淺析Web服務器安全策略

【摘要】目前Web服務器應用非常廣泛，人們利用它能夠快速方便地獲取豐富的信息資料。但隨著網絡技術的高速發展，Web服務器面臨著許多安全威脅，導致黑客攻擊、蠕蟲病毒等，因此，提高安全策略尤為重要。本文將闡述從服務器和IIS設置兩個方面入手來加強服務器的安全防護。

【關鍵詞】Web；IIS；服務器；安全策略

1引言

Web服務器的正常運轉是一個單位或企業進行正常辦公的重要保證， 隨著網絡技術的不斷發展，Web服務器面臨著許多安全威脅，常見的安全漏洞譬如盜用賬號、緩沖區溢出、黑客攻擊、蠕蟲病毒以及木馬等，直接影響到Web服務器的安全。因此對Web服務器的安全維護需要從多方面考慮，提高安全策略防患于未然。

2加強服務器的安全設置

2.1開啟防火墻，關閉不需要的端口

開啟系統自帶的防火墻，能有效屏蔽無用的端口。關閉默認開啟的無用端口，開啟需要的端口。一般情況下只需要開啟遠程桌面連接、FTP、數據庫連接、網站默認端口端口。

2.2修改遠程桌面連接默認端口

將默認端口3389改為其他，在注冊表中修改兩項內容，HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/ CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/ TCP和HKEY_LOCAL_MACHINE/SYSTEM/CUR RENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/中PortNumber鍵值，并在防火墻啟用此端口。

2.3關閉不需要的服務

關閉不需要的服務，降低系統資源的損耗，提高系統的安全性。有些默認開啟的服務，比如TCP/IPNetBIOS Helper、Server、Computer Browser等，在Web服務器中一般不會用到，所以根據自身需求關閉此類服務。

2.4磁盤權限的設置

根據分區和系統盤分區的權限設置：給予根分區administrator和system完全控制權限； c：＼Documents and Settings 目錄給予administrators和system用戶全部權限，users用戶給予讀取和運行、列出文件夾目錄權限；C：＼Program Files 目錄給予administrators和system用戶全部權限， IIS_WPG用戶給予讀取和運行、列出文件夾目錄權限，users和TERMINAL SERVER USER用戶給予修改權限；刪除c：＼inetpub目錄，刪除iis不必要的映射。

數據備份盤權限設置，最好只指定一個特定的用戶對其有完全操作的權限。

網站權限設置，假設網站在e：＼www目錄下，此目錄給予administrators、system和service用戶全部權限。

其它地方的權限設置，找到系統盤的以下所列文件， net.exe；cmd.exe；tftp.exe；netstat.exe；regedit.exe；at.exe；attrib.exe；cacls.exe；format.com，將這些文件安全性設置只有管理員Administrators 和system有完全操作權限，刪除其他用戶。

2.5用戶安全設置

Administrator賬號改名， 管理員賬號會經常被黑客攻擊企圖破解密碼，我們把它偽裝成普通用戶，創建一個Administrator陷阱用戶，權限設置為最低，并且加上復雜的密碼，造成對黑客的困惑和干擾；禁用Guest賬號；限制不必要的用戶，去掉所有的Duplicate User用戶、測試用戶、共享用戶等；用戶組策略設置相應權限，并且經常檢查系統的用戶，刪除已經不再使用的用戶，這些用戶很多時候都是黑客們入侵系統的突破口；禁止系統顯示上次登錄的用戶名，默認情況下，登錄對話框中會顯示上次登錄的用戶名，這樣很容易讓別人得到系統的用戶名而猜測密碼。

2.6刪除默認共享

系統安裝好以后，系統會創建一些隱藏的共享，我們運行命令net share查看，禁止這些共享，打開“管理工具”-“計算機管理”-“共享文件夾”-“共享”，選擇相應共享文件夾單擊右鍵，停止共享，但是服務器重新啟動后，這些共享又會重新開啟。因此需要修改注冊表取消默認共享， 在注冊表中將HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Lanman Server＼ Parameters： AutoShareServer的REG_DWORD 值改為0 。

2.7密碼安全設置

提高密碼安全性，一般管理員創建賬號的時候習慣于用單位、計算機名做用戶名，密碼設置又太簡單，很容易破解，所以需要注意密碼的復雜性，定期改密碼；設置屏幕保護密碼，能防止內部人員破壞服務器；開啟密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次等。

2.8安裝防毒軟件

安全的服務器需要安裝殺毒軟件，并且要經常升級病毒庫。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，使得系統更加穩定。

3加強服務器Web服務IIS的安全設置

3.1IIS安全安裝

首先IIS需要安裝在非系統分區上。在默認情況下，IIS與操作系統安裝在同一個分區中，這是一個潛在的安全隱患，一旦入侵者繞過了IIS的安全機制，就有可能入侵到系統分區，所以需要將IIS安裝到其他分區，即便入侵者能繞過IIS的安全機制，也很難訪問到系統分區；其次在安裝時修改IIS的默認路徑，IIS的默認安裝的路徑是＼inetpub，Web服務的頁面路徑是＼inetpub＼wwwroot，這是任何一個熟悉IIS的人都知道的，當然這些人中包括了入侵者，所以需要更改成其他路徑；最后需要及時打好IIS的補丁，它就會成為一個比較安全的服務器平臺，能為我們提供安全穩定的服務。endprint

3.2刪除不需要的IIS組件和示例

IIS默認安裝后有些不需要的多余的組件會造成安全威脅，需要從系統中刪除，降低隱患。比如Internet服務管理器（HTML）組件，它是基于Web 的IIS服務器管理頁面，一般情況下不會通過Web進行管理，可以卸載它；SMTP Service和NNTP Service組件，這兩個組件是用來轉發郵件和提供新聞組服務的，不需要這個功能可以刪除；樣本頁面和腳本，這些樣本可被用來從Internet上執行應用程序和瀏覽服務器，建議刪除；IIS安裝完成后在wwwroot下默認生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄里存放的是用來示范安裝和應用該技術的示例應用程序，沒有多少實際的作用，反而會讓黑客利用存放的位置發動惡意攻擊，所以可以直接刪除。

3.3刪除無用映射

在默認狀態下，IIS服務器會自動創建十幾種應用程序的映射關系，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、等，通過這些程序映射，IIS就能知道對于什么樣的文件該調用什么樣的動態鏈接庫文件來進行解析處理。可事實上，許多Web網站僅僅用到asp這個應用程序映射，其他應用程序映射幾乎沒有任何作用；如果將這些用不著的映射保留在Web服務器中，很容易出現緩存溢出問題，入侵者就可以利用緩存溢出獲得系統的權限。為此，只需將Web網站使用到的幾個應用程序映射保留下來，其他無用映射及時刪除。

3.4關閉父路徑

在IIS應用程序配置中如果啟用父路徑瀏覽，意味著允許別人在調用MapPath功能時使用“..”瀏覽系統文件 ，它能讓黑客訪問那些不想讓他們訪問的目錄，所以禁用它將是明智之舉。

3.5啟用日志功能

日志是系統安全策略的一個重要環節，用日志可以來記錄IIS收到的HTTP請求，使我們能夠驗證服務器在任意給定的時間干什么事情，包括我們設置好的安全方案正在如何運轉等，因此啟用日志記錄并確保日志的安全能有效提高系統整體安全性。我們啟動IIS MMC，并單擊Web站點或者想要啟用日志記錄的虛擬目錄，然后右擊目錄節點并且選擇“屬性”選項，打開對應的屬性對話框。在Web site標簽內啟用“啟用日志記錄”復選框。在啟用日志記錄時選擇W3C擴展日志格式，這種日志格式，會在每天記錄客戶IP地址、用戶名、服務器端口、方法、URI字根、HTTP狀態、用戶代理等，當IIS服務器受到安全威脅時，可以利用日志文件對細節執行排疑式審查， IIS服務器發生故障后也可以利用這個日志文件所記錄的信息來檢查維護過程并識別系統中的問題，所以說日志記錄在排障時顯得尤為重要。

除了啟用日志記錄以外，還需要對日志文件進行安全設置。默認情況下，IIS的日志存放在%WinDir%＼System32＼ LogFiles，日志文件會提供所有發向IIS請求的消息，IIS日志文件可能會受到攻擊，或者黑客有可能試圖刪除IIS日志文件以便隱藏他們一起在搞的破壞，因此需要修改IIS日志的存放路徑，并且還要修改日志訪問權限，設置只有管理員才能訪問。

3.6IIS權限設置

IIS服務器的權限設置有兩個地方，一個是 NTFS 文件系統本身的權限設置，另一個是 IIS管理器中。這兩個地方是密切相關的。ASP、PHP、ASP.NET 程序所在目錄的權限設置：一般不要打開主目錄的寫入、腳本資源訪問，純腳本和可執行程序權限，只需選擇純腳本就可以了，文件夾不要啟用Web共享；上傳目錄的權限設置：上傳目錄的權限設置：一般asp.php等程序都有上傳目錄，它們繼承了上一層目錄的屬性，可以運行腳本，我們需要將這些目錄的純腳本權限取消；Access 數據庫所在目錄的權限設置：Internet 來賓賬號或 IIS_WPG 組賬號的權限可讀可寫，那么Access所在目錄或者文件的讀取、寫入權限都取消掉，就可以防止被人下載或篡改了；其它目錄的權限設置：在網站下可能有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等，這些目錄只需要設置讀取權限，執行權限取消。

3.7IP地址的控制

IIS可以設置允許或拒絕從特定IP發來的服務請求，有選擇地允許特定節點的用戶訪問服務，對于Web服務器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網站的用戶屏蔽掉，這就需要添加授權訪問或者限制訪問網站的IP地址，實現讓目標用戶訪問。

3.8啟用SSL安全機制

IIS有一種安全性很高的認證，即通過SSL（Security Socket Layer）安全機制使用數字證書。SSL（加密套接字協議層）位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數字證書與公共密鑰一并發送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個惟一的安全通道。

參考文獻

[1] 張振東，鮮坤林. Windows Server 2003 Web 服務器安全設置初探[M].遼寧農業職業技術學院學報，2010，（6）.

[2] 許順雄.加強IIS的安全管理確保Web服務器安全 [M].科技情報開發與經濟，2006，（5）.

[3] 佘學兵，傅蕾.Windows Server 2003 的安全性實現[M].科技廣場，2008，（5）.

作者簡介：

馬玉芳 （1975-），女，撒拉族，碩士，青海民族大學計算機學院，教師，實驗師；主要研究方向和關注領域：網絡技術與計算機應用。endprint