WEB服务器现在很多,可是,如果网络管理员对Web服务器管理不善的话,它很容易受到安全攻击,这样一来反而会影响单位的形象;这不,笔者就经常遇到朋友的电话求援,说他们单位的Web服务器受到了非法入侵,Web网站主页面被修改得面目全非,经过仔细分析笔者看到WEB服务器之所以受到非法入侵,是由于网络管理员没有对其采取安全控制措施,这么一来非法攻击者就能很轻松地修改WEB服务器中的任何内容。为了谨防WEB服务器“被入侵”,我们只要对症下药,对WEB服务器加强安全控制,就能确保非法攻击者无法入侵WEB服务器了!

控制目录安全性
    通常情况下,非法攻击者都是想办法先通过获得Web服务器的主目录访问权限,来恶意修改Web网站主页面内容的;为了不让非法攻击者轻易修改单位网站的主页面内容,我们需要进入到Web服务器所在主机系统的IIS控制台界面,来对Web网站的主目录访问权限进行合适的安全控制,下面就是具体的控制步骤:
    首先打开WEB服务器所在主机系统中的“开始”菜单,从中依次点选“设置”、“控制面板”选项,进入对应系统的控制面板窗口,用鼠标 双击其中的“管理工具”图标,弹出管理工具列表窗口,再从该窗口中选中“Internet服务管理器”图标,并用鼠标双击该图标,此时系统屏幕会弹出IIS控制台界面;
    其次从该控制台界面左侧列表区域展开Web服务器所在主机名称,从本地主机节点下面选中目标网站,同时用鼠标右键单击该网站名称,之后点选右键菜单中的“属性”命令,弹出目标网站的属性对话框;点击该属性对话框中的“目录安全性”选项卡,弹出选项设置页面,单击“匿名访问和身份验证控制”位置处的“编辑”按钮,弹出验证控制设置对话框,在这里需要将值得信任的用户账号添加进来,同时将其他不值得信任的用户账号全部删除掉,那样一来就能拒绝非法用户进行匿名访问操作;
    下面要对WEB服务器的程序映射功能进行合理设置,确保用户不能随意进行程序映射操作。正常来说,我们只需要让WEB服务器支持.NET程序映射就可以了,将其他无关紧要的程序映射全部删除掉,谨防它们被恶意用户非法使用;在进行这项操作时,我们只要在目标网站的属性对话框中点选“主目录”选项卡,在其后弹出的选项设置页面中单击“应用程序设置”位置处的“配置”按钮,打开应用程序映射列表框,从中选择与ASPX关联的功能选项,要是无法找到与ASPX关联的功能选项时,那就意味着Web服务器所在的IIS系统控件还无法支持.NET功能,这个时候我们不妨尝试将IIS系统版本升级到最新版本。

控制文件安全性
    如果非法用户偷窃获得WEB服务器所在主机系统的操作权限时,那么非法用户就有可能通过系统资源管理器窗口,来修改WEB服务器的根目录操作权限,从而达到破坏目标网站文件的目的。有鉴于此,除了需要对Web网站的目录安全性参数进行设置外,我们还需要对WEB服务器的文件访问属性进行控制,下面就是具体的控制步骤:
    首先以系统管理员权限登录进入WEB服务器所在的主机系统,依次单击该系统桌面上的“开始”/“程序”/“附件”/“Windows资源管理器”命令,弹出对应系统的资源管理器窗口,从中选中WEB服务器所使用的根目录,并用鼠标右键单击该目录图标,再点选右键菜单中的“属性”命令,弹出对应目录的属性对话框;
    其次在该属性对话框中点选“安全”选项卡,弹出选项设置页面,在这里将那些不信任的用户账号全部删除掉;之后单击其中的“添加”按钮,打开选择用户或组对话框,将值得信任的用户账号选中并添加进来,再单击“确定”按钮完成可信任用户帐户的添加任务;
    紧接着选中安全选项设置页面中的可信任用户帐户,同时为该用户账号设置合适的访问权限,比方说我们一般为普通用户分配只读权限,为高级用户分配目录列写权限或写入权限,对管理员级别的用户分配运行或完全控制权限;
    下面在WEB服务器根目录的安全选项设置页面中单击“高级”按钮,进入高级安全设置页面,将这里的“重置所有子对象的权限并允许传播可继承权限”选项选中,这么一来
之前进行的访问权限设置操作就能自动
适用于WEB服务器中的所有文件,那么WEB文件的访问安全性就能得到有效保证了。
    需要提醒大家注意的是,上面的文件访问权限设置操作只能在ASP环境中有效,要是自己的WEB服务器工作于ASP.NET环境中的话,我们还需要单独设置.NET的控制权限。其实这种设置也很简单,当我们初次将ASP.NET功能组件成功安装到服务器中时,对应系统会默认创建一个ASPNET用户帐户,到时我们只要将Microsoft.NET Framework的目录访问权限与WEB服务器的根目录访问权限,同时授予ASPNET用户帐户就可以了。
    小提示:在这里,我们根据需要还必须对目标网站的“IUSR_SERVERNAME”账号权限进行合适设置,因为该账号也容易被非法利用。在设置“IUSR_SERVERNAME”帐号权限时,我们只要先选中组或用户名称列表中的“IUSR_SERVERNAME”选项,同时在权限列表中将“读取”、“写入”、“列出文件夹目录”等权限分配给“IUSR_SERVERNAME”账号,那么日后非法攻击者日后就不能轻易通过“IUSR_SERVERNAME”用户帐号入侵Web服务器了。

控制账号安全性
    为了防止非法用户攻击WEB服务器所在的主机系统,我们还需要将对应系统中一些容易被人恶意利用的用户账号控制起来,例如“Guest”用户账号很容易被非法用户偷偷利用,这个时候我们就需要禁止恶意用户随意启用该账号,下面就是具体的控制步骤:
    首先登录进入WEB服务器所在的系统桌面,右击其中的“我的电脑”图标,点选右键菜单中的“管理”命令,弹出WEB服务器所在主机的计算机管理界面;将鼠标定位于该界面左侧列表中的“系统工具”节点上,依次展开目标节点下面的“本地用户和组”、“用户”选项,在“用户”选项下面找到“Guest”帐号;
    其次用鼠标双击该账号选项,弹出帐号选项设置对话框,将该对话框中的“帐户已停用”选项选中,同时单击“确定”按钮返回,这样一来恶意用户就不能随意启用来宾账号,来恶意攻击WEB服务器所在的主机系统了,那么Web网站受到非法入侵的可能性也就大大下降了。
    当然,谨防WEB服务器“被入侵”的方法还有很多,有一种非常有效的方法,那就是我们应该及时给WEB服务器所在的主机系统安装好各种安全补丁程序,这种方法可以说是保护Web服务器安全运行的根本!

文章如转载,请注明转载自:http://www.5iadmin.com/post/740.html