互通在線講解網站(zhàn)服務器安全防護小細節

1. 使用IIS防範工(gōng)具：
這個工(gōng)具有許多實用的優點，然而，請(qǐng)慎重的使用這個工(gōng)具。如(rú)果你(nǐ)的Web服務器和其他(tā)服務器相(xiàng)互作(zuò)用，請(qǐng)首先測試一下防範工(gōng)具，以确定它已經被正确的配置，保證其不會影(yǐng)響Web服務器與其他(tā)服務器之間的通訊。
 
2. 保持Windows升級：
你(nǐ)必須在第一時間及時地更新所有的升級，并爲系統打好一切補丁。考慮将所有的更新下載到你(nǐ)網絡上的一個專用的服務器上，并在該機(jī)器上以Web的形式将文件(jiàn)發布出來(lái)。通過這些工(gōng)作(zuò)，你(nǐ)可(kě)以防止你(nǐ)的Web服務器接受直接的Internet訪問(wèn)。
在過去(qù)的幾年(nián)中，越來(lái)越多的黑(hēi)客、病毒和蠕蟲帶來(lái)的安全問(wèn)題嚴重影(yǐng)響了網站(zhàn)的可(kě)訪問(wèn)性，盡管Apache服務器也常常是攻擊者的目标，然而微軟的Internet信息服務（IIS） Web服務器才是真正意義上的衆矢之的。
 
3. 管理(lǐ)IIS目錄安全：
IIS目錄安全允許你(nǐ)拒絕特定的IP地址、子網甚至是域名。作(zuò)爲選擇，我選擇了一個被稱作(zuò)WhosOn的軟件(jiàn)，它讓我能夠了解哪些IP地址正在試圖訪問(wèn)服務器上的特定文件(jiàn)。WhosOn列出了一系列的異常。如(rú)果你(nǐ)發現一個家夥正在試圖訪問(wèn)你(nǐ)的cmd.exe，你(nǐ)可(kě)以選擇拒絕這個用戶訪問(wèn)Web服務器。當然，在一個繁忙的Web站(zhàn)點，這可(kě)能需要一個全職的員(yuán)工(gōng)！然而，在内部網，這真的是一個非常有用的工(gōng)具。你(nǐ)可(kě)以對所有局域網内部用戶提供資源，也可(kě)以對特定的用戶提供。
 
4. 如(rú)果你(nǐ)并不需要FTP和SMTP服務，請(qǐng)卸載它們：
進入計(jì)算機(jī)的最簡單途徑就(jiù)是通過FTP訪問(wèn)。FTP本身(shēn)就(jiù)是被設計(jì)滿足簡單讀(dú)/寫訪問(wèn)的，如(rú)果你(nǐ)執行身(shēn)份認證，你(nǐ)會發現你(nǐ)的用戶名和密碼都(dōu)是通過明文的形式在網絡上傳播的。SMTP是另一種允許到文件(jiàn)夾的寫權限的服務。通過禁用這兩項服務，你(nǐ)能避免更多的黑(hēi)客攻擊。
 
5. 嚴格控制服務器的寫訪問(wèn)權限：
這聽起來(lái)很容易，然而，在大(dà)學校(xiào)園裡(lǐ)，一個Web服務器實際上是有很多“作(zuò)者”的。教職人(rén)員(yuán)都(dōu)希望讓他(tā)們的課堂信息能被遠(yuǎn)程學生(shēng)訪問(wèn)。職員(yuán)們則希望與其他(tā)的職員(yuán)共享他(tā)們的工(gōng)作(zuò)信息。服務器上的文件(jiàn)夾可(kě)能出現極其危險的訪問(wèn)權限。将這些信息共享或是傳播出去(qù)的一個途徑是安裝第2個服務器以提供專門(mén)的共享和存儲目的，然後配置你(nǐ)的Web服務器來(lái)指向共享服務器。這個步驟能讓網絡管理(lǐ)員(yuán)将Web服務器本身(shēn)的寫權限僅僅限制給管理(lǐ)員(yuán)組。
 
6. 移除缺省的Web站(zhàn)點：
很多攻擊者瞄準inetpub這個文件(jiàn)夾，并在裡(lǐ)面放(fàng)置一些偷襲工(gōng)具，從(cóng)而造成服務器的癱瘓。防止這種攻擊最簡單的方法就(jiù)是在IIS裡(lǐ)将缺省的站(zhàn)點禁用。然後，因爲網蟲們都(dōu)是通過IP地址訪問(wèn)你(nǐ)的網站(zhàn)的 （他(tā)們一天可(kě)能要訪問(wèn)成千上萬個IP地址），他(tā)們的請(qǐng)求可(kě)能遇到麻煩。将你(nǐ)真實的Web站(zhàn)點指向一個背部分(fēn)區的文件(jiàn)夾，且必須包含安全的NTFS權限 （将在後面NTFS的部分(fēn)詳細闡述）。
 
7. 減少/排除Web服務器上的共享：
如(rú)果網絡管理(lǐ)員(yuán)是唯一擁有Web服務器寫權限的人(rén)，就(jiù)沒有理(lǐ)由讓任何共享存在。共享是對黑(hēi)客最大(dà)的誘惑。此外，通過運行一個簡單的循環批處理(lǐ)文件(jiàn)，黑(hēi)客能夠察看(kàn)一個IP地址列表，利用命令尋找Everyone/完全控制權限的共享。
 
8. 設置複雜的密碼：
我最近進入到教室，從(cóng)事(shì)件(jiàn)察看(kàn)器裡(lǐ)發現了很多可(kě)能的黑(hēi)客。他(tā)或她進入了實驗室的域結構足夠深，以至于能夠對任何用戶運行密碼破解工(gōng)具。如(rú)果有用戶使用弱密碼 （例如(rú)“password”或是 changeme“或者任何字典單詞），那麽黑(hēi)客能快(kuài)速并簡單的入侵這些用戶的賬号。
 
9. 有規則地檢查你(nǐ)的管理(lǐ)員(yuán)組和服務：
有一天我進入我們的教室，發現在管理(lǐ)員(yuán)組裡(lǐ)多了一個用戶。這意味着這時某個人(rén)已經成功地進入了你(nǐ)的系統，他(tā)或她可(kě)能冷(lěng)不丁地将炸彈扔到你(nǐ)的系統裡(lǐ)，這将會突然摧毀你(nǐ)的整個系統，或者占用大(dà)量的帶寬以便黑(hēi)客使用。黑(hēi)客同樣趨向于留下一個幫助服務，一旦這發生(shēng)了，采取任何措施可(kě)能都(dōu)太晚了，你(nǐ)隻能重新格式化你(nǐ)的磁盤，從(cóng)備份服務器恢複你(nǐ)每天備份的文件(jiàn)。因此，檢查IIS服務器上的服務列表并保持盡量少的服務必須成爲你(nǐ)每天的任務。你(nǐ)應該記住哪個服務應該存在，哪個服務不應該存在。Windows 2000 Resource Kit帶給我們一個有用的程序，叫作(zuò)tlist.exe，它能列出每種情況運行在svchost 之下的服務。運行這個程序可(kě)以尋找到一些你(nǐ)想要知道的隐藏服務。給你(nǐ)一個提示：任何含有daemon幾個字的服務可(kě)能不是Windows本身(shēn)包含的服務，都(dōu)不應該存在于IIS服務器上。想要得(de)到Windows服務的列表并知道它們各自(zì)有什麽作(zuò)用，請(qǐng)點擊這裡(lǐ)。
 
10. 禁用TCP/IP協議(yì)中的NetBIOS：
這是殘忍的。很多用戶希望通過UNC路(lù)徑名訪問(wèn)Web服務器。随着NETBIOS被禁用，他(tā)們便不能這麽做了。另一方面，随着NETBIOS被禁用，黑(hēi)客就(jiù)不能看(kàn)到你(nǐ)局域網上的資源了。這是一把雙刃劍，如(rú)果網絡管理(lǐ)員(yuán)部署了這個工(gōng)具，下一步便是如(rú)何教育Web用戶如(rú)何在NETBIOS失效的情況下發布信息。
 
11. 使用TCP端口阻塞：
這是另一個殘忍的工(gōng)具。如(rú)果你(nǐ)熟悉每個通過合法原因訪問(wèn)你(nǐ)服務器的TCP端口，那麽你(nǐ)可(kě)以進入你(nǐ)網絡接口卡的屬性選項卡，選擇綁定的TCP/IP協議(yì)，阻塞所有你(nǐ)不需要的端口。你(nǐ)必須小心的使用這一工(gōng)具，因爲你(nǐ)并不希望将自(zì)己鎖在Web服務器之外，特别是在當你(nǐ)需要遠(yuǎn)程登陸服務器的情況下。要得(de)到TCP端口的詳細細節，點擊這裡(lǐ)。
 
12. 仔細檢查*.bat和*.exe 文件(jiàn)：
每周搜索一次*.bat和*.exe文件(jiàn)，檢查服務器上是否存在黑(hēi)客最喜歡，而對你(nǐ)來(lái)說(shuō)将是一場惡夢的可(kě)執行文件(jiàn)。在這些破壞性的文件(jiàn)中，也許有一些是*.reg文件(jiàn)。如(rú)果你(nǐ)右擊并選擇編輯，你(nǐ)可(kě)以發現黑(hēi)客已經制造并能讓他(tā)們能進入你(nǐ)系統的注冊表文件(jiàn)。你(nǐ)可(kě)以删除這些沒任何意義但(dàn)卻會給入侵者帶來(lái)便利的主鍵。
 
13. 使用NTFS安全：
缺省地，你(nǐ)的NTFS驅動器使用的是EVERYONE/完全控制權限，除非你(nǐ)手工(gōng)關掉它們。關鍵是不要把自(zì)己鎖定在外，不同的人(rén)需要不同的權限，管理(lǐ)員(yuán)需要完全控制，後台管理(lǐ)賬戶也需要完全控制，系統和服務各自(zì)需要一種級别的訪問(wèn)權限，取決于不同的文件(jiàn)。最重要的文件(jiàn)夾是System32，這個文件(jiàn)夾的訪問(wèn)權限越小越好。在Web服務器上使用NTFS權限能幫助你(nǐ)保護重要的文件(jiàn)和應用程序。
 
14.管理(lǐ)用戶賬戶：
如(rú)果你(nǐ)已經安裝IIS，你(nǐ)可(kě)能産生(shēng)了一個TSInternetUser賬戶。除非你(nǐ)真正需要這個賬戶，否則你(nǐ)應該禁用它。這個用戶很容易被滲透，是黑(hēi)客們的顯著目标。爲了幫助管理(lǐ)用戶賬戶，确定你(nǐ)的本地安全策略沒有問(wèn)題。IUSR用戶的權限也應該盡可(kě)能的小。
 
15. 審計(jì)你(nǐ)的Web服務器：
審計(jì)對你(nǐ)計(jì)算機(jī)的性能有着較大(dà)的影(yǐng)響，因此如(rú)果你(nǐ)不經常察看(kàn)的話(huà)，還(hái)是不要做審計(jì)了。如(rú)果你(nǐ)真的能用到它，請(qǐng)審計(jì)系統事(shì)件(jiàn)并在你(nǐ)需要的時候加入審計(jì)工(gōng)具。如(rú)果你(nǐ)正在使用前面提到的WhosOn工(gōng)具，審計(jì)就(jiù)不那麽重要了。缺省地，IIS總是紀錄訪問(wèn)， WhosOn 會将這些紀錄放(fàng)置在一個非常容易易讀(dú)的數據庫中，你(nǐ)可(kě)以通過Access或是 Excel打開它。如(rú)果你(nǐ)經常察看(kàn)異常數據庫，你(nǐ)能在任何時候找到服務器的脆弱點。