站务联系
禁用TCP/IP协议中的NetBIOS:
这是残酷的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这样做了。另一方面,随着NETBIOS被禁用,黑客就不能看见你局域网上的资源了。这是一把双刃剑,如果网络管理员布署了这个工具,下一步便是怎样教育Web用户怎样在NETBIOS失效的状况下公布信息。
使用TCP端口阻塞:
这是另一个残酷的工具。如果你熟悉每位通过合法成因访问你服务器的TCP端口,那么你可以步入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你应当提防的使用这一工具,因为你并不希望将自己锁在Web服务器此外,特别是在当你还要远程登录服务器的状况下。要得到TCP端口的具体细节,点击这儿。
仔细检测*.bat跟*.exe 文件: 每周搜索一次*.bat
和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场噩梦的可执行文件。在某些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发觉黑客早已制造并能使它们能踏入你系统的注册表文件。你可以删掉那些没任何意义但竟会给入侵者带给便利的字段。
管理IIS目录安全:
IIS目录安全容许你抵制特定的IP地址、子网并且是域名。作为选择,我选择了一个被叫做WhosOn的硬件,它使我还能了解这些IP地址正在企图访问服务器上的特定文件。WhosOn列举了一系列的异常。如果你发觉一个家伙正在企图访问你的cmd.exe,你可以选择婉拒这个用户访问Web服务器。当然bgp高防服务器,在一个忙碌的Web站点,这或许须要一个全职的职员!然而,在内部网,这真的是一个特别有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关闭他们。关键是不要把自己锁定在外,不同的人还要不同的权限,管理员还要完全控制,后台管理帐户也须要完全控制,系统跟服务各自还要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件跟应用程序。
14.管理用户帐户:
如果你已然安装IIS,你或许形成了一个TSInternetUser帐户。除非你真正还要这个帐户,否则你应当禁用它。这个用户很容易被渗透,是黑客们的明显目标。为了帮助管理用户帐户,确定你的本地安全策略没有问题。IUSR用户的权限也应当尽可能的小。
审计你的Web服务器:
审计对你计算机的功耗有着较大的影响,因此假如你不频繁察看的话,还是不要做审计了。如果你真的能用到它,请审计系统丑闻并在你还要的时侯加入审计工具。如果你正在使用上面提及的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将某些纪录放置在一个十分容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你一直察看异常数据库,你能在任何时侯找到服务器的脆弱点。
总结
上述所有IIS方法跟工具(除了WhosOn以外)都是Windows自带的。不要忘记在检测你网站可达性之前一个一个的使用这种方法跟工具。如果他们一起被布署,结果或许使你损失惨烈,你或许须要重启,从而丢失访问。
