RSS订阅初次安装 IIS 6.0 时,Web 服务器仅服务于或显示静态网页 (HTML),这降低了服务于动态网页或可执行文件、内容而带来的风险。默认情况下禁用 ASP 和 ASP.NET。由于 IIS 6.0 的默认设置禁用了 Web 服务通常使用的许多功能,所以,如何在降低服务器暴露给潜在攻击者的程度,同时配置 Web 服务器的其他功能呢?
一、减少 Web 服务器的攻击面,通过减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度,来开始保护 Web 服务器的过程。例如,仅启用 Web 服务器正常运行所必需的组件、服务和端口:
1、 禁用面向 Internet 连接上的 SMB:开始---设置---控制面板---网络连接---本地连接---属性---清除“Microsoft 网络客户端”复选框---清除“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。
SMB 使用的端口:
TCP 端口 139、TCP 和 UDP 端口 445 (SMB Direct Host)
2、禁用基于 TCP/IP 的 NetBIOS:我的电脑---属性---硬件---设备管理”器---单击查看---显示隐藏的设备---双击非即插即用驱动程序---右键单击“NetBios over Tcpip”---停用
NetBIOS 使用的端口: TCP 和 UDP 端口 137(NetBIOS 命名服务)、TCP 和 UDP 端口 138(NetBIOS 数据报服务)、TCP 和 UDP 端口 139(NetBIOS 会话服务)
上述过程不仅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主侦听者,而且禁用 Nbt.sys 驱动程序,并需要重新启动系统。
3、 配置 IIS 组件和服务,只选择基本的 IIS 组件和服务。IIS 6.0 除了包括 WWW 服务之外,还包括一些子组件和服务,例如 FTP 服务和 SMTP 服务。为了最大限度地降低针对特定服务和子组件的攻击风险,建议您只选择网站和 Web 应用程序正确运行所必需的服务和子组件。开始---控制面板--- 添加或删除程序---添加/删除 Windows 组件---应用程序服务器单击详细信息--- Internet 信息服务 (IIS)单击详细信息---然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。
IIS 子组件和服务的推荐设置:
禁用:后台智能传输服务 (BITS) 服务器扩展;FTP 服务;FrontPage 2002 Server Extensions;Internet 打印;NNTP 服务
启用:公用文件;Internet 信息服务管理器;万维网服务
