Win2K IIS服务器安全构建指南(3)

　　6、改写注册表降低被攻击风险

　　DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击，但是可以降低其风险，所以，建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是：将HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改为2。

　　7、简化IIS5中的验证方法

　　Win2K和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法，这包括：匿名访问、基本验证（密码用明文送出）、Windows域服务器的简要验证、集成Windows验证等等。

　　对于大多数Web站点来说，有匿名访问或基本认证就足够了，或者干脆只保留匿名访问形式。在有些地方，最简单的往往是最有效的！

　　8、为IIS5中的文件分类设置权限

　　除了在操作系统级别为IIS5的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：

　　● Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为这个文件夹设置“纯脚本”执行许可权限。

　　● BIN目录：包含站点上的二禁止执行文件，应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。

　　● Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置“读权限”

　　9、全力保护IIS metabase

　　IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容，而且这些信息都以明文形式存储，因此保护它至关重要。建议采取如下措施：

　　● 把HTTP和FTP根文件夹从%systemroot%下移走

　　● 慎重考虑重新命名Metabase和移动Metabase位置

　　● 安全设置确定Metabase位置的注册表关键字

　　● 审核所有试图访问并编辑Metabase的失败日志

　　● 删除文件%systemroot%system32inetservIissync.exe

　　● 为Metabase文件设置以下权限：Administrators/完全控制，System/完全控制

　　完成IIS配置后对Metabase 进行备份，这时会创建文件夹%systemroot%system32inetservMetaBack，备份文件就存储在其中。对于这个地方，要采取如下措施进行保护：

　　● 审核对MetaBack文件夹的所有失败访问尝试

　　● 为MetaBack文件夹设置如下权限：Administrators/完全控制，System/完全控制

　　最后，要保护能够编辑Metabase的工具，步骤是：

　　● 移走文件夹InetpubAdminscripts，这里包含着IIS的所有管理脚本

　　● 将"program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%system32Inetserv文件夹下，并调整相应的开始菜单快捷方式。

　　● 审核对Adminscripts文件夹的所有失败访问尝试

　　● 对执行.VBS文件的%systemroot%system32csript.exe设置权限为“Administrators/完全控制”。

　　● 对Adminscripts文件夹设置权限“Administrators/完全控制”。