IIS Web服务器容易忽视的六大安全风险及应对措施
核心提示:本文中提到的这6点虽然不怎么起眼,但是确是大家在日常工作中经常容易忽视的地方,从小处着眼,才能够让你的Web服务器在安全方面前进一大步。
【IT专家网独家】对Web服务器的攻击可以说是层次不穷。即使防范措施做的最好,但是一不小心仍然会被黑客惦记。不过根据笔者的经验,其实大部分攻击都是可以防止的。而之所以还有这么多的网站被黑,主要的原因在于管理员忽视了一些基本的安全选项。
一、不要使用缺省的WEB站点
在IIS Web服务器安装部署完成之后,系统会建立一个默认的Web站点。有些用户就会直接使用这个站点进行网站的开发。这是一个非常不理智的做法,可能会带来很大的安全隐患。因为很多攻击都是针对默认的Web站点所展开的。
如在默认的Web站点中,有一个inetpub文件夹。有些攻击者喜欢在这个文件夹中放置一些黑客工具,如窃取密码、Dos攻击等等。从而使得他们可以远程遥控这些工具,造成服务器的瘫痪。由于默认的站点与文件夹的相关配置信息基本上是相同的,这就方便了攻击者对服务器进行工具。连信息搜集这一个步骤都可以省了。一些通过IP地址与服务扫描的黑客工具,其使用的就是默认站点这个空子。
防范措施:
其实这一个风险还是很容易避免的。最简单的方法就是在建立网站的时候,不要使用这个默认的站点。而且需要将这个站点禁用掉。其实这个方法是一个最基本的安全措施。如在路由器等网络设备上,出于安全需要,也要求管理员禁用掉默认的用户名。这是同样的道理。然后也不要使用原有的文件夹。用户可以将真实的Web站点指向一个特定的位置。如果要进一步提高安全性的话,还可以对这个文件夹设置NTFS权限等措施。可见要预防这个安全风险是轻而易举的事情。但是现实中,可能用户就是觉得其小,而没有引起足够的重视。从而给攻击者有机可乘。
二、严格控制服务器的写访问权限
在一些内容比较多、结构比较复杂的Web服务器,往往多个用户都对服务器具有写入的权限。如sina网站,有专门人员负责新闻板块,有专门人员负责博客,有专门人员负责论坛等等。由于有众多的用户对网站服务器具有写入的权限,就可能会带来一定的安全隐患。如某个用户的密码泄露的话,就会乘机对服务器进行破坏。其实虽然他们都具有对服务器的写入权限,但是他们的分工是不同的。每个人都有自己的领域。