¿Cómo utilizar IIS?

Categoría: Computadora/Red

Análisis:

Como uno de los servidores web más populares en la actualidad, IIS (Inter Information Server) proporciona potentes funciones entre e intraservicios. . Cómo fortalecer el mecanismo de seguridad de IIS y establecer un servidor web confiable con alto rendimiento de seguridad se ha convertido en una parte importante de la administración de redes.

Basado en el mecanismo de seguridad de Windows NT

1. Aplicar el sistema de archivos NTFS

El sistema de archivos NTFS puede administrar archivos y directorios, mientras que el sistema de archivos FAT puede hacerlo. Solo puede proporcionar el más alto nivel de seguridad, y el mecanismo de seguridad de Windows NT se basa en el sistema de archivos NTFS, por lo que es mejor utilizar el sistema de archivos NTFS al instalar Windows NT; de lo contrario, no se establecerá el mecanismo de seguridad de NT.

2. Modificación de los permisos de ***compartir

Por defecto en el sistema, cada vez que se crea un nuevo ***compartido, el usuario Todos tiene "control total"** * permisos para compartir, por lo tanto, los permisos predeterminados de Todos deben modificarse inmediatamente después de crear un nuevo * recurso compartido.

3. Cambie el nombre de la cuenta del administrador del sistema

Aunque el administrador de usuarios del dominio puede limitar el número de intentos de contraseña, no puede limitar la cuenta del administrador del sistema (administrador). Esto puede resultar ilegal. los usuarios la oportunidad de atacar la contraseña de la cuenta de administrador. Es una buena manera de cambiar el nombre de la cuenta de administrador a través del administrador de usuarios del dominio. El método de configuración específico es el siguiente:

Seleccione el menú "Inicio" → "Programas" → inicie el "Administrador de usuarios de dominio" → seleccione "Cuenta de administrador (administrador)" → seleccione el menú "Usuario" → "Cambiar nombre", modifíquelo.

4. Cancele el enlace NetBIOS en TCP/IP

El administrador del sistema NT puede configurar la asignación entre el nombre NetBIOS de la estación de destino y su dirección IP para configurar Internet o Intra. Se administran otros servidores, pero los usuarios ilegales también pueden encontrar oportunidades para aprovecharla. Si este tipo de administración remota no es necesaria, debe cancelarse inmediatamente (cancele el enlace entre NetBIOS y TCP/IP a través de la opción de enlace de las propiedades de la red).

Configurar el mecanismo de seguridad de IIS

1. Problemas de seguridad a los que se debe prestar atención durante la instalación

1) Evite la instalación en el controlador de dominio principal

Después de instalar IIS, se generará la cuenta anónima IUSR_Computername en la computadora instalada. La cuenta se agrega al grupo de usuarios del dominio, proporcionando así los permisos de acceso aplicados al grupo de usuarios del dominio a cada usuario anónimo que acceda al servidor web. Esto no sólo supone un peligro potencial para IIS, sino que también puede amenazar la seguridad de todos los recursos del dominio. . Por lo tanto, trate de evitar instalar el servidor IIS en un controlador de dominio, especialmente en el controlador de dominio principal.

2) Evite la instalación en la partición del sistema

La instalación de IIS en la partición del sistema expondrá los archivos del sistema al mismo acceso ilegal que IIS, y es fácil para los usuarios ilegales invadir el partición del sistema, por lo que se debe evitar instalar el servidor IIS en la partición del sistema.

2. Seguridad del usuario

1) Control de los derechos de acceso de los usuarios anónimos

El usuario anónimo IUSR_Computername (contraseña generada aleatoriamente) generada después de instalar IIS, su contraseña Anonymous El acceso trae posibles problemas de seguridad al servidor web y sus permisos deben controlarse. Si no es necesario el acceso anónimo, podrá cancelar el servicio de acceso anónimo en la Web.

Método específico:

Seleccione el menú "Inicio" → "Programas" → "

Microsoft Inter Server (Público) " → "Inter Service Manager" → Iniciar Microsoft Inter Service Manager → Doble -Haga clic en "WWW" inicia la página de propiedades del servicio WWW → cancela su servicio de acceso anónimo.

2) Controlar los derechos generales de acceso de los usuarios

Puedes usar una contraseña que combine números y letras (incluyendo mayúsculas y minúsculas), usar una contraseña larga (generalmente más de 6 caracteres) y cámbielo con frecuencia. Las cuentas de usuario generales se administran mediante métodos como contraseñas, bloqueo de intentos fallidos de inicio de sesión y configuración de fechas de vencimiento de la cuenta.

3. La seguridad de las tres formas de autenticación IIS

1) Acceso de usuario anónimo: Permite que cualquiera acceda de forma anónima, que es la menos segura de las tres.

2) Autenticación básica: el nombre de usuario y la contraseña se transmiten en texto claro en la red y el rendimiento de seguridad es medio.

3) Método de solicitud/respuesta de Windows NT: el navegador se comunica con el servidor IIS mediante cifrado, lo que previene eficazmente a los espías y es una forma de autenticación relativamente segura (requiere soporte para IE 3.0 o superior).

4. Control de permisos de acceso

1) Establecer los permisos de acceso de carpetas y archivos: Por un lado, se deben controlar los permisos de carpetas y archivos ubicados en el sistema de archivos NTFS. , establezca diferentes permisos para diferentes grupos y usuarios, además, también puede usar la función de auditoría de NTFS para auditar la lectura y escritura de archivos por parte de miembros de ciertos grupos, monitoreando el "acceso a archivos" y el "uso de objetos de usuario" y otros; acciones para detectar eficazmente los precursores de actividades ilegales por parte de usuarios ilegales y prevenirlas y detenerlas rápidamente. Método específico:

Seleccione el menú "Inicio" → "Programas" → inicie el "Administrador de usuarios de dominio" → seleccione la opción "Auditoría" en la pestaña "Reglas" → establezca las "Reglas de auditoría".

2) Establezca los permisos de acceso del directorio WWW: para una carpeta que se ha configurado como directorio web, puede controlar los permisos de acceso del directorio WWW operando la página de propiedades del sitio web y todo Los archivos y subtítulos en el directorio Carpetas heredarán estos mecanismos de seguridad. Además de los permisos proporcionados por el sistema de archivos NTFS, el servicio WWW también proporciona permisos de lectura, lo que permite a los usuarios leer o descargar archivos en el directorio WWW; permisos de ejecución, lo que permite a los usuarios ejecutar programas y scripts en el directorio WWW; El método de configuración específico es el siguiente:

Seleccione el menú "Inicio" → "Programas" → "Microsoft InterServer (Público)" → "Inter Service Manager" → Inicie Microsoft Inter Service Manager → Haga doble clic en " WWW" para iniciar la página de propiedades del servicio WWW → Seleccione la pestaña "Directorio" → Seleccione el directorio WWW que desea editar → Seleccione "Propiedades del directorio" en "Editar propiedades" para configurarlo.

5. Control de dirección IP

IIS se puede configurar para permitir o denegar solicitudes de servicio desde IP específicas y permitir selectivamente el acceso de usuarios desde nodos específicos. Puede utilizar la configuración para evitar que los usuarios de la red fuera de la dirección IP especificada accedan a su servidor web. El método de configuración específico es el siguiente:

Seleccione el menú "Inicio" → "Programas" → "Microsoft Inter Server (Público)" → "Inter Service Manager" → Inicie Microsoft Inter Service Manager → Haga doble clic "WWW" para iniciar la página de propiedades del servicio WWW → Inicie la pestaña "Avanzado" en la página de propiedades web; realice la configuración de control de dirección IP.

6. Implementación de seguridad portuaria

Para los servicios IIS, ya sea un sitio WWW, un sitio Fpt, un servicio NNpt, SMpt, etc., todos tienen su propia forma de escuchar. y recibir solicitudes del navegador. Los números de puerto TCP más utilizados son: WWW es 80, Fpt es 21 y SMpt es 25. Puede mejorar la seguridad del servidor IIS modificando el número de puerto. Si modifica la configuración del puerto, solo podrán acceder los usuarios que conozcan el número de puerto, pero los usuarios deberán especificar el nuevo número de puerto al acceder.

7. Seguridad del reenvío de IP

El servicio IIS puede proporcionar la función de reenvío de paquetes de datos IP. En este momento, el servidor IIS que actúa como enrutador reenviará los paquetes IP recibidos. desde la interfaz Inter. Los paquetes IP se reenvían a la intranet. Deshabilitar esta función mejorará la seguridad del servicio IIS. El método de configuración es el siguiente:

Seleccione el menú "Inicio" → "Programas" → "Microsoft InterServer (Público)" → "Inter Service Manager" → Inicie Microsoft Inter Service Manager → Haga doble clic en "WWW " para iniciar la página de propiedades del servicio WWW → Seleccione la pestaña "Protocolo" → Eliminar "Enrutamiento" en las propiedades de TCP/IP.

8. Mecanismo de seguridad SSL

SSL (Secure Socket Protocol Layer) se ubica entre la capa HTpt y la capa TCP, estableciendo una comunicación cifrada entre el usuario y el servidor para garantizar la transferencia de información. seguridad. SSL funciona en base a claves públicas y claves privadas. Cualquier usuario puede obtener la clave pública para cifrar los datos, pero se debe utilizar la clave privada correspondiente para descifrar los datos. Cuando se utiliza el mecanismo de seguridad SSL, primero el cliente establece una conexión con el servidor y el servidor envía su certificado digital y su clave pública al cliente. El cliente genera aleatoriamente una clave de sesión y utiliza la clave pública obtenida del servidor. La clave cifra la clave de sesión y la pasa al servidor a través de la red. La clave de sesión solo se puede descifrar con la clave privada en el lado del servidor. De esta manera, el cliente y el servidor establecen un pasaje seguro único. El método de configuración específico es el siguiente:

Seleccione el menú "Inicio" → "Programas" → "Microsoft Inter Server (Público)" → "Inter Service Manager" → Inicie Microsoft Inter Service Manager → Haga doble clic "WWW" para iniciar la página de propiedades del servicio WWW → Seleccione la pestaña "Seguridad de directorio" → Haga clic en el botón "Administrador de claves" → Genere el archivo de clave y solicite el archivo a través del administrador de claves → Solicite un certificado de la autoridad de autenticación → A través del administrador de claves Instale el certificado en el servidor → Active la seguridad SSL para el sitio web.

Una vez establecido el mecanismo de seguridad SSL, solo los clientes con permiso SSL pueden comunicarse con sitios web con permiso SSL. Cuando utilice el localizador de recursos URL, preste atención a ingresar "htpts" en lugar de "htpt".

La implementación del mecanismo de seguridad SSL aumentará la sobrecarga del sistema y aumentará la carga adicional en la CPU del servidor, lo que reducirá el rendimiento del sistema hasta cierto punto. El autor recomienda que al planificar su red, considere utilizar la seguridad SSL sólo para directorios web altamente confidenciales. Además, el cliente SSL requiere el uso de IE 3.0 y superior.