iis安全

时间：2024-03-15 08:28:20编辑：分享君

IIS有哪些安全漏洞 iis的安全性问题

打开腾讯电脑管家——工具箱——修复漏洞，进行漏洞扫描和修复。
建议设置开启自动修复漏洞功能，开启后，电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下：进入电脑管家“修复漏洞”模块—“设置”，点击开启自动修复漏洞即可。

IIS高能性服务器安全设置的重要性是什么？

1、百度搜索一下iis安全设置
2、还有服务器的安全设置
3、原则上是这样的
（1、删除不必要的端口，2、删除不必要的服务，3、删除不必要的用户组和用户，4、给每个网站配置独立的访客账户，5、给每个网站配置独立的数据库、6、给每个网站配置独立的应用程序池、7、给每个网站设置好读写权限，8、可写入的不能有执行权限。9、可执行的不能有写入权限，10、给服务器系统打好安全补丁，11、给网站系统打好安全补丁。12、给网站做好安全备份。13、给服务器做好杀毒措施，14、删除不必要的网站文件，特别是可以写入的程序文件。15、做好网站后台安全设置

windows 2000操作系统的安全机制有哪些

安全描述符、访问控制列表、访问令牌、访问掩码等

初级安全篇

1.物理安全
服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是嘿客们入侵系统的突破口，系统的帐户越多，嘿客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名
大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码
一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码
很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10．使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“嘿客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库

12．保障备份盘的安全
一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

中级安全篇：

1．利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：
http://www.microsoft.com/windows2000/techi...y/sctoolset.asp

2．关闭不必要的服务
windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log

3．关闭不必要的端口
关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是嘿客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：
策略设置
审核系统登陆事件成功，失败
审核帐户管理成功，失败
审核登陆事件成功，失败
审核对象访问成功
审核策略更改成功，失败
审核特权使用成功，失败
审核系统事件成功，失败

5.开启密码密码策略
策略设置
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天

6．开启帐户策略
策略设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次

7．设定安全记录的访问权限
安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

8．把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名
默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .

10．禁止建立空连接
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

高级篇：

1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享
win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。
默认共享目录路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator
和Backup Operators组成员才可连接，Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给嘿客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techi...ity/encrypt.asp

5.加密temp文件夹
一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表
在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：
http://support.microsoft.com/support/kb/ar...s/Q153/1/83.asp

7.关机时清除掉页面文件
页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码
对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec
正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

可信操作系统一般具有哪些关键的安全特征

安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。安全操作系统主要特征： 1 、最小特权原则，即每个特权用户只拥有能进行他工作的权力； 2、自主访问控制；强制访问控制，包括保密性访问控制和完整性访问控制； 3 、安全审计； 4 、安全域隔离。只要有了这些最底层的安全功能，各种混为“ 应用软件 ” 的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制，因为它们违背了操作系统的安全规则，也就失去了运行的基础。过去，微软一直以在操作系统上捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式，使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。在Windows 2003中，两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装，并且这两个服务是在两个新的账户下运行，新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时，这种革新将直接改善服务器的安全性。与IIS和Telnet上的服务账户改进一起，Windows 2003还包含了大量的新的安全特性，也许，这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。新的安全特性1．Internet连接防火墙（ICF）ICF是一个软件防火墙，它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作，给用户的关键的基础设施增加了一层保护。2．软件限制策略软件限制策略使用策略和强制执行机制，来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些不是该公司标准用户软件套件中的程序。3．网页服务器的安全性当装载了IIS 6.0的默认安装时，网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务，高级的摘要认证以及可配置的过程访问控制。4．新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录（AD）提供了更高级的保护。5．改善了以太局域网和无线局域网的安全性不论连接的介质是什么，基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性，促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册，使得能够对传统的位于或者横跨公共场所的网络进行访问控制，例如大学校园的广域网（WAN）和横穿大城市的政府广域网（WAN）。6．凭证管理器对于所有的用户凭证，包括口令密码和X.509证书，凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。7．Internet认证服务器和远程认证拨号用户服务器（IAS/RADIUS）Internet认证服务器和远程认证拨号用户服务器（IAS/RADIUS）控制远程的用户认证和授权访问。对于不同的连接类型，例如拨号上网，虚拟专用网（VPNs）以及防火墙连接，该服务都是很实用的。8．FIPS——广为认可的内核模式加密算法联邦信息处理标准（FIPS）算法支持SHA-1、DES、3DES和一个随机数发生器。这种政府级的加密模式用于加密通过VPN使用第二层隧道协议（L2TP）和IP安全（IPSec）建立的连接，这种连接或是从客户端到服务器，或是从服务器到服务器，或是从网关到网关。9．改进的SSL客户端认证安全套接字层（SSL）客户端认证的改进使得会话速度可以提高35%，而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证，从而减少应用程序服务器上的网络通信量和CPU工作周期。10．增强的EFS加密文件服务（EFS）的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。除了这些新的安全特性之外，微软已经发行了一个安全配置管理器，用于将整个操作系统的安全选项集合成一个管理控制台。安全配置规则一、物理安全服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。二、停止Guest帐号在[计算机管理]中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。三、限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。四、多个管理员帐号管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。五、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。六、陷阱帐号和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。七、更改文件共享的默认权限将共享文件的权限从“Everyone"更改为"授权用户”，”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。八、安全密码安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码，如果设置了的话）。九、屏幕保护 / 屏幕锁定密码防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。十、使用NTFS分区比起FAT文件系统，NTFS文件系统可以提供权限设置、加密等更多的安全功能。十一、防病毒软件Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库！十二、备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把备份放置在当前服务器上，那样的话还不如不做备份。（二） Windows Server 2003的安全结构体系　Windows Server 2003是目前最为成熟的网络服务器平台，安全性相对于Windows 2000有很大的提高，本节就从Windows 2003的安全结构体系入手，带领大家学习Windows 2003的安全结构特性。LSA组件概述身份验证1．LSA组件概述身份验证是通过基于密码的事务处理来实现的，其中涉及Kerberos或者经典NT LanMan（NTLM）Challenge-Response（质询－响应）。Windows 2003使用名为“安全描述符”的特殊数据结构来保护资源。安全描述符指出谁能访问一个资源，以及他们能对这个资源采取什么操作。所有进程都由定义了用户安全上下文的“访问令牌”来进行标识。审核由安全系统中的特殊功能完成，它们能记录对安全记录的访问。在本地安全机构（Local Security Authority，LSA）组件中，包含作为Windows Executive一部分来执行的“核心模式”服务，以及对客户端－服务进程（比如交互式登录和网络访问权限的授予）进行控制的“用户模式”服务。LSA中的用户模式安全服务包含在两个可执行程序中，即“本地安全机构子系统（Local Security Subsystem，LSASS.EXE）”以及Winlogon.exe。LSASS容纳着以下进程：（1）Kerberos KDC。该服务提供Kerberos身份验证和票证授予服务。它使用AD来存储安全身份凭据。（2）NTLM安全性支持提供者。它支持所有下级客户端以及非域成员的现代Windows客户端。（3）Netlogon。处理来自下级客户的“直通（Pass-Through）”式身份验证，从而提供对经典NT身份验证的支持。但不支持Kerberos事务处理。在基于AD的域控制器上，它负责注册DNS记录。（4）IPSec。这个服务管理IP Security连接策略和IPSec Internet Key Exchange（IKE）。（5）保护性存储（Protected Storge）。这个服务负责加密并安全存储与PKI子系统关联的证书。LSA组件的“封装”2．LSA组件访问一个服务器上的安全资源时，对这个所将发生的安全事务处理进行管理的服务称为“封装”或者“包”。有两种类型的封装：身份验证封装和安全性封装。（1）身份验证封装。Microsoft提供了Kerberos和MSV1_0（质询－响应）两种身份验证封装。Windows支持源于DOS的客户端（Windows Me以下）所用的LanMan（LM）质询－响应，以及NT客户端和非域成员的现代Windows客户端所用的NT LanMan（NTLM）质询－响应。（2）经典安全性数据库。NTLM身份验证将安全信息存储在注册表的3个数据库中。①builtin：这个数据库包含Administraotr和Guest两个默认的用户账户，另外还有各个默认组，如用于域的Domain Users及用于工作站和独立服务器的Power User组。Builtin账户包含在SAM注册表分支中。②安全账户管理器（SAM）：这个数据库包含了本地用户和组账户。③LSA：这个数据库包含了计算机的密码规则、系统策略以及可信账户。LSA数据库包含在Security Registry分支中，这个分支也包含了SAM数据库的一个副本。Windows得登录身份凭据3．WINLOGONLSA需要某种机制从用户处获得登录身份凭据。负责获取这些身份凭据的可执行程序就是Windows exe，当按下Ctrl+Alt+Del组合键时，就调用 Winlogon exe。Winlogon所提供的窗口来源于一个名为“图形标识和身份验证”的DLL。用户登录时，LSA会构建一个访问令牌，用身份安全系统描述这个用户。由用户所有的一个进程在尝试访问一个安全对象时，安全性参考监视器（SRM）会将安全描述中的SID与用户访问令牌中的SID进行比较，并依此得出用户的访问权限集合。用户连接到一个服务器时，服务器上的LSASS必须建立代表该用户的一个本地访问令牌，并将令牌附加到用户的进程上。LSASS通过两种方式以获取构建这个本地访问令牌所需的信息：· 如果是Kerberos身份验证，它从客户端出示的Kerberos会话票证的Authorization Data字段中获取信息。· 如果是NTLM身份验证，它从一个域控制器获取信息，这是作为“直通”式身份验证过程的一部分来完成的。LSA工作过程4．LSA工作过程概述（1）Windows从用记收集登录身份信息。（2）LSASS获取这些身份凭据，并在Kerberos或者NTLM的帮助（通过MSV1_））下使用这些凭据来验证用户的身份。这是“身份验证”阶段。（3）LSASS构建一个访问令牌，它定义用户的访问权限和系统权限。（4）安全性参考监视器（Security Reference Monitor，SRM）将这个令牌与对象的安全描述符中的访问控制列表（Access Control List，ACL）进行比较，判断是否允许用户访问。这是“授权”阶段。（5）最后，LSASS和SRM配合，监视对安全对象的访问，并生成报告来记录部分或者全部事件。这是“审核”阶段。

请问一般服务器安全怎么维护？

首先，这些恶意的攻击行为，旨在消耗服务器资源，影响服务器的正常运作，甚至攻击到服务器所在网络瘫痪。还有一方面，就是入侵行为，这种大多与某些利益有关联，有的涉及到企业的敏感信息，有的是同行相煎。　　第一，做好硬件维护　　当处理数据越来越多，占用资源也随之增多时，服务器就需要更多的内存和硬盘容量来储存这些资源，因此，每隔段时间后服务器需要升级，可是需要注意的增加内存或者硬盘时，要考虑到兼容性、稳定性，否则不同型号的内存有可能会引起系统出错。　　还有对设备进行卸载和更换时，需要仔细阅读说明书，不要强行拆卸，而且必须在完全断电，服务器接地良好的情况下进行，防止静电对设备造成损坏。　　同样，服务器的最大杀手尘土，因此需要定期给服务器除尘。特别要注意电源的除尘。　　第二，做好数据的备份　　对企业来说，服务器上的数据是非常宝贵，如果数据库丢失了，损失是非常巨大的，因此，企业需对数据进行定期备份，以防万一。一般企业都需要每天对服务器上的数据进行备份，而且要将备份数据放置在不同服务器上，　　数据需要备份，同样需要防盗。可以通过密码保护好磁带并且如果你的备份程序支持加密功能，你还可以加密这些数据。同时，要定好备份时间，通常备份的过程会选择在晚上10点以后进行，到半夜结束。　　第三，定期做好网络检查　　第四，关闭不必要的服务，只开该开的端口　　对于初学者，建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做，那么至少使用Windows NT。你可以锁定工作站，使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。　　或者关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。　　关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。　　以上是服务器日常操作安全维护的一些技巧。

如何维护服务器的安全

如何提高WEB服务器的安全？

随着校园网络建设和应用的逐步深入，越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台，在校园网中发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

　　保证系统的安全性

　　因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

　　1、使用NTFS文件系统

　　在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

　　2、关闭默认共享

　　在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右侧窗口中创建一个名为“AutoShare-

　　Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

　　3、设置用户密码

　　用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

　　保证IIS自身的安全性

　　在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

　　1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

　　2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

　　3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

　　只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

如何配置网络服务器安全

服务器的安全设置很重要，所以相对也会很繁琐，需要进行的操作有很多：
系统漏洞扫描与修复；管理员账号、来宾账号、普通账号、影子账号的优化保护系
统不被黑客恶意添加或修改；
对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护操作防止网站被恶意上传和特殊权限的运行；
对系统文件夹下
的关键二进制文件进行保护操作，确保存储的DLL文件和以及其他用于支持、配置或操作的文件的安全；对系统文件夹下的文件进行保护操作，防止系统文件被修
改，以确保系统的正常运行；
对用户配置信息的文件夹进行保护操作，以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露；
对数据库进行权限优化以及
安全加固；
停止了类似Remote Registry（远程修改注册表服务） Remote Desktop Help Session
Manager（远程协助服务）
这种不必要的服务，以防被黑客利用，降低安全隐患；
关闭135和445这类用于远程过程调用，局域网中轻松访问各种共享文件夹或共享打印机的端口；
禁止掉
ICP空连接功能，以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现；
配置backlog，提高网络并发性及网络的处理能力；
优化设置
SYN-ACK等待时间，检查无效网关用以提高网络性能；
检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文，并进行优化操作，
防止被用于攻击；
禁止路由发现功能，用以防止ICMP路由通告报文带来的增加路由表纪录的攻击；
限制处于TIME_WAIT状态的最长时间，使运行的应用
程序可以更快速地释放和创建连接；
卸载掉wshom.ocx组件和shell32.dll组件，防止默认允许asp运行、exe可执行文件带来的安全隐
患；
禁止掉系统自动启动服务器共享的功能，用以防止服务器上的资源被共享功能泄露出去。
在手动配置的同时也可以安装服务器安全狗进行相应的设置，能够更加的完善服务器的安全设置，并且服务器安全狗也能给服务器提供实时防护，一举两得，新手和老手同样适合使用，免费又安全。建议可以去试试
我的服务器用的是小鸟云的，性能稳定，访问很流畅。

如何用IIS建立高安全性Web服务器

怎样维护IIS安全和服务器安全

IIS的安全：
(不启用日志记录，主目录的记录访问和索引资源不勾，执行权限选纯脚本（点旁边的配置，启用父路径）)
1.删掉c:/inetpub目录，删除iis不必要的映射 ,web 服务扩展：保留acitve server pages，其他都禁止网站属性:去掉扩展名中不用得，仅保留
asp,asa,等常用.
>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下
读允许
写不允许
脚本源访问不允许
目录浏览不允许
记录访问不允许
索引资源不允许
执行权限推荐选择 “纯脚本”

2.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为"xxxxx"，出错了自动转到首页.
3.提高IIS 网站服务器的执行效率的八种方法

以下是提高IIS 网站服务器的执行效率的八种方法：
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。
5. 勿使用CGI程式。
6. 增加IIS 电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。

4.优化IIS应用程序池
1、取消“在空闲此段时间后关闭工作进程（分钟）”
2、勾选“回收工作进程（请求数目）”
3、取消“快速失败保护”
一般建议1个站点一个应用程序池，应用程序池对于一般站点可以采用默认设置.
应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。
5.解决SERVER 2003不能上传大附件的问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000）
存盘，然后重启 iis admin service 服务。
>> 解决SERVER 2003无法下载超过4M的附件问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）
存盘，然后重启 iis admin service 服务。
6.超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间，操作方法是：在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，
设置脚本超时时间为：300秒 (注意：不是Session超时时间)
解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”，
就可以进行设置了(Windows 2003默认为20分钟)

上一篇：k-1格斗赛

下一篇：excel vba教程