一五一十談IIS安全機制

以WindowsNT的安全機制為基礎

1、應用NTFS文件系統(tǒng)

NTFS文件系統(tǒng)可以對文件和目錄進行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級的安全，而WindowsNT的安全機制是建立在NTFS文件系統(tǒng)之上的，所以在安裝WindowsNT時最好使用NTFS文件系統(tǒng)，否則將無法建立NT的安全機制。

2、共享權限的修改

在系統(tǒng)默認情況下，每建立一個新的共享，Everyone用戶就享有“完全控制”的共享權限，因此，在建立新的共享后應該立即修改Everyone的缺省權限。

3、為系統(tǒng)管理員賬號更名

域用戶管理器雖可限制猜測口令的次數(shù)，但對系統(tǒng)管理員賬號（adminstrator）卻無法限制，這就可能給非法用戶攻擊管理員賬號口令帶來機會，通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體設置方法如下：

選擇“開始”選單→“程序”→啟動“域用戶管理器”→選中“管理員賬號（adminstrator）”→選擇“用戶”選單→“重命名”，對其進行修改。

4、取消TCP/IP上的NetBIOS綁定

NT系統(tǒng)管理員可以通過構造目標站NetBIOS名與其IP地址之間的映像，對Internet或Intranet上的其他服務器進行管理，但非法用戶也可從中找到可乘之機。如果這種遠程管理不是必須的，就應該立即取消（通過網(wǎng)絡屬性的綁定選項，取消NetBIOS與TCP/IP之間的綁定）。

設置IIS的安全機制

1、安裝時應注意的安全問題

1）避免安裝在主域控制器上

安裝IIS之后，在安裝的計算機上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，從而把應用于域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶，這不僅給IIS帶來潛在危險，而且還可能威脅整個域資源的安全。所以要盡可能避免把IIS服務器安裝在域控制器上，尤其是主域控制器上。

2）避免安裝在系統(tǒng)分區(qū)上

把IIS安裝在系統(tǒng)分區(qū)上，會使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)，所以應該避免將IIS服務器安裝在系統(tǒng)分區(qū)上。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]