实验五:web服务器的安全配置

2024年4月22日发(作者：)

实验五：web服务器的安全配置

实验目的：使同学们掌握windows 2000 sever、windows 2003 sever与IIS共

同搭建web服务器的安全设置方案。

一、加强IIS安全的基本设置

1.关闭并删除默认站点

为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站

点、默认Web站点和管理Web站点。

2.建立自己的站点，与系统不在同一分区

例如C:为系统盘，那么我们建立D:wwwroot目录，用来存放站点的程序和数

据；建立E:Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访

问控制权限是： Administrators（完全控制）System（完全控制）。

3.删除IIS的部分目录

为了加强IIS安全,我们需要删除如下目录：

IISHelp，C:winnthelpiishelp；IISAdmin，C:system32inetsrviisadmin；

MSADC，C:Program FilesCommon FilesSystemmsadc；另外还要删除IIS

的默认安装目录C: inetpub。

4.删除不必要的IIS映射和扩展

IIS 被预先配置为支持常用的文件名扩展如 .asp和 .shtm文件。IIS 接收到这

些类型的文件请求时，该调用由DLL处理。如果所搭建的网站不使用其中某些扩

展或功能，则应删除该映射。步骤如下：打开 Internet 服务管理器：选择计算

机名，点鼠标右键，选择属性，选择编辑然后选择主目录，点击配置，选择扩展

名 ".htw", ".htr",".idc",".ida",".idq"和，点击删除如果不使用

server side include，则删除".shtm" ".stm" 和 ".shtml"。

5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）

“父路径”选项允许在对诸如 MapPath 函数调用中使用“..”。在默认情况下，

该选项处于启用状态，为了使黑客不能通过上传程序查看上级目录内容，我们应

该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文

菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选

项”选项卡。取消选择“启用父路径”复选框。

6.在虚拟目录上设置访问控制权限

在iis里把所有不包括asp文件的目录 ,比如img,image,pic,upload等目录,

里面一般是没有asp文件，将这些目录的执行许可设置为无,这样就算你用的程

序被发现了漏洞,一旦传了木马上来了,它也不能立即执行,不过要看仔细,有些

目录里也是有asp,asa文件。主页使用的文件按照文件类型应使用不同的访问控

制列表：CGI (.exe, .dll, .cmd, .pl) Everyone (删除) Administrators（完

全控制）System（完全控制）脚本文件 (.asp) Everyone (删除) Administrators

（完全控制）System（完全控制）include文件 (.inc, .shtm, .shtml) Everyone

(删除) Administrators（完全控制）System（完全控制）静态内容

(.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制）System

（完全控制）在创建Web站点时，没有必要在每个文件上设置访问控制权限，应

该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许

访问控制权限传给各个文件。例如，目录结构可为以下形式：

D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinclude (.inc)

D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable

(.dll) D:wwwrootmyserver images (.gif, .jpeg)

7.启用日志记录

（1）日志的审核配置。在确定服务器是否被攻击时，日志记录是极其重要的。

日志记录应使用W3C扩展格式，步骤如下：打开Internet服务管理器：右键单

击站点，选择“属性”，单击“Web 站点”选项卡。选中“启用日志记录”复选

框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属

性”。单击“扩展属性”选项卡，然后选择以下选项：客户IP地址、用户名、方

法、URI 资源、HTTP状态、Win32状态、用户代理、服务器IP地址以及服务器

端口

（2）日志的安全管理。1启用操作系统组策略中的审核功能，对关键事件进

行审核记录；2启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存

放的默认位置进行更改同时作好文件夹权限设置；3安装网络监视软件对所有网

络访问操作进行监视（可选，这会增大服务器负荷）；4安装自动备份工具，定

时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份

目录设置好权限（仅管理员可访问）；5准备一款日志分析工具，以便随时可以

使用；6特别关注任何服务的重启、访问敏感的扩展存储过程等事件。

8.备份IIS配置

为了使网站在可使用IIS的备份功能，将设定好的IIS配置全部备份下来，

这样就可以随时恢复。

9.修改IIS标志

（1）使用工具程序修改IIS标志。这里一个简单的修改IIS标志Banner的方法：

下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我

们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停

止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache

下的文件全部清除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner

Edit是个很好用的软件，我们只要直接在New Banner中输入想要的Banner信

息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，

对一般的黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给

他们造成太大的麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做

到万无一失。高版本Windows的文件路径为

C:,可以直接用Ultraedit打开

，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成

我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的

主机类型，也就无从选择溢出工具了。（2）修改IIS的默认出错提示信息等。

10.重定义错误信息

防止数据库不被下载的方法有很多,众多方法中只要记住一点.不要改成asp

就可以了,不然黑客给你放一个简单的木马都会让你陷入极大的麻烦,然后在

IIS中将HTTP404、500等 Object Not Found出错页面通过URL重定向到一个定

制HTML文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据

库的地址，还能防止一些sql注入。

对于服务器管理员，既然不可能挨个检查每个网站是否存在SQL注入漏洞，

那么就来个一个加强级别的安全设置。这项设置能有效防止SQL注入入侵而且"

省心又省力，效果真好！"SQL注入入侵是根据IIS给出的ASP错误提示信息来

入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信

息，即http 500错误，那么黑客就没办法入侵了。具体设置：打开IIS管理器，

打开站点属性，选择自定义错误选项卡，然后打开编辑500：100错误就可以了。

主要把500:100这个错误的默认提示页面

C:改成

C:即可，这时，无论ASP运行中出什

么错，服务器都只提示HTTP 500错误。还可更改

C:内容改为

HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样，出错了自动转到首页。