学校Web服务器安全配置的初探

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略更改 成功 失败

对象访问 失败

目录服务访问 失败

特权使用 失败

3 IIS安全配置

3.1安装时应注意的安全问题

安装IIS之后，在安装的计算机上生成IUSR_Computername匿名账户，该账户被添加到域用户组中，从而所应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把IIS安装在域控制器上，尤其是主域控制器，也不要把IIS安放在系统分区上，这样的话会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。

3.2用户控制的安全性

取消Web的匿名服务，具体方法：启动ISM（Internet Server Manager）;启动WWW服务属性页；取消其匿名访问服务。一般用户通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户进行管理。

3.3登记认证的安全性

IIS服务器提供对用户三种形式的身份认证，分别是匿名访问，基本（Basic）验证，Windows NT 请求/响应方式，此方式是浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证方式。

3.4访问权限控制：

3.4.1 文件夹和文件的访问权限，利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视（如文件访问，用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止）。方法是，启动“域用户管理器”，启动“规则”选单下的“审核”选项，设置“审核规则”。

3.4.2 WWW目录的访问权限，WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件，执行权限，允许用户运行WWW目录下的程序和脚本。

3.5 IP地址的控制

IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定地址的整个网络用户来访问你的Web服务器。方法是，启动ISM（Internet 服务器管理器）；启动Web属性页中“高级”选项卡；进行指定IP地址的控制设置。

3.6 端口安全性的实现

对于IIS服务，无论是WWW站点、FTP站点、还是NNTP、SMYP服务等都有各自监听和接收浏览器请求的TCP端口号（Port）,一般常用的端口号为：WWW是80，FTP是21，SMTP是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，但用户在访问时需要指定新端口号。

3.7 IP转发的安全性

IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能不失为提高安全性的好办法。方法是，启动“网络属性”并选择“协议”选项卡；在TCP/IP属性中去掉“路由选择”。

3.8 SSL安全设置

IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，通过SSL（Security Socket Layer）安全机制使用数字证书。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。这样，客户端与服务器就建立了一个惟一的安全通道，设置方法是：①启动ISM并打开Web站点的属性页②选择“目录安全性”选项卡③单击“密钥管理器”按钮④通过密钥管理器生成密钥对文件和请求文件⑤从身份认证权限中申请一个证书⑥通过密钥管理器在服务器上安装证书⑦激活Web站点的SSL安全性。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://,而不是http://。但是SSL安全机制的实现，将增大系统开销，增加了服务器CPU的额外负担，从而降低了系统性能，在规划时建议仅为高敏感度的Web目录使用。

4 SQL服务器配置

4.1System Administrators 角色最好不要超过两个

4.2如果是在本机最好将身份验证配置为Win登陆

4.3不要使用Sa账户，为其配置一个超级复杂的密码

4.4删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshel l：是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

4.5隐藏 SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

本人介绍了Web服务器的工作方式及安全性配置的简单方法，当然还有很多安全配置方法，希望这些方法对你构建学校网络环境下的各种应用系统，研究完善Web服务器设置的完整、开放、先进、安全的综合解决方案有所帮助。

参考文献
黄健. 网络操作系统与局域网管理. 人民邮电出版社2005.6
王达. 网管员必读—网络安全（第2版）. 电子工业出版社 2007.6
张敏波. 网络安全实战详解. 电子工业出版社 2008.5

 2/2   首页 上一页 1 2