Windows服务器中Web服务的安全配置

由于Windows服务器操作系统继承了Windows桌面操作系统友好的用户界面，同时具有配置简单、使用方便的优点，在服务器操作系统市场内占有率很高。Web服务是Windows服务器内应用最为广泛的一种服务，该组件在Windows系统内称为InternetInformationServices，简称IIS。IIS经过简单配置即可快速发布网站，但由于目前互联网上恶意软件和人为的增加，使用默认配置的IIS极易被攻破，这就需要我们针对IIS进行一些安全设置，提升系统的安全性。

　　由于Windows服务器操作系统继承了Windows桌面操作系统友好的用户界面，同时具有配置简单、使用方便的优点，在服务器操作系统市场内占有率很高。Web服务是Windows服务器内应用最为广泛的一种服务，该组件在Windows系统内称为InternetInformationServices，简称IIS。IIS经过简单配置即可快速发布网站，但由于目前互联网上恶意软件和人为的增加，使用默认配置的IIS极易被攻破，这就需要我们针对IIS进行一些安全设置，提升系统的安全性。

　　一、Windows系统安全配置

　　IIS是Windows系统的一个组件，因此，Windows操作系统是IIS的安全基础，操作系统安装完成后应做如下配置：

　　1．文件系统的配置

　　把Windows目录、Web目录和日志目录放在不同的分区下，并且设置好各个分区的用户访问权限。操作系统分区和日志分区仅允许administrators和system用户完全控制，Web目录允许iuser_computemame用户读取和运行。如果要发布的网站没有上传之类的写权限要求，尽量不要给iuser__computemame用户写入的权限；如果确实需要写操作，应单独创建目录供iuser_computemame用户写入，不要和网站代码放在同一目录下。对于Everyone这个用户，尽量不要给予它任何权限。

　　2．用户系统的配置

　　administrators用户组内最好仅使用一个管理员用户，并且把默认的administrator这个用户名改成其他不易猜到的名字，密码不得少于14位，且密码内须包含数字、大小写字母和字符等。同时，还要使用组策略编辑器(gpedit.msc)，修改账户策略，账户锁定时间定义为30分钟，锁定阀值改为5次，重置账户锁定时间改为30分钟，防止者使用穷举法获取密码。同时，在组策略编辑器内把“显示上次登录用户名”这一功能关闭。

　　3．关闭默认共享

　　为了管理方便，在默认配置下，Windows系统把各个分区根目录都设置为可以通过共享访问。然而凡事有利就有弊，在默认共享方便管理的同时，也给服务器带来了安全隐患。如果知道了管理员账号和密码，那么任何人都可访问该服务器。因此，若无必要，最好去掉共享功能。方法是打开网络连接属性一TCP/IP协议一属性，把“Microsoft网络的文件和打印机共享”这一服务删掉。

　　4．Windows防火墙的配置

　　从Windows2003开始，Windows系统有了一个自带的防火墙软件。我们可以根据服务器需要实现的功能，打开必要的TCP/UDP端口，如Web服务对应80端口、SMTP服务对应25端口，其他不用的端口(如常常被的139、445端口等)应全部关闭。管理员如需在局域网内对服务器进行远程管理，可在防火墙上打开3389端口，将访问者的IP范围定义为“子网”，从而过滤掉来自互联网的。

　　服务器安全设置5．审核策略的配置

　　审核功能就像Windows的器，可通过该功能了解服务器的运行状况，并根据这些信息来提前发现针对服务器的或者服务器运行中的问题。基于文件的审核，可以对任件的修改、运行、删除等行为进行记录；基于账户的审核，可以记录系统账户在日常运行中发生的登录行为、使用行为。

　　二、IIS的安全配置

　　Windows配置完成之后，我们就可以开始对IIS进行配置。默认配置的IIS安全性很低，直接拿来用的话很容易被攻破。

　　1．删除IIS的默认网站目录

　　IIS安装后会自动生成两个站点——默认Web站点和管理Web站点，其中，管理Web站点性最大。微软为了管理方便，在其中加入了很多通过Web远程管理的功能。由于目前远程桌面使用更方便、功能更强大，Web管理就没有多大使用价值了，因此，最好整个站点删除。另外要注意的是，尽管虚拟的站点删除了，但系统分区上的相应文件还存在，最好一并删除，以减少被利用的隐患。需要删除的文件如下：

　　%SystemRoot%\help\iishelp

　　%SystemRoot%\system32\inetsrv\iisadmin

　　C:\\ProgramFiles\CommonFiles\System\msadc\%SystemRoot%\inetpub

　　2．删除不必要的IIS映射和扩展

　　IIS在默认安装时，被配置为支持常用的文件名扩展，如asp和shtm文件。IIS接收到这些类型的文件请求时，调用相应的DLL文件进行处理。如果不需要其中的某些扩展或功能，则应删除该映射，一般不常用的映射是．htw，．htr,．idc，．ida,．idq和．printer，如果不使用serversideinclude，则．shtm,．stm和。shtml也一起删除。

　　3．禁用父径

　　“父径”选项允许在对诸如MapPath函数调用中使用“．．”访问上一层目录。在默认情况下，该选项处于启用状态，如不禁用的话，恶意程序就可以通过该方法访问到整个分区内的所有文件，同一分区内其他站点的安全。程序员在开发程序时也要注意这一点，不要使用多层目录调用，否则，禁用该选项将导致该程序无法正常运行。

　　4．针对不同功能的目录，设置相应的访问控制权限

　　网站使用的各种文件按照功能应配置不同的访问权限，对静态页面不要分配“脚本和可执行文件”权限，脚本文件给个“纯脚本”权限就足够了。如网站有上能，对于存储上传文件目录，执行权限设置为“无”最安全，即使者上传了脚本木马，没有执行权限也无法运行。

　　5．关闭详细错误提示功能

　　为方便程序调试，Windows系统有一个“向客户端返回详细出错信息”的功能，而且这一功能是默认的，给SQL注入打开了后门。者根据程序返回的错误信息就可以看到诸如管理员密码这些关键数据，因此，这一功能必须关闭。关闭后，无论后台程序出什么错误，返回给客户端的都是一条简单的错误提示，不要为了调试代码方便就随意打开这一功能。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]