Web服务器易忽视的六大基本安

　　对Web服务器的可以说是层次不穷。即使防范措施做的最好，但是一不小心仍然会被黑客惦记。不过根据笔者的经验，其实大部分都是可以防止的。而之所以还有这么多的网站被黑，主要的原因在于管理员忽视了一些基本的安全选项。

　　一、不要使用缺省的WEB站点

　　在IISWeb服务器安装部署完成之后，系统会建立一个默认的Web站点。有些用户就会直接使用这个站点进行网站的开发。这是一个非常不的做法，可能会带来很大的安全隐患。因为很多都是针对默认的Web站点所展开的。

　　如在默认的Web站点中，有一个inetpub文件夹。有些者喜欢在这个文件夹中放置一些黑客工具，如窃取密码、Dos等等。从而使得他们可以远程遥控这些工具，造成服务器的瘫痪。由于默认的站点与文件夹的相关配置信息基本上是相同的，这就方便了者对服务器进行工具。连信息搜集这一个步骤都可以省了。一些通过IP地址与服务扫描的黑客工具，其使用的就是默认站点这个。

　　防范措施：

　　其实这一个风险还是很容易避免的。最简单的方法就是在建立网站的时候，不要使用这个默认的站点。而且需要将这个站点禁用掉。其实这个方法是一个最基本的安全措施。如在由器等网络设备上，出于安全需要，也要求管理员禁用掉默认的用户名。这是同样的道理。然后也不要使用原有的文件夹。用户可以将真实的Web站点指向一个特定的。如果要进一步提高安全性的话，还可以对这个文件夹设置NTFS权限等措施。可见要预防这个安全风险是轻而易举的事情。但是现实中，可能用户就是觉得其小，而没有引起足够的重视。从而给者有机可乘。

　　怎么给路由器设置密码二、严格控务器的写访问权限

　　在一些内容比较多、结构比较复杂的Web服务器，往往多个用户都对服务器具有写入的权限。如sina网站，有专门人员负责新闻板块，有专门人员负责博客，有专门人员负责论坛等等。由于有众多的用户对网站服务器具有写入的权限，就可能会带来一定的安全隐患。如某个用户的密码泄露的话，就会乘机对服务器进行。其实虽然他们都具有对服务器的写入权限，但是他们的分工是不同的。每个人都有自己的领域。

　　再如一个大学校园的校园网，一个Web服务器实际上可能拥有多个网站，多个管理员。如各个学院有自己的网站等等。此时管理员都有对服务器修改的权限。权限控制不严格的话，那么服务器上的文件夹就可能会处于非常的境地。

　　防范措施:

　　这个防范措施也比较简单，其基本的原理就是给与用户最小的权限。如可以根据网站板块的不同，将相关的内容放置到对应的文件夹中。然后每个特定的用户只能够访问自己负责内容的文件夹。如此的话，即使某个管理员用户的密码泄露了，那么其影响的也只是一个文件夹。而不会对其他用户的文件夹产生不利影响。

　　其次就是最好不要讲Web服务器同其他的应用服务放置在一起。特别对于企业来说，可能为了节省成本，喜欢将Web服务器与文件服务器等部署在同一个服务器上。这是一种非常的方式。因为对于文件服务器来说，可能每个用户都具有往服务器上写入的权限。而这就会给木马、病毒等提供机会。从而也会影响到Web服务器的安全。

　　总之管理员需要严格Web服务器的写入权限。在分配用户权限的时候，如果要给用户写的权限，那么最好能够结合NTFS权限管理，只提供用户特定文件夹的写入权限。其次就是最好将Web服务器同文件服务器等分开，争取只有少量的用户具有对服务器写入的权限。

　　三、不定时的检查服务器上的bat与exe文件

　　大部分者都系统使用bat或者exe文件来进行。如有些者会利用操作系统的任务管理器。让系统每天或者每隔一段固定的时间调用某个程序。这些程序就是以bat或者exe结尾的，或则是以reg文件结尾的。这些文件具有非常大的性。如黑客可以利用这些文件更改注册表、建立帐户、发送文件给黑客等等。

　　防范措施:

　　有时候即使管理员采用了病毒防火墙等措施，或者每天对服务器进行杀毒，也很难找到这些文件。此时管理员可以采用一个比较原始的方法，就是通过扩展名来搜索这些文件。然后查看是否有可疑的。笔者的做法是，Web服务器部署完成之后，先利用扩展名exe、bat、reg等作为查找条件，查找相关的文件。然后将文件名存放到一个表格中。以后每天或者每周再查找一次，然后跟原有的表格进行对比，看看是否增加了一些文件。如果有增加的话，那么这些增加的文件就可能是问题文件。用户可以使用记事本(注意千万不能够直接双击打开)这些文件，看看其代码。或者直接将这些文件删除掉，免除后患。

　　四、对于IIS目录采用严格的访问策略

　　IIS目录是Web服务器中很重要的一个目录。其相当于人的大脑，控制着Web服务器的运行。为此在规划Web服务器安全的时候，要对此进行特别的关注。不过在实际工作中，这个目录却没有引起用户的足够高的关注。他们有些甚至直接使用系统的默认设置，也没有进行后续的追踪。这都有可能成为以后网站被黑、服务器瘫痪的起因。

　　防范措施:

　　对于IIS目录的安全，笔者认为至少需要做到两点。一是需要对IP地址、子网、域名等加以。如根据追踪发现某个不知名的IP地址经常pingWeb服务器，此时就需要及时的将这个IP地址拉入，其访问IIS目录。二是需要做好追踪、分析工作。管理员可以使用一些软件来记录用户对IIS目录的访问。如是否有用户试图越权访问其没有权限的目录等等。与事后追踪，对于IIS目录的安全来说，是两把伞，一把都不能够缺。

　　以上这六点虽然不怎么起眼，但是确是大家在日常工作中经常容易忽视的地方。从小处着眼，能够让你的Web服务器在安全方面前进一大步。

　　五、做好服务器的升级工作

　　如果在服务器上只部署了一个Web服务，那么笔者在第一时间对操作系统与IIS服务器进行升级。通过给系统与服务打补丁，是提高Web服务器安全的最好方法之一。毕竟现在很多的黑客其都是停留在对现有漏洞的。如果将这些已经发现的漏洞补上，那么遭受到的可能性就会小许多。

　　不过在升级的过程中需要注意。如果在Web服务器上还有第三方的服务或者非微软的产品，那么在升级之前需要先进行测试。判断操作系统与IIS服务最新的补丁是否跟现有的其他服务与产品相互冲突。虽然这个冲突的几率还是比较少的，但是这个测试的工作不可缺。

　　六、禁用不需要的服务

　　IIS服务器部署完成之后，其可能还会同时装有其他的应用服务。如FTP、SMTP等等。这些服务都带有比较大的安全隐患。如FTP本身就是被设计满足简单的读写访问。如果你在Web服务器上采取了比较严格的安全措施。但是在FTP服务上没有。则者就可以先利用FTP服务器下载一些黑客的工具。然后再借助这些工具从内部发起对Web服务器的。此时成功率就会高许多。

　　所以如果某些服务不需要的话，需要在第一时间禁用它。宁可以后有需要的时候i，再花时间打开。每个服务都好像房间的门。如果将不需要的门堵死，那么安全工作就会好做许多。因为需要关注的“门”的数量大大减少了。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。