当前位置: > Linux安全 >

Windows Server 2003优化IIS站点安全性和稳定性

时间:2014-06-10 05:02来源:linux.it.net.cn 作者:IT网
对于很多接触过Linux和Windows的朋友,对比Linux的apache来说,应该很清楚IIS是很不稳定了。什么死循环、堆栈溢出等问题一出现IIS就挂掉了,其他网站就受影响了。那我为什么还要讲IIS的安全性和稳定性呢?还是那句话,针对目前的市场来写文章做分享。

以下是使用IIS 部署网站的建议
1、将IIS目录&数据与系统磁盘分开放,如C盘放系统,D盘放数据,E盘只放网页文件。
2、网站目录只Administrators\SYSTEM\WEB用户\FTP用户权限,特殊目录除外。
3、启用父级路径
4、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp、aspx等必要映射即可),如果不懂不要删除。
5、在IIS中将HTTP404等出错页面通过URL重定向到一个定制HTML文件
6、建议使用W3C扩充日志文件格式,每小时记录客户IP地址,用户名等所有记录分类,而且每天均要审查日志,可用日记工具阅读。(IIS日志不要存放在默认的C盘,建议更换一个非系统盘日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成conn.asp.bak文件泄露问题。
8、设置IIS的服务恢复,减少IIS出问题时,自动重启服务。

将IIS Admin Service的恢复 第一次失败 设置为 重新启动服务,第二次失败和后续失败 设置为 运行一个程序,重置失败计数为 1天以后,重新服务启动服务为0分钟,然后在运行程序中复制以下地址 C:\WINDOWS\system32\iisreset.exe 命令行参数 /start
1)将IIS Admin Service的恢复 第一次失败 设置为 重新启动服务,第二次失败和后续失败 设置为 运行一个程序,重置失败计数为 1天以后,重新服务启动服务为0分钟,然后在运行程序中复制以下地址 C:\WINDOWS\system32\iisreset.exe 命令行参数 /start

将World Wide Web Publishing Services 第一次失败、第二次失败、后续失败 设置为 重新启动服务,重置失败计数为 1天以后,重新服务启动服务为0分钟
2)将World Wide Web Publishing Services 第一次失败、第二次失败、后续失败 设置为 重新启动服务,重置失败计数为 1天以后,重新服务启动服务为0分钟
9、删除C:\WINDOWS\system32\inetsrv目录下的adsiis.dll的user权限,可以禁止遍历IIS。
10、Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭

11、控制网站目录的权限,以下详细介绍。

一、新建Web访问用户
0、右击 我的电脑--计算机管理--本地用户和组/用户--右击 新建用户新建Web访问用户
1、如 用户名web001、密码:123abc!@#  (如果是真实运行尽量使用32位 复杂密码,另外用记事本保存好)
2、将 用户不能更改密码 和 密码永不过期 打勾。

二、修改Web用户权限

修改Web用户权限
1、右击 web001 属性--隶属于--将Users删除,添加IIS_WPG

切换到 环境 页面,将客户端设备的三个打勾 取消掉
2、切换到 环境 页面,将客户端设备的三个打勾 取消掉

切换到 远程控制 页面,将启用远程控制 取消打勾
3、切换到 远程控制 页面,将启用远程控制 取消打勾。

三、新建 应用程序池并设置权限

新建--应用程序池
1、打开 Internet 信息服务(IIS)管理器 右击 应用程序池 新建--应用程序池
填写新应用程序池的名称,如web001 或者默认AppPool #1

2、填写新应用程序池的名称,如web001 或者默认AppPool #1(关于网站独立使用应用程序池会比较好,一出现问题其他网站不会受它影响,也建议不同类型的网站不要使用同一个应用程序池)

右击 AppPool #1 属性--标识--应用程序池标识/配置--填写刚才新建的WEB用户:web001和密码:123abc!@# 应用--再一次密码输入:123abc!@# --确定


3、右击 AppPool #1 属性--标识--应用程序池标识/配置--填写刚才新建的WEB用户:web001和密码:123abc!@#    应用--再一次密码输入:123abc!@# --确定。(建议关于服务器相关的账号和密码用记事本保存好

四、设置网站的应用程序池和目录安全性权限

选择刚才新建的AppPool #1
1、右击 www.paipat.com网站的属性--主目录--应用程序池--选择刚才新建的AppPool #1

切换到 目录安全性--身份验证和访问控制/编辑

 

编辑--输入刚才新建的用户和密码,点击确定时再输入一次密码
2、切换到 目录安全性--身份验证和访问控制/编辑--输入刚才新建的用户和密码,点击确定时再输入一次密码
点击查看大图

3、进入网站目录,如D:\wwwroot\web001,右击web001属性--安全--添加web001用户--权限只留下读取和写入,点击 高级--选择Web001--编辑--添加 删除权限。

五、测试及日后操作
1、以上全部搞定后,测试网站能否正常访问,如果出现问题根据错误提示来搜索方案解决。
2、如果网站OK后,右击  www.paipat.com 站点--所有任务--将配置保存到一个文件,填写文件名、路径、配置加密(可选),方便日后复制网站和还原网站的配置。
3、日后坚持每天或者每周查看网站日志,根据数据来完善网站,保持网站良好运行。

(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容