IIS安全机制漫谈

2024年4月11日发(作者：)

维普资讯

ＩＩＳ（Ｉｎｔｅｍｅｔ　Ｉｎｆｏｒｍａｔｉｏｎ　

口令的次数，但对系统管理员账号　机上将生成ＩＵＳＲ—Ｃｏｍｐｕｔｅｒｎａｍｅ　

Ｓｅｒｖｅｒ）作为当今流行的Ｗｅｂ服务　

（ａｄｍｉｎｓｔｒａｔｏｒ）却无法限制，这就可　匿名账户。该账户被添加到域用户　

器之一，提供了强大的Ｉｎｔｅｍｅｔ和　

能给非法用户攻击管理员账号口　

组中，从而把应用于域用户组的访　

Ｉｎｔｒａｎｅｔ服务功能。如何加强ＩＩＳ的　

令带来机会，通过域用户管理器对　问权限提供给访问Ｗｅｂ服务器的　

安全机制，建立高安全性能的可靠　

管理员账号更名不失为一种好办　

每个匿名用户，这不仅给ＩＩＳ带来　

的Ｗｅｂ服务器，已成为网络管理　法。具体设置方法如下：　潜在危险，而且还可能威胁整个域　

的重要组成部分。　

选择“开始”选单一“程序”一　

资源的安全。所以要尽可能避免把　

一

、

以Ｗｉｎｄｏｗｓ　２０００的安全　

启动“域用户管理器”一选中”管理　ＩＩＳ服务器安装在域控制器上，尤　

机制为基础。　

员账号（ａｄｍｉｎｓｔｒａｔｏｒ）“－＋选择”用　

其是主域控制器上。　

１、应用ＮＴＦＳ文件系统　

户”选单一“重命名”，对其进行修　２）避免安装在系统分区上　

ＮＴＦＳ文件系统可以对文件和　

改。　

把ＩＩＳ安装在系统分区上，会　

目录进行管理，ＦＡＴ文件系统则只　

４、取消ＴＣＰ／ＩＰ上的ＮｅｔＢＩＯＳ　

使系统文件与ＩＩＳ同样面临非法　

能提供共享级的安全，而Ｗｉｎｄｏｗｓ　

绑定　

访问，容易使非法用户侵入系统分　

ＮＴ的安全机制是建立在ＮＴＦＳ文　

ＮＴ系统管理员可以通过构造　区，所以应该避免将ＩＩＳ服务器安　

件系统之上的，所以在安装Ｗｉｎ—　目标站ＮｅｔＢＩＯＳ名与其ＩＰ地址之　装在系统分区上。　

ｄｏｗｓ　ＮＴ时最好使用ＮＴＦＳ文件　间的映像，对Ｉｎｔｅｒｎｅｔ或Ｉｎｔｒａｎｅｔ　

２、用户的安全性　

系统，否则将无法建立ＮＴ的安全　上的其他服务器进行管理，但非法　１）匿名用户访问权限的控制　

机制。　

用户也可从中找到可乘之机。如果　安装ＩＩＳ后产生的匿名用户　

２、共享权限的修改　

这种远程管理不是必须的，就应该　

ＩＵＳＲ

＿

Ｃｏｍｐｕｔｅｒｎａｍｅ（密码随机产　

在系统默认情况下，每建立一　立即取消（通过网络属性的绑定选　生），其匿名访问给Ｗｅｂ服务器带　

个新的共享，Ｅｖｅｒｙｏｎｅ用户就享　项，取消ＮｅｔＢＩＯＳ与ＴＣＰ／ＩＰ之间　来潜在的安全性问题，应对其权限　

有”完全控制　的共享权限，因此，　的绑定）。　加以控制。如无匿名访问需要，则　

在建立新的共享后应该立即修改　

二、设置ＩＩＳ的安全机制　可以取消Ｗｅｂ的匿名访问服务。　

Ｅｖｅｒｙｏｎｅ的缺省权限。　

１、安装时应注意的安全问题　

具体方法：　

３、为系统管理员账号更名　１）避免安装在主域控制器上　

选择“开始”选单一“程序”一　

域用户管理器虽可限制猜测　安装ＩＩＳ之后，在安装的计算　

“Ｍｉｃｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｅｒ（公用）”　

火箭，升空后在预定轨道上呈７５。　天气下很危险，尤其是要接触到能　可以使用电池供电的收音机；不要　

角飞行４ｋｍ左右坠毁；另一枚尚未　

够导电的金属和水时，以预防乃上　

打手机。　

进入发射状态，自行点火后只射出　策。养成观察天气和关注天气预报　

（２）要害部门　

１００ｍ左右就坠人大西洋，造成一　的习惯。如果看到高积云不断膨　

对要害部门、单位、地点，要安　

次严重的事故，在其它方面的表现　胀，天空迅速黯淡下来，应到室内　装防雷、避雷、消雷系统，雷雨天要　

则更多，甚至更严重。　

躲避。如果雷暴很厉害，闪电频繁，　关闭窗户，不要使用电话。　

、

防范　

而且比较近时，最好到地下室或房　（３）雷击现象　

在多雷电的季节要提高防范　子正中的房间避一避；远离可能导　

如果感到头发开始竖立，或听　

意识，加强防雷措施的研究。天气　

电的物体，比如管道、金属门框等；　

到雷声滚滚，很可能会遭到雷击，　

预报员在发布雷暴警报时，一定要　远离窗户；在雷暴期间不要洗浴。　

应该赶快蹲下来，弓身向前，两脚　

注意准确、可靠。　水容易导电，对于闪电，墙壁并非　并拢，双手放在膝盖上。不要平躺，　

（１）户外活动　

总能确保安全；不要靠近家用电　尽量使自己变小，将同地面的接触　

户外活动乐趣很多，但在雷电　器，如外接电源的收音机和电视，　降到最低。　

北京电子・４５・　

维普资讯

＿÷“Ｉｎｔｅｒｎｅｔ服务管理器”＿÷启动　

Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｍａｎ—　

ＷＷＷ目录中的文件；执行权限一　

允许用户运行ＷＷＷ目录下的程　

序和脚本。具体设置方法如下：　

Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｍａｎ—　

ａｇｅｒ一双击“ＷＷＷ”启动ＷＷＷ　

“协议”选项　

ａｇｅｒ　

务。　

双击“ＷＷＷ”启动ＷＷＷ　

服务属性页一选择

选择”。　

服务属性页一取消其匿名访问服　

２）控制一般用户访问权限　

可以通过使用数字与字母（包　

括大小写）结合的口令，使用长口　

令（一般应在６位以上），经常修改　

选择“开始”选单一“程序”～＋　

“Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｅｒ（公用）”　

卡一在ＴＣＰ／ＩＰ属性中去掉“路由　

８、ＳＳＬ安全机制　

＿÷“Ｉｎｔｅｒｎｅｔ服务管理器”＿÷启动　

Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｍａｎ—　

ＳＳＬ（加密套接字协议层）位于　

ＨＴｐｔ层和ＴＣＰ层之间，建立用户　

ａｇｅｒ一双击“ＷＷＷ”启动ＷＷＷ　

“目录”选项　服务属性页一选择

与服务器之间的加密通信，确保信　

密码，封锁失败的登录尝试以及设　卡一选定需要编辑的ＷＷＷ目　

息传递的安全性。ＳＳＬ是工作在公　

定账户的有效期等方法对一般用　

录一选择“编辑属性”中的“目录属　

共密钥和私人密钥基础上的。任何　

户账户进行管理。　性”进行设置。　

用户都可以获得公共密钥来加密　

３、ＩＩＳ三种形式认证的安全性　

５、ＩＰ地址的控制　

数据，但解密数据必须要通过相应　

１）匿名用户访问：允许任何人　ＩＩＳ可以设置允许或拒绝从特　的私人密钥。使用ＳＳＬ安全机制　

匿名访问，在这三种中安全性最　

定ＩＰ发来的服务请求，有选择地　

时，首先客户端与服务器建立连　

低。　

允许特定节点的用户访问。可以通　

接，服务器把它的数字证书与公共　

２）基本（Ｂａｓｉｃ）认证：用户名　

过设置来阻止指定ＩＰ地址外的网　密钥一并发送给客户端，客户端随　

和口令以明文方式在网络上传输，　

络用户访问你的Ｗｅｂ服务器。具　

机生成会话密钥，用从服务器得到　

安全性能一般。　

体设置方法如下：　

的公共密钥对会话密钥进行加密，　

３）Ｗｉｎｄｏｗｓ　ＮＴ请求／响应方　

选择“开始”选单一“程序”一　并把会话密钥在网络上传递给服　

式：浏览器通过加密方式与ＩＩＳ服　

“Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｅｒ　ｆ公用）”　

务器，而会话密钥只有在服务器端　

务器进行交流，有效地防止了窃听　＿÷“Ｉｎｔｅｒｎｅｔ服务管理器”＿÷启动　

用私人密钥才能解密，这样，客户　

者，是安全性比较高的认证形式　

Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｍａｎ—　

端和服务器端就建立了一个唯一　

（需ＩＥ　３．０以上版本支持）。　ａｇｅｒ＿＋双击“ＷＷＷ”启动ＷＷＷ服　的安全通道。具体设置方法如下：　

４、访问权限控制　

务属性页一启动Ｗｅｂ属性页中　

选择“开始”选单一“程序”一　

１）设置文件夹和文件的访问　

“高级”选项卡；进行ＩＰ地址的控　

“Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｅｒ　ｆ公用）”　

权限：安放在ＮＴＦＳ文件系统上的　制设置。　＿÷“Ｉｎｔｅｒｎｅｔ服务管理器”＿÷启动　

文件夹和文件，一方面要对其权限　

６、端口安全性的实现　

Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｍａｎ—　

加以控制，对不同的组和用户设置　

对于ＩＩＳ服务，无论是ＷＷＷ　

ａｇｅｒ一＋双击“ＷＷＷ”启动ＷＷＷ　

不同的权限；另外，还可以利用　

站点、Ｆｐｔ站点，还是ＮＮｐｔ、ＳＭｐｔ　服务属性页一选择“目录安全性”　

ＮＴＦＳ的审核功能对某些特定组的　

服务等都有各自侦听和接收浏览　选项卡一单击“密钥管理器”按　

成员读、写文件等方面进行审核，　器请求的ＴＣＰ端口号（Ｐｏｓｔ），一般　钮一通过密钥管理器生成密钥文　

通过监视“文件访问”、“用户对象　常用的端口号为：ＷＷＷ是８０，Ｆｐｔ　件和请求文件一从身份认证权限　

的使用”等动作，来有效地发现非　

是２１，ＳＭｐｔ是２５，你可以通过修　

中申请一个证书一通过密钥管理　

法用户进行非法活动的前兆，及时　改端口号来提高ＩＩＳ服务器的安　器在服务器上安装证书一激活　

加以预防和制止。具体方法：　全性。如果你修改了端口设置，只　

Ｗｅｂ站点的ＳＳＬ安全性。　

选择“开始”选单一“程序”一　

有知道端口号的用户才可以访问，　

建立了ＳＳＬ安全机制后，只有　

启动“域用户管理器”一选择“规　

不过用户在访问时需要指定新端　

ＳＳＬ允许的客户才能与ＳＳＬ允许　

则”选项卡下的“审核”选项一设置　

口号。　

的Ｗｅｂ站点进行通信，并且在使　

“审核规则”。　

７、ＩＰ转发的安全性　

用ＵＲＬ资源定位器时，注意输入　

２）设置ＷＷＷ目录的访问权　

ＩＩＳ服务可提供ＩＰ数据包的　

的是“ｈｔｐｔｓ：／／”，而不是“ｈｔｐｔ：／／”。　

限：已经设置成Ｗｅｂ目录的文件　转发功能，此时，充当路由器角色　

ＳＳＬ安全机制的实现，将增加　

夹，可以通过操作Ｗｅｂ站点属性　的ＩＩＳ服务器将会把从Ｉｎｔｅｒｎｅｔ接　系统开销，增加服务器ＣＰＵ的额　

页实现对ＷＷＷ目录访问权限的　口收到的ＩＰ数据包转发到内部网　

外负担，从而会在一定程度上降低　

控制，而该目录下的所有文件和子　

中，禁用这一功能将提高ＩＩＳ服务　

系统性能。笔者建议在规划网络　

文件夹都将继承这些安全机制。　

的安全性。设置方法如下：　

时，仅考虑为高敏感度的Ｗｅｂ目　

ＷＷＷ服务除了提供ＮＴＦＳ文件　

选择“开始”选单一“程序”一＋　录使用ＳＳＬ安全机制。另外，ＳＳＬ　

系统提供的权限外，还提供读取权　

“Ｍｉｅｒｏｓｏｆｔ　Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｅｒ　ｆ公用）”　

客户端需要使用ＩＥ　３．０及以上版　

限——允许用户读取或下载　

＿÷“Ｉｎｔｅｒｎｅｔ服务管理器”＿÷启动　

本才能使用。　

・

４６・北京电子