Jos sinulla on tietokone, jossa IIS on asennettu Windows-käyttöjärjestelmään, ja haluat harjoittaa web-suunnittelua, saatat miettiä, kuinka varmistaa Web-palvelimen turvallisuus. Luulet todennäköisesti, että voit sukeltaa verkkokehitysmaailmaan ja unohtaa kaiken alla olevan web-palvelimen. Vaikka IIS on Microsoft-tuote, sinun on silti otettava käyttöön suojausominaisuuksia palvelimen turvallisuuden parantamiseksi.


Tämä on välttämätöntä, koska nämä suojausominaisuudet eivät usein ole konfiguroitu laatikosta. IIS-asennusten turvallisuuden takaamiseksi tarjoamme sinulle tässä artikkelissa vinkkejä ja vaiheita, jotka sinun tulee noudattaa IIS-asennusten turvaamiseksi..

VIHJE: Siirrä Inetpub-kansio toiseen asemaan

Inetpub-kansio on esiasennettu sijainti verkkosivustosi sisällölle, IIS-sisäänkirjautumiselle ja monelle muulle. Microsoft IIS7: n ja uudempien versioiden mukana toimitetaan Inetpub-kansio, joka on esiasennettu järjestelmäasemalle. Järjestelmän turvallisuuden parantamiseksi on suositeltavaa nostaa Inetpub-kansio pois kyseisestä sijainnista toiseen osioon Web-sisällön eristämiseksi Windows-käyttöjärjestelmästä. Sinua vaaditaan yleensä siirtämään tämä heti, kun asennus on valmis.

Vinkki 2: Asenna sopivat IIS-moduulit

IIS sisältää yli kolmekymmentä elementtiä tai moduulia. Sinun ei tarvitse asentaa kaikkia niitä. Ainoat asennettavat moduulit, joita todella tarvitset verkkosovelluksillesi. Sivustosi turvallisuuden parantamiseksi estä kaikki moduulit, joita et tarvitse, oppiaksesi mahdollisuudesta altistaa verkkopalvelimesi hakkerointiriskien vaaralle. Ajoittain sinun on tutkittava asennettavat moduulit ja poistettava ne, joita ei enää tarvita. Käytä IIS Manager -sovellusta seurataksesi asennettuja ja käyttöön ottamiasi moduuleja. luetella kaikki käytössä olevat moduulit. Voit tehdä tämän seuraavasti:

  • Siirry IIS-hallintaohjelmaan ja avaa se
  • Napsauta moottorin nimeä tutkiaksesi kaikki sen mukana tulevat elementit. Vaihtoehtoisesti navigoi tiettyyn verkkosivustoon tutkiaksesi kaikki kyseiselle sivustolle sallitut moduulit.
  • Klikkaa ‘moduulien kahdesti
  • Jos haluat poistaa komponentin käytöstä, napsauta sitä koko komponenttiluettelosta ja napsautaPoista’ Toiminnot-paneelista.
  •  Vahvista seuraavaksi, että haluat poistaa elementin napsauttamalla Joo

Kuinka suojata IIS-asennukset

Tarkastellaan kaikkia käytössä olevia moduuleja IIS Managerista

Vinkki 3: Poista OPTIONS-menetelmä käytöstä

OPTIONS-menetelmä tarjoaa tietueet menetelmistä, joita Web-palvelin tukee. Huolimatta siitä, että tämä näyttää olevan hyödyllistä, se toimii samalla potentiaalisena yhteytenä Web-palvelimen ja hyökkääjien välillä. Se antaa potentiaaliselle hyökkääjälle tarvittavat tiedot tutkia ja tutkia sivustosi ja löytää mahdollisia tapoja aloittaa hyökkäys. Siksi on hyvä käytäntö poistaa OPTIONS-menetelmä kokonaan käytöstä. Voit tehdä tämän estämällä OPTIONS-verbiä HTTP-verbi-pyyntöjen suodatuspäätöksistä IIS: ssä. Tehdä tämä:

  • Siirry IIS-hallintaohjelmaan ja avaa se
  • Valitse moottorin nimi asettaaksesi sen globaalisti. Vaihtoehtoisesti voit muuttaa sen verkkosivuston asetusta, johon haluat määrittää tämän.
  • Napsauta Pyydä suodatusta kaksi kertaa
  • Siirry HTTP-verbit -painikkeeseen
  • Siirry Toiminnot-ruutuun ja napsauta kieltää verbi
  • Napsauta sitten LisääAsetukset’ ja napsauta OK. Tämä tallentaa tekemäsi muutokset.

Kuinka suojata IIS-asennukset

IIS-hallintaohjelma on kieltänyt OPTIONS-menetelmän

VIHJE 4: Salli dynaamiset IP-rajoitukset

Dynaamiset IP-rajoitukset -moduuli antaa potentiaaliselle hyökkääjälle mahdollisuuden estää pääsy IP-osoitteisiin, jotka käsittelevät tietyn määrän pyyntöjä, ja siksi auttaa estämään palvelunestohyökkäyksiä (DoS). Tämä komponentti tarkistaa jokaisen verkkopalvelimelle välitetyn pyynnön IP-osoitteen ja jatkaa näiden kyselyiden suodattamista voidakseen hetkeksi poistaa käytöstä IP-osoitteet, jotka kuvaavat tiettyä hyökkäysrakennetta. Voit asettaa Dynaamiset IP-rajoitukset -komponentin rajoittamaan pääsyä IP-osoitteisiin useiden samanaikaisten kyselyjen jälkeen tai estämällä IP-osoitteita, jotka lähettävät tietyn määrän kyselyjä tietyn ajanjakson ajan. Sinun on otettava käyttöön joko IP-suojausominaisuus tai IP- ja verkkotunnuksen rajoitukset. Kumpi niistä otat käyttöön, riippuu käyttämästäsi IIS-versiosta.

Kuinka suojata IIS-asennukset

Ota ‘IP Security’ -ominaisuus käyttöön salliaksesi dynaamiset IP-rajoitukset IIS: ssä

Tämän tekemällä sisällytät IP-osoite- ja verkkotunnusrajoitukset IIS Manager -sovellukseen. Sieltä voit määrittää dynaamiset IP-rajoitukset. Noudata alla olevia vaiheita saavuttaaksesi tämän:

  • Siirry Avaa IIS-hallintaohjelmaan ja avaa se painamalla -näppäintä
  • Valitse laitteen nimi, joka sinun on määritettävä, jotta voit määrittää sen maailmanlaajuisesti.

Vaihtoehtoisesti voit tehdä sen muuttamalla sitä verkkosivustoa, jolle tämä on määritettävä.

  • Paina ‘IP-osoite ja verkkotunnuksen rajoitukset’ kahdesti
  • Siirry Toiminnot-paneeliin, valitse Muokkaa dynaamisia rajoitusasetuksia.
  • Muuta ja säädä dynaamisia IP-rajoitusasetuksia tarpeidesi mukaan ja napsauta kunnossa jotta tallennat kaikki tekemäsi muutokset.

Kuinka suojata IIS-asennukset

Dynaamisten IP-rajoitusten asetusten muokkaaminen IIS Managerista

Vinkki 5: Salli ja aseta pyynnön suodatussäännöt

On myös hieno idea rajoittaa HTTP-kyselyjen tyyppejä IIS-prosessissa. Jotta estetään mahdollisten vahingollisten kyselyjen käsittely, sinun on määritettävä poikkeukset ja päätökset. Tämä on välttämätöntä, koska IIS pystyy estämään nämä pyynnöt, jos määritellään kyselyn suodatussäännöt. Voit esimerkiksi asettaa säännön suodattaa liikennettä, joka osoittaa SQL-injektiokokeilujen merkkejä. Vaikka SQL-injektioiden herkkyys pitäisi asettaa perustalle, SQL-injektiohyökkäysten suodattaminen on välttämätöntä tällaisten hyökkäysten minimoimiseksi. Voit yleensä asettaa tämän säännöt-painikkeesta, joka näkyy IIS Managerin Pyydä suodatus -rajapinnassa. Voit tehdä tämän noudattamalla seuraavia vaiheita:

  • Napsauta avataksesi IIS Manager
  • Napsauta sen laitteen nimeä, jolle haluat asettaa sen, asettaaksesi sen globaalisti tai muokataksesi sen sivuston asetuksia, jonka tarvitset tämän määrittämiseen. Voit tehdä tämän noudattamalla seuraavia vaiheita:
  • Napsauta kahdesti Pyydä suodatusta
  • Muuta Sääntö-painiketta
  • Siirry Toiminnot-paneeliin ja valitse ‘Yhdistä suodatussääntö’
  • Määritä tarvittavat säännöt ja napsauta OK varmistaaksesi, että tallennat tekemäsi muutokset.

Seuraavassa kuvakaappauksessa määritetty sääntö ohjaisi IIS: ää etsimään tarjottuja ketjuja kyselyn .asp- ja .aspx-sivuille. Tämä johtaisi IIS: n estämään kyselyn kaikista tämänkaltaisista säikeistä aina, kun niitä havaitaan.

Kuinka suojata IIS-asennukset

Konfigurointi Request suodatussääntö tutkiaksesi SQL Injection -hyökkäyksiä

Lisäksi voit suodattaa pyyntöjä, jotka koostuvat ominaisuuksista, kuten korkea-bittisistä komentosarjoista tai kaksinkertaisista poistoskripteistä.

Vinkki 6: Salli lokitietoominaisuus

IIS-lokien määritys tekee IIS-lokitiedot palvelimelta tulevalta HTTP-kyselyltä. Tämä on suuri apu ja voi auttaa sinua ymmärtämään ongelmia, joita on saattanut tapahtua verkkosivustollasi, jos joudut ongelmiin. Voit myös seurata palvelimen tallentamia lokit jatkuvasti tai ajoittain tarkistaaksesi palvelimesi suorituskyvyn ja antaa sinulle idean, kun sinun on optimoitava lisää suojausominaisuuksia.

Tämä voidaan automatisoida palvelimien varmennustyökaluilla. Siksi on välttämätöntä varmuuskopioida palvelimen lokit.

Microsoft tarjoaa lisäksi lokijäsennystyökalun, jonka avulla voit hakea ja tallentaa tiettyjä tietoja IIS-lokista. Lisäksi lokien konsolidointityökalut ovat erittäin tärkeitä palvelinlokeista saatujen tietojen konsolidoinnin ja arkistoinnin vahvistamiseksi entistä merkittävämmällä tavalla.

IIS-lokitiedot voidaan sallia ja asettaa IIS Manager. Napsauta hallintaohjelmassa sen laitteen nimeä, jolle olet määrittänyt ominaisuuden, ja napsauta sitten Lokit. Koska nämä lokitiedostot voivat olla valtavia, on suositeltavaa avata uusi tiedosto aika ajoin.

Kuinka suojata IIS-asennukset

Kirjausvaihtoehtojen ottaminen käyttöön IIS: ssä

Vinkki 7: Käytä ohjattua suojausmääritystoimintoa (SCW) ja suojausvaatimusten hallintaohjelmaa (SCM)

Nämä ovat kaksi Microsoftin tarjoamaa työkalua, joiden avulla voit varmistaa IIS-asennusten turvallisuuden. Ohjattu tietoturvan määritystoiminto (SCW) suorittaa erilaisia ​​tutkimuksia ja tarjoaa ehdotuksia siitä, kuinka voit parantaa verkkopalvelimiesi turvallisuutta..

Sitä vastoin Security Compliance Manager (SCM) -instrumentti suorittaa palvelintarkastuksia ja -tutkimuksia ja vertaa palvelinasetuksiasi jokaiselle toimialastandardille vaadittuihin esiasetettuihin malleihin ja suojausoppaan ehdotuksiin..

Kuinka suojata IIS-asennukset

Microsoft Security Compliance Manager (SCM) -laite

Viimeiseksi: Pidä verkkopalvelimesi jatkuvasti päivitettynä

Viimeiseksi, varmista, että päivität jatkuvasti verkkopalvelintasi varmistaaksesi, että siinä on kaikki uusimmat päivitykset ja tietoturvakorjaukset. Hyvin usein unohdetaan ja laiminlyödään tämä tärkeä perusturvallisuus, mutta se on erittäin välttämätöntä. Suurin osa tallennetuista palvelinhyökkäyksistä tapahtuu usein palvelimilla, joita ei ole kunnolla korjattu.

Tämä on osoitus siitä, että verkkopalvelimen ajan tasalla pitäminen on erittäin tärkeä tietoturvavinkki. Suurin osa web-palvelimeen kohdistuvista hakkereista tapahtuu käyttämättömillä palvelimilla. Tämä vain osoittaa, kuinka tärkeää on pitää IIS-verkkopalvelimesi aina ajan tasalla.

Katso nämä 3 parasta web-hosting-palvelua

FastComet

Aloitushinta:
$ 2,95


Luotettavuus
9.7


hinnoittelu
9,5


Käyttäjäystävällinen
9.7


Tuki
9.7


ominaisuudet
9.6

Lue arvosteluja

Käy FastCometissa

A2-hosting

Aloitushinta:
$ 3,92


Luotettavuus
9,3


hinnoittelu
9.0


Käyttäjäystävällinen
9,3


Tuki
9,3


ominaisuudet
9,3

Lue arvosteluja

Käy A2-hosting-palvelussa

ChemiCloud

Aloitushinta:
$ 2.76 Hyödyllinen hinta


Luotettavuus
10


hinnoittelu
9.9


Käyttäjäystävällinen
9.9


Tuki
10


ominaisuudet
9.9

Lue arvosteluja

Käy ChemiCloudissa

Aiheeseen liittyvät ohjeartikkelit

  • Kuinka suojata IIS-asennukset
    väli-
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me