广告位 后台主题配置管理 |
广告位 后台主题配置管理 |
本篇文章给大家谈谈iis网站服务器安全隐患,以及IIS主要漏洞对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
IIS的安全:
(不启用日志记录,主目录的记录访问和索引资源不勾,执行权限选纯脚本(点旁边的配置,启用父路径))
1.删掉c:/inetpub目录,删除iis不必要的映射 ,web 服务扩展:保留acitve server pages,其他都禁止 网站属性:去掉扩展名中不用得,仅保留
asp,asa,等常用.
IIS (Internet信息服务器管理器) 在"主目录"选项设置以下
读 允许
写 不允许
脚本源访问 不允许
目录浏览 不允许
记录访问 不允许
索引资源 不允许
执行权限 推荐选择 “纯脚本”
2.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为"xxxxx",出错了自动转到首页.
3.提高IIS 网站服务器的执行效率的八种方法
以下是提高IIS 网站服务器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存档案数量,可提高Active Server Pages之效能。
5. 勿使用CGI程式。
6. 增加IIS 电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
4.优化IIS应用程序池
1、取消“在空闲此段时间后关闭工作进程(分钟)”
2、勾选“回收工作进程(请求数目)”
3、取消“快速失败保护”
一般建议1个站点一个应用程序池,应用程序池对于一般站点可以采用默认设置.
应用程序池可以适当设置下"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
5.解决SERVER 2003不能上传大附件的问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为20M即:20480000)
存盘,然后重启 iis admin service 服务。
解决SERVER 2003无法下载超过4M的附件问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值(可修改为20M即:20480000)
存盘,然后重启 iis admin service 服务。
6.超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
设置脚本超时时间为:300秒 (注意:不是Session超时时间)
解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”,
就可以进行设置了(Windows 2003默认为20分钟)
有脚本权限设置安全 gettpostt head提交方式过滤注入安全 有iis后缀安全设置 有防止sql注入安全部署 可以sine安全做部署
尽管Windows服务器凭借其特有的稳定性,赢得了众多用户的青睐;不过在该服务器中搭建IIS服务器时,IIS服务器的安全并不是无懈可击,这主要是Windows服务器中的IIS组件存在不少安全漏洞,这样一来就很容易招来各种非法攻击,尽管通过安装相关补丁能够及时修复这些安全漏洞,但无奈新漏洞又会层出不穷地出现。为了让IIS服务器变得无懈可击,本文特意为各位准备了以下安全防范招法,相信在这些招法的“保驾护航”下,你的IIS服务器的安全性能一定得到进一步增强。 1、及时删除无效映射 在默认状态下,IIS服务器会自动创建好十几种应用程序的映射关系,可事实上,许多Web网站仅仅用到asp这个应用程序映射,其他应用程序映射几乎没有任何作用;如果你将这些用不着的无效映射保留在IIS服务器中的话,它们可能会给服务器带来安全威胁,因为不少应用程序映射都存在安全漏洞,这些漏洞往往很容易被黑客或非法攻击者利用。为此,笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来,而其他用不着的映射必须及时删除,哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时,你可以按照下面的步骤来操作: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“主目录”标签; 在接着出现的对应标签页面中,单击“配置”按钮,进入到应用程序映射配置界面;从该界面中,你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了;此时你可以选中某个暂时用不到的应用程序的映射项目,然后单击“删除”按钮,就能把当前选中的映射项目删除掉了。你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目,然后再单击“删除”按钮,这样就能一次性删除多个无效程序映射项目了。当然,要是你的确需要某个应用程序映射项目时,就必须在系统中安装对应该映射的系统修补补丁,同时打开对应映射项目的编辑窗口,并将该窗口中的“检查文件是否存在”复选项选中;如此一来,日后IIS服务器一旦接受到对应文件请求时,就会自动先检查对应文件是否存在,要是文件的确存在的话,IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话,那么服务器遭受攻击的可能性就会大大增加;要想尽可能地降低被攻击的风险,对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式,就是对用户的身份进行验证,但无奈IIS服务器在默认状态下,会允许匿名访问的;因此在对用户进行身份验证之前,你必须先取消IIS服务器的匿名访问功能: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签;在对应标签页面的“匿名访问和验证控制”设置项处,单击“编辑”按钮,在弹出的设置窗口中,取消“匿名访问”选项的选中状态;接着再选中“集成Windows验证”复选项,再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下,SSL服务器是通过http协议以普通明文的方式来传输信息的,黑客或非法攻击者只要通过专业的嗅探器,就能轻易截取传输的帐号或密码,这样就容易给IIS服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息,你可以采用下面的方法来对IIS服务器进行SSL加密验证,以便对在IIS服务器中传输的信息进行加密: 要想对IIS服务器进行SSL加密,你首先需要在Windows 2003服务器系统中安装证书服务,而在默认状态下该服务是没有被安装的。在安装证书服务时,你可以依次单击“开始”/“设置”/“控制面板”命令,在其后出现的控制面板窗口中,双击“添加/删除程序”图标,然后单击“添加/删除Windows组件”标签,并在对应的标签页面中,选中“证书服务”选项,单击“下一步”按钮,在接着出现的向导设置窗口中,选中“独立根CA”选项,继续单击“下一步”按钮后,正确设置好CA服务器的名称信息以及使用期限,最后再为证书数据库以及相关日志文件指定好保存路径,就可以完成对证书服务的安装操作了。 接着我们需要对安装在SSL服务器中的目标网站,创建一个请求证书文件。在创建请求证书文件时,必须依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应标签页面的“安全通信”设置项处,单击一下“服务器证书”按钮,在接着打开的证书创建向导窗口中,单击“下一步”按钮,在随后弹出的设置窗口中,选中“创建一个新证书”选项,继续单击“下一步”按钮,然后将“现在准备请求,但稍候发送”项目选中;当向导窗口出现命名和安全设置提示时,你必须要为新证书正确输入证书名称,同时设置好加密密钥的位长,默认位长为512位;继续单击“下一步”按钮,然后按照提示设置好证书的组织单位、公用名称等信息,再设置好请求证书的保存路径,最后单击“完成”按钮就可以了。完成上面的设置后,你还需要将前面创建好的请求证书文件提交给IIS网站的证书服务器。在将请求证书文件提交给IIS网站的证书服务器时,首先需要将Windows系统目录“system32”下的“CertSrv”子目录,直接复制到目标网站的根目录下;然后在服务器系统中打开IE浏览器窗口,并在其地址栏中输入“/CertSrv/default.asp”URL地址(其中“”为目标网站的网址),在接着出现的证书服务欢迎界面中,单击一下“申请一个证书”链接,并在其后的页面中将证书申请类型设置为“高级证书申请”;接下来在高级证书申请页面中,单击“使用base64编码……”链接,然后把前面创建好的证书请求文件,直接复制到此处的“保存的申请”文本框中,再单击“提交”按钮就能完成证书请求文件的提交任务了。 一旦将请求证书文件提交给证书服务器后,你还需要进行颁发证书操作,才能使证书有效。在颁发证书时,你可以依次单击“开始”/“设置”/“控制面板”命令,在弹出的控制面板窗口中,找到“证书颁发机构”图标,然后用鼠标双击该图标;在接着打开的设置窗口中,将鼠标定位到“挂起的申请”选项上,然后用鼠标右键单击前面申请的证书,在其后弹出的右键菜单中依次单击“所有任务”/“颁发”命令; 等到颁发操作完毕后,再双击刚刚颁发成功的证书,并在证书设置窗口中单击“详细信息”标签,然后在对应标签页面中单击一下“复制到文件”按钮,打开一个文件导出向导界面,根据向导提示设置好导出文件的名称以及保存路径,最后单击一下“完成”按钮。 颁发完服务器证书之后,IIS服务器还没有把SSL加密功能启动起来,你还需要在Internet服务管理器控制台中,对IIS服务器进行进一步配置。在配置时,你必须重新进入到目标网站的“目录安全性”标签页面,再次单击该页面中的“服务器证书”按钮,在随后打开的设置窗口中,将“处理挂起的请求……”项目选中,接着按照向导提示设置好服务器证书文件的存放路径,同时启用SSL默认的“443”端口,再单击“完成”按钮;然后重新返回到“目录安全性”标签页面,单击“安全通信”设置项处的“编辑”按钮,在其后打开的编辑设置窗口中,将“要求安全通信”选项选中,最后单击一下“确定”按钮,这样IIS服务器的SSL加密功能就被正式启用了。日后你想访问目标网站“”时,就必须在IE地址栏中输入“https://”才可以浏览到网站内容,而且你在该网站中提交的任何信息都是被加密之后才传输的,因此网站信息的安全性就会得到大大增强。 4、巧用日志寻找安全隐患 任何对IIS服务器的访问,都会在服务器中留下访问记录,黑客或非法攻击者的访问同样也会在日志文件中留下痕迹;因此,要是我们能活用日志文件,就能及时知道黑客是否对IIS服务器进行了攻击,并且还能知道什么时候进行了攻击;一旦发现有攻击记录时,必须及时采用安全应对措施来阻止黑客的继续攻击。考虑到IIS服务器的日志记录,在默认状态下保存在Windows系统的“system32\logfiles”文件夹中,许多黑客很容易从这里找到原始日志文件,并对该日志文件进行修改,从而抹除其攻击痕迹,这样我们就无法从日志文件中知道IIS服务器是否存在安全隐患。为了阻止黑客随意更改日志记录文件,你可以按照如下步骤来修改日志文件的保存路径: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“Web站点”标签;在对应的标签页面中,将“启用日志记录”选项选中,同时单击一下“属性”按钮,在随后出现的属性设置框中,你将看到IIS服务器的日志文件默认存放位置为“%Windir%\System32\Logfiles”;此时你可以单击“浏览”按钮,在接着出现的文件夹选择对话框中,选择一个藏匿较深的子文件夹,作为IIS服务器日志文件新的存放位置。此外,为了能让日志文件及时记录黑客攻击行为,你最好在“新日志时间间隔”设置项处,选中“每天”选项;然后在“扩充的属性”标签页面中,你必须指定IIS服务器到底记录哪方面的内容;最后为了防止黑客随意改动日志文件,你还需要返回到系统资源管理器窗口,修改一下目标日志文件的属性,让日志文件只有本地管理员才有权限访问。完成上面的设置后,IIS服务器的日志文件就能发挥应有作用,并能帮助你及时查找到服务器中存在的安全隐患了。 5、限定特定区域主机的来访 要是安装在IIS服务器中的防火墙,总提示你有来自特定区域的某些上网主机,在不断尝试着攻击你的服务器时,你完全可以将这些“可疑”主机全部封杀,以阻止它们对服务器的继续攻击。在封杀这些“可疑”主机时,你可以按照如下步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应的标签页面中,单击“IP地址及域名限制”设置项处的“编辑”按钮,在弹出的设置窗口中,你可以选中“授权访问”选项,然后在“以下所列除外”列表处单击“添加”按钮,在其后弹出的“拒绝访问”设置框中,你可以将“一组计算机”选中,接着输入该组区域中的任何一台计算机的IP地址,同时在“子网掩码”处输入该区域的子网掩码,这样你就能将来自“可疑”区域的全部主机都封杀掉了。 要是你只想对单台可疑计算机进行“封杀”的话,那么你可以选中“一台计算机”选项,同时在“IP地址”文本框中直接输入需要封杀的计算机IP地址,最后单击“确定”按钮返回到图7所示的设置窗口中;倘若还想限制其他单台计算机对IIS服务器的访问时,你可以继续单击“添加”按钮,然后继续输入需要限制的计算机IP地址,这样所有出现在“以下所列除外”框中的目标计算机,都没有访问IIS服务器的权限了,而其他计算机都能正常访问IIS服务器。6、巧用内容分级确保访问安全 要是在IIS服务器中发布的网站信息,你不想让所有访问者都能看到的话,那么你可以对发布的网站内容进行分级设置,以便阻止受限用户随意查看目标站点的内容。巧用内容分级功能,你可以轻松限制哪些网站内容可以被授权访问,哪些内容又不能被用户随意访问。要对目标网站进行内容分级的话,可以按照下面的步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“HTTP头”标签; 在对应的标签页面中,你可以单击“内容分级”设置项处的“编辑分级”按钮,在其后打开的编辑设置窗口中,单击“分级”标签,然后在标签页面中,将“此资源启用分级”复选框选中;下面,在“类别”设置项处,选中一种合适的类别名称,这样对应类别的分级滑块将会自动显示出来,此时你只要移动该滑块,就能改变当前类别的分级级别;完成好上面的设置操作后,再单击一下“确定”按钮,这样就能把前面的设置保存好了,以后浏览者在访问指定类别内容时,就会受到一定的限制了。
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找你的网站程序提供商。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
随着校园网络建设和应用的逐步深入,越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台,在校园网中发挥着巨大的作用。因此,了解如何加强IIS的安全机制,建立一个高安全性能的Web服务器就显得尤为重要。
保证系统的安全性
因为IIS是建立在Windows NT/2000操作系统下,安全性也应该建立在系统安全性的基础上,因此,保证系统的安全性是IIS安全性的基础,为此,我们要做以下事情。
1、使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
2、关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”,在右侧窗口中创建一个名为“AutoShare-
Wks”的双字节值,将其值设置为0,这样就可以彻底关闭“默认共享”。
3、设置用户密码
用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
保证IIS自身的安全性
在保证系统具有较高安全性的情况下,还要保证IIS的安全性,主要请注意以下事情:
1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后,会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这样不仅不能保证IIS的安全性,而且会威胁到主域控制器。
2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患,因此在设定IIS中网站的目录权限时,要严格限制执行、写入等权限。
3、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本。
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
还是挺危险的。
IIS7是一个web服务器,就是网站运行的一个平台,写好的网站(各个网页、图片、数据等)要放到这个web服务平台上才能被用户们打开访问(除了微软公司的IIS7之外还有别的web服务平台),出现IIS7页面就是说我这个IIS7的WEB服务平台上没有上传网站上去,就好像一间房子,里面是空的。
1、建议进入设置-清除数据/清除默认设置尝试。
2、尝试登陆不同网站测试。
3、下载安装其它浏览器登录尝试。
4、备份好手机中存储的重要资料,将手机重置尝试。
如果问题依然存在,请将手机送到附近服务中心检测维修。
iis网站服务器安全隐患的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于IIS主要漏洞、iis网站服务器安全隐患的信息别忘了在本站进行查找喔。
广告位 后台主题配置管理 |
广告位 后台主题配置管理 |