Internet信息服务的安全机制建立在Windows 2000安全机制之上,因此实现了公司服务器的Internet信息服务的安全性。Web服务器的安全措施可以降低或消除各种安全威胁。例如,怀有恶意的个人意外获准访问限制信息,以及无意中更改重要文件。
9.3.1 IIS安全概述
在Windows 2000中,有多种方法增强在Intranet或Internet上发布信息的计算机的安全性。参照下面内容可以确定是否可提高安全性。
1. Windows安全
IIS的安全功能是建立在Windows安全功能之上的。Windows中的文件系统、用户账户和服务等设置将有助于IIS的安全。
在文件系统方面,IIS中的目录使用NTFS,要比使用FAT系统更安全。对于可执行文件还应存储在单独的NTFS目录中,这样便于指定访问权限和审核。在默认情况下,Windows创建新文件夹时,将“完全控制”权限指定给“Everyone”组,这将对共享文件夹构成极大的威胁,所以用户应该查看并调整该权限。另外,当Windows创建新的共享资源时,也将“完全控制”权限指定给“Everyone”组,用户也必须检查网络驱动器的NTFS权限,以免设置的权限过高。
在用户账户方面,应经常进行查看,确保不是由有效管理员创建的新账户,还应检查指派给IUSRcomputername账户的权限,所有能够匿名访问站点的用户都具有指派给IUSRcomputername账户的权限。在设置用户账户密码时,应选择复杂密码。例如,密码由大小写字母、数字和特殊字符组合而成,则很难被破译。作为IIS系统的管理员,不但要维护严格的账户策略和限制管理员组的成员,还要安全地设置管理员密码,并要经常修改密码,以免密码被盗用。
除了文件系统和用户账户外,还有一些Windows安全选项影响IIS系统的安全。系统的每一个服务都可能成为恶意攻击的入口,因此,在服务器上应运行最少的服务,对于那些不是十分必要的服务要及时停止或删除。在远程管理中,往往需要交换敏感信息,如管理员账户和密码,如果不使用安全套接字层(SSL)进行加密,则信息很容易被别人获取。当然,定期检查病毒以及备份重要文件和注册表,是Windows安全和IIS安全的基础,这可减少系统因被攻击而造成的损失。
2. Internet 信息服务安全
Windows安全是Internet 信息服务安全的基本保证,但是IIS本身的安全措施可以为Web站点提供前沿保护,这些措施包括验证和Web权限等。
IIS要求每一个站点或目录都使用客户端能够支持的最安全的验证形式。例如,集成的Windows验证和“数字”验证就比“基本”验证安全。当然,证书验证是IIS中最安全的验证形式,它允许用户使用“一对一映射”与“多对一映射”两个方法将客户证书映射到Windows用户账户。
验证可以阻止非法用户对站点的访问,但不能阻止正常用户对站点或目录的破坏,因此,要想有效地维护站点安全,应设置Web权限。设置Web权限首先要对站点的主目录和虚拟目录进行访问许可设置,包括“读”、“脚本”、“执行”和“写”等。例如,如果Web站点仅用于查看信息,则只需指派“读”权限;如果目录或站点包含ASP应用程序,则只需指派“脚本”权限,而不是“脚本”和“执行”权限。另外,还要利用权限向导进行权限设置,利用匿名账户进行匿名访问控制,以及根据网络的攻击来源进行IP地址和域名限制。
3. 计算机和人员安全
在Internet信息服务的安全管理中,Windows安全设置和IIS安全措施主要是从软件的角度并针对访问者来规划的。实际上,计算机和人员安全也是服务器管理员应该考虑的问题。计算机和人员安全主要涉及到以下几个方面:
● 用户离开计算机前,应按快捷键Ctrl+Alt+Delete,然后选择“锁定计算机”按钮,来锁定桌面。
● 使用带密码保护的屏幕保护程序,而且延迟时间应很短,以确保没有人能够在您离开很短的时间内使用计算机。屏幕保护程序应该设置为空,因为动画屏幕保护程序会降低服务器性能。
● 将计算机锁定在安全的房间,以减少危险人物的直接访问机会和物理地破坏。
● 如果需要多名管理员管理系统,应为具有管理员权限的每个人指派明显不同的用户账户和密码,这将易于跟踪所做的任何更改。
● 要降低用户账户信息受到危害的可能性,应定期为具有管理员或其他高级权限的人员指派新账户。
● 尽快删除无用的账户,这样可防止离职人员或供应商访问网络。
9.3.2 设置用户访问权限
在IIS中,权限设置是服务器安全的重要措施,它可以调整Windows安全(Windows 2000目录和文件的权限)与IIS安全之间的关系,同步化它们的权限设置,并可以检查站点和目录已经应用的设置项目,包括验证方法、访问许可、IP地址限制和文件ACL将不能被修改等。
 进行权限设置的操作步骤如下:
(1) 打开“Internet信息服务”控制台窗口,在控制台目录树中展开服务器节点。右击要进行权限设置的站点或目录,例如,“默认Web站点”节点,从弹出的快捷菜单中选择“所有任务”→“权限向导”命令,打开“权限向导”对话框。
(2) 单击“下一步”按钮,打开“安全设置”对话框,如图9-21所示。如果要从父站点或者虚拟目录继承安全性设置,则应选择“继承所有的安全设置”单选按钮;如果需要选取新的安全性设置,则应选择“请从模板选取新的安全设置”单选按钮。
图9-21 安全设置对话框
(3) 单击“下一步”按钮,打开“Windows 目录和文件权限”对话框,如图9-22所示。如果要保持Windows 目录和文件权限,则应选择“保持目录和文件权限”单选按钮;如果要保持原来Windows 目录和文件权限,并加入新设置的权限,则应选择“原封不动地保持当前的目录和文件许可配置,并加入推荐的许可权限”单选按钮。这里选择“推荐:替换全部的目录和文件访问权限”单选按钮,以新设置的权限替换原有的目录和文件权限。
(4) 单击“下一步”按钮,打开“安全摘要”对话框,在设置列表框中列出了所有要应用的设置,如验证方法、访问许可和IP地址限制等。
(5) 单击“下一步”按钮,打开“您已成功地完成IIS5.0权限向导”对话框,单击“完成”按钮,完成设置。
图9-22 Windows目录和文件权限对话框 |
