Web服务器作用相当突出，如果允许别人自由执行关机操作的话，一定会影响整个网络用户的正常工作。为了不让别人自由关闭Web服务器，请问如何让系统“开始”菜单中的关机命令隐藏起来？

答：打开系统组策略控制台窗口，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“开始菜单和任务栏”分支上，打开“删除并阻止访问‘关机’、‘重新启动’、‘睡眠’和‘休眠’命令”组策略属性对话框，选中“已启用”选项，单击“确定”按钮后关闭设置对话框即可。

有的用户会通过Web访问方式，远程管理网络打印机，可是该访问方式容易被非法用户利用，从而威胁到计算机系统运行安全，请问如何禁止普通用户启用这项功能？

答：在网络打印机所在计算机系统中，逐一选择“开始”、“运行”选项，弹出系统运行对话框，输入“regedit”命令并回车，开启注册表编辑器运行状态。依次跳转到“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft” 注册表节点上，用鼠标右击“Microsoft”选项，从弹出右键菜单中逐一单击“新建”、“项”命令，创建好“Windows NT”子项。

同 样 地，在“Windows NT”子项下面手工创建好“Printers” 项， 并 在该子项右侧区域创建好“DisableWebPrinting”双字节值，同时将它的数值调整为“1”，最后刷新系统注册表，就能禁止普通用户启用网络打印机的Web打印与管理功能了。

一些黑客之所以能够轻松进入Web站点的后台系统，主要是这类Web站点使用了默认的登录账号和密码，站点后台路径使用的也是“/admin/login.asp”之类的域名，这些信息很容易被黑客猜测到。请问如何才能防止黑客通过默认设置对Web站点发动恶意攻击呢？

答：首先不要使用“admin”之类的默认管理账号，一定要将这类管理账号名称修改为十分复杂的名称，同时也要将对应账号的密码设置得足够健壮，以避免被黑客轻易破解成功。其次要善于将网站后台路径隐藏起来，例如将“login.asp”等重要文件，隐藏到不容易被人猜测出来的较深层次目录中，而且还要将重要文件名称修改一下，以防止黑客依照网站模板系统轻易找到后台入口。

为了保证Web服务器的访问安全性和稳定性，请问怎样对IIS站点的同时访问人数进行限制？

答：打开IIS平台管理窗口，找到特定Web服务器站点名称，用鼠标右键单击之，选择快捷菜单中的“属性”命令，切换到Web站点属性设置框。点击“性能”选项卡，在对应标签页面的“网站连接”位置处，选中“连接限制为”选项，同时在对应选项旁边的文本框中，输入合适的同时在线人数，比方说输入“50”，确认后保存设置操作。重新启动服务器系统，这样基于IIS平台的Web站点日后就只能允许50个用户同时在线访问了，当在线访问的人数超过该数值时，后续用户的访问请求将会被服务器强行拒绝。

Web服务器要想安全运行，一定要经过合适配置，一旦配置丢失或损坏，它就无法安全对外服务了。为了保护Web服务器配置信息的安全，我们应该怎样快速备份Web服务器的配置信息？

答：使 用IIS Export Utility工具，可以快速备份IIS服务器中Web站点的配置信息，它适用于IIS4、IIS5、IIS6等不同版本。在使用该工具备份Web站点配置时，先从网上下载安装好IIS Export Utility工具，启动运行它，在主操作界面“Import from”位置处，选择“An IIS Server”标签，在对应设置区域处输入Web服务器主机名称或IP地址，同时设置好IIS站点版本类型，例如选择IIS4、IIS5或 IIS6，从“Type of site”位置处选中站点类型，正常应该选“WWW”，点击“Lists Sites”按钮，从列表框中选择需要备份的特定站点名称，在这里可以选中多个站点同时备份。

接着在“Export to”位置处选“Database”标签，在对应标签设置区域选IIS版本类型，这里的设置一定要和之前的设置相同。之后，进入“Another IIS Server”选项设置页面，在这里输入新站点名称，也可以使用原始站点名称，再选中“Create as new webs”选项，同时选中有效IIS版本号，最后单击“Export”按钮，结束IIS指定Web站点配置信息的备份任务。

日后需要还原Web站点配置信息时，只要打开对应程序主操作界面，选择“Import from”位置处的“Database”标签，在“Type of site”框选择“WWW”选项，点击“List Sites”按钮，从“Available Sites”位置处导入之前的备份文件。接着在“Export Server”设置项处输入本地计算机名称，并选中“Overwrite existing webs”选项，最后点击“Export”按钮，结束Web站点的配置还原操作。

现在很多Web服务器都有目录遍历漏洞，黑客通过该漏洞，能在Web站点所有目录中自由跳转访问，从而寻找获取conn.asp之类的重要文件，以窃取Web服务器数据库的隐私内容。为了防范Web服务器安全，请问如何预防目录遍历漏洞攻击？

答：首先为Web服务器主目录进行合适授权，为普通用户授予的访问权限越低越好。在进行该操作时，先打开系统资源管理器窗口，找到指定Web站点主目录文件夹，打开它的右键菜单，点击“属性”命令，弹出主目录属性设置框，删除“everyone”帐号对服Web务器所有分区的访问权限。

其 次 为“I U S R_SERVERNAME”账号分配“读取”、“写入”、“列出文件夹目录”等权限，但一定要取消“完全控制”、“读取和运行”等权限。

第三对于那些不需要利用Web方式写入内容的文件夹，只需要为“IUSR_SERVERNAME”账号授予“列出文件夹目录”、“读取”等权限即可。同样地，为其他合法可信的用户授予恰当的访问权限。此外，还应限制用户将提交的参数作为文件名使用，特别是要仔细检查那些存在“..”、“../”、“/”等关键字符的目录路径。

很多黑客常常会先通过窃取Web服务器主目录访问权限，来悄悄修改Web站点页面内容。为了不让黑客轻易修改Web站点主页面内容，请问如何控制Web网站的主目录访问权限？

答：首先打开Web服务器所在主机系统的IIS控制台窗口，展开本地主机分支下的特定Web网站，打开它的右键菜单，点击“属性”命令，切换到特定站点的属性对话框，选择“目录安全性”标签，在对应标签页面的“匿名访问和身份验证控制”设置项处，点击“编辑”按钮，进入验证控制设置对话框，在这里删除所有用户账号，再将合法可信用户账号导入进来，这样可以禁止黑客通过匿名方式访问Web站点。

之后正确设置Web服务器的程序映射功能，阻止黑客随意进行程序映射操作。一般来说，只要让Web服务器允许.NET程序映射就足够了，将其他用不到的程序映射依次删除，谨防它们被黑客悄悄使用。要做到这一点，可以在特定Web站点的属性对话框中，选择“主目录”标签，在其后出现的标签页面中，单击“应用程序设置”设置项处的“配置”按钮，切换到应用程序映射对话框，从中选择与ASPX关联的功能选项，如果不能找到对应功能选项时，那就说明Web服务器所在的IIS系统控件还不能支持.NET功能，此时可以尝试将IIS系统版本升级到最新版本。

为了提高管理效率，网管员经常会用远程桌面连接程序，对Web服务器进行远程控制。而远程控制会用到默认的3389端口，为了防止恶意用户趁机利用该端口，对Web服务器发动恶意攻击，请问如何将该端口修改成陌生号码？

答：很简单！在Web服务器所在主机系统中，打开系统注册表编辑窗口，将鼠标定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注册表分支上，双击目标分支下的PortNumber键值，在弹出的编辑键值对话框中，输入新的端口号码，比方说输入“8564”，确认后保存设置操作。之后，将鼠标定位 到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 册表分支上，双击目标分支下的PortNumber键值，在弹出的编辑键值对话框中，也输入“8564”，确认后保存设置操作，最后重新启动计算机系统即可。

有的用户在访问某个Web站点时，没有看到对应站点的主页面内容，而是看到了身份验证对话框，不知道这是怎么回事，请问如何取消登录验证对话框？

答：这很可能是特定Web站点在安全登录方面没有配置正确。此时可以打开服务器主机的IIS主控台窗口，从该窗口的左侧列表区域，找到特定Web站点名称，打开它的右键菜单，选择“属性”命令，切换到Web站点属性设置框，单击“目录安全性”标签，打开目录安全性标签页面。单击“身份验证和访问控制”位置处的“编辑”按钮，展开身份验证和访问控制设置界面，检查这里的“匿名访问”、“集成Windows验证”等选项是否处于选中状态，如果发现它们已被选中，不妨尝试取消它们的选中状态进行测试，相信这样操作就能取消登录验证对话框。

笔者在单位局域网部署了一个Web站点，域名解析一切正常，只是本地网络运行商因为安全因素关闭了80端口。所以，笔者在访问自己部署的Web网站时，只能用带端口的域名进行访问，例如使用“www.xxx.com:8080”，尝 试 直 接 用“www.xxx.com”域名访问不了。想问一下，如何才能成功使用“www.xxx.com”域名进行Web访问，是不是一定要让本地运营商开通80服务端口啊？

答：这个一定要本地网络运行商给开通80端口，才能使用“www.xxx.com”域名访问，否则必须要在域名上加端口才行。

在对Web站点中的SQL服务器数据库执行语句查询操作时，有时容易发生不安全稳定现象，请问如何有效避免这种现象？

答：遇到这类现象时，首先应该从SQL语句和数据表的结构上寻找故障原因，优化SQL语句和为数据库的查询字段建索引是最常用的办法。此外，数据库的查询超时设置一般是SQL Server自己维护的，只有当用户的实际查询时间超过估计查询时间的25倍时，才会超时。而引起超出估计值那么多的原因有两种可能：一是估计时间不准确；二是SQL语句涉及到大量占用内存的查询，比方说排序和哈希操作，内存不够，需要排队等待资源造成的。要解决上面的问题，可以优化语句，创建使用合适的索引。第二增加服务器系统内存资源。第三更新要查询表的索引分发统计，保证估计时间的正确性。

在Windows Server 2003系统环境下，如果服务器系统的授权模式设置不正确，也容易引起Web访问的安全事故。请问如何检查Web服务器系统的授权模式配置？

答：先以系统管理员权限登录Web服务器系统，依次单击“开始”、“设置”、“控制面板”选项，打开系统控制面板窗口，双击其中的“授权”图标，切换到授权模式配置对话框，检查特定Web站点当前使用的授权模式是“每服务器”，还是“每设备或用户”，如果改变授权模式配置后，Web访问失败故障现象自动消失，那就表示之前的Web访问故障，真的与Web服务器系统授权模式配置有关。

请问如何防止黑客对Web站点系统进行注入攻击？

答：大家知道，当Web站点系统自身存在注入漏洞时，那么黑客就能利用啊D之类的注入检测工具，来猜测Web站点数据库以及相关隐私信息，并利用这些信息猜测数据库后台登录地址，导致Web站点系统最后被攻陷。

要想防止黑客对Web站点系统进行注入攻击，最有效的办法就是通过防注入程序，对一些特殊的命令或字符进行过滤，比方说拒绝提交“insert”、“select”、“and”、“or”等关键字，并将它们定义为非法字符。

现在有些Web站点是架设在Windows 2008系统中的，善于借助该系统的远程服务网关功能，管理员能通过HTTPS方式安全稳定地建立与Web站点的远程连接。请问在该系统中，为什么用远程服务网关功能，比用传统的远程桌面连接或VPN连接方式，远程管理Web站点更安全呢？

答：大家知道，通过远程桌面连接方式远程管理Web站点时，需要开放Web服务器的TCP端口3389，而直接向Internet网络开放TCP 3389端口，容易遭来安全威胁。而使用VPN连接方式远程管理Web站点时，虽然连接性能比较安全，同时远程管理更加灵活，但有时候实施起来并不太方便，毕竟不少公共Internet无线上网节点并没有开启PPTP或L2TP通信端口，同时有的公共网络也不能正常初始化VPN连接。

相比之前的两种远程连接方式，Web站点所在服务器系统的远程服务网关功能，既安全又通用，该功能将RDP封装在HTTPS中，管理员能利用HTTPS的端口TCP 443端口与远程服务网关服务器建立连接，远程服务网关对普通计算机系统进行身份验证，从HTTPS中解压RDP，之后在TCP 3389端口上将连接转发给目标资源。借助远程服务网关，普通计算机系统只需要访问TCP 443端口，就能与Web站点建立一个安全的RDP会话。此外，善于利用远程服务网关的身份验证功能，可以有效提升Web站点远程管理的稳定性和安全性。

在使用IE浏览器访问Web页面内容时，一些潜藏在Web页面背后的病毒、木马程序，可能会自动下载到本地硬盘，日后这些恶意内容可能会威胁本地计算机的运行安全。请问如何禁止Web页面中的内容自动下载存储到本地硬盘中？

答：首先使用“Win+R”快捷键，调用系统运行文本框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“安 全功能”、“限制文件下载”分支上。双击该分支下的“Internet Explorer进程”组策略，打开“Internet Explorer进程”属性对话框，选中“已启用”选项，单击“确定”按钮返回，这样就能禁止来自Web页面中的内容自动下载存储到本地硬盘中了。

某 台Windows Server 2003主机系统中部署了两个Web站点，这两个站点同时使用80端口，会不会造成端口上的安全冲突啊？

答：为了避免端口安全冲突，可以将其中一个站点设置成使用80端口，另外一个站点设置使用8080端口。只要进入IIS控制台窗口，用鼠标右键单击目标站点，执行快捷菜单中的“属性”命令，在其后界面中将默认的“80”端口设置为“8080”，另外一个站点就不用调整了，直接使用“80”端口。

当然，也可以通过DNS来设置不同的主机头，也就是别名同时指向一台主机，这样可以同时用一个IP地址的相同端口了。

Windows Server 2003系统默认会自动运行IIS服务，但在实际管理Web站点时，经常会发现IIS服务无法自启动，这在一定程度上会影响Web服务的安全稳定性。请问怎样避免这种不安全性呢？

答：首先以超级用户身份登录进入Web站点所在服务器主机，打开系统运行对话框，输入“Services.msc”命令并回车，展开系统服务列表界面。用鼠标右键单击“World Wide Web Publishing Service”服务选项，点击右键菜单中的“属性”命令，进入对应服务属性设置窗口，单击“常规”标签，检查该标签页面中的“World Wide Web Publishing Service”运行状态是否正常，一旦看到其运行不正常时，只要点击“启动”按钮，将目标系统服务启用成功，同时将“启动类型”调整为“自动”，单击“确定”按钮保存好上述设置操作即可。

某Web站 点 部 署 在Windows 2008系 统 中，当笔者对其进行管理维护时，经常发现有来自不同网段的客户机，随意与Web站点建立远程桌面连接。事实上，在平时的工作中只有10.192.1.0/255.255.255.0网段的客户机，才会对Web站点有远程管理需求。请问有没有办法让Web站点仅接受来自10.192.1.0/255.255.255.0网段客户机的远程桌面连接请求，而拒绝其他网段客户机的连接请求呢？

答：只要善于利用Web站点系统自带的高级安全防火墙，就能轻松实现上述控制目的。首先启用系统高级安全防火墙功能。依次单击“开始”、“设置”、“控制面板”选项，在弹出的系统控制面板窗口中，双击Windows防火墙选项，在其后窗口中单击“启用或关闭Windows防火墙”链接，切换到Windows 2008系统防火墙基本配置窗口，选中“启用”选项即可。其次对它的入站规则进行合适设置。在Windows防火墙管理界面中，单击“高级设置”按钮，切换到高级防火墙设置对话框；在其中的“入站规则”列表中，用鼠标右键单击“远程桌面”选项，点选右键菜单中的“属性”命令，弹出远程桌面连接属性界面。选择“常规”选项卡，在对应选项设置页面中，将“常规”位置处的“已启用”选中，再将“操作”处的“只允许安全连接”选中。接着选择“作用域”选项卡，在对应选项设置页面的“远程IP地址”文本框中，输入合适的IP地址即可，比方说，要是我们希望只允许10.192.1.0网段的客户机与服务器系统建立远程桌面连接时，那只要在这里输入10.192.1.0/255.255.255.0”，再单击“确定”按钮保存设置即可。

在局域网环境中，终端计算机的随意性和复杂性很强，由终端计算机自身安全漏洞引起的病毒木马攻击，给Web访问的安全带来了很大的威胁，请问如何才能有效降低这种安全威胁？

答：很简单！只要及时为终端计算机和Web服务器安装更新漏洞补丁，修补系统薄弱环节，切断病毒木马攻击通道即可。因为及时升级漏洞补丁，非法攻击通道就会被自动切断，那么病毒木马就不能通过专业的漏洞扫描工具，获得被攻击目标的系统漏洞，那么它们就无法沿着漏洞通道进行非法攻击。因为及时升级漏洞补丁，可以将Web网站的所有漏洞全部堵上，那么黑客或木马程序就无法通过Web漏洞，对Web站点执行跨站脚本攻击，或者进行SQL注入，或进行网站挂马，或进行CGI攻击。因为及时升级漏洞补丁，狙击波、震荡波、冲击波之类的流行病毒，就无法通过系统漏洞，将漏洞代码发送给终端或Web服务器，强制其产生缓冲区溢出，并执行病毒代码内容，进行恶意传播扩散了。此外，及时升级系统补丁，也能改善系统与程序、程序与程序之间的相互兼容性，提升系统或程序的运行稳定性。