2024年4月11日发(作者:)

IIS7.0安全性配置研究

摘要 IIS和APACHE是当今两大主流的WEB信息发布服务平台,而对于WINDOWS

系统的用户来说,微软的IIS系统成为配置WEB信息发布平台的首选。本文从个人实践出

发,以IIS7.0为例,详细论述了IIS安全性设置中的相关问题。

关键词 计算机技术;IIS;安全性设置

IIS和APACHE是当今两大主流的WEB信息发布服务平台,而对于WINDOWS系统

的用户来说,微软的IIS系统成为配置WEB信息发布平台的首选。虽然微软针对IIS应用

平台发布了若干补丁文件,但网络上流行的IIS漏洞还是层出不穷,作为IIS用户来讲,做

好安全性设置成为保证服务器正常运行的首要条件。

1 IIS概述

IIS是Internet Information Services的缩写,它的应用可以使服务器进行WWW服

务。其中包含了Gopher server和FTP server。我们利用IIS可以发布静态网页,同时对

ASP、JAVA、VBscript页面进行支持,还有其它一些扩展功能。我们后面的讲述,将以版

本IIS7.0为例。

2 IIS安全性设置

要创建一个安全可靠的Web服务器,必须要实现Windows系统和IIS的双重安全。

攻击者往往从网站漏洞入手,获取网站控制权,然后通过提权,逐步控制服务器。针对攻

击者采用的手段和方法,我们进行相应的IIS及相关安全设置,可以起到较好的防范效果。

下面是根据实践经验得到的几个比较有效的方法。

2.1 端口的安全设置

端口是计算机和网络进行通讯的通道,做好端口安全设置是进行IIS安全设置的基础。

我们在架设IIS服务器时,首先要分析本服务器的应用,保留将要使用的端口,关闭不用的

端口。例如:如果我们仅仅进行静态网页发布,只保留80端口就可以了;但如果网站有

mssql数据库的支持,那么还要开放1433端口;如果现时架设FTP服务器,那就要再保

留21端口。端口的配置方法如下:

第一,通过配置windows系统防火墙实现端口安全配置。我们以windows server

2008系统为例说明仅保留80端口的设置方法。

首先打开windows系统防火墙,单击“更改设置”。在打开的“Windows防火墙设

置”对话框的“例外”选项卡中,分别选择“安全万维网服务(HTTPS)”、“核心网络”、

“万维网服务”三项内容,单击确定。这样就自动开启80端口而其它端口将被关闭。

如果要添加其它端口,可以点击“添加端口”按钮进行添加。

2.2 驱动器及文件夹权限的设置

作为一个网站服务器,自身的安全只是一个方面,而网站文件的安全性隐患服务器是

无法进行防范的,比如从理论上讲IIS服务器不能阻止ASP类木马运行,这是因为ASP木

马本身是一个合法的web文档。这就要求我们做好与IIS相关的驱动器和文件夹权限的设

置。一旦网站被攻击,保证操作系统及网站文件之外的其它文件不受影响。本人通过实践

验证,通过系统用户设定,结合IIS7.0的身份验证机制可以有效地进行网站文件的隔离,

具体操作如下:

第一,打开服务器各驱动器的属性对话框,在安全选项卡中设置系统驱动器及其它驱

动器的权限,仅保留administrators组、SYSTEM及CREATOR OWNER用户对驱动器的

完全控制权限。

第二,设置网站访问用户。我们打开“控制面板-管理工具-本地用户和组-用户“,添

加一个users组的用户silx。

第三,设置网站所在文件夹的权限,除文件夹继承驱动器的权限外,在文件夹属性的

安全选项卡中,添加用户sjlx,并将新建用户sjlx的权限设为完全控制。

第四,设置网站的IIS身份认证。在网站的IIS身份认证中将网站访问的匿名用户设置

为sjlx。同时设置网站的应用程序池,应用程序池高级设置中将应用程序池标识设置为sjlx。

通过以上设置,如果网站受到攻击,比如被植入了asp木马,因为网站的匿名用户是

sjlx,而这个用户仅对该网站的文件具备权限,入侵者就不能更改系统和其它文件,从而将

危险性降至最低。

2.3 设置网站的ipv4地址和域限制

如果网站仅对部分用户开放,我们就可以把网站的访问用户范围缩小,从而进一步增

强IIS的安全性。通过设置网站的ipv4地址和域限制可以实现这一目的。比如我们仅允许

222.1.84.1-222.1.84.254 IP段的用户进行网站的访问,可以进行如下设置:

在网站的功能视图中,打开该网站的ipv4地址和域限制,然后点击“添加允许条目”,

在打开的“添加允许奴隶制规则”对话框中,输入允许的IP地址范围。

2.4 网站文件夹的安全设置

目前,网站的安全受木马攻击的威胁最大,攻击者往往利用网站的注入漏洞或者上传

文件过滤不严的漏洞进行木马的植入,其中上传漏洞是存在最为广泛的漏洞,很容易被攻

击者检测和利用,针对这个漏洞,我们只需在IIS设置中,将上传文件夹的执行权限去掉,

那么即使木马上传到网站,也不能运行,从而保护了网站的安全,设置方法如下:

从IIS面板左侧选中需要设置的文件夹uploadfiles,然后从右侧管理视图中点击“处

理程序映射”图标,进入网站程序映射设置,然后点击“编辑功能权限”,对该上传文件

夹只保留读取权限,单击“确定”即可。

通过以上设置,我们可以有效防止常规性的网络攻击,使我们的网站更加安全,当然

在使用IIS平台的过程中,我们还要定期结合网站的访问日志进行安全性分析,充分利用

IIS 的相关安全设置来保护我们的网站安全。

参考文献

[1][美]谢菲尔.IIS7开发与管理完全参考手册[M].北京:清华大学出版社,2009.

[2][黎巴嫩]Bilal Haidar.开发安全可靠的 3.5应用程序——涵盖C#和

[M].北京:清华大学出版社,2011.