Windows系統下web站點安全的常用設置和技巧

摘要：通常Web站點的設計目標都是以最易接受的方式，為訪問者提供即時的信息訪問。然而，越來越多的黑客、病毒和蠕蟲帶來的安全問題嚴重影響了網站的可訪問性。服務器系統的安全沒有設置好，信息服務(IIS)的權限沒有設置好，黑客就有可乘之機，網站經常被掛馬。本文就站點服務器和IIS的安全設置做歸納和總結。

關鍵詞：站點服務器；IIS安全設置；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712 (2012) 16-0042-02

一、設置安全服務器

（一）系統盤和站點放置盤（包括所以盤符）必須設置為NTFS格式，方便設置權限，系統盤和站點放置盤除administrators和system的用戶權限全部去除。

（二）啟用windows自帶防火墻，暫只保留有用的端口，如：遠程（80）、Ftp（21）、遠程桌面（3389）等。

（三）安裝好SQL后進入目錄搜索xplog70然后將找到的三個文件改名或者刪除。

（四）更改sa密碼為超長密碼，在任何情況下都不要用sa這個帳戶。

（五）改名系統默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，并去掉所有用戶組.(就是在用戶組那里設置為空即可.讓這個帳號不屬于任何用戶組)同樣改名禁用掉Guest用戶。

（六）配置帳戶鎖定策略(在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時間30分鐘”，“復位鎖定計數設為30分鐘”。)

（七）在安全設置里，本地策略-安全選項將“網絡訪問：可匿名訪問的共享”、“網絡訪問：可匿名訪問的命名管道”、“網絡訪問：可遠程訪問的注冊表路徑”、“網絡訪問：可遠程訪問的注冊表路徑和子路徑”以上四項清空。

（八）在安全設置里，本地策略-安全選項：用戶權利指派通過終端服務拒絕登陸加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示機器名，注意不要添加進user組和administrators組，添加進去以后就沒有辦法遠程登陸了。)

（十）更改本地安全策略的審核策略。審核策略更改－成功失敗，審核登錄事件－成功失敗，審核對象訪問－失敗，審核過程跟蹤－無審核，審核目錄服務訪問－失敗，審核特權使用－失敗，審核系統事件－成功失敗，審核賬戶登錄事件－成功失敗，審核賬戶管理－成功失敗。

二、保護IIS的技巧

（一）移除缺省的Web站點。很多攻擊者瞄準inetpub這個文件夾，并在里面放置一些偷襲工具，從而造成服務器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將缺省的站點禁用。

（二）卸載不需要FTP和SMTP服務。進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設計滿足簡單讀/寫訪問的，如果你執行身份認證，你會發現你的用戶名和密碼都是通過明文的形式在網絡上傳播的。SMTP是另一種允許到文件夾的寫權限的服務。通過禁用這兩項服務，你能避免更多的黑客攻擊。

（三）減少、排除Web服務器上的共享。如果網絡管理員是唯一擁有Web服務器寫權限的人，就沒有理由讓任何共享存在。共享是對黑客最大的誘惑。利用\\\\命令尋找Everyone/完全控制權限的共享。

（四）檢查*.bat和*.exe文件，在這些破壞性的文件中，也許有一些是*.reg文件。如果你右擊并選擇編輯，可以發現黑客已經制造并能讓他們能進入你系統的注冊表文件。登陸你的Web服務器并在命令行下運行netstat-an。觀察有多少IP地址正嘗試和你的端口建立連接，檢查IIS服務器上的服務列表并保持盡量少的服務，明確哪個服務應該存在，哪個服務不應該存在。

（五）管理用戶賬戶。安裝IIS后，可能產生了一個TSInternetUser賬戶。除非真正需要這個賬戶，否則你應該禁用它。這個用戶很容易被滲透，是黑客們的顯著目標。為了幫助管理用戶賬戶，確定你的本地安全策略沒有問題，IUSR用戶的權限也應該盡可能的小。如果你經常察看異常數據庫，你能在任何時候找到服務器的脆弱點。

四、結論

本文提出了適合于二路胖樹的多區域位串編碼方法。該方法利于路由信息的計算，并且具有良好的可擴展性，是一種良好的編碼方法。

參考文獻：

[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems，”ICPP 1995:8-15.

[2]Rajeev Sivaram，Ram Kesavan，Dhabaleswar K.Panda，Craig B.Stunkel， “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP，1998.

[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture，1991:116-124

[4]孫圣.“二路胖樹對蟲孔交換樹型組播的支持特性”.第9界計算機工程與工藝年會。