本文主要講述的是如何讓正確使用IIS建立一個(gè)高安全性能的服務(wù)器，如果你的電腦新安裝了WindowsNT4/Windows2000之后，并不是說(shuō)就可以直接用來(lái)作Internet服務(wù)器了。盡管微軟的補(bǔ)丁打了一大堆，但還是有些漏洞。

現(xiàn)在我們就簡(jiǎn)單的談一下如何使用IIS建立一個(gè)高安全性能的服務(wù)器。

一、 以Windows NT的安全機(jī)制為基礎(chǔ)

1)NT打SP6補(bǔ)丁、2K打SP2補(bǔ)丁。把磁盤(pán)的文件系統(tǒng)轉(zhuǎn)換成NTFS(安裝系統(tǒng)的分區(qū)可以在安裝系統(tǒng)的時(shí)候轉(zhuǎn)換，也可以安裝完系統(tǒng)以后，用工具轉(zhuǎn)換)。同時(shí)把使用權(quán)限里有關(guān)Everyone的寫(xiě)、修改的權(quán)限去掉，關(guān)鍵目錄：如Winnt\Repair連讀的權(quán)限也去掉。

2)共享權(quán)限的修改。在NT下到開(kāi)始菜單--》程序--》管理工具--》系統(tǒng)策略編輯器，然后打開(kāi)系統(tǒng)策略里文件菜單里的“打開(kāi)注冊(cè)表”修改其中的windows NT 網(wǎng)絡(luò)把其中勾去掉。 2K下可以寫(xiě)個(gè)net share c$ /delete的bat文件，放到機(jī)器的啟動(dòng)任務(wù)里。

3)為系統(tǒng)管理員賬號(hào)更名。同時(shí)把系統(tǒng)管理員的密碼改成強(qiáng)加密：密碼長(zhǎng)度在10位以上，并且密碼要包括數(shù)字、字母、!等各種字符。

4)廢止TCP/IP上的NetBIOS。通過(guò)網(wǎng)絡(luò)屬性的綁定選項(xiàng)，廢止NetBIOS與TCP/IP之間的綁定。

5)安裝其他服務(wù)。應(yīng)該盡量不在同臺(tái)服務(wù)器上安裝數(shù)據(jù)庫(kù)的別的服務(wù)，如果裝了的話，最主要一點(diǎn)是數(shù)據(jù)庫(kù)密碼不能跟系統(tǒng)的登陸密碼一樣。

二、 設(shè)置IIS的安全機(jī)制

1)解決IIS4以及之前的版本受到D.O.S攻擊會(huì)停止服務(wù)。 運(yùn)行Regedt32.exe 在：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters

增加一個(gè)值：Value Name: MaxClientRequestBuffer Data Type: REG_Dword 設(shè)置為十進(jìn)制，具體數(shù)值設(shè)置為你想設(shè)定的IIS允許接受的URL最大長(zhǎng)度。CNNS的設(shè)置為256。

2)刪除HTR腳本映射。

3)將IIS web server下的 /_vti_bin 目錄設(shè)置成禁止遠(yuǎn)程訪問(wèn)。

4)在IIS管理控制臺(tái)中，點(diǎn) web站點(diǎn)，屬性，選擇主目錄，配置(起始點(diǎn))，應(yīng)用程序映射，將htw與webhits.dll的映射刪除。

5)如果安裝的系統(tǒng)是2K的話，安裝Q256888_W2K_SP1_x86_en.EXE。

6)刪除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。

7)如果不需要使用Index Server，禁止或卸載該服務(wù)。 如果你使用了Index Server，請(qǐng)將包含敏感信息的目錄的“Index this resource”的選項(xiàng)禁止。

8)解決unicode漏洞： 2K安裝2kunicode.exe、NT安裝ntunicode86.exe。

經(jīng)過(guò)以上的設(shè)置之后,我還是不敢說(shuō)它就完全安全了,你可不要回去睡大覺(jué)呀!不過(guò)你可以放松一下了!

微軟的產(chǎn)品雖然好用,但是它的漏洞和同類(lèi)比起來(lái)是漏洞最多的一個(gè).作為一個(gè)網(wǎng)管要時(shí)刻的注意新漏洞的出現(xiàn),及時(shí)的采取相應(yīng)的措施,做到有備無(wú)患!

原文出自【比特網(wǎng)】，轉(zhuǎn)載請(qǐng)保留原文鏈接：http://sec.chinabyte.com/274/8711774.shtml