【文章內(nèi)容簡(jiǎn)介】 如服務(wù)器中的DOC文件夾，只允許DOCUSER賬號(hào)對(duì)它有讀、寫(xiě)、修改、列表的權(quán)限，禁止其他用戶訪問(wèn)，但系統(tǒng)默認(rèn)設(shè)置，還是允許其他用戶對(duì)DOC文件夾有讀和列表的權(quán)限，因此必須重新設(shè)置該文件夾的用戶訪問(wèn)權(quán)限。設(shè)置方法是：右鍵點(diǎn)擊DOC文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁(yè)，首先刪除Everyone用戶賬號(hào)，接著點(diǎn)擊“添加”按鈕，將DOCUSER賬號(hào)添加到名稱列表框中，然后在“權(quán)限”列表框中選中修改、讀取及運(yùn)行、列出文件夾目錄、讀取和寫(xiě)入選項(xiàng)，最后點(diǎn)擊“確定”按鈕。 啟用磁盤配額FTP服務(wù)器磁盤空間資源是寶貴的，因此要對(duì)每位FTP用戶使用的磁盤空間進(jìn)行限制。下面以DOCUSER用戶為例，將其限制為只能使用100M磁盤空間。在資源管理器窗口中，右鍵點(diǎn)擊DOC文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標(biāo)簽頁(yè)（如圖22），選中“啟用配額管理”復(fù)選框，激活“配額”標(biāo)簽頁(yè)中的所有配額設(shè)置選項(xiàng)，為了不讓某些FTP用戶占用過(guò)多的服務(wù)器磁盤空間，一定要選中“拒絕將磁盤空間給超過(guò)配額限制的用戶”復(fù)選框。　　圖22 限制FTP存儲(chǔ)空間然后在“為該卷上的新用戶選擇默認(rèn)配額限制”框中選擇“將磁盤空間限制為”單選項(xiàng)，接著在后面的欄中輸入100，磁盤容量單位選擇為“MB”，然后進(jìn)行警告等級(jí)設(shè)置，在“將警告等級(jí)設(shè)置為”欄中輸入“96”， 容量單位也選擇為“MB”，這樣就完成了默認(rèn)配額設(shè)置。此外，還要選中“用戶超出配額限制時(shí)記錄事件”和“用戶超過(guò)警告等級(jí)時(shí)記錄事件”復(fù)選框，以便將配額告警事件記錄到Windows日志中。點(diǎn)擊配額標(biāo)簽頁(yè)下方的“配額項(xiàng)”按鈕，打開(kāi)磁盤配額項(xiàng)目對(duì)話框，接著點(diǎn)擊“配額→新建配額項(xiàng)”，彈出選擇用戶對(duì)話框，選中DOCUSER用戶后，點(diǎn)擊“確定”按鈕，接著在“添加新配額項(xiàng)”對(duì)話框中為DOCUSER用戶設(shè)置配額參數(shù)，選擇“將磁盤空間限制為” 單選項(xiàng)，在后面的欄中輸入“100”，接著在“將警告等級(jí)設(shè)置為”欄中輸入“96”，它們的磁盤容量單位為“MB”，最后點(diǎn)擊“確定”按鈕，完成磁盤配額設(shè)置，這樣DOCUSER用戶就只能使用100 MB磁盤空間，超過(guò)96MB就會(huì)發(fā)出警告。 TCP/IP訪問(wèn)限制為了保證FTP服務(wù)器的安全，可以拒絕某些IP地址的訪問(wèn)。在默認(rèn)FTP站點(diǎn)屬性對(duì)話框中，切換到“目錄安全性”標(biāo)簽頁(yè)，選中“授權(quán)訪問(wèn)”單選項(xiàng)（如圖23），然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕，彈出“拒絕以下訪問(wèn)”對(duì)話框，這里可以拒絕單個(gè)IP地址或一組IP地址訪問(wèn)，以單個(gè)IP地址為例，選中“單機(jī)”選項(xiàng)，然后在“IP地址”欄中輸入該機(jī)器的IP地址，最后點(diǎn)擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪問(wèn)FTP服務(wù)器了?！　D23 阻止該IP訪問(wèn)FTP 合理設(shè)置組策略通過(guò)對(duì)組策略項(xiàng)目的修改，也可以增強(qiáng)FTP服務(wù)器的安全性。在Windows 2000系統(tǒng)中，進(jìn)入到“控制面板→管理工具”，運(yùn)行本地安全策略工具。 審核賬戶登錄事件在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置→本地策略→審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項(xiàng)目（如圖24），雙擊打開(kāi)該項(xiàng)目，在設(shè)置對(duì)話框中選中“成功”和“失敗”這兩項(xiàng)，最后點(diǎn)擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會(huì)被記錄到日志中。　　圖24 記錄用戶登錄信息 增強(qiáng)賬號(hào)密碼的復(fù)雜性一些FTP賬號(hào)的密碼設(shè)置的過(guò)于簡(jiǎn)單，很容易被破解。為了提高FTP服務(wù)器的安全性，必須強(qiáng)制用戶設(shè)置復(fù)雜的賬號(hào)密碼。在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置→賬戶策略→密碼策略”，在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項(xiàng)，雙擊打開(kāi)后，選中“已啟用”單選項(xiàng)，最后點(diǎn)擊“確定”按鈕。然后，打開(kāi)“密碼長(zhǎng)度最小值”項(xiàng)，為FTP賬號(hào)密碼設(shè)置最短字符限制。 賬號(hào)登錄限制對(duì)FTP服務(wù)器的一種攻擊方式是使用黑客工具，反復(fù)登錄FTP服務(wù)器，來(lái)猜測(cè)賬號(hào)密碼。因此應(yīng)該對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制。依次展開(kāi)“安全設(shè)置→賬戶策略→賬戶鎖定策略”，在右側(cè)框體中找到“賬戶鎖定閾值”項(xiàng)，雙擊打開(kāi)后，設(shè)置賬號(hào)登錄的最大次數(shù)，如果超過(guò)此數(shù)值，賬號(hào)會(huì)被自動(dòng)鎖定。接著打開(kāi)“賬戶鎖定時(shí)間”項(xiàng)，設(shè)置FTP賬號(hào)被鎖定的時(shí)間，賬號(hào)一旦被鎖定，超過(guò)這個(gè)時(shí)間值，才能重新使用。3 IIS FTP安全配置 概述Windows Server 2003 IIS 服務(wù)器的安全設(shè)置模板來(lái)自“Windows Server 2003 Security Guide”，其網(wǎng)址為：（英文）。為了在抵制惡意用戶和攻擊者的過(guò)程中占據(jù)主動(dòng)，默認(rèn)情況下，IIS 不安裝在 Windows Server 2003 系列產(chǎn)品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如，默認(rèn)情況下，IIS 最初僅提供靜態(tài)內(nèi)容。諸如 Active Server Pages (ASP)、服務(wù)器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發(fā)布及 Microsoft FrontPage174。 Server Extensions 等功能僅在管理員啟用它們后才起作用?？梢酝ㄟ^(guò) Internet 信息服務(wù)管理器（IIS 管理器）中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)啟用這些功能和服務(wù)。IIS 管理器具有圖形化的用戶界面 (GUI)，可用來(lái)方便地對(duì) IIS 進(jìn)行管理。它包括用于文件和目錄管理的資源，能夠?qū)?yīng)用程序池進(jìn)行配置，并且具有安全性、性能、以及可靠性方面的諸多特性。接下來(lái)的部分詳細(xì)介紹了各種安全性強(qiáng)化設(shè)置，執(zhí)行這些設(shè)置可增強(qiáng) Intranet 中存放 HTML 內(nèi)容的 IIS 服務(wù)器的安全性。但是，為確保 IIS 服務(wù)器始終處于安全狀態(tài)，還應(yīng)執(zhí)行安全監(jiān)控、檢測(cè)和響應(yīng)等步驟。 系統(tǒng)服務(wù)為了讓 IIS 向 Windows Server 2003 中添加 Web 服務(wù)器功能，則必須啟用以下三種服務(wù)。確保這些服務(wù)被配置為自動(dòng)啟動(dòng)。l HTTP SSL如果 HTTP SSL 服務(wù)停止，IIS 將無(wú)法執(zhí)行 SSL 功能。禁用此服務(wù)將導(dǎo)致任何明確依賴它的服務(wù)都無(wú)法實(shí)現(xiàn)。l IIS Admin 服務(wù) “IIS Admin 服務(wù)”允許對(duì) IIS 組件進(jìn)行管理，例如文件傳輸協(xié)議 (FTP)、應(yīng)用程序池、Web 站點(diǎn)、Web 服務(wù)擴(kuò)展，以及網(wǎng)絡(luò)新聞傳輸協(xié)議 (NNTP) 和簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 的虛擬服務(wù)器?！癐IS Admin 服務(wù)”必須運(yùn)行，以便讓 IIS 服務(wù)器能夠提供 Web、FTP、NNTP 以及 SMTP 服務(wù)。如果禁用此服務(wù)，則無(wú)法配置 IIS，并且對(duì)站點(diǎn)服務(wù)的請(qǐng)求將不會(huì)成功。l 萬(wàn)維網(wǎng)發(fā)布服務(wù) “萬(wàn)維網(wǎng)發(fā)布服務(wù)”通過(guò) IIS 管理單元提供網(wǎng)絡(luò)連通性和網(wǎng)站管理?！叭f(wàn)維網(wǎng)發(fā)布服務(wù)”必須運(yùn)行，以便讓 IIS 服務(wù)器通過(guò) IIS 管理器提供網(wǎng)絡(luò)連通性和管理。 安全設(shè)置安裝 Windows Server 2003 和 IIS 之后，默認(rèn)情況下，IIS 僅傳輸靜態(tài) Web 內(nèi)容。當(dāng) Web 站點(diǎn)和應(yīng)用程序包含動(dòng)態(tài)內(nèi)容，或者需要一個(gè)或多個(gè)附加 IIS 組件時(shí)，每個(gè)附加 IIS 功能必須逐一單獨(dú)啟用。但是，在該過(guò)程中必須謹(jǐn)慎，以確保將每個(gè) IIS 服務(wù)器的受攻擊面降至最小。如果Web 站點(diǎn)只包含靜態(tài)內(nèi)容而無(wú)需其它任何 IIS 組件，這時(shí)，默認(rèn)的 IIS 配置足以將您的環(huán)境中的 IIS 服務(wù)器的受攻擊面降至最小。 僅安裝必要的 IIS 組件除“萬(wàn)維網(wǎng)發(fā)布服務(wù)”之外， 還包括其它的組件和服務(wù)，例如 FTP 和 SMTP 服務(wù)。通過(guò)雙擊“控制面板”上的“添加/刪除程序”來(lái)啟動(dòng) Windows 組件向?qū)?yīng)用程序服務(wù)器，以安裝和啟用 IIS 組件和服務(wù)。安裝 IIS 之后，必須啟用 Web 站點(diǎn)和應(yīng)用程序所需的所有必要的 IIS 組件和服務(wù)。應(yīng)該僅啟用 Web 站點(diǎn)和應(yīng)用程序所需的必要 IIS 組件和服務(wù)。啟用不必要的組件和服務(wù)會(huì)增加 IIS 服務(wù)器的受攻擊面。 僅啟用必要的 Web 服務(wù)擴(kuò)展許多運(yùn)行于 IIS 服務(wù)器上的網(wǎng)站和應(yīng)用程序具有超出靜態(tài)頁(yè)面范疇的擴(kuò)展功能，包括生成動(dòng)態(tài)內(nèi)容的能力。通過(guò) IIS 服務(wù)器提供的功能來(lái)產(chǎn)生或擴(kuò)展的任何動(dòng)態(tài)內(nèi)容，都是通過(guò)使用 Web 服務(wù)擴(kuò)展來(lái)實(shí)現(xiàn)的。IIS 中增強(qiáng)的安全功能允許用戶單獨(dú)啟用或禁用 Web 服務(wù)擴(kuò)展。在一次新的安裝之后，IIS 服務(wù)器將只傳輸靜態(tài)內(nèi)容?？赏ㄟ^(guò) IIS 管理器中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)來(lái)啟用動(dòng)態(tài)內(nèi)容功能。這些擴(kuò)展包括 、SSI、WebDAV 和 FrontPage Server Extensions。啟用所有的 Web 服務(wù)擴(kuò)展可確保與現(xiàn)有應(yīng)用軟件的最大可能的兼容性。但是，這可能帶來(lái)一些安全性風(fēng)險(xiǎn)，因?yàn)楫?dāng)所有的擴(kuò)展被啟用時(shí)，同時(shí)也啟用了您的環(huán)境下 IIS 服務(wù)器所不需要的功能，這樣 IIS 的受攻擊面就會(huì)增加。為了盡可能減少 IIS 服務(wù)器的受攻擊面，只應(yīng)該在 IIS 服務(wù)器上啟用必要的的 Web 服務(wù)擴(kuò)展。 在專用磁盤卷中放置內(nèi)容IIS 會(huì)將默認(rèn) Web 站點(diǎn)的文件存儲(chǔ)到 systemroot\inetpub\root，其中 systemroot 是安裝 Windows Server 2003 操作系統(tǒng)的驅(qū)動(dòng)器。應(yīng)該將構(gòu)成 Web 站點(diǎn)和應(yīng)用程序的所有文件和文件夾放置到 IIS 服務(wù)器的專用磁盤卷中。將這些文件和文件夾放置到 IIS 服務(wù)器的一個(gè)專用磁盤卷 — 不包含操作系統(tǒng)的磁盤卷 — 有助于防止目錄遍歷攻擊。目錄遍歷攻擊是指攻擊者對(duì)位于 IIS 服務(wù)器目錄結(jié)構(gòu)之外的一個(gè)文件發(fā)送請(qǐng)求。例如， 位于于 systemroot\System32 文件夾中。攻擊者可能請(qǐng)求訪問(wèn)以下位置：..\..\Windows\system\，企圖調(diào)用命令提示如果 Web 站點(diǎn)內(nèi)容位于一個(gè)單獨(dú)的磁盤卷上，這種類型的目錄遍歷攻擊將無(wú)法成功，原因有二。首先， 的權(quán)限已經(jīng)作為 Windows Server 2003 基礎(chǔ)結(jié)構(gòu)的一部分進(jìn)行了重設(shè)，從而將對(duì)它的訪問(wèn)限制在很有限的用戶群中。其次，完成該更改之后， 不再與 Web 根目錄處于同一磁盤卷，而目前沒(méi)有任何已知的方法可通過(guò)使用這種攻擊來(lái)訪問(wèn)位于不同驅(qū)動(dòng)器上的命令。除了安全性考慮之外，將站點(diǎn)和應(yīng)用程序文件和文件夾放置在一個(gè)專用的磁盤卷中使諸如備份和恢復(fù)這樣的管理任務(wù)變得更加容易。而且，將這種類型的內(nèi)容放在一個(gè)分開(kāi)的專用物理驅(qū)動(dòng)器中有助于減少系統(tǒng)分區(qū)中的磁盤爭(zhēng)用現(xiàn)象，并且改善磁盤