|
很多公司使用以下這兩個步驟為它們基于 Windows 2000 的網(wǎng)絡服務器來做組態(tài):(1)安裝 IIS 5.0、(2)不再理它。如果僅只于此的話,何不來個第三步驟:祈禱。
對于 IIS 5.0,Microsoft 針對安全性和可存取性/可用性(accessibility/usability)兩方面做了很好的折衷,一般認為更傾向于后者。Data Return Corporation 的高級信息安全工程師 Alexandra Nosratinia 說,與諸如Apache 等服務器相比,IIS 的圖形使用者接口(GUI)使管理和解決問題變得容易了,網(wǎng)站架設也非常快速。有了 IIS 的圖形使用者接口,甚至可以不再需要專家的幫助。但要了解的是,容易用的系統(tǒng)并不代表是安全的系統(tǒng)。
如果選擇 IIS 的預設組態(tài)(default configuration),你就是在自找麻煩。加強安全性雖然是你的責任,不過Microsoft 為此提供了充足的信息來幫助你。
從 Microsoft 的IIS 5.0 安全性檢查清單開始吧!它收錄了許多簡單易懂的步驟,幫助保護 Windows 2000 系列的網(wǎng)站服務器免受絕大多數(shù)的攻擊。在這個清單中能夠找到的信息包括以下實用的主題:
在入侵者突破了防火墻的情況下配置 IPSec 策略。
通過限制來隔絕那些可以存取 Telnet 服務器的用戶以達到保護服務器的目的。
為服務器的虛擬目錄設置適當?shù)拇嫒】刂啤?br>進行日志記錄,并在日志文件(log files)中設置適當?shù)臋嘞蕖?br>如果合適的話,為 IP 地址和 DNS 地址做權限。
更新網(wǎng)絡服務器上的 Root CA 證書。
移除 IIS 中所有的示范應用程序。
移除所有不必要的 COM 組件,例如 File System Object。
從 IIS 4.0 升級以后,移除 IISADMPWD 虛擬目錄。
移除無用的應用程序?qū)╯cript mappings),例如 IDC 或 HTR。
在 ASP 程序代碼中檢查窗體輸入,以防止惡意輸入。
在 IIS 5.0 中禁用 Parent Paths 選項。
禁用 Content-Location 文件的表頭信息,以免泄露地址。
如果你熟悉為 IIS 4.0 提供的類似檢查清單,你會注意到 IIS 5.0 的版本簡短了許多。這是因為 Microsoft 把很多 IIS 4.0 清單中的配置(setting)移到了為 Windows 2000 準備的新的Hisecweb.inf 安全模板中。下載該模板并用在你的服務器上。另外,也有很多在IIS 4.0 清單中屬于建議的配置,現(xiàn)在已成了 IIS 5.0 中預設的配置。
| 
