好学IT学院:IT信息技术分享交流平台
标签:安全  来源:IT专家网  作者:鲁国元  发布时间:2010-01-11  ★★★加入收藏〗〖手机版
IIS Web服务器容易忽视的六大安全风险及应对措施
摘要:本文中提到的这6点虽然不怎么起眼,但是确是大家在日常工作中经常容易忽视的地方,从小处着眼,才能够让你的Web服务器在安全方面前进一大步。…

再如一个大学校园的校园网,一个Web服务器实际上可能拥有多个网站,多个管理员。如各个学院有自己的网站等等。此时管理员都有对服务器修改的权限。权限控制不严格的话,那么服务器上的文件夹就可能会处于非常危险的境地。

防范措施:

这个防范措施也比较简单,其基本的原理就是给与用户最小的权限。如可以根据网站板块的不同,将相关的内容放置到对应的文件夹中。然后每个特定的用户只能够访问自己负责内容的文件夹。如此的话,即使某个管理员用户的密码泄露了,那么其影响的也只是一个文件夹。而不会对其他用户的文件夹产生不利影响。

其次就是最好不要讲Web服务器同其他的应用服务放置在一起。特别对于企业来说,可能为了节省成本,喜欢将Web服务器与文件服务器等部署在同一个服务器上。这是一种非常危险的方式。因为对于文件服务器来说,可能每个用户都具有往服务器上写入的权限。而这就会给木马、病毒等提供机会。从而也会影响到Web服务器的安全。

总之管理员需要严格限制Web服务器的写入权限。在分配用户权限的时候,如果要给用户写的权限,那么最好能够结合NTFS权限管理,只提供用户特定文件夹的写入权限。其次就是最好将Web服务器同文件服务器等分开,争取只有少量的用户具有对服务器写入的权限。

三、不定时的检查服务器上的 bat与exe文件

大部分攻击者都系统使用bat或者exe文件来进行攻击。如有些攻击者会利用操作系统的任务管理器。让系统每天或者每隔一段固定的时间调用某个程序。这些程序就是以bat或者exe结尾的,或则是以reg文件结尾的。这些文件具有非常大的破坏性。如黑客可以利用这些文件更改注册表、建立隐形帐户、发送文件给黑客等等。

防范措施:

有时候即使管理员采用了病毒防火墙等措施,或者每天对服务器进行杀毒,也很难找到这些文件。此时管理员可以采用一个比较原始的方法,就是通过扩展名来搜索这些文件。然后查看是否有可疑的。笔者的做法是,Web服务器部署完成之后,先利用扩展名exe、bat、reg等作为查找条件,查找相关的文件。然后将文件名存放到一个表格中。以后每天或者每周再查找一次,然后跟原有的表格进行对比,看看是否增加了一些文件。如果有增加的话,那么这些增加的文件就可能是问题文件。用户可以使用记事本(注意千万不能够直接双击打开)这些文件,看看其代码。或者直接将这些文件删除掉,免除后患。

四、对于IIS目录采用严格的访问策略

IIS目录是Web服务器中很重要的一个目录。其相当于人的大脑,控制着Web服务器的运行。为此在规划Web服务器安全的时候,要对此进行特别的关注。不过在实际工作中,这个目录却没有引起用户的足够高的关注。他们有些甚至直接使用系统的默认设置,也没有进行后续的追踪。这都有可能成为以后网站被黑、服务器瘫痪的起因。