安全性与IIS

　　信息服务器IIS是BACKOFFICE系列产品中功能最强大最流行的应用程序它与整个BACKOFFICE组件一样IIS也是围绕WINDOWS NT体系而生成的它作为WINDOWS NT SERVER提供的一组服务而运行允许它利用WINDOWS NT的各项软件功能
　　
　　不过确保你数据完整性仍是一个必须认真对待的关键性安全问题IIS凭借丰富而又强大的验证访问控制和审核功能可以保证数据的完整性因为它以WINDOWS NT SERVER作系统为基础此外它还支持安全插接层SSL它通过对IIS和支持SSL的所有浏览器之间的对话进行加密来保证安全通信更加保密
　　
　　黑客们知道大多数WEB和FTP网站都允许匿名访问这些网站常常错误配置这样就存在安全漏洞下面介绍须采取哪些措施才能保证保证IIS使你的网络和数据完全避免黑客入侵
　　
　　一利用现有的WINDOWS NT安全性能来保护IIS ISS通过WINDOWS NT安全模型提供安全性也就说安全帐户管理器数据库中定义的用户帐户和组将确定一旦用户接入IIS机器他们能进行什么操作你不仅要核查现有的帐户权限和许可权并且要限制匿名访问使用的帐户权限和许可权这非常重要
　　
　　记录IIS的所有服务程序都支持广泛的记录功能记录功能很重要因为它能用来监视可疑的活动从而决定应当保留什么应当取消什么以便进行容量规划
　　
　　启动记录功能很容易每项服务的事件都共同记录在同一个公用文件中若要启动记录功能请打开IIS MANEGER双击你要启动其记录功能的服务器显示PROPERTIES对话框接着单击LOGGING标签将弹出一个对话框该标签的用法相当直接你只须单击ENABLE LOGGING选项然后你选择是记录到一个文本文件还是记录到SQL数据库并确定日志文件多长时间更新一次
　　
　　提示当你第一次安装服务器时要设置为DAILY LOGGING（日志）这样你可以每天看到结果过一段时间后你再选择最合适的记录方式
　　
　　ADVANCED选项通过单击SERVICE PROPERTIED对话框的ADVANCED标签IIS还支持简单过滤功能你可使用ADVANCED OPTIONS标签来限制或允许某些IP地址对WEB服务器的访问在弹出的ADVANCED标签中激活By default all computer will be granted access(缺省时所有计算机将获得访问权）你可以使用ADD钮将应当拒绝访问的某些特定的IP地址范围输入进来
　　
　　或者如果你想强制执行严格的安全保护你可以选择By Default all computer will be den access（缺省时所有的计算机将被拒绝访问）然后根据应当能访问这台机器的IP地址确定主机表这是一个功能强大而且价值较高的工具有助于确保你网站的安全所以不应忽视
　　
　　二IIS Advanced安全性能与Exchange Server一样Internet信息服务器提供Advanced安全性能使你通信绝对安全它们由SSL（安全插接层）版和版以及PCT（保密通信技术）组成SSL可对TCP/IP通信进行数据加密服务器验证和邮件集成功能
　　
　　安全插接层安全插接层（SSL）是一个由Netscape通信公司开发的协议并提交环球网联盟（WC）作为保证Internet通信安全的标准当支持SSL的一台客户机（Internet Explorer和x和Netscape x）与支持SSL的服务器连接时在TCP/IP连接时就出现信号交换的交接关系来进行验证以确定在通信中将实施哪一级安全保护
　　
　　在建立连接后SSL接着对流经使用中的应用协议的数据进行加密和解密所有请示和响应信息都应该加密其中包括客户机下在请示的统一资源定位符（URL）其它形式的数据（如你的地址或食用卡号码）任何验证信息（用户名和口令）以及所有由服务器返回到客户机的数据
　　
　　SSL是位于应用协议（如HTTP）之下SMTP位于连接协议TCP/IP之上MICROSOFT INTERNET信息服务器支持超文本传输协议保密（HTTPS）访问方式尽管SSL能提供实际不可破译的加密功能但SSL加密传输的速度要低于非加密传输因此为了防止你整个WEB网站的性能下降你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息如提交的包含信用卡信息的表格
　　
　　你可以在你WEB网站的根目录（\InetPub\Wwwroot是缺省值）或在一个或多个虚拟文件夹中启动SSL安全功能一旦SSL配置好和启动后只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流
　　
　　在WEB服务器上启动SSL安全性能需要进行以下几步工作
　　
　　使用密钥管理器来生成一个密钥对文件和一个请求文件
　　
　　从一个认证机构获得一个证书
　　
　　在你的服务器上安装新获得的证书
　　
　　激活WEB服务文件夹中的SSL安全功能
　　
　　对于保密和公用内容微软公司建议你使用公开的目录比如c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public
　　
　　应注意以下几点
　　
　　（）为IIS生成一个密钥对时在任何域中不要使用逗号原因是逗号被解释为字段的结尾它们会在没有警告的情况下产生无效请求
　　
　　（）如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时要确定具体服务器的IP地址否则系统创建的所有虚拟服务都适用同一个证书
　　
　　（）如果你启动SSL任何指向支持SSL的WWW文件夹中文档的URL必须使//而不是在URL中//使用在URL中//的任何链路不支持安全文件夹
　　
　　IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时要确保网络安全性除了我们以前讲座过后IIS功能外你还要做到以下各点
　　
　　（）为系统分区和各项IIS服务程序生成分开的区这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问
　　
　　（）对机器的所有分区使用NTFS要保证用户权限设置正确
　　
　　（）将IIS服务器放置于其自己的域中并与你的帐户建立一种单向委托关系如果黑客能得到某个有效帐户的信息那个帐户也无法对你的用户域进行访问
　　
　　（）为各项INTERNET服务使用单独帐户（如果你计划运行的不止是WEB服务器的话）这使得跟踪用户的活动相当容易
　　
　　（）核查然后再三核查为指定进行匿名访问的帐户分配的权限和许可权需要给用户分配最小的许可权通常这是读许可权
　　
　　（）只在你IIS机器上存储非机密信息并将信息放置在防火墙这样如果信息安全性遭到破坏黑客仍必须穿越防火墙
　　
　　（）在服务器上使用WINDOWS NT SERVER的TCP/IP过滤功能只允许连接到你需要支持IIS服务的端口比如如果你只想运行WEB服务器只须启动端口
　　
　　（）如果用户利用非匿名帐户对服务器进行访问务必通过加密口令进行验证
　　
　　三安全性与WEB服务器WEB服务器是IIS中一个强有力的功能全面的工具它优于其他同类产品它的性能得到优化且作为WINDOWS NT SERVER下的一项服务运行时能为各种规模的网络提供快速方便安全的WEB出版功能
　　
　　（一）如何保护WEB服务器的安全呢？如果你计划建立WEB网站要确保你WEB网站及其内容的安全以及你网络及其资源的安全除了我们曾经提到过的安全措施外你还要采取其它相应的手段
　　
　　**注意**由于IIS提供的三种服务配置起来非常相似故我们只详细介绍WEB服务器的配置接着只说明FTP服务器和Gopher服务器的差异
　　
　　用户和口令验证明首先你需要了解匿名访问的严重后果并采取预防措施来确保你为匿名访问创建的帐户拥有适当的许可权若要设置用户对你的WEB服务器进行访问的类型请在IIS MANAGER中双击WWW调出你的WEB服务器再双击WEB服务器就会显示出WWW SERVICE PROPERTIES对话框在对话框中你可以看到设置WEB服务器服务程序可以使用多种选项对于安装的大多数的IIS而言缺省选项最好然而有两种关键的设置将决定用户对WEB网站的访问等级匿名登录和口令验证
　　
　　如果你希望允许大众进行访问一定要确保你同意匿名访问按照缺省设置当IIS安装好后在你的用户数据库就会创建一个新用户帐户其名字为IUSR_后接已安装好的服务器名举例说明如果服务器名为SAMUEL新用户帐户则为IUSR_SAMUE当帐户创建好它被赋予有限的访问权并增加到域用户客人用户和EVERYONE组中
　　
　　此外IUSR_帐户被赋予在本地登录的权限（LOGON LOCALLY）所有WEB用户都必须具有这种权限原因是他们的请求被传送至WEB服务器服务程序该服务程序利用他们的帐户去登录接着允许WINDOWS NT分配相应的访问权
　　
　　如果你希望所有用户按照特定的用户帐户和口令得到验证你仅仅清除Anonymous Logon（匿名登录）选项即可那将要求各用户在访问服务器的资源前输入有效的用户ID和口令如果你能启动启示功能你就能查看到谁正访问WEB服务器以及他们所进行的操作
　　
　　另一项决定你网站安全性的重要设置是你想使用的口令验证类型这里我们不再深入探讨为了实现最大的安全性你可以激活Windows NT Challenge/Response选项它在传输信息前对你的用户ID和口令进行加密从而保证帐户信息在网络安全传输（遗憾的是只有Microsoft Internet Explorer 及以上版本才支持这种功能）
　　
　　虚拟目录为确保你网站的安全性配置WEB服务器可以看到的目录以及相应的访问层次也是很重要的当你第一次安装IIS时按照缺省设置它会自行创建一个叫做InetPub的目录（安装老版本的IIS则创建InetPub）接着为其提供的INTERNET服务生成根目录Web服务器的根目录缺省为wwwroot它应当是你主页所在位置接着你可以使用Director