因為IIS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務器軟件之一。但是,IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器,是很多人關心的話題。
構造一個安全系統
要創建一個安全可靠的Web服務器,必須要實現Windows 2000和IIS的雙重安全,因為IIS的用戶同時也是Windows 2000的用戶,并且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制,所以保護IIS安全的第一步就是確保Windows 2000操作系統的安全:
1. 使用NTFS文件系統,以便對文件和目錄進行管理。
2. 關閉默認共享
打開注冊表編輯器,展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項,添加鍵值AutoShareServer,類型為REG_DWORD,值為0。 這樣就可以徹底關閉“默認共享”。
3. 修改共享權限
建立新的共享后立即修改Everyone的缺省權限,不讓Web服務器訪問者得到不必要的權限。
4. 為系統管理員賬號更名,避免非法用戶攻擊。
鼠標右擊[我的電腦]→[管理]→啟動“計算機管理”程序,在“本地用戶和組”中,鼠標右擊“管理員賬號(Administrator)”→選擇“重命名”,將管理員賬號修改為一個很普通的用戶名。
5. 禁用TCP/IP 上的NetBIOS
鼠標右擊桌面上[網絡鄰居] →[屬性] →[本地連接] →[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[WINS],選中下側的“禁用TCP/IP上的NetBIOS”一項即可解除TCP/IP上的NetBIOS。
6. TCP/IP上對進站連接進行控制
鼠標右擊桌面上[網絡鄰居] →[屬性] →[本地連接] →[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,只填入80端口。
7. 修改注冊表,減小拒絕服務攻擊的風險?! ?
打開注冊表:將HKLMSystem
CurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2,使連接對超時的響應更快。