很多站长都是喜欢用Windows系统搭建的网站,而windows系统中大部分是使用IIS搭建的。虽然是比较方便,但是安全性不是很高,下面来给大家讲解下有关于扬州BGP服务器的iis的安全技巧:

  1. 保持Windows升级:
    你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。

  2. 使用IIS防范工具:
    这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。

  3. 移除缺省的Web站点:
    很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

  4. 如果你并不需要FTP和SMTP服务,请卸载它们:
    进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。

  5. 有规则地检查你的管理员组和服务:
    有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。

  6. 严格控制服务器的写访问权限:
    这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

  7. 设置复杂的密码:
    我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。

  8. 减少/排除Web服务器上的共享:
    如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\命令寻找Everyone/完全控制权限的共享。

  9. 禁用TCP/IP协议中的NetBIOS:
    这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

  10. 使用TCP端口阻塞:
    这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。

  11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat
    和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

  12. 管理IIS目录安全:
    IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。

  13. 使用NTFS安全:
    缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

  1. 审计你的Web服务器:
    审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。

总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。

利联科技:扬州BGP高防服务器的IIS安全技巧相关推荐

  1. 140.210.28.29扬州BGP高防服务器

    江苏扬州市机房,位于运河西路237号数据中心,机柜数量400-500个,位于4楼6楼,每层200多个标准机柜,机柜42U.同机房典型客户有阿里的天猫 淘宝 CDN业务.金山云的华东最大节点,以及小米后 ...

  2. 利联科技:香港CN2服务器的优势和线路特点

    众所周知,香港的互联网技术相对较为先进而且几乎没有限制,其服务器的带宽和IP也是更加的充足,所以受到国内用户的青睐.但是香港服务器机房线路访问慢.运营商等原因,国内用户在使用香港普通服务器可能会存在不 ...

  3. BGP高防服务器与普通高防服务器有什么区别?

    有的企业在为自己的服务器挑选高防服务器的时候,常常会接到来自IDC运营商的提问:是选择普通高防服务器,还是选择BGP高防服务器?这时候,很多用户会对BGP高防服务器感到不解,究其原因,还是来自于对BG ...

  4. 杭州bgp高防服务器稳定性和安全性怎么样?103.219.30.*

    杭州bgp高防服务器稳定性和安全性怎么样? 杭州机器为什么可以说是业内最稳定.最安全的呢? 在选择服务器的时候需要注意什么? 杭州BGP驰网高防服务器,高防秒解,无视CC 杭州BGP机房,与各大互联网 ...

  5. BGP高防服务器是什么?要怎么选?

    随着互联网的不断发展,服务器逐渐成为必不可少的一环,很多厂商相继推出了单线路机房.多线路机房和BGP机房的相关产品,尤其是BGP机房受到极大的关注.随之而来的也有很多的网络安全问题,比如DDoS攻击等 ...

  6. 怎么区分BGP高防服务器和普通服务器?

    和各行各业的市场一样,目前的服务器市场上服务器类型琳琅满目,可以说是让人不知道怎么选择. 在这些服务器种类中,经常会被租用的BGP高防服务器受到带宽.地理位置.防火墙.线路等影响,在性能上跟普通服务器 ...

  7. bgp高防服务器,带你了解什么是用UDP协议攻击

    很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的 ...

  8. 扬州BGP高防物理机,为什么要选择BGP线路

    首先,BGP是多线机房的一项高级技术,也就是路由智能解析.路由器根据访问者的路由跳数以及其他技术参数来自动判断最佳访问路径,从而实现单IP快速访问电信.联通.移动的效果.这项技术同样运用于多线BGP机 ...

  9. 怎么样选择适合自己平台的服务器--群联科技筱筱

    app根据2018年网络攻击的情况分析,网络攻击的形式越来越严峻,其中棋牌.游戏是其中受灾最严重的.DDOS攻击是在网络攻击中最常见的一种攻击形式.而且是最难防范的.DDOS攻击为什么难防御,主要就是 ...

最新文章

  1. 二、神兽变变变(上)
  2. 从range和xrange的性能对比到yield关键字(中)
  3. context set_parameter all_req_parameters /iwfnd/if_sodata_types=gcs_iwf_context
  4. TeamViewer13 -- 安装、使用说明
  5. (数据科学学习手札45)Scala基础知识
  6. Java如何将指定字符串转化为指定日期格式
  7. 有向图的拓扑排序算法JAVA实现
  8. 图标代码_通过两行代码即可调整苹果电脑 Launchpad 图标大小!
  9. php 面向接口,php开发app接口
  10. oracle-审计3
  11. 震波——动态点分治+线段树
  12. linux输入输出重定向详解
  13. 【转】GB2312 编码
  14. vue项目使用SockJS插件实现webSocket通信
  15. 接口测试 requests的身份认证方式
  16. 取消计算机用户密码页面,取消开机密码 Windows电脑开机登录界面取消方法-电脑教程...
  17. 领导力21法则-- 要点总结
  18. 有15个数按由大到小顺序存放在一个数组中,输入一个数,要求用折半查找法找出该数是数组中第几个元素的值。如果该数不在数组中,则输出“无此数”
  19. 分享一种Android端IM即时通讯智能心跳算法
  20. Linux学习笔记(九)

热门文章

  1. 【物联网】esp8266 + 物联网平台 + 微信小程序的智能环境监测系统
  2. 北大计算机陈鹏,2021届毕业颁证仪式 | 特邀嘉宾北京大学陈鹏教授主旨演讲
  3. UVA 10242 Fourth Point
  4. “文件创建错误-参数错误”解决办法
  5. Vue项目脚手架搭建
  6. 取代公司债电话交易员?高盛新算法可自动提供债券价格
  7. 制作github.io学术版个人主页
  8. 关于DecimalFormat用法详解
  9. LeetCode-动态规划-518-零钱兑换II
  10. Status Code: 518 Server Error (518)