安全配置IIS服務(wù)器

在Windows服務(wù)器上，IIS服務(wù)組件是使用率最高的，在其支持下可以讓網(wǎng)站順利運(yùn)作。在Internet信息服務(wù)器窗口左側(cè)的“網(wǎng)站”節(jié)點(diǎn)下可以看到默認(rèn)的站點(diǎn)，該站點(diǎn)可以停用但切勿刪除，否則會造成IIS運(yùn)行不穩(wěn)定。對于常用的IIS 6.0來說，在默認(rèn)狀態(tài)下，其上傳的文件體積被限制在200KB以下，為了解除這一限制，可以先在CMD窗口中執(zhí) 行“net stop IISADMIN”命令，暫停IIS服務(wù)。進(jìn)入“C:WindowsSystem32inetsrv”文件夾，使用記事本打開其中的“metabase.xml”文 件，將 其 中 的“ASPMax RequestEntityAllow” 的 值修改為從204800字節(jié)修改為更大的數(shù)值（例如2048000字節(jié)等）。之后運(yùn)行“net start IISADMIN”命令重啟IIS服務(wù)即可。

在Internet信息管理器窗口左側(cè)的“網(wǎng)站”節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“添加網(wǎng)站”項(xiàng)，在彈出窗口（如圖6所示）中輸入網(wǎng)站名稱，點(diǎn)擊瀏覽按鈕，選擇網(wǎng)站目錄。在本例中，該目錄應(yīng)該選擇針對每個FTP用戶文件夾下的“www”目錄。在“綁定”欄中選擇網(wǎng)站類型，IP地址以及和端口號，為了便于區(qū)分不同的站點(diǎn)，在“主機(jī)名”欄中輸入網(wǎng)站域名，如果此處為空，表示只能建立一個網(wǎng)站，當(dāng)建立第二個網(wǎng)站時，系統(tǒng)就會提示端口已經(jīng)被占用。

在Internet信息管理器窗口左側(cè)左側(cè)選擇該網(wǎng)站，在其右鍵菜單中點(diǎn)擊“編輯權(quán)限”鏈接，在彈出窗口中的“安全”面板中點(diǎn)擊“編輯”按鈕，在彈出窗口中可以為不同的賬戶設(shè)置合適的權(quán)限，例如對于Everyone賬戶來說，應(yīng)該只為其指派讀取權(quán)限，為了安全起見，沒有需要的話最好不要選擇寫入和執(zhí)行等權(quán)限。當(dāng)創(chuàng)建好網(wǎng)站后，需要對其進(jìn)行合理配置，選擇目標(biāo)網(wǎng)站窗口中部雙擊“日志”項(xiàng)，在日志記錄屬性窗口中的“目錄”欄中點(diǎn)擊“瀏覽”按鈕，針對不同的FTP用戶文件夾，選擇其中的“l(fā)ogfiles”目錄，用來存儲日志文件。

在窗口中部雙擊“處理程序映射”項(xiàng)，在窗口中部可以管理映射信息，為了安全起見，最好只保留針對asp，asa，aspx等文件類型的映射關(guān)系。當(dāng)然，可以手工添加新的映射項(xiàng)目。例如對于ASP+Access網(wǎng)站結(jié)構(gòu)來說，點(diǎn)擊“添加腳本映射”鏈接，點(diǎn)擊瀏覽按鈕，選擇解析“.MDB”的程序，該程序可以隨便選擇，當(dāng)然不能選擇“asp.dll”文件即可。這樣做的好處在于可以防止別人隨意下載MDB數(shù)據(jù)庫。選擇“C:Windows”路勁 下 的“vmmreg32.dll”文件，在“請求路徑”欄中輸入“.mdb”。點(diǎn)擊“請求設(shè)置”按鈕，在“謂詞”面板中的選擇“下列謂詞之一”項(xiàng)，輸入“GET,HEAD,POST,TRACE”。點(diǎn)擊確定按鈕，完成該映射的創(chuàng)建操作。

圖6 創(chuàng)建網(wǎng)站項(xiàng)目

圖7 自定義錯誤信息

當(dāng)IIS服務(wù)出錯時，如何向客戶端發(fā)送不含敏感信息的錯誤信息呢？例如，在窗口中部雙擊“ASP”項(xiàng)，在“調(diào)試”節(jié)點(diǎn)（如圖7所示）中的“將錯誤發(fā)送到瀏覽器”列表中選擇“True”項(xiàng)，在“腳本錯誤信息”欄中輸入具體的信息內(nèi)容。這樣，可以有效防止黑客執(zhí)行暴庫操作，當(dāng)網(wǎng)站出錯后會顯示預(yù)設(shè)的信息，而不會顯示包含敏感信息的提示信息。否則，當(dāng)黑客執(zhí)行探測操作時，可能會根據(jù)網(wǎng)站的提示信息發(fā)現(xiàn)數(shù)據(jù)庫的類型甚至是數(shù)據(jù)庫文件路徑。

在“啟用父路徑”欄中選擇“True”項(xiàng)，表示啟用ASP的父路徑功能，避免有些網(wǎng)站無法運(yùn)行的問題。此外，在IIS7中只能調(diào)試ASP程序，但是無法對ASP＋Acess數(shù)據(jù)庫結(jié)構(gòu)的網(wǎng)站進(jìn)行測試，其原因是目錄權(quán)限問題，打開“c:windowsserviceprofiles etworkserviceappdatalocal”文件夾，注意其中的“Appdata”是隱藏文件夾，在其中選擇“Temp”文件夾，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性窗口中打開“安全”面板，點(diǎn)擊“編輯”按鈕打開“編輯權(quán)限”窗口，點(diǎn)擊“添加”按鈕，在“選擇用戶或組”窗口中的“輸入對象名稱來選擇”欄中輸入“A”，點(diǎn)擊確定按鈕，系統(tǒng)即可自動列出所有帶有“A”字符的賬戶名稱，在其中選擇“Athenticated Users”賬戶，點(diǎn)擊確定按鈕后“TEMP”目錄權(quán)限就設(shè)置好了，之后就可以調(diào)試上述ASP程序了。

在窗口中部雙擊“錯誤頁”項(xiàng)，可以顯示所有的錯誤頁處理項(xiàng)目，我們應(yīng)根據(jù)需要對其進(jìn)行刪除和添加操作。當(dāng)然，針對不同的錯誤類型，可以自己手動設(shè)計(jì)一個HTM網(wǎng)頁文件，在其中輸入所需的提示信息。在錯誤信息列表中雙擊對應(yīng)的項(xiàng)目，點(diǎn)擊“設(shè)置”按鈕，在彈出窗口（如圖8所示）中點(diǎn)擊“瀏覽”按鈕，選擇具體的路徑，在“相對文件路徑”欄中輸入對應(yīng)的HTM提示文件名即可。為了便于Web匿名訪問，在窗口中部雙擊“身份驗(yàn)證”項(xiàng)，選擇并激活“匿名身份驗(yàn)證”項(xiàng)，點(diǎn)擊“編輯”鏈接，設(shè)置與該網(wǎng)站目錄對應(yīng)的FTP賬戶的名稱和密碼。為了讓網(wǎng)站順利運(yùn)行，可以在窗口左側(cè)點(diǎn)擊“應(yīng)用程序池”項(xiàng)，在中部雙擊對應(yīng)網(wǎng)站名稱，在彈出窗口中選擇“ASP.NET v2.0.50727” 和“經(jīng)典”項(xiàng)即可。

圖8 編輯錯誤頁參數(shù)

為了提高安全性和穩(wěn)定性，在IIS7中會自動將各個網(wǎng)站進(jìn)行隔離，也就是為每個網(wǎng)站配置相應(yīng)的應(yīng)用程序池。對于IIS 6.0來說，就需要手工為每個網(wǎng)站分配一個應(yīng)用程序池。如果網(wǎng)站數(shù)量眾多，則可以采用分組的形式，每個組中的所有網(wǎng)站共處同一個應(yīng)用程序池。首先創(chuàng)建應(yīng)用程序池安全性賬戶（例如usrchi等），該賬戶必須隸屬于IIS_WPG組。在上述FTP主目錄中選擇對應(yīng)的網(wǎng)站文件夾，在其屬性窗口中的“安全”面板中刪除其它賬戶或者組，而只讓該賬戶擁有對該文件夾的讀取權(quán)限。這樣，該賬戶就獲得了各個網(wǎng)站文件夾的讀取權(quán)限。

進(jìn)入IIS管理控制臺，在“應(yīng)用程序池”的右鍵菜單上點(diǎn)擊“添加應(yīng)用程序池”項(xiàng)，在添加新應(yīng)用程序池窗口中輸入其ID標(biāo)識信息，例如“xxx.cn”。在該ID名的右鍵菜單上點(diǎn)擊“高級設(shè)置”項(xiàng)，在彈出窗口中的“標(biāo)識”欄中點(diǎn)擊瀏覽按鈕，找到上述iischi賬戶，輸入其賬戶名和密碼，點(diǎn)擊確定按鈕，完成該應(yīng)用程序池的創(chuàng)建操作。按照上述方法，可以創(chuàng)建多個應(yīng)用程序池。接著在IIS管理器中選擇目標(biāo)網(wǎng)站，在其屬性窗口中的“主目錄”面板中的“應(yīng)用程序池”列表中選擇對應(yīng)的應(yīng)用程序池ID即可。

當(dāng)網(wǎng)站運(yùn)行一段時間后，主機(jī)CPU以及內(nèi)存資源如果不能及時釋放的話，就會導(dǎo)致服務(wù)器響應(yīng)緩慢的問題。應(yīng)用程序池默認(rèn)每個29小時進(jìn)行進(jìn)程的回收，由于時間較長，我們需要及時回收這些資源，來更好的發(fā)揮服務(wù)器性能。例如在IIS 7中，在對應(yīng)應(yīng)用程序池的高級設(shè)置界面中的“回收”→“特定時間間隔”欄中點(diǎn)擊選擇按鈕，來設(shè)置對應(yīng)的回收時間。對IIS 6來說，在應(yīng)用程序池屬性窗口中選擇“在下列時間回收工作進(jìn)程”項(xiàng)，點(diǎn)擊“添加”按鈕，設(shè)置合適的時間點(diǎn)，對系統(tǒng)資源執(zhí)行回收操作，建議最好在夜間（例如凌晨2點(diǎn)）進(jìn)行回收，這主要是夜間網(wǎng)站訪問量較少，對資源的回收不會影響網(wǎng)站的訪問速度。