649      中電雲集

加固外網上的IIS服務器安全

1、使用安全配置向導（Security Configuration Wizard）來決定web服務器所需的最小功能，然後禁止其他不需要的功能。具體地說，它能幫你.

1》禁止不需要的服務

2》堵住不用的端口

3》至於打開的端口，對可以訪問的地址和其他安全做進一步的限製

4》如果可行，禁止不需要的IIS的web擴展

5》減小對SMB，LAN Manager，和LDAP協議的顯露

6》定義一個高信噪比的對策

2、把網站文件放在一個非係統分區（partition）上，防止directory traversal的缺陷，對內容進行NTFS權限稽查（Audit）。

3、對自己的係統定期做安全掃描和稽查，在別人發現問題前盡早先發現自己的薄弱處。

4、定期做日誌分析，尋找多次失敗的登陸嚐試，反複出現的404，401，403錯誤，不是針對你的網站的請求記錄等。

5、如果使用IIS 6的話，使用Host Headers ，URL掃描，實現自動網站內容和IIS Metabase的Replication，對IUSR_servername帳號戶使用標準的名稱等。

6、總的web架構的設計思路：別把你的外網web服務器放在內網的活動目錄（Active Directory）裏，別用活動目錄帳號運行IIS匿名認證，考慮實時監測，認真設置應用池設置，爭取對任何活動做日誌記錄，禁止在服務器上使用Internet Explorer等。

來源:chinaz

最後更新：2017-01-04 22:34:55

  上一篇： 如何打開注冊MSWC.Tools、MSWC.Status

  下一篇： 簡單修改mysql字符集