行业资讯

质量为本、客户为根、勇于拼搏、务实创新

< 返回行业资讯列表

如何保护香港服务器IIS程序?

发布时间:2021-04-20 08:18

租用香港服务器做网站,学会保护服务器的IIS程序是一门必须的功课!这里IDC香港总结了几个保护IIS的技巧:

1、 保持Windows升级
必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到另外一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,可以防止香港Web服务器接受直接的Internet访问。

2、使用IIS防范工具
这个工具虽然许多实用的优点,但请慎重的使用。如果Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。

3、 移除缺省的Web站点
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问服务器网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

4、卸载掉并不需要FTP和SMTP服务
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果执行身份认证,会发现用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,能避免更多的黑客攻击。

5、有规则地检查你的管理员组和服务
如果在服务器发现管理员组里多了一个用户,这意味着这时某个人已经成功地进入了服务器系统,他或她可能冷不丁地将炸弹扔到系统里,这将会突然摧毁整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,只能重新格式化你的磁盘,从备份服务器恢复每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为每天的任务。应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。

6、严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多作者的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7、减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用命令寻找Everyone/完全控制权限的共享。
总结:
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。