当前位置：首页 > 实用文档 > 其他范文> IIS Web服务器易忽视的六大基本安全风险

IIS Web服务器易忽视的六大基本安全风险

时间：2023-04-08 07:45:38 其他范文收藏本文下载本文

IIS Web服务器易忽视的六大基本安全风险（精选5篇）由网友“守望心灵”投稿提供，下面是小编帮大家整理后的IIS Web服务器易忽视的六大基本安全风险，希望对大家带来帮助，欢迎大家分享。

篇1：IIS Web服务器易忽视的六大基本安全风险

对Web服务器的攻击可以说是层次不穷，即使防范措施做的最好，但是一不小心仍然会被惦记。不过根据笔者的经验，其实大部分攻击都是可以防止的。而之所以还有这么多的网站被黑，主要的原因在于管理员忽视了一些基本的安全选项。

一、不要使用缺省的WEB站点

在IIS Web服务器安装部署完成之后，系统会建立一个默认的Web站点。有些用户就会直接使用这个站点进行网站的开发。这是一个非常不理智的做法，可能会带来很大的安全隐患。因为很多攻击都是针对默认的Web站点所展开的。

如在默认的Web站点中，有一个inetpub文件夹。有些攻击者喜欢在这个文件夹中放置一些工具，如窃取密码、Dos攻击等等。从而使得他们可以远程遥控这些工具，造成服务器的瘫痪。由于默认的站点与文件夹的相关配置信息基本上是相同的，这就方便了攻击者对服务器进行工具。连信息搜集这一个步骤都可以省了。一些通过IP地址与服务扫描的工具，其使用的就是默认站点这个空子。

防范措施：

其实这一个风险还是很容易避免的。最简单的方法就是在建立网站的时候，不要使用这个默认的站点。而且需要将这个站点禁用掉。其实这个方法是一个最基本的安全措施。如在路由器等网络设备上，出于安全需要，也要求管理员禁用掉默认的用户名。这是同样的道理。然后也不要使用原有的文件夹。用户可以将真实的Web站点指向一个特定的位置。如果要进一步提高安全性的话，还可以对这个文件夹设置NTFS权限等措施。可见要预防这个安全风险是轻而易举的事情。但是现实中，可能用户就是觉得其小，而没有引起足够的重视。从而给攻击者有机可乘。

二、严格控制服务器的写访问权限

在一些内容比较多、结构比较复杂的Web服务器，往往多个用户都对服务器具有写入的权限。如sina网站，有专门人员负责新闻板块，有专门人员负责博客，有专门人员负责论坛等等。由于有众多的用户对网站服务器具有写入的权限，就可能会带来一定的安全隐患。如某个用户的密码泄露的话，就会乘机对服务器进行破坏。其实虽然他们都具有对服务器的写入权限，但是他们的分工是不同的。每个人都有自己的领域，

再如一个大学校园的校园网，一个Web服务器实际上可能拥有多个网站，多个管理员。如各个学院有自己的网站等等。此时管理员都有对服务器修改的权限。权限控制不严格的话，那么服务器上的文件夹就可能会处于非常危险的境地。

防范措施:

这个防范措施也比较简单，其基本的原理就是给与用户最小的权限。如可以根据网站板块的不同，将相关的内容放置到对应的文件夹中。然后每个特定的用户只能够访问自己负责内容的文件夹。如此的话，即使某个管理员用户的密码泄露了，那么其影响的也只是一个文件夹。而不会对其他用户的文件夹产生不利影响。

其次就是最好不要讲Web服务器同其他的应用服务放置在一起。特别对于企业来说，可能为了节省成本，喜欢将Web服务器与文件服务器等部署在同一个服务器上。这是一种非常危险的方式。因为对于文件服务器来说，可能每个用户都具有往服务器上写入的权限。而这就会给木马、病毒等提供机会。从而也会影响到Web服务器的安全。

总之管理员需要严格限制Web服务器的写入权限。在分配用户权限的时候，如果要给用户写的权限，那么最好能够结合NTFS权限管理，只提供用户特定文件夹的写入权限。其次就是最好将Web服务器同文件服务器等分开，争取只有少量的用户具有对服务器写入的权限。

三、不定时的检查服务器上的 bat与exe文件

大部分攻击者都系统使用bat或者exe文件来进行攻击。如有些攻击者会利用操作系统的任务管理器。让系统每天或者每隔一段固定的时间调用某个程序。这些程序就是以bat或者exe结尾的，或则是以reg文件结尾的。这些文件具有非常大的破坏性。如可以利用这些文件更改注册表、建立隐形帐户、发送文件给等等。

防范措施:

有时候即使管理员采用了病毒防火墙等措施，或者每天对服务器进行杀毒，也很难找到这些文件。此时管理员可以采用一个比较原始的方法，就是通过扩展名来搜索这些文件。然后查看是否有可疑的。笔者的做法是，Web服务器部署完成之后，先利用扩展名exe、bat、reg等作为查找条件，查找相关的文件。然后将文件名存放到一个表格中。以后每天或者每周再查找一次，然后跟原有的表格进行对比，看看是否增加了一些文件。如果有增加的话，那么这些增加的文件就可能是问题文件。用户可以使用记事本(注意千万不能够直接双击打开)这些文件，看看其代码。或者直接将这些文件删除掉，免除后患。

篇2：IIS Web服务器容易忽视的六大基本安全问题

对Web服务器的攻击可以说是层次不穷，即使防范措施做的最好，但是一不小心仍然会被惦记。其实大部分攻击都是可以防止的，之所以还有这么多的网站被黑，主要的原因在于管理员忽视了一些基本的安全选项。

一、不要使用缺省的WEB站点

防范措施：

二、严格控制服务器的写访问权限

在一些内容比较多、结构比较复杂的Web服务器，往往多个用户都对服务器具有写入的权限。如有专门人员负责新闻板块，有专门人员负责博客，有专门人员负责论坛等等。由于有众多的用户对网站服务器具有写入的权限，就可能会带来一定的安全隐患。如某个用户的密码泄露的话，就会乘机对服务器进行破坏。其实虽然他们都具有对服务器的写入权限，但是他们的分工是不同的。每个人都有自己的领域。

防范措施：

三、不定时的检查服务器上的bat与exe文件

防范措施：

有时候即使管理员采用了病毒防火墙等措施，或者每天对服务器进行杀毒，也很难找到这些文件。此时管理员可以采用一个比较原始的方法，就是通过扩展名来搜索这些文件。然后查看是否有可疑的。笔者的做法是，Web服务器部署完成之后，先利用扩展名exe、bat、reg等作为查找条件，查找相关的文件。然后将文件名存放到一个表格中。以后每天或者每周再查找一次，然后跟原有的表格进行对比，看看是否增加了一些文件。如果有增加的话，那么这些增加的文件就可能是问题文件。用户可以使用记事本（注意千万不能够直接双击打开）这些文件，看看其代码。或者直接将这些文件删除掉，免除后患。

四、对于IIS目录采用严格的访问策略

IIS目录是Web服务器中很重要的一个目录。其相当于人的大脑，控制着Web服务器的运行。为此在规划Web服务器安全的时候，要对此进行特别的关注。不过在实际工作中，这个目录却没有引起用户的足够高的关注。他们有些甚至直接使用系统的默认设置，也没有进行后续的追踪。这都有可能成为以后网站被黑、服务器瘫痪的起因。

防范措施：

对于IIS目录的安全，至少需要做到两点。一是需要对IP地址、子网、域名等加以限制。如根据追踪发现某个不知名的IP地址经常ping Web服务器，此时就需要及时的将这个IP地址拉入黑名单，禁止其访问IIS目录。二是需要做好追踪、分析工作。管理员可以使用一些软件来记录用户对IIS目录的访问。如是否有用户试图越权访问其没有权限的目录等等。限制与事后追踪，对于IIS目录的安全来说，是两把保护伞，一把都不能够缺。

五、做好服务器的升级工作

如果在服务器上只部署了一个Web服务，那么建议在第一时间对操作系统与IIS服务器进行升级。通过给系统与服务打补丁，是提高Web服务器安全的最好方法之一。毕竟现在很多的其攻击都是停留在对现有漏洞的攻击。如果将这些已经发现的漏洞补上，那么遭受到攻击的可能性就会小许多。

不过在升级的过程中需要注意。如果在Web服务器上还有第三方的服务或者非微软的产品，那么在升级之前需要先进行测试。判断操作系统与IIS服务最新的补丁是否跟现有的其他服务与产品相互冲突。虽然这个冲突的几率还是比较少的，但是这个测试的工作不可缺。

六、禁用不需要的服务

IIS服务器部署完成之后，其可能还会同时装有其他的应用服务。如FTP、SMTP等等。这些服务都带有比较大的安全隐患。如FTP本身就是被设计满足简单的读写访问。如果你在Web服务器上采取了比较严格的安全措施。但是在FTP服务上没有。则攻击者就可以先利用FTP服务器下载一些的工具。然后再借助这些工具从内部发起对Web服务器的攻击。此时攻击成功率就会高许多。

所以如果某些服务不需要的话，需要在第一时间禁用它。宁可以后有需要的时候i，再花时间打开。每个服务都好像房间的门。如果将不需要的门堵死，那么安全工作就会好做许多。因为需要关注的“门”的数量大大减少了。

以上这六点虽然不怎么起眼，但是确是大家在日常工作中经常容易忽视的地方。从小处着眼，能够让你的Web服务器在安全方面前进一大步。

篇3：初中生六大基本安全常识

初中生六大基本安全常识

一、临危逃生的基本原则：

1、保持镇静，趋利避害。

2、学会自救、保护自己。

3、想方设法，不断求救。

4、记住四个电话：

①“119”火警电话。

②“110”报警电话。

③“122”交通事故报警电话。

④“120”急救电话。

打电话不要慌张、语无伦次，必须要说清地点、相关情况，显著的特征。

二、交通安全

1、行走安全：行人须在人行道内行走，没有人行道靠右边行走；穿越马路须走人行横道；通过有效通信号控制的人行道，须遵守信号的规定；通过没有交通信号控制的`人行道，要左顾右盼，注意来往车辆，不准追逐，奔跑；没有行人横道的，须直行通过，不准在车辆临近时突然横穿；有人行过街天桥或地道的，须走人行过街天桥或地道；不准爬越马路边和路中的护栏、隔离栏，不准在道路上扒车、追车、强行拦车或抛物击车。

2、骑自行车（电动车、摩托车）安全：不满16周岁不能在道路上骑电动车、摩托车；不打伞骑车；不脱手骑车；不骑车带人；不骑“病”车；不骑快车；不与机动车抢道；不平行骑车；不在恶劣天气骑车。

3、乘车安全：乘公共汽车要停稳后上下车，在车上要抓好扶手，头、手等身体部位不能伸出窗外，管好身边物品，防止扒窃；乘高速汽车要系安全带；不乘超载车。

三、火灾中的逃生与自救

火灾中如何自救与逃生是师生学习消防知识的一个重点，尤其是在房间中的火场逃生，具体要做到“三要三不要”。

1、要镇静分析，不要盲目行动

明确自己的房间，回忆房子和房间的位置走向，分析周围的火情，不要盲目开门开窗，可用手先摸一摸房门，如果很热，千万不要开门，不然会助长火势或“引火入室”；也不要盲目乱跑、跳楼，这样有可能造成不应有的伤亡，在火势未蔓延前，可朝逆风方向快速离开。

2、要选好逃生办法，不要惊慌失措

如必须从烟火中冲出房间，要用湿毛巾、衣服等包住头脸，尤其是口鼻部，低姿行进，以免受呛窒息。如房门口虽已有火，但火势不大，就从房门口冲出；如果房门口火势太猛，要从窗口逃生，并保证双脚落地，不出现意外。

3、火场人员要尽量有序迅速撤离火场

不要大声喊叫，避免烟雾进入口腔，造成窒息中毒。如火场逃生之路均被大火切断，应退居室内关闭门窗，有条件的可向门窗上浇水，延缓火势蔓延，同时向窗外扔小的物品或打手电求救。

四、游泳安全

1、基本要求：

单身一人不外出在江河湖泊游泳；身体患病不游泳；强体力劳动或剧烈运动后，不立即游泳；水况不明的江河湖泊不游泳；恶劣天气不外出游泳；下水前不做准备活动不游泳。

2、发生事故要求：

出现事故，要立即呼救，儿童少年不冒然下水营救；溺水者救起后，要清除口鼻喉内异物，排出溺水者胃肺部水，必要时进行人工呼吸。同时，迅速拨打急救电话。

五、饮食卫生

不买不吃不新鲜和腐烂变质的食品；不吃被卫生部门禁止上市的海产品；不买无证摊贩处食品；不买无商标或无出厂日期、无生产单位、无保质期等标签不完整的食品；不吃有毒食品（如野生蘑菇、不明野菜等）；不喝未经消毒、煮沸的水，不喝存放时间过长的、过时的纯净水。

六、安全用电

不靠近有电线断落地周围20米内，不随意拆卸、安装电源线路、插座等电器；不用尖锐物品扎、刺电线；不在雷鸣电闪时使用电器；不用金属体去试探插座、灯口的内部，更不能用指头戳插座孔、灯口；不用湿手接触开关、插座。

篇4：关于网站服务器基本安全的几点设置

一、服务器系统安装建议

1、不安装多余组件，停止不需要的服务;

2、www服务单独分区;

3、补丁打全;

二、登录账号与口令安全

1、设置密码使用、数字加大小写字母不少余8位;

# vi /etc/login.defs

找到以下:

PASS_MAX_DAYS 99999 #最大的天数密码可以使用，

PASS_MIN_DAYS 0 #最小数目密码更改期限内。

PASS_MIN_LEN 5 #最小可接受的密码长度。

PASS_WARN_AGE 7

根据自已实际实情况修改。

2、禁用不必要的账号;

设置密码使用时间

查看密码使用时间

#chage -l xxx(登录用户名)

查看账号所属组

# id xxx(登录用户名)

3、登录系统时，不要直接使用ROOT，以普通用户登录后，用SU切换ROOT户;

#vi /etc/ssh/sshd_config

找到

四、设置history保留量

#vi /etc/profile

找到

HISTSIZE=X (修改X保留行数)

退出时自动删除命令记录(history)

修改

vi .bash_logout

加入一行

rm -rf $HOME /.bash_history

五、锁定口令文件

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

六、其它安全配置

1、备份/etc/下重要配置文件到其它介质上;

2、修改SSH端口号

#vi /etc/ssh/sshd_config

修改为不常用的端口号

重起生效

#service sshd restart

七、设置允许访问的主机

#vi /etc/hosts.allow

篇5：入侵者角度谈服务器安全基本配置

我们的防范是从入侵者角度来进行考虑，那么我们就首先需要知道入侵者的入侵方式，目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。

一、防止数据库被非法下载

应当说，有一点网络安全的管理员，都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心，拿到程序直接在自己的服务器上进行安装，甚至连说明文件都不进行删除，更不要说更改数据库路径了。这样就可以通过直接从源码站点下载网站源程序，然后在本地测试找到默认的数据库，再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径，那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。

打开IIS添加一个MDB的映射，让mdb解析成其他下载不了的文件：“IIS属性”―“主目录”―“配置”―“映射”―“应用程序扩展”里面添加.mdb文件应用解析，至于用于解析它的文件大家可以自己进行选择，只要访问数据库文件出现无法访问就可以了。

这样做的好处是：

1、只是要是mdb后缀格式的数据库文件就肯定下载不了;

2、对服务器上所有的mdb文件都起作用，对于虚拟主机管理员很有用处。

二、防止上传

针对以上的配置如果使用的是MSSQL的数据库，只要存在注入点，依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话，我们可以直接上传一个asp的木马就得到了服务器的webshell。

对付上传，我们可以总结为：可以上传的目录不给执行权限，可以执行的目录不给上传权限，

Web程序是通过IIS用户运行的，我们只要给IIS用户一个特定的上传目录有写入权限，然后又把这个目录的脚本执行权限去掉，就可以防止入侵者通过上传获得webshell了。配置方法：首先在IIS的web目录中，打开权限选项卡、只给IIS用户读取和列出目录权限，然后进入上传文件保存和存放数据库的目录，给IIS用户加上写入权限，最后在这两个目录的“属性”――“执行权限”选项把“纯脚本”改为“无”即可。

最后提醒一点，在你设置以上权限的时候，一定要注意到设置好父目录的继承。避免所做的设置白费。

三、MSSQL注入

对于MSSQL数据库的防御，我们说，首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库，如果可以正常运行，使用public用户最安全的。设置成dbo权限连接数据库之后，入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了，对于前者，我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份，我们知道它的条件是有备份的权限，并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种，都用到了xp_regread和xp_dirtree两个扩展存储过程，我们只需要删除这两个扩展存储就可以了，当然也可以把对应的dll文件也一起删除。

但是如果是由于程序出错自己暴出了web目录，就没有办法了。所以我们还要让帐户的权限更低，无法完成备份操作。具体操作如下：在这个帐户的属性―数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限，对于其他数据库不要操作。接着还要到该数据库―属性―权限把该用户的备份和备份日志的权限去掉，这样入侵者就不能通过差异备份获得webshell了。

★ 保险讲话稿