IIS安全最佳做法 IIS Security Best Practice(转东转西)

主持人和专家介绍
Grace:大家好!欢迎进入微软在线技术聊天。我们的聊天将于4点准时开始。今天我们请到了微软最有价值专家 - Bernard Cheah。
Grace:聊天室的主題:IIS Security Best Practise
Grace:请大家准备好问题。我们的聊天很快就要开始。
Bernard[BB]:大家好-今天聊天主题是IIS安全最佳做法
Grace:欢迎你,Bernard!Bernard Cheah(BB)是新闻组中IIS方面非常著名的高手。 :-)
Grace:大家请在下面的窗口贴出问题,BB将在上面的窗口回答。谢谢!

来宾提问Q 和专家解答A
Bernard[BB]:先说说安全。。IIS安全不只是注重IIS服务器而已
Bernard[BB]:扫毒软件,防火墙,IDS入侵侦查软件及VPN等等。都要注意
Bernard[BB]:Q-then can you tell me what's iis ?
Bernard[BB]:A - IIS - Internet Information Server - Web服务
Bernard[BB]:Q -IIS Lock的工作原理是什么啊?"
Bernard[BB]:A - IIS Lockdown - IIS 锁定工具-帮助管理员设置一些安全选项
Bernard[BB]:Q - IIS如何能有效控制访问用的可用线程
Bernard[BB]:A - 可以用IP Restriction, 身份验证,NTFS权限等等
Bernard[BB]:Q - 有个问题,如果网站的代码有问题,如何防止这些代码危及其他站点甚至系统的安全?
Bernard[BB]:A - 把站点隔离成'高',用独立的匿名用户,再配置NTFS权限
Bernard[BB]:Q - 我听说IIS需要三个帐号同步,才会工作正常,否则会引起500错误,是这样吗
Bernard[BB]:A - 两个帐号。是的,因为密码存放在三个地方。
Bernard[BB]:Q - 请问IP Restriction是什么
Bernard[BB]:A - IP 禁止设置。
Bernard[BB]:Q - iis的 ftp设置虚拟目录,有什么办法支持中文吗?
Bernard[BB]:A - IIS 6.0已经支持了。。
Bernard[BB]:Q - BB,请回答一下liyf的问题,并请回答一下,有什么最方便的方法让这三个账号密码同步
Bernard[BB]:A - 看看这文章http://support.microsoft.com/?id=297989
Bernard[BB]:Q - 我的IISADMIN服务启动不了!提示:IIS Admin服务因下列错误而停止:目录名无效.
Bernard[BB]:A - 把问题发到新闻组-microsoft.public.cn.iis - 原因很多-不能在这解答
Bernard[BB]:Q - 把站点隔离成'高',用独立的匿名用户,再配置NTFS权限
Bernard[BB]:1. A - http://support.microsoft.com/?id=326086
Bernard[BB]:2. 建立用户-把该用户-设置成站点匿名用户
Bernard[BB]:3. 用NTFS来针对该用户权限。
Bernard[BB]:Q - IP Restriction 有一个专门的工具?还是仅仅是IIS的一个设置
Bernard[BB]:A - 只是个配置。看看http://support.microsoft.com/?id=324066
Bernard[BB]:Q - 为了安全起见,我通常将IIS的wwwroot移动到别的分区,之后只保留自己的站点文件,这样在初级完全方面是否起到一定作用
Bernard[BB]:A - 一般是这么配置的。
Bernard[BB]:Q - 如何把登录对话框做在页面里?而不是弹出来?(asp)
Bernard[BB]:A - 假如是用IIS本身验证功能-不能。另外可以用ASP自己编程
Bernard[BB]:Q - 一个网卡,用iis配置多个ip地址的网站怎么操作
Bernard[BB]:A - 看看http://support.microsoft.com/?id=190008
Bernard[BB]:Q - 现在大家对IIS的安全问题大都限于IIS的漏洞方面,请问除了这个,还有别的需要注意的地方吗?
Bernard[BB]:A - 看看这些文章
Bernard[BB]:管理Windows IIS Web服务的安全性 - http://www.microsoft.com/china/security/bestprac/MCSWebBP.asp
Bernard[BB]:IIS 5.0基本安全性检查清单 - http://www.microsoft.com/china/security/tools/iis5cl.asp
Resources for Securing Internet Information Services
http://support.microsoft.com/?id=282060
IIS 5 HiSecWeb Potential Risks and the IIS Lockdown Tool
http://support.microsoft.com/?id=316347
Microsoft TechNet - Make your web server secure
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/chklist/wsrvsec.asp
Building and Configuring More Secure Web Sites
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/openhack.asp
Bernard[BB]:Q - Q-补充,那么之前的默认目录是否可以完全删除。会不会影响系统稳定性
Bernard[BB]:A - 可以。IIS 6.0 默认已经没有添加默认虚拟目录
Bernard[BB]:Q - bb,还有一个有意思的问题,我记得有一次我们一个程序员由于代码编写问题,不小心写了个死循环,结果在他机器上试验的时候不断持续占用内存空间,直至机器运行不了陷入死机,那么如果象这种不完善的代码上传的服务器上,客户浏览的时候怎么才能防止类似的现象?用cpu资源限制么?
Bernard[BB]:A - 这。。在IIS6.0资源控制已经比较好。IIS5.1以下。。不是很理想
Bernard[BB]:所以还是要慢慢调式。
Bernard[BB]:Q - 我想把表单上取到的用户和密码拿给windows作验证,在asp.net里可以使用impersonate,在asp里如何做?
Bernard[BB]:A - 这属于asp, aspnet 问题- 可以看看 - http://support.microsoft.com/?id=248187
Bernard[BB]:Q - 我配置过一次NEWS服务,发现就不能删除系统默认自建的目录。提示有错误
Bernard[BB]:A - 默认control.* 是系统需要的,不可以删除
Bernard[BB]:Q - 记得网上曾经有一种asp的网页木马后门,上传上去后可以利用浏览器来执行系统命令如建立、删除、启动服务之类的,那么怎么防止此类攻击呢?
Bernard[BB]:A - 不允许上传,不就解决了吗?
Bernard[BB]:Q - IIS能否设置cookie得存取时间。我对国内一知名论坛程序作过试验,通过cookie得存取bug(可能算bug)可以突破论坛对我的上传文件数量的控制和其他一些发贴限制。
Bernard[BB]:A - 这一般都是代码设置,IIS只能Expire Content Page
Bernard[BB]:IIS安全工具- http://www.microsoft.com/china/security/tools/locktool.asp
Bernard[BB]:Urlscan 翻译 - http://www.chinamvp.com/msdn/review.asp?trans_id=26
Bernard[BB]:Q - 我的IIS最近出现一个怪问题:不能识别.exe文件,一个下载系统里,如果文件名是.exe后缀,则隔了好久后提示找不到此文件,而别的文件类型没有此现象;但是以前可以识别.exe文件,不知道这是为什么?
Bernard[BB]:A - 你有安装IISlockdown/Urlscan ?
Bernard[BB]:Q - 那不是其论坛安全性得不到保障,唉!失败
Bernard[BB]:A - 这些都属于代码及权限控制。与IIS无关
Bernard[BB]:Q - 我是说假如给企业开的ftp帐号密码被破解,别人上传了这个东西,怎么搞?
Bernard[BB]:A - 那么就像先前所的,隔离站点,用新的匿名用户,然后控制权限,该用户不能执行 cmd.exe 等等
Bernard[BB]:Q - 访问日志http回复? 中文名字?"?不解其意
Bernard[BB]:A - IIS Web Access Log file. default: %windir%system32/logfiles/w3svX/
Bernard[BB]:Q - 我在windows server 2003 中, Asp 里 include file = "../conn.asp" 为什么不行呢?
Bernard[BB]:A - 默认是禁止的,看看http://support.microsoft.com/?id=332117
Bernard[BB]:Q - IUSR-XXXXX和IWAM-XXXXX这两个用户名有被破解密码的可能吗?
Bernard[BB]:A - 这本来是系统设置。比如9Dkaa#@kd
Bernard[BB]:A - 即使可以破解,也没有用。
Bernard[BB]:A - 用户权限很低
Bernard[BB]:Q - 在IIS5中改了注册表后对可以支持中文但装了urlscan后就不支持中文了£¿
Bernard[BB]:A - AllowHighBit设置了吗?
Bernard[BB]:Q - 如果被破解,他人是否能通过这两个用户名来登录或访问我的其他...
Bernard[BB]:A - 如何?http ? 本地网络 ?用户权限太低,没有威胁。况且不是容易破解
Bernard[BB]:Q - 问个目录ACL的设置问题,网页有asp、cgi,要调用access或者sql数据库,权限该怎么设置。我一般是设置为管理员完全控制。everyone组读取及运行、写入、修改、列出权限,妥当否?
Bernard[BB]:A - 最好- iusr/iwam 运行、列出,只要在需要目录才允许写入、修改
Bernard[BB]:Q - 他们的权限有guest高或一样吗?
Bernard[BB]:A - iusr是GUEST组成员
Bernard[BB]:Q - 对了,我也遇到过iis5不支持中文目录,为何
Bernard[BB]:A – 用以下设置
1. HKLM/System/CurrentControlSet/Services/InetInfo/Parameters/FavorDBCS = 0.
2. Restart the server.
Bernard[BB]:A - IIS 5.0对unicode支持不好,IIS6.0就没有问题
Bernard[BB]:Q - AllowHighBit 在哪里设
Bernard[BB]:A - urlscan.ini
Bernard[BB]:Q - IIS日志中的500,200,304是什么意思呢?
Bernard[BB]:A - http://support.microsoft.com/?id=318380 HTTP回复资料
Bernard[BB]:Q - BB,你老说iis6好,什么时候帮我弄一套啊?
Bernard[BB]:A - 买 Windows 2003 Server
Bernard[BB]:Q - IWAM到底是用来做什么的?有些不大明白 Q
Bernard[BB]:A - IWAM_MACHINE 用于启动一个单独的进程,该 进程称为 Dllhost.exe,所有 Active Server Pages (ASP)、组件对象模型 (COM) 组 件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行。
Bernard[BB]:Q - 确实如你所说打开AllowHighBitCharacters我的中文路径又可以用了
Bernard[BB]:A - 默认是不允许,改了当然可以执行
Bernard[BB]:Q - 安装了iis后,自动添加的两个用户能不能禁用?禁用有什么影响,不禁用有什么安全隐患吗?
Bernard[BB]:A - 如果没有用到IIS,就禁用,不会有问题

结束语
Grace:感谢大家的参与.感谢微软最有价值专家 - Bernard Cheah的精彩回答.本次在线技术聊天圆满完成.
Grace:假如你还有问题,请在微软中文新闻组提问。
Grace:微软中文新闻组,
Grace:我们每周四都有online chat, chat 的预告和整理请见http://www.microsoft.com/china/community/chat/chat.asp。谢谢大家的关注和参与!
Grace:再次感谢BB!
Bernard[BB]:谢谢。。

你可能感兴趣的:(windows,系统+DOS?,iis,security,asp,聊天,server,破解)