就能享有“完全控制”的共享权限，因此，在建立新共享后要立即修改 everyone 缺省权限。 3.为系统管理员账号更名 域用户管理器虽可限制猜测口令的次数，但对系统管理员账号却用不上，这可能给非法用户带来攻击管理员账号口令的机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置如下： （1） 启动“域用户管理器”； （2） 选中管理员账号； （3） 启动“用户”选单下的“重命名”对其进行修改。 4.废止 TCP/IP 上的 NetBIOS 管理员可以通过构造目标站 NetBIOS 名与其 IP 地址之间的映像，对 Internet 上的其他服务器进行管理，非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，应立即废止（通过网络属性的绑定选项，废止 NetBIOS 与 TCP/IP 之间的绑定）。 二、 设置 IIS 的安全机制 1.安装时应注意的安全问题 （1）避免安装在主域控制器上 在安装 IIS 之后，将在安装的计算机上生成 IUSR_Computername 匿名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问 Web 服务器的每个匿名用户，这不仅给 IIS 带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把 IIS 安装在域控制器上，尤其是主域控制器。 （2）避免安装在系统分区上 把 IIS 安放在系统分区上，会使系统文件与 IIS 同样面临非法访问，容易使非法用户侵入系统分区。 2.用户控制的安全性 （1）匿名用户 安装 IIS 后产生的匿名用户 IUSR_Computername（密码随机产生），其匿名访问给Web 服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可取消Web 的匿名服务。具体方法： 启动 ISM（Internet Server Manager）； 启动 WWW 服务属性页； 取消其匿名访问服务。 （2）一般用户 通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。 3.登录认证的安全性 IIS 服务器提供对用户三种形式的身份认证。 匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。 基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。 Windows NT 请求/响应方式：浏览器通过加密方式与 IIS 服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。这种方式的缺点是只有 IE3.0 及以上版本才支持。 4.访问权限控制 （1）文件夹和文件的访问权限：安放在 NTFS 文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用 NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。具体方法： 启动“域用户管理器”； 启动“规则”选单下的“审核”选项； 设置“审核规则”。 （2）WWW 目录的访问权限：已经设置成 Web 目录的文件夹，可以通过操作 Web 站点属性页实现对 WWW 目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW 服务除了提供 NTFS 文件系统提供的权限外，还提供读取权限，允许用户读取或下载 WWW 目录中的文件；执行权限，允许用户运行 WWW 目录下的程序和脚本。具体设置方法： 启动 ISM（Internet 服务器管理器）； 启动 Web 属性页并选择“目录”选项卡； 选择 WWW 目录； 选择“编辑属性”中的“目录属性”进行设置。 5.IP 地址的控制 IIS 可以设置允许或拒绝从特定 IP 发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定 IP 地址外的整个网络用户来访问你的 Web 服务器。具体设置： （1） 启动 ISM（Internet 服务器管理器）； （2） 启动 Web 属性页中“高级”选项卡； （3） 进行指定 IP 地址的控制设置。 6.端口安全性的实现 对于 IIS 服务，无论是 WWW 站点、FTP 站点，还是 NNTP、SMTP 服务等都有各自监听和接收浏览器请求的 TCP 端口号（Post），一般常用的端口号为：WWW 是 80，FTP是 21，SMTP 是 25，你可以通过修改端口号来提高 IIS 服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，但用户在访问时需要指定新端口号。 7.IP 转发的安全性 IIS 服务可提供 IP 数据包转发功能，此时，充当路由器角色的 IIS 服务器将会把从Internet 接口收到的 IP 数据包转发到内部网中，禁用这一功能不失为提高安全性的好办法。具体设置如下： （1） 启动“网络属性”并选择“协议”选项卡； （2） 在 TCP/IP 属性中去掉“路由选择”。 8.SSL 安全机制 IIS 的身份认证除了匿名访问、基本验证和 Windows NT 请求/响应方式外，还有一种安全性更高的认证：通过 SSL（Security Socket Layer）安全机制使用数字证书。 SSL（加密套接字协议层）位于 HTTP 层和 TCP 层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL 是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用 SSL 安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。具体步骤如下： （1） 启动 ISM 并打开 Web 站点的属性页； （2） 选择“目录安全性”选项卡； （3） 单击“密钥管理器”按钮； （4） 通过密钥管理器生成密钥对文件和请求文件； （5） 从身份认证权限中申请一个证书； （6） 通过密钥管理器在服务器上安装证书； （7） 激活 Web 站点的 SSL 安全性。 建立了 SSL 安全机制后，只有 SSL 允许的客户才能与 SSL 允许的 Web 站点进行通信，并且在使用 URL 资源定位器时，输入 https:/ ，而不是 http:/ 。 SSL 安全机制的实现，将增大系统开销，增加了服务器 CPU 的额外负担，从而降低了系统性能，在规划时建议仅考虑为高敏感度的 Web 目录使用。另外，SSL 客户端需要使用IE 3.0 及以上版本才能使用。