Microsoft IIS 真的如此「不安全」吗?(2)
2001-11-07 10:22:21 来源:WEB开发网核心提示:很多公司使用以下这两个步骤为它们基于 Windows 2000 的网络服务器来做组态:(1)安装 IIS 5.0、(2)不再理它,如果仅只于此的话,Microsoft IIS 真的如此「不安全」吗?(2),何不来个第三步骤:祈祷,对于 IIS 5.0,另外,也有很多在IIS 4.0 清单中属于建议的配置,Microso
很多公司使用以下这两个步骤为它们基于 Windows 2000 的网络服务器来做组态:(1)安装 IIS 5.0、(2)不再理它。如果仅只于此的话,何不来个第三步骤:祈祷。
对于 IIS 5.0,Microsoft 针对安全性和可存取性/可用性(accessibility/usability)两方面做了很好的折衷,一般认为更倾向于后者。Data Return Corporation 的高级信息安全工程师 Alexandra Nosratinia 说,与诸如Apache 等服务器相比,IIS 的图形使用者接口(GUI)使管理和解决问题变得容易了,网站架设也非常快速。有了 IIS 的图形使用者接口,甚至可以不再需要专家的帮助。但要了解的是,容易用的系统并不代表是安全的系统。
如果选择 IIS 的预设组态(default configuration),你就是在自找麻烦。加强安全性虽然是你的责任,不过Microsoft 为此提供了充足的信息来帮助你。
从 Microsoft 的IIS 5.0 安全性检查清单开始吧!它收录了许多简单易懂的步骤,帮助保护 Windows 2000 系列的网站服务器免受绝大多数的攻击。在这个清单中能够找到的信息包括以下实用的主题:
在入侵者突破了防火墙的情况下配置 ipSec 策略。
通过限制来隔绝那些可以存取 Telnet 服务器的用户以达到保护服务器的目的。
为服务器的虚拟目录设置适当的存取控制。
进行日志记录,并在日志文件(log files)中设置适当的权限。
如果合适的话,为 IP 地址和 DNS 地址做权限。
更新网络服务器上的 Root CA 证书。
移除 IIS 中所有的示范应用程序。
移除所有不必要的 COM 组件,例如 File System Object。
从 IIS 4.0 升级以后,移除 IISADMPWD 虚拟目录。
移除无用的应用程序对应(script mappings),例如 IDC 或 HTR。
在 asp 程序代码中检查窗体输入,以防止恶意输入。
在 IIS 5.0 中禁用 Parent Paths 选项。
禁用 Content-Location 文件的表头信息,以免泄露地址。
如果你熟悉为 IIS 4.0 提供的类似检查清单,你会注意到 IIS 5.0 的版本简短了许多。这是因为 Microsoft 把很多 IIS 4.0 清单中的配置(setting)移到了为 Windows 2000 准备的新的Hisecweb.inf 安全模板中。下载该模板并用在你的服务器上。另外,也有很多在IIS 4.0 清单中属于建议的配置,现在已成了 IIS 5.0 中预设的配置。
对于 IIS 5.0,Microsoft 针对安全性和可存取性/可用性(accessibility/usability)两方面做了很好的折衷,一般认为更倾向于后者。Data Return Corporation 的高级信息安全工程师 Alexandra Nosratinia 说,与诸如Apache 等服务器相比,IIS 的图形使用者接口(GUI)使管理和解决问题变得容易了,网站架设也非常快速。有了 IIS 的图形使用者接口,甚至可以不再需要专家的帮助。但要了解的是,容易用的系统并不代表是安全的系统。
如果选择 IIS 的预设组态(default configuration),你就是在自找麻烦。加强安全性虽然是你的责任,不过Microsoft 为此提供了充足的信息来帮助你。
从 Microsoft 的IIS 5.0 安全性检查清单开始吧!它收录了许多简单易懂的步骤,帮助保护 Windows 2000 系列的网站服务器免受绝大多数的攻击。在这个清单中能够找到的信息包括以下实用的主题:
在入侵者突破了防火墙的情况下配置 ipSec 策略。
通过限制来隔绝那些可以存取 Telnet 服务器的用户以达到保护服务器的目的。
为服务器的虚拟目录设置适当的存取控制。
进行日志记录,并在日志文件(log files)中设置适当的权限。
如果合适的话,为 IP 地址和 DNS 地址做权限。
更新网络服务器上的 Root CA 证书。
移除 IIS 中所有的示范应用程序。
移除所有不必要的 COM 组件,例如 File System Object。
从 IIS 4.0 升级以后,移除 IISADMPWD 虚拟目录。
移除无用的应用程序对应(script mappings),例如 IDC 或 HTR。
在 asp 程序代码中检查窗体输入,以防止恶意输入。
在 IIS 5.0 中禁用 Parent Paths 选项。
禁用 Content-Location 文件的表头信息,以免泄露地址。
如果你熟悉为 IIS 4.0 提供的类似检查清单,你会注意到 IIS 5.0 的版本简短了许多。这是因为 Microsoft 把很多 IIS 4.0 清单中的配置(setting)移到了为 Windows 2000 准备的新的Hisecweb.inf 安全模板中。下载该模板并用在你的服务器上。另外,也有很多在IIS 4.0 清单中属于建议的配置,现在已成了 IIS 5.0 中预设的配置。
- ››iis7 下 url重写后原本存在的html不能访问了未能执...
- ››iis将Session值存到数据库中继续运行方法
- ››IIS7 Request format is unrecognized.
- ››IIS Rewrite 配置
- ››IIS7错误:“由于扩展配置问题而无法提供您请求的...
- ››IIS7应用PHP Manager使用FastCGI快速部署
- ››Microsoft Outlook 2010 邮箱客户端中常用邮件设置...
- ››IIS短文件和文件夹泄漏漏洞的分析
- ››IIS .net 网站打不开 http:404 出错
- ››IIS上asp.net网站无法访问(错误:服务器应用程序不...
- ››Microsoft Office2007Open XML 格式的术语表
- ››IIS+PHP配置图文详解
中查找“Microsoft IIS 真的如此「不安全」吗?(2)”更多相关内容
中查找“Microsoft IIS 真的如此「不安全」吗?(2)”更多相关内容更多精彩
赞助商链接
