IIS与SQL服务器安全加固网络服务器

IIS与SQL服务器安全加固网络服务器（精选7篇）

IIS与SQL服务器安全加固网络服务器 篇1

安装和配置 Windows Server 2003， 1.将System32cmd.exe转移到其他目录或更名; 2.系统帐号尽量少，更改默认帐户名(如Administrator)和描述，密码尽量复杂; 3.拒绝通过 网络 访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非

安装和配置Windows Server 2003。

1.将System32cmd.exe转移到其他目录或更名;

2.系统帐号尽量少，更改默认帐户名(如Administrator)和描述，密码尽量复杂;

3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

4.建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高)：

文件类型

建议的 NTFS 权限

CGI 文件(.exe、.dll、.cmd、.pl)

脚本文件 (.asp)

包含文件(.inc、.shtm、.shtml)

静态内容(.txt、.gif、.jpg、.htm、.html)

Everyone(执行)

Administrators(完全控制)

System(完全控制)

6.禁止C$、D$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters

AutoShareServer、REG_DWORD、0x0

7.禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters

AutoShareWks、REG_DWORD、0x0

8.限制IPC$缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

restrictanonymous REG_DWORD 0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQLServer

9.仅给用户真正需要的权限，权限的最小化原则是安全的重要保障

10.在本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：

在账户策略->密码策略中设定：

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定：

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

11.在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了，

12.解除NetBios与TCP/IP协议的绑定

控制面版――网络――绑定――NetBios接口――禁用 2000：控制面版――网络和拨号连接――本地网络――属性――TCP/IP――属性――高级――WINS――禁用TCP/IP上的NETBIOS

13.在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口(如80)

14.通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接

15.修改数据包的生存时间(TTL)值

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

16.防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

SynAttackProtect REG_DWORD 0x2(默认值为0x0)

17.禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

Interfacesinterface

PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)

18.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

19.不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

IGMPLevel REG_DWORD 0x0(默认值为0x2)

20.设置arp缓存老化时间设置

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)

ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

21.禁止死网关监测技术

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

22.不支持路由功能

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters

IPEnableRouter REG_DWORD 0x0(默认值为0x0)

原文转自：www.ltesting.net

网络服务器日常安全与维护 篇2

关键词：网络服务器；安全维护；攻击

中图分类号： TP319.3 文献标识码：A文章编号：1674-098X(2011)03(b)-0000-00

1 引言

由于计算机技术越来越得到普遍的应用，在网络系统中，服务器作为存储与信息的交换的中心，同时就能够向网络中的用户提供一些较好的资源共享服务等。如果要想使得网络服务器不仅在运用方面能够发挥的更好，而且还要保证网络服务器得到较为安全的运作，从而可以较好的满足许多网络用户的要求，同时这对网络服务器的安全与维护很关键。

2 网络服务器的硬件维护

首先，在供电与温度方面。在网络服务器的运作之中，电力一定要保持连续的稳定，如果突然断电，就造成了网络服务器硬件的破坏。然而要想保证电力的安全以及稳定，就需要在电力的供给系统中进行比较正规的设计以及精心的配置，使得市电与油机两者之间能够自动转换，从而实现供电。在温度方面，温度的过高以及过低均能够使得网络服务器硬件的正常运转受到影响。如果温度太低的时候，一些水分就会出现在网络服务器的小器件上，这可能会导致漏电甚至会发生短路，从而使得网络服务器发生故障；如果温度太高的时候，就会使得器件的寿命减短甚至破坏。所以需要保证实时的完成温度监控功能，而且还要具备通风及温度控制的装备。

其次，在火险与灰尘的控制方面。由于火灾关系到人们的财产甚至生命的安危，必须将机房中的电力系统进行比较好的设计，而且在电力装备的购买以及工程的施工方面，更加应该做好电力系统的日常安全与维护，因此，工作人员应该更加严格遵守所有制度，而且应该能够从容处理一些突发的火险状况。在灰尘的控制方面，由于网络服务器的连续运作，当由于静电而吸收的一些灰尘达到极限程度的时候，就会减小网络服务器中散热装备的运行效率，从而就会导致机箱中的温度太高，就会使得网络服务器发生故障，而且会对一些设备如主板等的运用周期形成一定的破坏。所以能够合理的控制灰尘十分关键，必须有周期的完成清理灰尘工作，保证合适的环境状况。

最后，在机身的负重要求。因为任意一台网络服务器的承载能力均具备着不同的程度，所以在机柜的规格设定之中，如果想要较好的实现规划以及设计，必须不能够在单个隔层堆处存放太多的网络服务器，从而能够满足机身的承载能力。

3 网络服务器的软件维护

在軟件的安全维护方面，有以下多种维护方法。

(1)解决自身的漏洞问题。比如定期更新一些防病毒的软件，应该在网络服务器与电脑中都要安装防病毒的软件。尽可能的保证不在网络服务器中安装一些不必要的软件，要能够依据用户的时间来设定用户登录网络的权限，由于网络中的全部数据均要经过密码来进行登录，因此在使得用户在设置密码的时候，就一定不仅要将字母、特殊字符以及数字混合起来使用，而且还要设置定时来更换密码，其长度最好不要小于八个字符。

(2)转变角色进行思考。在大部分情况下，若仅仅站在网络维护员的角度看问题，则会在找出服务器的漏洞这一方面相对比较困难。这时如果转换一下角色，维护员能够将自己看成是潜在的攻击者，对于防御利用的方法以及服务器所潜在的漏洞进行猜想并且完成攻击，则有可能找出网络服务器中的一些安全隐患，因此就会提早修复，以防病毒的入侵。当由外部网络进行访问服务器时，完成较为系统的检测，之后将本身看成是攻击者，进行仿真。这是比较好的方法。这是由于如果把自身看作是攻击者，就会利用相应的检测工具，将整个网络系统的服务器完成检测，平时忽视的环节就有机会被发现，当利用攻击者普遍运用的工具进行检测时，则能够找出关键的问题所在。

(3)从IP地址及防火墙方面着手。在IP地址中，并不是一定将所有的都公开，其中最少应该存在一个能够与外部连接的IP，这是因为全部网络通信均会从该地址通过。然而在工作站处的IP一定不能够公开。

务必认真完成配置防火墙的工作，因为在网络设计中，防火墙属于十分关键的一个环节，可以使电脑避免遭到外部的蓄意损坏。但是代价是防火墙会使得网络服务器的性能衰减，不过如果将安全看成首位时，这将是不可避免的。

(4)按周期的将网络服务器完成一些更新。定期对服务器进行备份和系统软件漏洞的补丁升级。首先只有完成了将整个系统实现安全漏洞的修复以及备份的处理，这样才能够使得系统避免意料之外的问题出现以及使用者无意之中的非法使用，因此，务必应该完成系统安全漏洞的修复与备份的处理。其次，不仅要完成整个网络系统的更新与备份，而且同时要将被修复的数据等完成相应的备份处理。最后，最好把修复完成以后的关键文件放置在不一样的网络服务器中，这样做的好处是当整个系统发生问题时，能够比较迅速的把整个系统转换到正常工作的状态。

(5)从工作站的安全性方面解决问题。由于工作站作为网络服务器的入口，因此加大工作站的安全力度更加可以保证整个网络系统的安全，最好的方法是运用Windows2003，因为其相对比较安全，这样就可以把工作站锁住，如果没有特定的权限，那么要想获取网络的信息就会比较困难。其他的方法是使得用户在固定的工作站与IP处登录。

(6)从脚本的安全与维护方面着手。一般情况下，大部分网络服务器均是因为一些坏的脚本而导致受到攻击，最后才发生瘫痪现象的。

4结束语

网络服务器的日常安全与维护可以看做一项长久且关键的任务，相关的网络安全维护工作人员要实时的学习新知识以及将理论实践于实际，不断地加强自身对于网络服务器更加深刻的认识以及较强的防御意识，然后就会比较有目的性地利用合理高效的方法去加强多个相对薄弱的环节，从而不断去除多项不安全的环节，尽可能的保证网络服务器既稳定又安全的实现运作。

参考文献

[1] 赵俊沛，张丽平，环境条件对服务器稳定运行的影响分析[J]. 华南金融电脑，2003.6.

[2]袁津生，齐建东，曹佳，计算机网络安全基础（第三版）[M]. 人民邮电出版社，2008.

[3] 邵士媛，Web 服务器安全策略的综合应用[J]. 科学技术与工程，2006.11.

[4]徐方，陶维，动态 Web 网站安全防范技术探讨[J]. 孝感学院学报，2006, 26(6) : 87~90.

[5]许可超，计算机网络系统安全维护策略初探[J]. 科技创新导报，2008.

.

IIS与SQL服务器安全加固网络服务器 篇3

有时需要定时打开或关闭IIS服务器的目录，这时就要设置相应目录的权限，使访问者在规定的时间访问这些文件。为了达到这个目的，可以设置这个目录的读权限何时打开或关闭。经过摸索，发现使用NT下的CACLS和AT命令，可以实现上述目的。

显示或修改文件的访问控制清单命令

1.使用格式

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]]

上述参数的含义：

filename显示ACL。

/T更改当前目录和所有子目录中指定文件的ACL。

/E编辑但不替代ACL。

/C在访问禁止错误时继续。

/G user:perm对指定用户赋予访问权限。

Perm可以是:R(读权限)。

C更改(写)权限。

F完全控制权限。

/R user撤消指定用户的访问权限(仅在与/E一起使用时有效)。

/P user:perm替代指定用户的访问权限。

Perm可以是:N(没有权限)、R(读权限)、C(写权限)、F(完全控制权限)。

/D user禁止指定用户访问。

在命令中可以使用通配符指定多个文件。

也可以在命令中指定多个用户。

2.应用举例

CACLS D:WwwrootOutside /T /E /C /G everyone:r

(给予D:WwwrootOutside目录及子目录读的权限)

CACLS D:WwwrootOutside /T /E /C /R everyone

(撤消D:WwwrootOutside目录及子目录读的权限)

CACLS D:WwwrootOutsidebs*.htm /E /C /G Everyone:r

(给予D:WwwrootOutsidebs*.htm读的权限)

定时自动执行命令

AT命令指出在特定的日期和时间运行某些命令和程序，

运行AT命令之前必须先启动Schedule服务(启动Schedule服务的方法：在“控制面板”中选服务，然后选Schedule，最后点取“启动”按钮)。

1.使用格式

AT [computername] [ [id] [/DELETE] | /DELETE [/YES]]

AT [computername] time [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] “command”

computername指定远程计算机。如果省略这个参数，命令会被排定在本机上运行。

id指定给排定进度命令的识别号。

/DELETE删除某个已排定进度的命令。如果省略标识，计算机上所有已排定进度的命令都会被删除。

/YES用于删除所有作业，且不想在运行删除时显示确认信息。

time指定命令运行的时间。

/interactive允许作业在运行时，与用户通过桌面交互。

/EVERY:date[,...]指定在每周或每月的某日(或某几日)运行命令。如果省略日期则默认为在每月的本日运行。

“command”可以是NT命令，也可以是批处理命令。

2.应用举例

AT显示当前计算机上所有的计划

AT 4 /DELETE

(删除第4个计划)

AT 11:00 “C:Begin.bat”

(每天上午11：00执行c:egin.bat命令)

AT 13:00 “C:End.bat”

(每天下午1：00执行c:end.bat命令)

【附】

C:Begin.bat内容：

CACLS d:wwwrootoutsidebs?.htm /e /c /g everyone:r

C:End.bat内容：

CACLS d:wwwrootoutsidebs?.htm /e /c /r everyone

IIS与SQL服务器安全加固网络服务器 篇4

 

服务器安全之iis权限设置篇服务器教程

 

。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问

读取

写入

浏览

记录访问

索引资源

6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：

无

纯脚本

纯脚本和可执行程序

3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 ―― ASP、PHP、ASP.NET 程序所在目录的权限设置：

如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的，

只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2 ―― 上传目录的权限设置：

用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3 ―― Access 数据库所在目录的权限设置：

许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 ―― 其它目录的权限设置：

你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。

IIS与SQL服务器安全加固网络服务器 篇5

关键词:II S;FTP服务器;安全性

Rational A llocation of II S to I mprove FTP Servers Security t HAO Guang-x i n1,WANG Ke-j u n2(1.Puyang H ua l o ng State Adm i n istration of Taxati o n,H enan Puyang457000,Chi n a;2.H enan Cable Corpo ration Puyang Branch,H enan Puyang457000,Ch i n a Abst ract:FTP servers i s the co m puter prov i d i n g storage space i n Interne.t They pr ov i d e serv ices i n accor dance w it h the fil e transfer pr o toco.l IIS inW i n do

w s syste m pr ov i d es FTP serv ices,the article exp lai n ed ho w a rea-sonable IIS configuration to g reatl y enhance the security of the FTP servers.K ey w ords:IIS;FTP servers;security 一个厂家直销点,在锅面喷上/罗田广电0字样,将卫星接收机贴上/专卖0标记,在销售安装价格上按厂家定价适当加入管理费,这样既解决了管理与收费的矛盾,同时又方便了对非法销售和非法安装使用的管理。在实行/专卖0管理的同时,我们把全县划分为两大区域,即有线电视覆盖区域和非覆盖区域,在覆盖区域内严格禁止安装使用卫星天线,在非覆盖区域内,凡农户有使用卫星天线愿望的,必须由当地乡镇广播电视站把好初审关,并由农户写出书面申请,同时自愿签订用户责任保证书,由广播电视部门组织安装,并锁定卫星天线方位,接收境内电视节目。

6切实解决山区农民看电视难的问题

县广播电视局大力加强广播电视/村村通0和/户户通0工程建设,近几年来先后完成271个行政村的/村村通0工作,发展6000多个用户,同时投资800多万元建设乡村广播电视光纤网,连通了12个乡镇和256个行政村,发展农村有线电视用户近2万户,而在边远山区采用无线数字电视覆盖的方式,为群众提供高质量多套数字电视节目,这些措施从根本上消除了非法卫星电视接收设施滋生和蔓延的土壤。

上述管理措施取得明显效果,一是基本禁止了私自销售、安装卫星接收设施现象;二是群众依法使用卫星电视地面接收设施的意识增强,绝大部分用户都办理了相关证件;三是规范了使用程序;四是为有线电视进村入户拓展了市场,为农村广播电视事业的发展提供了有力保障。

[收稿日期:2006-02-06] 作者简介:郝广鑫(1979-,男,助理工程师,主要从事计算机网络安全管理及系统开发工作;

王可君(1977-,女,助理工程师,主要从事点播频道编辑制作及有线电视网络维护工作。

807 W indo w s Ser ver2003系统的II S(I nter net I nfor m ation Server提供了FTP服务功能,由于它与W i n do w s系统本身结合紧密,且简单易用,因此深受广大用户的喜爱。但是它的默认设置存在很多安全隐患,很容易成为黑客们的攻击目标,从而造成信息泄漏甚至系统崩溃。因此,须对II S进行合理配置,以提高其安全性。

1取消匿名访问功能

默认情况下,W i n do w s Server2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患,用户不需要申请合法的账号就能访问FTP服务器,甚至还可以上传、下载文件,特别是对于一些存储重要资料的FTP 服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。

在W i n do w s Server2003系统中,点击/开始→程序→管理工具→I nternet服务管理器0,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到II S自带的FTP服务器,右键点击/默认FTP站点0项,在菜单中选择/属性0,弹出默认FTP站点属性对话框,切换到/安全账号0标签页,取消/允许匿名连接0前的勾选,最后点击/确定0按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。

2启用日志记录

W i n dows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机I P地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出

现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。

在默认FTP站点属性对话框中,切换到/FTP站点0标签页,选中/启用日志记录0选项,这样就可以在/事件查看器0中查看FTP日志记录了。

3正确设置用户访问权限

每个FTP用户账号都具有一定的访问权限,但对用户权限设置不合理,也能导致FTP服务器出现安全隐患。如服务器中的TOOL文件夹,只允许TOOLUS-ER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置中,还是允许其他用户对TOOL文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。

右键点击TOOL文件夹,在弹出菜单中选择/属性0,切换到/安全0标签页,删除Everyone用户账号,再点击/添加0按钮,将TOOLUSER账号添加到名称列表框中,然后在/权限0列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击/确定0按钮。这样,TOOL文件夹只有TOOLUSER用户才能访问。

4为FTP站点配置虚拟文件夹

用一个虚拟文件夹来充当站点目录结构的一部分,它能够对用户实施有效的屏蔽,即当用户浏览这个站点或者从FTP命令行提交DI R命令时,它并不出现。用户可用这两种方式之一来连接到这个虚拟文件夹:在浏览器或FTP命令行中明确指定这个文件夹,或者使用一个同这个虚拟文件夹的别名相匹配的用户账号来连接。

打开II S控制台,在希望创建该文件夹的FTP站点上单击鼠标右键,然后选择新建->虚拟目录命令,根据向导提示输入文件夹别名、路径名和读写属性即可。5启用磁盘配额

FTP服务器的磁盘空间资源是宝贵的,无限制地让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以TOOL USER 用户为例,将其限制为只能使用100MB磁盘空间。

在资源管理器窗口中,右键点击TOOL文件夹所在的硬盘盘符,在弹出的菜单中选择/属性0,切换到/配额0标签页,选中/启用配额管理0复选框,激活/配额0标签页中的所有配额设置选项。为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中/拒绝将磁盘空间给超过配额限制的用户0复选框。然后在/为该卷上的新用户选择默认配额限制0框中选择/将磁盘空间限制为0单选项,在后面的栏中输入100,磁盘容量单位选择为/MB0,再进行警告等级设置,在/将警告等级设置为0栏中输入/960,容量单位也选择为/M B0,这样就完成了默认配额设置。此外,还要选中/用户超出配额限制时记录事件0和/用户超过警告等级时记录事件0复选框,以便将配额告警事件记录到W i n do w s日志中。

点击配额标签页下方的/配额项0按钮,打开磁盘配额项目对话框,点击/配额→新建配额项0,弹出选择用户对话框,选中TOOLUSER用户后,点击/确定0按钮,在/添加新配额项0对话框中为TOOLUSER用户设置配额参数,选择/将磁盘空间限制为0单选项,在后面的栏中输入/1000,在/将警告等级设置为0栏中输入/960,它们的磁盘容量单位均为/M B0,最后点击

808 郝广鑫等:合理配置IIS,提高FTP服务器的安全性《中国有线电视》2006年第08期

/确定0按钮,完成磁盘配额设置,这样TOOLUSER用户就只能使用100M B磁盘空间,超过96M B就会发出警告。

6TCP/I P访问限制

为保证FTP服务器的安全,我们还可以拒绝某些I P地址的访问。在默认FTP站点属性对话框中,切换到/目录安全性0标签页,选中/授权访问0单选项,在/以下所

列除外0框中点击/添加0按钮,弹出/拒绝以下访问0对话框,这里可以拒绝单个I P地址或一组I P 地址访问,以单个I P地址为例,选中/单机0选项,在/I P地址0栏中输入该机器的I P地址,最后点击/确定0按钮,这样添加到列表中的I P地址都不能访问FTP服务器了。

7合理设置组策略

通过对组策略项目的修改,也可以增强FTP服务器的安全性。在W indo w s Server2003系统中,进入/控制面板→管理工具0,运行本地安全策略工具。

(1审核账户登录事件

在本地安全设置窗口中,依次展开/安全设置→本地策略→审核策略0,在右侧的框体中找到/审核账户登录事件0项目,双击打开该项目,在设置对话框中选中/成功0和/失败0这两项,最后点击/确定0按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。

(2增强账号密码的复杂性

一些FTP账号的密码设置得过于简单,就有可能被破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。

在本地安全设置窗口中,依次展开/安全设置→账户策略→密码策略0,在右侧框体中找到/密码必须符合复杂性要求0项,双击打开后,选中/已启用0单选项,点击/确定0按钮。然后,打开/密码长度最小值0项,为FTP账号密码设置最短字符限制,这样密码的安全性就大大增强了。

(3账号登录限制

有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。

依次展开/安全设置→账户策略→账户锁定策略0,在右侧框体中找到/账户锁定阈值0项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。打开/账户锁定时间0项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值才能重新使用。

8不使用FTP默认的端口号

FTP服务默认的端口号是21,这也是具有一定网络知识的人所熟知的,这个端口非常容易被黑客或木马所利用。在创建FTP服务器时应尽量不使用21作为FTP服务的端口号,这样就可以大大提高FTP服务器的安全性,有效避免网络恶意攻击。

通过以上合理配置,FTP服务器就会更加安全,但没有绝对的安全,我们还更应重视平时的维护工作,如:及时更新系统补丁阻塞漏洞、定期查看系统日志、做好重要数据的备份等等。

参考文献: [1]周学毛.网站规划建设与管理维护[M].北京: 电子工业出版社,2001.[2]Jeffer y R fShapiro.W i n do w s Server2003宝典 [M].杨秀梅,林润生,盖江南,译.北京:电子工 业出版社,2003.[3]梁军,毛振寰.计算机网络与信息安全[M].北京:北京邮电大学出版社,2005.[4]程迎春.W i n dow s安全应用策略和实施方案手册 [M].北京:人民邮电出版社,2005.[收稿日期:2006-03-06] 敬告作者:投稿注意事项

1.请作者务必以电子邮件方式投稿,邮件地址为: E-m ai:l ccatvbjb@ma i.l x jtu.edu.cn。2.稿件正文字号以5号字为宜,不可再小。

3.除了维护维修技术一类的稿件,其余稿件均应有摘要、关键词、作者单位、作者简介、所在省市(县、邮编,并将文题、作者单位、摘要、关键词译为英文。

4.来稿必须注明作者通信地址、邮编、联系电话,以便投寄样刊。

IIS与SQL服务器安全加固网络服务器 篇6

在IIS6中设置404错误页

在IIS8中设置404错误页

IIS版本：IIS 8.5

问题描述

搭建一个测试网站，总共就2个页面(index.php和404.php)，默认首页为：index.php

当访问index.php和404.php的时候，IIS服务器能正常响应，说明在IIS 8.5中配置PHP环境没有出现问题，

访问index.php

访问404.php

另外，我的错误页配置结果如下：

正常情况下，当访问某个不存在的页面时(比如：127.0.0.1/aaa.php)，此时，iis服务器发现aaa.php这个文件并不存在，所以，应该会请求404.php

也就是：127.0.0.1/aaa.php--->127.0.0.1/404.php

但是，当我访问127.0.0.1/aaa.php的时候，却报如下错误：

解决办法

双击“错误页”设置-->选中状态代码为404的选项-->在右侧的操作栏中选择“编辑功能设置”-->勾选“自定义错误页”

如下图所示

友情提示

IIS服务器组建一览服务器教程 篇7

IIS(Internet Information Server，互联网信息服务)是一种Web(网页)服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络(包括互联网和局域网)上发

布信息成了一件很容易的事。本文将向你讲述Windows 高级服务器版中自带的IIS 5.0的配置和管理方法。

准备篇 IIS的添加和运行

一、IIS的添加

请进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务(IIS)”前的小钩去掉(如有)，重新勾选中后按提示操作即可完成IIS组件的添加，

用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

二、IIS的运行

当IIS添加成功之后，再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。

第一篇 IIS之Web服务器

一、建立第一个Web站点

比如本机的IP地址为192.168.0.1，自己的网页放在D:Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。

对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。