iis-web服务器完美解决方案

一、选择您的服务器操作系统和IIS版本在选择您的服务器操用系统时应该考虚三个问题：1、是否足够安全，正确的可以安全更新的序列号2、能否满足你的服务需要2、能否进行负载均衡(对要求较高的用户)在选择您的WEB服务器的IIS版本一般都由IIS5.0向IIS6.0过渡,现在IIS7.0已进入了测试阶段，真是期待中啊....相关的介绍请上微软的官方网站上查看。暂时的我选择的是windows2003企业版＋IIS6.0二、安装操用系统和IIS6.0windows2003企业版我们就不说了(什么，不会，那就再去找资料吧)，但是注意的是所有的磁盘必须采用NTFS格式，最好分为四个盘符以方便权限管理和数据资源的存储。默认安装的windows2003企业版出于最大安全化考虑是没有安装IIS6.0的服务的，需要手动安装。或者在您安装windows2003企业版时可以选择你需要的IIS6.0的组件。这样就免去了等一下再需要windows2003企业版安装盘的步骤。对于IIS6.0需要提醒的是一定要安装web服务，其他的如FTP、Frontpage等按需要选择，如果不需要尽量不要安装，原则是“最小的服务＋最小的权限＝最大的安全化。”安装完后千万记得打补丁，包括新出SP1,否则你无法谈安全。三、IISWEB配置解决方案了。1.为我的设置如下：每一个虚拟主机创建一个匿名访问的计算机用户如test.com,并为其设置一个较为复杂的密码，用以控制该虚拟主机的主目录，及IIS匿名访问的用户计算机用户的组是GUESTS组。2.为每个IIS的虚拟主机创建一个独立的应用进程池。每个进程池可以设置相关的用户和CUP、连接资源等，也可以采用默认的设置。这里采用默认的设置如。3.创建一个主目录(磁盘可以选择D:\Inetpub等非系统盘)如D:\Inetpub\test.com，该目录的访问权限除了继承父权限外，还必须加上第一步中建立的计算机名用户，并付予完全控制的权限，这个计算用户和等一下创建的虚拟主机站点里的匿名用户是同一帐号，并助密码也必须和创建计算机名时的一样。4.创建一个的虚拟站点，并对该站点进行一些设置：站点选创建一个⑴⑴目录安全性下的“身份验证和访问权限”进行编辑，并选择创建好的计算机用户名，设置与访计算机名一至的密码。⑵选择主目录：应用程序池选择第二步创建的创建单独应用进程池，执行权限为纯脚本。补充说明：以上是每个虚拟站点的全局设置，对单个虚拟主机不同的配置要求做相应的设置。对于还有索引等的全局设置可以在IIS的网站－属性中设置如日志是否需要，及存放的目录路径，索引文件的先后，及文件的读取权限和其他的错误页面等。我们把这个具体的内容放在安全栏中讲述。四、系统安全、全局设置1.最小权限设置：1）选取整个系统盘：System：完全控制Administrator：完全控制（允许将来自父系的可继承性权限传播给对象）2）C:\ProgramFiles\CommonFiles：及C:\ProgramFilesEveryone：读取及运行列出文件目录读取（允许将来自父系的可继承性权限传播给对象）3)数据盘\Inetpub\：(按FSO处理)只需要system和administrator权限因为下面的每个目录都有单独的计算机用户对其自己的目录进行完成控制，不需要系统提供的来宾帐号访问（允许将来自父系的可继承性权限传播给对象）4)\Winnt\system32：选择除Inetsrv和Centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。2.系统管理员权限设置:1).修改管理员帐号和创建陷阱帐号：微软一直在强调最好重命名Administrator账号并禁用Guest账号，从而实现更高的安全。在WindowsServer2003中，Guest账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。方法是：打开“本地安全设置”对话框，依次展开“本地策略”→“安全选项”，在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它，给Administrator重新设置一个平淡的用户名。然后新建一个名称为Administrator的陷阱帐号“受限制用户”，把它的权限设置成最低。2)除修改过的Administrator外，有必要再增加一个属于管理员组的帐号；说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权以防万一。3)给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。4)在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。5)在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。6)在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用3.安全日志：Win2003的默认安装是不开任何安全审核的！那么请你到本地安全策略-审核策略中打开相应的审核，推荐的审核是：账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致本没空去看，这样就失去了审核的意义。与之相关的是：在账户策略-密码策略中设定：密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天在账户策略-账户锁定策略中设定：账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟同样，TerminalService的安全日志默认也是不开的，我们可以在TerminalServiceConfigration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。4.修改注册表1)、隐藏重要文件/目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为02)、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为SynAttackProtect，值为23).禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值，名为PerformRouterDiscovery值为04).防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects值设为05).不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为IGMPLevel值为06)、禁用C$、D$、ADMIN$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters7)、禁用IPC连接找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。5.端口开放和共享安全1）删除默认共享系统会创建一些隐藏的共享，你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。所以我们要禁止或删除这些共享以确保安全，方法是：首先编写如下内容的批处理文件：@echooffnetshareC$/delnetshareD$/delnetshareE$/delnetshareF$/delnetshareadmin$/del以上批处理内容大家可以根据自己需要修改。保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Window设置→脚本(登录/注销)→登录，在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat（如图1），然后单击“确定”按钮即可。.2)TCP端口筛选关闭不需要的端口大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。在WindowsServer2003中，只这样做是不行的。如果想彻底关闭139端口，方法如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的“√”，接下来选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即大功告成！这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。设置端口过滤。方法如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP筛选”项，点“属性”按钮，会来到“TCP/IP筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”，然后根据需要配置就可以了。比方说如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可。如果有其他需要可如法炮制。5IIS的全局设置1)删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。2)删除IIS影射名路径限制方法操作.asaC:\WINDOWS\system32\inetsrv\asp.dllGET,HEAD,POST,TRACEdel.cdxC:\WINDOWS\system32\inetsrv\asp.dllGET,HEAD,POST,TRACEdel.cerC:\WINDOWS\system32\inetsrv\asp.dllGET,HEAD,POST,TRACEdel.idcC:\WINDOWS\system32\inetsrv\httpodbc.dllGET,HEAD,POST,TRACEdel.stmC:\WINDOWS\system32\inetsrv\ssinc.dllGET,HEAD,POST,TRACEdel.shtmlC:\WINDOWS\system32\inetsrv\ssinc.dllGET,POSTdel3