【摘要】目前Web服务器应用非常广泛，人们利用它能够快速方便地获取丰富的信息资料。但随着网络技术的高速发展，Web服务器面临着许多安全威胁，导致黑客攻击、蠕虫病毒等，因此，提高安全策略尤为重要。本文将阐述从服务器和IIS设置两个方面入手来加强服务器的安全防护。

【关键词】Web；IIS；服务器；安全策略

1引言

Web服务器的正常运转是一个单位或企业进行正常办公的重要保证， 随着网络技术的不断发展，Web服务器面临着许多安全威胁，常见的安全漏洞譬如盗用账号、缓冲区溢出、黑客攻击、蠕虫病毒以及木马等，直接影响到Web服务器的安全。因此对Web服务器的安全维护需要从多方面考虑，提高安全策略防患于未然。

2加强服务器的安全设置

2.1开启防火墙，关闭不需要的端口

开启系统自带的防火墙，能有效屏蔽无用的端口。关闭默认开启的无用端口，开启需要的端口。一般情况下只需要开启远程桌面连接、FTP、数据库连接、网站默认端口端口。

2.2修改远程桌面连接默认端口

将默认端口3389改为其他，在注册表中修改两项内容，HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/ CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/ TCP和HKEY_LOCAL_MACHINE/SYSTEM/CUR RENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/中PortNumber键值，并在防火墙启用此端口。

2.3关闭不需要的服务

关闭不需要的服务，降低系统资源的损耗，提高系统的安全性。有些默认开启的服务，比如TCP/IPNetBIOS Helper、Server、Computer Browser等，在Web服务器中一般不会用到，所以根据自身需求关闭此类服务。

2.4磁盘权限的设置

根据分区和系统盘分区的权限设置：给予根分区administrator和system完全控制权限； c：＼Documents and Settings 目录给予administrators和system用户全部权限，users用户给予读取和运行、列出文件夹目录权限；C：＼Program Files 目录给予administrators和system用户全部权限， IIS_WPG用户给予读取和运行、列出文件夹目录权限，users和TERMINAL SERVER USER用户给予修改权限；删除c：＼inetpub目录，删除iis不必要的映射。

数据备份盘权限设置，最好只指定一个特定的用户对其有完全操作的权限。

网站权限设置，假设网站在e：＼www目录下，此目录给予administrators、system和service用户全部权限。

其它地方的权限设置，找到系统盘的以下所列文件， net.exe；cmd.exe；tftp.exe；netstat.exe；regedit.exe；at.exe；attrib.exe；cacls.exe；format.com，将这些文件安全性设置只有管理员Administrators 和system有完全操作权限，删除其他用户。

2.5用户安全设置

Administrator账号改名， 管理员账号会经常被黑客攻击企图破解密码，我们把它伪装成普通用户，创建一个Administrator陷阱用户，权限设置为最低，并且加上复杂的密码，造成对黑客的困惑和干扰；禁用Guest账号；限制不必要的用户，去掉所有的Duplicate User用户、测试用户、共享用户等；用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户，这些用户很多时候都是黑客们入侵系统的突破口；禁止系统显示上次登录的用户名，默认情况下，登录对话框中会显示上次登录的用户名，这样很容易让别人得到系统的用户名而猜测密码。

2.6删除默认共享

系统安装好以后，系统会创建一些隐藏的共享，我们运行命令net share查看，禁止这些共享，打开“管理工具”-“计算机管理”-“共享文件夹”-“共享”，选择相应共享文件夹单击右键，停止共享，但是服务器重新启动后，这些共享又会重新开启。因此需要修改注册表取消默认共享， 在注册表中将HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Lanman Server＼ Parameters： AutoShareServer的REG_DWORD 值改为0 。

2.7密码安全设置

提高密码安全性，一般管理员创建账号的时候习惯于用单位、计算机名做用户名，密码设置又太简单，很容易破解，所以需要注意密码的复杂性，定期改密码；设置屏幕保护密码，能防止内部人员破坏服务器；开启密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次等。

2.8安装防毒软件

安全的服务器需要安装杀毒软件，并且要经常升级病毒库。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，使得系统更加稳定。

3加强服务器Web服务IIS的安全设置

3.1IIS安全安装

首先IIS需要安装在非系统分区上。在默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患，一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区，所以需要将IIS安装到其他分区，即便入侵者能绕过IIS的安全机制，也很难访问到系统分区；其次在安装时修改IIS的默认路径，IIS的默认安装的路径是＼inetpub，Web服务的页面路径是＼inetpub＼wwwroot，这是任何一个熟悉IIS的人都知道的，当然这些人中包括了入侵者，所以需要更改成其他路径；最后需要及时打好IIS的补丁，它就会成为一个比较安全的服务器平台，能为我们提供安全稳定的服务。endprint

3.2删除不需要的IIS组件和示例

IIS默认安装后有些不需要的多余的组件会造成安全威胁，需要从系统中删除，降低隐患。比如Internet服务管理器（HTML）组件，它是基于Web 的IIS服务器管理页面，一般情况下不会通过Web进行管理，可以卸载它；SMTP Service和NNTP Service组件，这两个组件是用来转发邮件和提供新闻组服务的，不需要这个功能可以删除；样本页面和脚本，这些样本可被用来从Internet上执行应用程序和浏览服务器，建议删除；IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录里存放的是用来示范安装和应用该技术的示例应用程序，没有多少实际的作用，反而会让黑客利用存放的位置发动恶意攻击，所以可以直接删除。

3.3删除无用映射

在默认状态下，IIS服务器会自动创建十几种应用程序的映射关系，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。可事实上，许多Web网站仅仅用到asp这个应用程序映射，其他应用程序映射几乎没有任何作用；如果将这些用不着的映射保留在Web服务器中，很容易出现缓存溢出问题，入侵者就可以利用缓存溢出获得系统的权限。为此，只需将Web网站使用到的几个应用程序映射保留下来，其他无用映射及时删除。

3.4关闭父路径

在IIS应用程序配置中如果启用父路径浏览，意味着允许别人在调用MapPath功能时使用“..”浏览系统文件 ，它能让黑客访问那些不想让他们访问的目录，所以禁用它将是明智之举。

3.5启用日志功能

日志是系统安全策略的一个重要环节，用日志可以来记录IIS收到的HTTP请求，使我们能够验证服务器在任意给定的时间干什么事情，包括我们设置好的安全方案正在如何运转等，因此启用日志记录并确保日志的安全能有效提高系统整体安全性。我们启动IIS MMC，并单击Web站点或者想要启用日志记录的虚拟目录，然后右击目录节点并且选择“属性”选项，打开对应的属性对话框。在Web site标签内启用“启用日志记录”复选框。在启用日志记录时选择W3C扩展日志格式，这种日志格式，会在每天记录客户IP地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等，当IIS服务器受到安全威胁时，可以利用日志文件对细节执行排疑式审查， IIS服务器发生故障后也可以利用这个日志文件所记录的信息来检查维护过程并识别系统中的问题，所以说日志记录在排障时显得尤为重要。

除了启用日志记录以外，还需要对日志文件进行安全设置。默认情况下，IIS的日志存放在%WinDir%＼System32＼ LogFiles，日志文件会提供所有发向IIS请求的消息，IIS日志文件可能会受到攻击，或者黑客有可能试图删除IIS日志文件以便隐藏他们一起在搞的破坏，因此需要修改IIS日志的存放路径，并且还要修改日志访问权限，设置只有管理员才能访问。

3.6IIS权限设置

IIS服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS管理器中。这两个地方是密切相关的。ASP、PHP、ASP.NET 程序所在目录的权限设置：一般不要打开主目录的写入、脚本资源访问，纯脚本和可执行程序权限，只需选择纯脚本就可以了，文件夹不要启用Web共享；上传目录的权限设置：上传目录的权限设置：一般asp.php等程序都有上传目录，它们继承了上一层目录的属性，可以运行脚本，我们需要将这些目录的纯脚本权限取消；Access 数据库所在目录的权限设置：Internet 来宾账号或 IIS_WPG 组账号的权限可读可写，那么Access所在目录或者文件的读取、写入权限都取消掉，就可以防止被人下载或篡改了；其它目录的权限设置：在网站下可能有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置读取权限，执行权限取消。

3.7IP地址的控制

IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，对于Web服务器，我们并不想让所有人都能访问，或者将一些总是攻击网站的用户屏蔽掉，这就需要添加授权访问或者限制访问网站的IP地址，实现让目标用户访问。

3.8启用SSL安全机制

IIS有一种安全性很高的认证，即通过SSL（Security Socket Layer）安全机制使用数字证书。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。

参考文献

[1] 张振东，鲜坤林. Windows Server 2003 Web 服务器安全设置初探[M].辽宁农业职业技术学院学报，2010，（6）.

[2] 许顺雄.加强IIS的安全管理确保Web服务器安全 [M].科技情报开发与经济，2006，（5）.

[3] 佘学兵，傅蕾.Windows Server 2003 的安全性实现[M].科技广场，2008，（5）.

作者简介：

马玉芳 （1975-），女，撒拉族，硕士，青海民族大学计算机学院，教师，实验师；主要研究方向和关注领域：网络技术与计算机应用。endprint