iis服务器安全隐患（服务器暴露在外网的安全隐患）

今天给各位分享iis服务器安全隐患的知识，其中也会对服务器暴露在外网的安全隐患进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、如何来配置iis服务器加强安全
• 2、IIS服务器有哪些安全
• 3、如何让win更安全
• 4、下代Windows Server IIS 7.0有哪些特性

如何来配置iis服务器加强安全

随着校园网络建设和应用的逐步深入，越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台，在校园网中发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

保证系统的安全性

因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

1、使用NTFS文件系统

在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

2、关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右侧窗口中创建一个名为“AutoShare-

Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

3、设置用户密码

用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

保证IIS自身的安全性

在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

IIS服务器有哪些安全

有脚本权限设置安全 gettpostt head提交方式过滤注入安全 有iis后缀安全设置 有防止sql注入安全部署 可以sine安全做部署

如何让win更安全

“金无足赤,人无完人”任何事物都没有十全十美的,微软Windows 2003也是如此，照样存在着系统漏洞、存在着不少安全隐患.不管是你用计算机欣赏音乐、上网冲浪、运行游戏，还是编写文档都不可避免的面临着各种病毒的威胁,如何让Windows Server 2003更加安全，成为广大用户十分关注的问题。 下面让我们来讨论如何让Windows Server 2003更加安全。

理解你的角色

理解服务器角色绝对是安全进程中不可或缺的一步。Windows Server可以被配置为多种角色，Windows Server 2003 可以作为域控制器、成员服务器、基础设施服务器、文件服务器、打印服务器、IIS服务器、IAS服务器、终端服务器等等。一个服务器甚至可以被配置为上述角色的组合。

现在的问题是每种服务器角色都有相应的安全需求。例如，如果你的服务器将作为IIS服务器，那么你将需要开启IIS服务。然而，如果服务器将作为独立的文件或者打印服务器，启用IIS服务则会带来巨大的安全隐患。

我之所以在这里谈到这个的原因是我不能给你一套在每种情况下都适用的步骤。服务器的安全应该随着服务器角色和服务器环境的改变而改变。

因为有很多强化服务器的方法，所以我将以配置一个简单但安全的文件服务器为例来论述配置服务器安全的可行性步骤。我将努力指出当服务器角色改变时你将要做的。请谅解这并不是一个涵盖每种角色服务器的完全指南。

物理安全

为了实现真正意义上的安全，你的服务器必须被放置在一个安全的位置。通常地，这意味着将将服务器放置在上了锁的门后。物理安全是相当重要的，因为现有的许多管理和灾难恢复工具同样也可以被黑客利用。任何拥有这样工具的人都能在物理接入到服务器的时候攻击服务器。唯一能够避免这种攻击的方法是将服务器放置在安全的地点。对于任何角色的Windows Server 2003，这都是必要的。

创建基线

除了建立良好的物理安全以外，我能给你的最佳建议是，在配置一系列Windows Server 2003的时候，应该确定你的安全需求策略，并立即部署和执行这些策略 。

实现这一目的最好的方法是创建一个安全基线(security baseline)。安全基线是文档和公认安全设置的清单。在大多数情况下，你的基线会随着服务器角色的不同而产生区别。因此你最好创建几个不同的基线，以便将它们应用到不同类型的服务器上。例如，你可以为文件服务器制定一个基线，为域控制器制定另一个基线，并为IAS服务器制定一个和前两者都不同的基线。

windows 2003包含一个叫"安全配置与分析"的工具。这个工具让你可以将服务器的当前安全策略与模板文件中的基线安全策略相比较。你可以自行创建这些模板或是使用内建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夹下。检查或更改这些个体模板最简单的方法是使用管理控制台(MMC)。

要打开这个控制 台，在RUN提示下输入MMC命令，在控制台加载后，选择添加/删除管理单元属性命令，Windows就会显示添加/删除管理单元列表。点击"添加"按钮，你将会看到所有可用管理单元的列表。选择安全模板管理单元，接着依次点击添加，关闭和确认按钮。

在安全模板管理单元加载后，你就可以察看每一个安全模板了。在遍历控制台树的时候，你会发现每个模板都模仿组策略的结构。模板名反映出每个模板的用途。例如，HISECDC模板就是一个高安全性的域控制器模板。

如果你正在安全配置一个文件服务器，我建议你从SECUREWS模板开始。在审查所有的模板设置时，你会发现尽管模板能被用来让服务器更加安全，但是不一定能满足你的需求。某些安全设置可能过于严格或过于松散。我建议你修改现有的设置，或是创建一个全新的策略。通过在控制台中右击C:WINDOWSSecurityTemplates文件夹并在目标菜单中选择新建模板命令，你就可以轻轻松松地创建一个新的模板。

在创建了符合需求的模板后，回到添加/删除管理单元属性面板，并添加一个安全配置与分析的管理单元。在这个管理单元加载后，右击"安全配置与分析"容器，接着在结果菜单中选择"打开数据库"命令，点击"打开"按钮，你可以使用你提供的名称来创建必要的数据库。

接下来，右击"安全配置与分析"容器并在快捷菜单中选择"导入模板"命令。你将会看到所有可用模板的列表。选择包含你安全策略设置的模板并点击打开。在模板被导入后，再次右击"安全配置与分析"容器并在快捷菜单中选择"现在就分析计算机"命令。Windows将会提示你写入错误日志的.位置，键入文件路径并点击"确定"。

在这样的情况下，Windows将比较服务器现有安全设置和模板文件里的设置。你可以通过"安全配置与分析控制台"看到比较结果。每一条组策略设置显示现有的设置和模板设置。

在你可以检查差异列表的时候，就是执行基于模板安全策略的时候了。右击"安全配置与分析"容器并从快捷菜单中选择"现在就配置计算机"命令。这一工具将会立即修改你计算机的安全策略，从而匹配模板策略。

组策略实际上是层次化的。组策略可以被应用到本地计算机级别、站点级别、域级别和OU级别。当你实现基于模板的安全之时，你正在在修改计算机级别的组策略。其他的组策略不会受到直接影响，尽管最终策略可能会反映变化，由于计算机策略设置被更高级别的策略所继承。

修改内建的用户账号

多年以来，微软一直在强调最好重命名Administrator账号并禁用Guest账号，从而实现更高的安全。在Windows Server 2003中，Guest 账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。

有很多工具通过检查账号的SID来寻找账号的真实名称。不幸的是，你不能改变用户的SID，也就是说基本上没有防止这种工具来检测Administrator账号真实名称的办法。即便如此，我还是鼓励每个人重命名Administrator 账号并修改账号的描述信息，有两个原因:

首先，诳椭械男率挚赡懿恢?勒饫喙ぞ叩拇嬖诨蛘卟换崾褂盟?恰F浯危?孛?鸄dministrator账号为一个独特的名称让你能更方便的监控黑客对此账号的进攻。

另一个技巧适用于成员服务器。成员服务器有他们自己的内建本地管理员账号，完全独立于域中的管理 员账号。你可以配置每个成员服务器使用不同的用户名和密码。如果某人猜测出你的本地用户名和密码，你肯定不希望他用相同的账号侵犯其他的服务器。当然，如果你拥有良好的物理安全，谁也不能使用本地账号取得你服务器的权限。

服务账号

Windows Server 2003在某种程度上最小化服务账号的需求。即便如此，一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话，尽量使用本地账号而不是域账号作为服务账号，因为如果某人物理上获得了服务器的访问权限，他可能会转储服务器的LSA机密，并泄露密码。如果你使用域密码，森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户，密码只能在本地计算机上使用，不会给域带来任何威胁。

系统服务

一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。

在Windows 2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中，微软关闭了大多数不是绝对必要的服务。即使如此，还是有一些有争议的服务缺省运行。

其中一个服务是分布式文件系统(DFS)服务。DFS服务起初被设计简化用户的工作。DFS允许管理员创建一个逻辑的区域，包含多个服务器或分区的资源。对于用户，所有这些分布式的资源存在于一个单一的文件夹中。

我个人很喜欢DFS，尤其因为它的容错和可伸缩特性。然而，如果你不准备使用DFS，你需要让用户了解文件的确切路径。在某些环境下，这可能意味着更强的安全性。在我看来，DFS的利大于弊。

另一个这样的服务是文件复制服务(FRS)。FRS被用来在服务器之间复制数据。它在域控制器上是强制的服务，因为它能够保持SYSVOL文件夹的同步。对于成员服务器来说，这个服务不是必须的，除非运行DFS。

如果你的文件服务器既不是域控制器，也不使用DFS，我建议你禁用FRS服务。这么做会减少黑客在多个服务器间复制恶意文件的可能性。

另一个需要注意的服务是Print Spooler服务(PSS)。该服务管理所有的本地和网络打印请求，并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务，它也是缺省被启用的。

不是每个服务器都需要打印功能。除非服务器的角色是打印服务器，你应该禁用这个服务。毕竟，专用文件服务器要打印服务有什么用呢?通常地，没有人会在服务器控制台工作，因此应该没有必要开启本地或网络打印。

我相信通常在灾难恢复操作过程中，打印错误消息或是事件日志都是十分必要的。然而，我依然建议在非打印服务器上简单的关闭这一服务。

信不信由你，PSS是最危险的Windows组件之一。有不计其数的木马更换其可执行文件。这类攻击的动机是因为它是统级的服务，因此拥有很高的特权。因此任何侵入它的木马能够获得这些高级别的特权。为了防止此类攻击，还是关掉这个服务吧。

Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP系统来说，各方面的功能确实得到了增强，尤其在安全方面，总体感觉做的还算不错.但如果你曾经配置过Windows NT Server或是windows 2000 Server，你也许发现这些微软的产品缺省并不是最安全的。但是,你学习了本教程后,你可以让你的windows 2003系统变得更安全.

下代Windows Server IIS 7.0有哪些特性

IIS是Internet Information Server的缩写，它是微软公司主推的WEB服务器，现在用户一般常用的版本是Windows 2003里面包含的IIS 6或者是更早的IIS 5，IIS与Window NT Server完全集成在一起，因而用户能够利用Windows NT Server和NTFS（NT File System，NT的文件系统）内置的安全特性，建立强大、灵活而安全的Internet和Intranet站点。IIS支持ISAPI，使用ISAPI可以扩展服务器功能， IIS的设计目的是建立一套集成的服务器服务，用以支持HTTP、FTP和SMTP，它能够提供快速且集成了现有产品，同时可扩展的Internet服务器。

新的IIS7在Windows Server2008中加入了更多的安全方面的设计，用户现在可以通过微软的。Net语言来运行服务器端的应用程序。除此之外，通过IIS7新的特性来创建模块将会减少代码在系统中的运行次数，将遭受黑客脚本攻击的可能性降至最低。从安全的观点来考虑，这是IIS所涉及的一个新领域。 如此多的新特性，让我们对Windows Server2008中的IIS7充满了渴望，下面就让我们一起看看IIS中五个最为核心的增强特性：

完全模块化的IIS

如果你非常熟悉流行的Apache Web server软件，那么你会知道它最大的优势就在于它的定制化，你可以把它配置为只能显示静态的HTML，也可以动态的加载不同的模块以允许不同类型的服务内容。而现在使用的IIS却无法很好的实现这一特性，这样就造成了两方面的问题：其一，由于过多用户并未使用的特性对于代码的影响，性能方面有时不能让用户满意；第二，由于默认的接口过多所造成的安全隐患。

新的IIS7则完全解决了这个问题，IIS7从核心层讲被分割成了40多个不同功能的模块。像验证、缓存、静态页面处理和目录列表等功能全部被模块化。这意味着你的Web服务器可以按照你的运行需要来安装相应的功能模块。可能存在安全隐患和不需要的模块将不会再加载到内存中去，程序的受攻击面减小了，同时性能方面也得到了增强。

通过文本文件配置的IIS7

IIS7另一大特性就是管理工具使用了新的分布式web.config配置系统。IIS7不再拥有单一的.metabase 配置储存，而将使用和ASP.NET支持的同样的web.config文件模型，这样就允许用户把配置和web应用的内容一起存储和部署，无论有多少站点，用户都可以通过web.config文件直接配置，这样当公司需要挂接大量的网站时，可能只需要很短的时间，因为管理员只需要拷贝之前做好的任意一个站点的web.config文件，然后把设置和web应用一起传送到远程服务器上就完成了，没必要再写管理脚本来定制配置了。

同时管理工具支持“委派管理(delegated administration)，用户可以将一些可以确定的web.config文件通过委派的方式，委派给企业中其他的员工，当然在这种情形下，管理工具里显示的只是客户自己网站的设置，而不是整个机器的设置，这样IIS管理员就不用为站点的每一个微小变化而费心，版本控制同样简单，用户只需要在组织中保留不同版本的文本文件，然后在必要的时候恢复它们就可以了。

微软的产品向来以用户界面友好引以为豪，然而作为为IT人士设计的IIS7服务器这一点却好像并不明显，回想从IIS 4 到IIS 6 ，提供给用户的管理控制台操作起来并不十分方便，而且由于技术等原因的限制，用户很难通过一个统一的界面来实现全部的管理工作。

MMC 图形模式管理工具

而在新的IIS 7中，这一问题得到了明显的改观，用户现在可以用管理工具在Windows客户机器上创建和管理任意数目的网站。而不再局限于单个网站，同时相比IIS之前的版本，IIS7的管理界面也更加的友好和强大，此外IIS7的管理工具是用.NET和Windows Forms写成的，是可以被扩展的。这意味着用户可以添加自己的UI模块到管理工具里，为自己的HTTP 运行时模块和配置设置提供管理支持。

IIS 7安全方面的增强

安全问题永远是微软被攻击的重中之重，其实并非微软对安全漠不关心，实在是因为微软这艘巨型战舰过于庞大，难免百密一失，好在微软积极的响应着每一个安全方面的意见与建议。IIS的安全问题则主要集中在有关.NET程序的有效管理以及权限管理方面的问题。而IIS 7正是针对IIS 服务器遇到了安全问题做了相应的增强。

在新版本中IIS 和ASP.NET 管理设置集成到了单个管理工具里。这样，用户就可以在一个地方查看和设置认证和授权规则，而不是像以前那样要通过多个不同的对话框来做。这给管理人员提供了一个更加一致和清晰的用户界面，以及web平台上统一的管理体验。

关于iis服务器安全隐患和服务器暴露在外网的安全隐患的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。