win2003的IIS设置方法

WIN2003 的 IIS 6 0 设置 青岛太平路小学青岛太平路小学 明罡明罡 一 一 IISIIS 含义含义 IIS Internet Information Server 互联网信息服务 是一种 Web 网 页 服务组件 其中包括 Web 服务器 FTP 服务器 NNTP 服务器和 SMTP 服务 器 分别用于网页浏览 文件传输 新闻服务和邮件发送等方面 它使得在网 络 包括互联网和局域网 上发布信息成了一件很容易的事 在 IIS 6 0 中 默认设置是特别严格和安全的 这样可以最大限度地减 少因以前太宽松的超时和限制而造成的攻击 比如说默认配置数据库属性实施 的最大 ASP 张贴大小为 204 800 个字节 并将各个字段限制为 100 KB IIS 6 0 包含在 Windows Server 2003 服务器的四种版本之中 数据中 心版 企业版 标准版和 Web 版 另外 再说一个最常见的 IIS 6 0 问题 IIS 6 0 不能在 Windows XP 2000 或 NT 上运行 除了本文开头介绍的 Windows 2003 Web 版本以外 Windows 2003 的其余版本默认都不安装 IIS 跟 以前 IIS 版本的差异也很大 比较显著的就是提供 POP3 服务和 POP3 服务 Web 管理器支持 另外 在 windows 2003 下的 IIS 安装可以有三种方式 传统的 添加或删除程序 添加 删除 Windows 组件 方式 利用 管理您的 服务器 向导和采用无人值守的智能安装 二 二 IISIIS 的安装的安装 Microsoft Internet 信息服务 IIS 是与 Windows Server 2003 集成 的 Web 服务 要安装 IIS 添加可选组件或删除可选组件 请按以下步骤操作 1 单击开始 指向控制面板 然后单击 添加或删除程序 添加或删除程序 工具就会启动 2 单击添加 删除 Windows 组件 显示 Windows 组件向导 3 在 Windows 组件 列表中 单击 Web 应用程序服务器 4 单击详细信息 然后单击 Internet 信息服务 IIS 5 单击详细信息 以查看 IIS 可选组件列表 6 选择您要安装的可选组件 默认情况下 下列组件是选中的 公用文件 FrontPage 2002 Server Extentions Internet 信息服务管理单元 Internet 信息服务管理器 NNTP 服务 SMTP 服务 World Wide Web 服务 7 单击 World Wide Web 服务 然后单击详细信息 以查看 IIS 可选子 组件 如 Active Server Pages 组件和 远程管理 HTML 工具 的列表 选择您要安装的可选子组件 默认情况下 下列组件是选中的 World Wide Web 服务 8 单击确定 直到返回 Windows 组件向导 9 单击下一步 然后完成 Windows 组件向导 三 建立三 建立 WebWeb 站点站点 一 建立第一个站点 比如本机的 IP 地址为 192 168 0 1 自己的网页放在 D PX 目录下 网页的首 页文件名为 Index htm 现在想根据这些建立好自己的 Web 服务器 对于此 Web 站点 我们可以用现有的 默认 Web 站点 来做相应的修改后 就可以轻松实现 请先在 默认 Web 站点 上单击右键 选 属性 以进入 名为 默认 Web 站点属性 设置界面 1 修改绑定的 IP 地址 转到 Web 站点 窗口 再在 IP 地址 后的下 拉菜单中选择所需用到的本机 IP 地址 192 168 0 1 2 修改主目录 转到 主目录 窗口 再在 本地路径 输入 或用 浏览 按钮选择 好自己网页所在的 D PX 目录 3 添加首页文件名 转到 文档 窗口 再按 添加 按钮 根据提示 在 默认文档名 后输入自己网页的首页文件名 Index htm 4 添加虚拟目录 比如你的主目录在 D PX 下 而你想输入 192 168 0 1 test 的格式就可调出 E All 中的网页文件 这里面的 test 就是虚拟目录 请在 默认 Web 站点 上单击右键 选 新建 虚拟 目录 依次在 别名 处输入 test 在 目录 处输入 E All 后再按 提示操作即可添加成功 IIS 中创建虚拟目录时 启用父路径中创建虚拟目录时 启用父路径 地选项设定选中状态地选项设定选中状态 5 效果的测试 打开 IE 浏览器 在地址栏输入 192 168 0 1 之后再 按回车键 此时就能够调出你自己网页的首页 则说明设置成功 二 添加更多的 Web 站点 1 多个 IP 对应多个 Web 站点 如果本机已绑定了多个 IP 地址 想利用不同的 IP 地址得出不同的 Web 页 面 则只需在 默认 Web 站点 处单击右键 选 新建 站点 然后根据提 示在 说明 处输入任意用于说明它的内容 比如为 我的第二个 Web 站点 在 输入 Web 站点使用的 IP 地址 的下拉菜单处选中需给它绑定的 IP 地址即 可 当建立好此 Web 站点之后 再按上步的方法进行相应设置 2 一个 IP 地址对应多个 Web 站点 当按上步的方法建立好所有的 Web 站点后 对于做虚拟主机 可以通过给 各 Web 站点设不同的端口号来实现 比如给一个 Web 站点设为 80 一个设为 81 一个设为 82 则对于端口号是 80 的 Web 站点 访问格式仍然直接是 IP 地址就可以了 而对于绑定其他端口号的 Web 站点 访问时必须在 IP 地址 后面加上相应的端口号 也即使用如 http 192 168 0 1 81 的格式 四 四 WEBWEB 服务扩展服务扩展 同其它 windows 平台一样 此时默认 Web 站点已经启动了 但请大家注意 IIS 6 0 最初安装完成只支持静态内容 即不能正常显示基于 ASP 的网页内容 因此首先要做的就是打开其动态内容支持功能 依次选择 开始 程序 管 理工具 inter 信息服务管理器 在打开的 IIS 管理窗口左面点 web 服务扩 展 将鼠标所在的项 ASP NET v 1 1 4322 以及 Active Server Pages 项启用 点允许 即可 启用 Asp 支持 第一步 启用 Asp 进入 控制面板 管理工具 IIS Internet 服务器 Web 服务扩展 Active Server Pages 允许 控制面板 管理工具 IIS Internet 服务器 Web 服务扩展 在服务端 的包含文件 允许 第二步 启用父路径支持 IIS 网站 主目录 配置 选项 启用父路径 第三步 权限分配 IIS 网站 具体站点 右键 权限 Users 完全控制 安装完 IIS 6 还需要单独开启对于 ASP 的支持 ASP NET 解释 这是新一代的 Microsoft 服务器端脚本环境 它提供一种 新的编程模式和结构 使 Web 开发者能够构建和部署比以前更安全 更灵活 更稳定的企业类 Web 应用程序 五 配置匿名身份验证五 配置匿名身份验证 要配置匿名身份验证 请按以下步骤操作 1 单击开始 指向管理工具 然后单击 Internet 信息服务 IIS 2 展开 服务器名称 其中服务器名称 为该服务器的名称 右键单击 Web 站点 然后单击属性 3 在 Web 站点属性 对话框中 单击目录安全性 选项卡 4 在 身份验证和访问控制 下 单击编辑 5 单击 启用匿名访问 复选框 将其选中 备注 用户名 框中的用户帐户只用于通过 Windows guest 帐户进行匿名 访问 默认情况下 服务器会创建并使用帐户 IUSR computername 匿名用户帐户密 码仅在 Windows 中使用 匿名用户不使用用户名和密码登录 6 在 已验证身份的访问 下 单击 集成的 Windows 身份验证 复选框 将其选中 7 单击确定 两次 六 对六 对 IISIIS 服务的远程管理服务的远程管理 服务器端设置 1 首先 你得确保已在 IIS 所在的计算机的 控制面板 添加 删除程序 添加 删除 Windows 组件 Internet 信息服务 IIS 万维网服务 远程管 理 中勾选了 Internet 服务管理器 HTML 一项 2 安装成功后 在 IIS 管理器中将发现 网站 文件夹下面有一个名为 Administration 的网站 用鼠标右键单击该网站 选择 属性 按钮 在打 开的对话框中 可以看见该管理站点的默认 TCP 端口为 8099 SSL 端口为 8098 3 在 目录安全性 窗口中 单击 IP 地址及域名限制 下的 编辑 按钮 再点选中 授权访问 客户端访问 为安全起见 默认情况下该工具强制用户使用 SSL 连接 在 Web 浏览器的 地址栏中输入 https 远程 IIS 服务器 8098 输入管理员帐户名和密码 密码不能为空 可登陆到管理站点 对该 IIS 服务器进行远程管理 好了 现在在管理页面右边框架中选中你所想操作的站点 则在左边框架 中就可以对它完成删除 重命名 修改属性 启动 停止等操作 在管理页面左边框架中 还可以对一个站点进行备份或新建立一个站点 总之 所有操作 均和在 IIS 管理中完全一致 在保证网络安全的前提下 这种方式甚至可用来管理 Internet 上的 IIS 服务器 可喜的是 该工具除了用于远程管理 IIS 服务器外 还可以进行服务 器的其他管理工作 如用户和组的管理 网络安装 包括 TCP IP 设置 网卡 设置 计算机名称和管理员密码 七 七 IISIIS 的备份恢复的备份恢复 八 以及常见问题八 以及常见问题 微软的产品一向是众矢之的 因此 IIS 服务器特别容易成为攻击者的靶子 搞清楚了这一点后 网络管理员必须准备执行大量的安全措施 我将要为你们 提供的是一个清单 服务器操作员也许会发现这是非常有用的 1 保持 Windows 升级 2 使用 IIS 防范工具 3 移除缺省的 Web 站点 很多攻击者瞄准 inetpub 这个文件夹 并在里面放置一些偷袭工具 从而 造成服务器的瘫痪 防止这种攻击最简单的方法就是在 IIS 里将缺省的站点禁 用 然后 因为网虫们都是通过 IP 地址访问你的网站的 他们一天可能要访 问成千上万个 IP 地址 他们的请求可能遇到麻烦 将你真实的 Web 站点指向 一个背部分区的文件夹 且必须包含安全的 NTFS 权限 将在后面 NTFS 的部分 详细阐述 4 如果你并不需要 FTP 和 SMTP 服务 请卸载它们 进入计算机的最简单途径就是通过 FTP 访问 FTP 本身就是被设计满足简 单读 写访问的 如果你执行身份认证 你会发现你的用户名和密码都是通过 明文的形式在网络上传播的 SMTP 是另一种允许到文件夹的写权限的服务 通 过禁用这两项服务 你能避免更多的黑客攻击 5 有规则地检查你的管理员组和服务 6 严格控制服务器的写访问权限 7 设置复杂的密码 8 减少 排除 Web 服务器上的共享 9 禁用 TCP IP 协议中的 NetBIOS 这是残忍的 很多用户希望通过 UNC 路径名访问 Web 服务器 随着 NETBIOS 被禁用 他们便不能这么做了 另一方面 随着 NETBIOS 被禁用 黑 客就不能看到你局域网上的资源了 这是一把双刃剑 如果网络管理员部署了 这个工具 下一步便是如何教育 Web 用户如何在 NETBIOS 失效的情况下发布信 息 10 使用 TCP 端口阻塞 这是另一个残忍的工具 如果你熟悉每个通过合法原因访问你服务器的 TCP 端口 那么你可以进入你网络接口卡的属性选项卡 选择绑定的 TCP IP 协 议 阻塞所有你不需要的端口 你必须小心的使用这一工具 因为你并不希望 将自己锁在 Web 服务器之外 特别是在当你需要远程登陆服务器的情况下 要 得到 TCP 端口的详细细节 点击这里 11 仔细检查 bat 和 exe 文件 每周搜索一次 bat 和 exe 文件 检查服务器上是否存在黑客最喜欢 而对你来说将是一场恶梦的可执行文件 在这些破坏性的文件中 也许有一些 是 reg 文件 如果你右击并选择编辑 你可以发现黑客已经制造并能让他们 能进入你系统的注册表文件 你可以删除这些没任何意义但却会给入侵者带来 便利的主键 12 管理 IIS 目录安全 IIS 目录安全允许你拒绝特定的 IP 地址 子网甚至是域名 作为选择 我 选择了一个被称作 WhosOn 的软件 它让我能够了解哪些 IP 地址正在试图访问 服务器上的特定文件 WhosOn 列出了一系列的异常 如果你发现一个家伙正在 试图访问你的 cmd exe 你可以选择拒绝这个用户访问 Web 服务器 当然 在 一个繁忙的 Web 站点 这可能需要一个全职的员工 然而 在内部网 这真的 是一个非常有用的工具 你可以对所有局域网内部用户提供资源 也可以对特 定的用户提供 13 使用 NTFS 安全 缺省地 你的 NTFS 驱动器使用的是 EVERYONE 完全控制权限 除非你手工 关掉它们 关键是不要把自己锁定在外 不同的人需要不同的权限 管理员需 要完全控制 后台管理账户也需要完全控制 系统和服务各自需要一种级别的 访问权限 取决于不同的文件 最重要的文件夹是 System32 这个文件夹的访 问权限越小越好 在 Web 服务器上使用 NTFS 权限能帮助你保护重要的文件和 应用程序 14 管理用户账户 如果你已经安装 IIS 你可能产生了一个 TSInternetUser 账户 除非你真 正需要这个账户 否则你应该禁用它 这个用户很容易被渗透 是黑客们的显 着目标 为了帮助管理用户账户 确定你的本地安全策略没有问题 IUSR 用户 的权限也应该尽可能的小 15 审计你的 Web 服务器 审计对你计算机的性能有着较大的影响 因此如果你不经常察看的话 还 是不要做审计了 如果你真的能用到它 请审计系统事件并在你需要的时候加 入审计工具 如果你正在使用前面提到的 WhosOn 工具 审计就不那么重要了 缺省地 IIS 总是纪录访问 WhosOn 会将这些纪录放置在一个非常容易易读 的数据库中 你可以通过 Access 或是 Excel 打开它 如果你经常