本节涵盖IIS5所特有的安全问题,同时微软的IIS默认安装实在不敢恭维,所以IIS的配置是也将是重点。
(1) 在虚拟目录上设置ACL。尽管该步骤与应用程序稍微有些关系,但是经验仍适用,正如表5.4中列出的那样。
文件类型:
访问控制列表 CGI (.exe, .dll, .cmd, .pl)Everyone (X)Administrators(完全控制)System(完全控制)脚本文件 (.asp)Everyone (X)Administrators(完全控制)System(完全控制)Include 文件 (.inc, .shtm, .shtml)Everyone (X)Administrators(完全控制)System(完全控制)静态内容 (.txt, .gif, .jpg, .html)Everyone (R)Administrators(完全控制)System(完全控制)
① 按文件类型推荐使用的默认ACL。
无需在每个文件上设置ACL,最好为每个文件类型创建一个新目录、在每个目录上设置ACL、允许ACL传给各个文件。例如,目录结构可为以下形式: · c:\inetpub\wwwroot\myserver\static (.html) · c:\inetpub\wwwroot\myserver\include (.inc) · c:\inetpub\wwwroot\myserver\script (.asp) · c:\inetpub\wwwroot\myserver\executable (.dll) · c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)
同样,请特别注意以下两个目录: · c:\inetpub\FTProot(FTP 服务器)· c:\inetpub\mailroot(SMTP 服务器)
在这两个目录上的ACL是Everyone(完全控制),并且应被更紧密的事物所覆盖(取决于您的功能级别)。如果打算支持 Everyone(写入),则将该文件夹放在IIS服务器以外的不同卷上,或使用Windows 2000磁盘配额限制可写入这些目录的数据量。
② 设置适当的IIS日志文件ACL
请确保IIS产生的日志文件 (%systemroot%\system32\LogFiles) 上的ACL是 · Administrators(完全控制) · System(完全控制) · Everyone (RWC)
这有助于防止恶意用户为隐藏他们的踪迹而删除文件。
当您希望确定服务器是否被攻击时,日志记录是极其重要的。应使用 W3C 扩展日志记录格式,步骤如下:
① 装载 Internet Information Services工具。
② 右键单击所述站点,然后从上下文菜单中选择“属性”。
③ 单击“Web 站点”选项卡。
④ 选中“启用日志记录”复选框。
⑤ 从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。
⑥ 单击“属性”。
⑦ 单击“扩展属性”选项卡,然后设置客户IP地址、用户名、方法、URI资源、HTTP状态、Win32 状态、用户代理、服务器IP地址、服务器端口。
如果在一台计算机上有多个Web服务器,则后两种属性非常有用。Win32状态属性对于调试非常有用。检查日志时,密切注意错误5,这意味着访问被拒绝。在命令行上输入 net helpmsg err,可找出其他Win32错误的含义,其中err是要查找的错误号。
(2) 设置IP地址/DNS 地址限制。这不是常用选项,但是如果您希望限制某些用户对 Web 站点的访问,则这是可采用的选项。请注意,如果您输入IIS拥有的域名系统(DNS) 名称以执行 DNS 查找,则这将非常耗时。
(3) 验证可执行内容的可靠性。很难知道可执行内容是否可靠。一个试验就是使用 DumpBin工具查看可执行内容是否调用某些API。DumpBin 包括在多种Win32开发工具中。例如,如果要查看名为MyISAPI.dll的文件是否调用 RevertToSelf,请使用以下语法:
dumpbin /imports MyISAPI.dll | find "RevertToSelf"
如果屏幕上未显示任何结果,则MyISAPI.dll不直接调用 RevertToSelf。它可能通过 LoadLibrary调用API,在这种情况下,也可使用类似的命令搜索它。
(4) 在IIS服务器上更新根CA证书。这个过程分为两步:第一步,添加任何您信任的新根证书颁发机构 (CA) 证书 - 特别是,使用Microsoft证书服务2.0创建的根CA证书。第二步,删除您不信任的所有根CA证书。请注意,如果您不知道颁发根证书的公司名,千万别信他们。
IIS 使用的所有根CA证书都驻留在计算机的机器存储中。可通过以下步骤访问该存储: · 打开 Microsoft 管理控制台 (MMC)。· 从“控制台”菜单中选择“添加/删除管理单元”,然后单击“添加”。· 选择“证书”,然后单击“添加”。· 单击“计算机帐户”选项按钮。· 单击“下一步”。· 选择所述机器。· 单击“完成”。· 依次单击“关闭”和“确定”。· 扩展“证书”节点。· 打开“受信任的根证书颁发机构”。· 选择“证书”。
右窗格上将显示当前可信的全部根CA证书。如果愿意,可以删除多个证书。
(5) 禁用或删除所有的示例应用程序。示例只是示例;在默认情况下,并不安装它们,且从不在生产服务器上安装。请注意一些示例安装,它们只可从 http://localhost或127.0.0.1访问;但是,它们仍应被删除。
表5.5列出一些示例的默认位置。
表5.5
示例 虚拟目录 位置
IIS 示例 \IISSamples c:\inetpub\iissamples
IIS 文档 \IISHelp c:\winnt\help\iishelp
数据访问 \MSADC c:\program files\common files\system\msadc
启用或删除不需要的 COM 组件
(6) 启用或删除不需要的COM组件。某些COM组件不是多数应用程序所必需的,应加以删除。特别是,应考虑禁用文件系统对象组件,但是要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。例如,Site Server 3.0使用File System Object。以下命令将禁用 File System Object:
regsvr32 scrrun.dll /u
(7) 删除 IISADMPWD 虚拟目录。该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下,并不作为 IIS 5 的一部分安装,但是 IIS 4 服务器升级到 IIS 5 时,它并不删除。如果您不使用 Intranet 或如果将服务器连接到 Web 上,则应将其删除。有关该功能的详细信息,请参阅 Microsoft 知识库文章 Q184619。
使用老机器和笔记本电脑的朋友,恐怕都难容忍慢得让人发疯的系统启动过程吧。即使试遍了各种优化秘籍,使用了所有优化软件,但Windows XP还是慢悠悠的开机,慢腾腾的关机,让人沮丧不已。其实,Windows XP早就为你准备好了一个快速开关机的捷径,它就是待机与休眠。
一、关机加速 一键待机
打开“控制面板”→“电源选项”,选择“高级”选项卡,在这里设置“在按下计算机电源按钮时”下拉选单,在其中钩选“休眠”或“待机”。应用设置后,就可以使用一键待机了。例如在下班前,正在进行某项明天要继续的工作,这时只要按一下机箱上的电源按钮,就可以下班走人了。而第二天,按下开机键就可以很快进入系统,继续昨天未完成的工作。
从待机状态恢复时,可能会被他人偷窥到电脑中的资料。对此,可在“高级”选项卡中,钩选“在计算机从待机状态恢复时,要求输入密码”项,为待机加上一道安全防护。
二、打造“Sleep”休眠键
首先在“电源选项”对话框的“休眠”选项卡中,钩选上“启用休眠”功能。接着在桌面上点击右键,在弹出菜单中选择“新建”→“快捷方式”,在“创建快捷方式”对话框中输入“rundll32.exe powrprof.dll,SetSuspendState”命令。单击“下一步”,在“选择程序标题”对话框中输入“休眠”。“完成”后,右击桌面上的“休眠”快捷方式,打开对话框选择“快捷方式”选项卡,在“快捷键”中按下自己喜欢的快捷键,如“F8”。设置好后,只需按下“F8”键即可实现一键休眠了。
三、合理设置待机电源
很多时候,只是暂时离开电脑,这时就无需关闭大部份硬件设备的电源了,例如USB接口、网卡、鼠标等设备,这样可使恢复速度得到提升。
以网卡为例,打开“设备管理器”,右键点击网卡项目,在弹出菜单中选择“属性”命令,打开属性设置对话框。选择“电源管理”选项卡,在这里取消对“允许计算机关闭这个设备以节约电源”项的选择,点击应用即可。使用同样方法,禁用USB和鼠标等设备的电源关闭功能。
