10招步驟保護IIS伺服器安全

[superxboy]

以下十個步驟可以作為保護IIS的基礎。

問題

IIS（Internet Information Server）是駭客特別喜歡的目標。因此，對於管理IIS網頁伺服器的管理員來說，確保伺服器安全是一件至關重要的事。IIS 4.0和IIS 5.0的預設值安裝尤其容易受到攻擊。

解決方案

採取下面的10個步驟來確保IIS的安全：

1.專門為IIS應用和資料設置一個NTFS磁碟機。如果可能的話，不允許IUSER（或者無論什麼匿名用戶）存取任何其他的磁碟機。如果應用遇到任何由於匿名用戶沒有許可權存取位於其他磁碟機上的程式而造成的問題，那麼，使用Sysinternals的FileMon來尋找哪一個檔案該用戶不能存取，然後把該程式移至IIS磁碟機上。如果這樣不可行的話，則允許IUSER僅可存取該檔案。

2.設置磁碟機上的NTFS許可權：
Developers = Full

IUSER = Read and execute only

System and admin = Full


3.使用一個軟體防火牆確保沒有終端用戶（只有研發人員）可以存取IIS機器上除了port 80之外的其他埠。

4.使用微軟的工具來保護機器：IIS Lockdown和UrlScan。

5.啟動使用IIS的日誌檔(logging)功能。除了IIS紀錄外，如果可能的話，同時也使用防火牆日誌檔功能。

6.把記錄的日誌(log)從預設地點移開，並確保已經進行備份。為日誌檔案夾建立一個備份，這樣在另一個位置總是有一個可以使用的備份檔。

7.啟動機器上的Windows監督功能(auditing)，因為在試圖反向追查攻擊者的行為的時候總會發現資料不足。利用監督日誌，你可藉著執行腳本來檢查任何可疑的行為，然後發送報告給管理員。這聽起來好像有一點極端，但是如果貴公司非常重視安全的話，這種作法可說十分值得鼓勵。建立監督功能來報告所有的失敗帳號登錄事件。另外，就跟先前的IIS日誌一樣，請將預設值位置 （c:\winnt\system32\config\secevent.log）改變為另一個不同的位置，並且確保你有一個備份而且有一個複製的拷貝檔。

8.經常多閱讀一些安全文章（各種來源的）。最好是盡可能多瞭解IIS，並進行全面的安全作法，而不僅僅是按照其他人（比如我）告訴你的經驗來實現。

9.加入IIS漏洞郵件清單(mailing list)，並要確實加以閱讀以掌握最新狀態。這種列表有來自網際網路安全系統的X-Force Alerts and Advisories。

10.最後，確保你經常執行Windows Update，並重複檢驗修補程式真的已經有安裝妥當。

此文從Taiwan.CNET.com轉貼