Windows系统下web站点安全的常用设置和技巧

摘要：通常Web站点的设计目标都是以最易接受的方式，为访问者提供即时的信息访问。然而，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性。服务器系统的安全没有设置好，信息服务(IIS)的权限没有设置好，黑客就有可乘之机，网站经常被挂马。本文就站点服务器和IIS的安全设置做归纳和总结。

关键词：站点服务器；IIS安全设置；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 16-0042-02

一、设置安全服务器

（一）系统盘和站点放置盘（包括所以盘符）必须设置为NTFS格式，方便设置权限，系统盘和站点放置盘除administrators和system的用户权限全部去除。

（二）启用windows自带防火墙，暂只保留有用的端口，如：远程（80）、Ftp（21）、远程桌面（3389）等。

（三）安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。

（四）更改sa密码为超长密码，在任何情况下都不要用sa这个帐户。

（五）改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户。

（六）配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。)

（七）在安全设置里，本地策略-安全选项将“网络访问：可匿名访问的共享”、“网络访问：可匿名访问的命名管道”、“网络访问：可远程访问的注册表路径”、“网络访问：可远程访问的注册表路径和子路径”以上四项清空。

（八）在安全设置里，本地策略-安全选项：用户权利指派通过终端服务拒绝登陆加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示机器名，注意不要添加进user组和administrators组，添加进去以后就没有办法远程登陆了。)

（十）更改本地安全策略的审核策略。审核策略更改－成功失败，审核登录事件－成功失败，审核对象访问－失败，审核过程跟踪－无审核，审核目录服务访问－失败，审核特权使用－失败，审核系统事件－成功失败，审核账户登录事件－成功失败，审核账户管理－成功失败。

二、保护IIS的技巧

（一）移除缺省的Web站点。很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。

（二）卸载不需要FTP和SMTP服务。进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

（三）减少、排除Web服务器上的共享。如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。利用\\命令寻找Everyone/完全控制权限的共享。

（四）检查*.bat和*.exe文件，在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，可以发现黑客已经制造并能让他们能进入你系统的注册表文件。登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接，检查IIS服务器上的服务列表并保持尽量少的服务，明确哪个服务应该存在，哪个服务不应该存在。

（五）管理用户账户。安装IIS后，可能产生了一个TSInternetUser账户。除非真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题，IUSR用户的权限也应该尽可能的小。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

四、结论

本文提出了适合于二路胖树的多区域位串编码方法。该方法利于路由信息的计算，并且具有良好的可扩展性，是一种良好的编码方法。

参考文献：

[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems,”ICPP 1995:8-15.

[2]Rajeev Sivaram,Ram Kesavan,Dhabaleswar K.Panda,Craig B.Stunkel, “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP,1998.

[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture,1991:116-124

[4]孙圣.“二路胖树对虫孔交换树型组播的支持特性”.第9界计算机工程与工艺年会。