iis的安全设置过程宣贯.pdfVIP

IIS 的安全设置 没有任何系统是 100% 安全的， 系统漏洞会不断地发现，这是因为黑客和系统管理员一 样也在整天看着新闻组，收集着这方面的信息。黑与反黑之间的战斗会永远进行下去。 如果你采用 IIS 的省缺设置， 那你在这场较量中就已经处于下风。 Windows NT 省缺下 被安装为一个开放的服务器， 即使是菜鸟 hacker 也能得手。但只要你做下面几个简单步骤， 情况就会有很大改善。 虽不敢说攻无不克， 至少可以保护你的数据不象小克的拉链门一样世 人皆知。 一个安全的系统要有多层保护。一般的计算机系统有三层保护，物理层，网络层，文件 系统。物理层就是保护好计算机硬件本身，硬盘，软盘不被偷走，这就不用我多说了。网络 层是要保护与 Internet 和本地 LAN 的网络连接，主要是靠防火墙和端口的存取权限设置。 最里面的是文件系统，这也是大多数攻击的目标。下面我们主要也就讲这方面。 省缺设置的问题 NT 省缺设置成一个开放系统，文件系统是几乎完全没有安全设置的，网络上的任何用 户都可以读写删除其中的文件。这主要原因是 NT 中大量使用了 Everyone 组（更可怕是 省缺给 full 权限），理论上，地球上任何用户都属于 everyone 组。相比之下， NetWare 就设置为一个封闭的系统， 安全性就好很多。 为什么 Microsoft 要做这种蠢事？原因可能是 给最大权限可以减少许多因为权限问题带来的技术支持电话吧。（是这样吗？） IIS 同样也有很多问题。 安装 IIS 时，系统建立一个前缀是 IWAM_ （早期版本是 IUSR_) 的帐户， 该帐户属于 Guest 组，能够存取 Guest 组和 Everyone 组权限下的所有文件。 在 省缺安装下， 90% 的系统文件可以被该用户访问。 看来解决方法就是删除所有的 everyone 组权限了，但实际上这样做行不通。因为 IIS 不仅要存取 HTML 文件，还会调用 Script 和 ActiveX 控件，还涉及到 DLL 的执行，全部 取消 Everyone 组权限会使系统出现这样那样的问题。所以要使用一些系统安全工具来一 步步做。 系统安全工具 熟悉以下 NT 系统自带的安全工具是很重要的： User Manager （usrmgr.exe) IIS 4.0: Microsoft management console (MMC.EXE) IIS 3.0: Internet service manager (INETMGR.EXE) Registry editor (REGEDT32.EXE) ( 介绍省略，不相信你没用过） Command line ACL editor (CACLS.EXE) 这个工具可能知道的人不多，也是 NT 自带，用于管理 access control list(ACL) 。 Control panel, system applet 该工具用于管理系统环境变量。 步骤一：使用专用的 Web 组 1 用 user manager 建立一个名为 WWW 的本地组 2 将 IWAM_ 账号从 Guests 组中删除，加入 WWW 组 3 赋予 WWW 组 “access this computer from the network 权限，让” IIS 能执行一个 本地登录操作 4 重起 WWW 服务 5 在 Web 根目录下执行命令行操作： CACLS DIR*.* /T /E /C /G WWW:R 参数 Meaning DIR*.* Web 根目录。在 With IIS 4.0 中通常是 C:InetpubWWWRoot. /T 作用于所有的目录和子目录 /E