如何提高IIS 6.0的安全性
[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!
如何提高IIS 6.0的安全性
沒(méi)有任何系統(tǒng)是100%安全的,系統(tǒng)漏洞會(huì)不斷地發(fā)現(xiàn),這是因?yàn)楹诳秃拖到y(tǒng)管理員一樣也在整天看著新聞組,收集著這方面的信息。黑與反黑之間的戰(zhàn)斗會(huì)永遠(yuǎn)進(jìn)行下去。Web 服務(wù)器通常是各種安全攻擊的目標(biāo)。其中一些攻擊非常嚴(yán)重,足以對(duì)企業(yè)資產(chǎn)、工作效率和客戶關(guān)系造成相當(dāng)?shù)钠茐?mdash;所有攻擊都會(huì)帶來(lái)不便和麻煩。Web 服務(wù)器的安全是企業(yè)成功的關(guān)鍵。
初次安裝 IIS 6.0 時(shí),Web 服務(wù)器僅服務(wù)于或顯示靜態(tài)網(wǎng)頁(yè) (HTML),這降低了服務(wù)于動(dòng)態(tài)網(wǎng)頁(yè)或可執(zhí)行文件、內(nèi)容而帶來(lái)的風(fēng)險(xiǎn)。默認(rèn)情況下禁用 ASP 和 ASP.NET。由于 IIS 6.0 的默認(rèn)設(shè)置禁用了 Web 服務(wù)通常使用的許多功能,所以,如何在降低服務(wù)器暴露給潛在攻擊者的程度,同時(shí)配置 Web 服務(wù)器的其他功能呢?
一、減少 Web 服務(wù)器的攻擊面,通過(guò)減少 Web 服務(wù)器的攻擊面,或者降低服務(wù)器暴露給潛在攻擊者的程度,來(lái)開(kāi)始保護(hù) Web 服務(wù)器的過(guò)程。例如,僅啟用 Web 服務(wù)器正常運(yùn)行所必需的組件、服務(wù)和端口:
1、 禁用面向 Internet 連接上的 SMB:開(kāi)始---設(shè)置---控制面板---網(wǎng)絡(luò)連接---本地連接---屬性---清除“Microsoft 網(wǎng)絡(luò)客戶端”復(fù)選框---清除“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”復(fù)選框,然后單擊“確定”。
SMB 使用的端口:
TCP 端口 139、TCP 和 UDP 端口 445 (SMB Direct Host)
2、禁用基于 TCP/IP 的 NetBIOS:我的電腦---屬性---硬件---設(shè)備管理”器---單擊查看---顯示隱藏的設(shè)備---雙擊非即插即用驅(qū)動(dòng)程序---右鍵單擊“NetBios over Tcpip”---停用
NetBIOS 使用的端口:
TCP 和 UDP 端口 137(NetBIOS 命名服務(wù))、TCP 和 UDP 端口 138(NetBIOS 數(shù)據(jù)報(bào)服務(wù))、TCP 和 UDP 端口 139(NetBIOS 會(huì)話服務(wù))
上述過(guò)程不僅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主偵聽(tīng)者,而且禁用 Nbt.sys 驅(qū)動(dòng)程序,并需要重新啟動(dòng)系統(tǒng)。
3、配置 IIS 組件和服務(wù),只選擇基本的 IIS 組件和服務(wù)。IIS 6.0 除了包括 WWW 服務(wù)之外,還包括一些子組件和服務(wù),例如 FTP 服務(wù)和 SMTP 服務(wù)。為了最大限度地降低針對(duì)特定服務(wù)和子組件的攻擊風(fēng)險(xiǎn),建議您只選擇網(wǎng)站和 Web 應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開(kāi)始---控制面板--- 添加或刪除程序---添加/刪除 Windows 組件---應(yīng)用程序服務(wù)器單擊詳細(xì)信息--- Internet 信息服務(wù) (IIS)單擊詳細(xì)信息---然后通過(guò)選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框,來(lái)選擇或取消相應(yīng)的 IIS 組件和服務(wù)。
IIS 子組件和服務(wù)的推薦設(shè)置:
禁用:后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展;FTP 服務(wù);FrontPage 2002 Server Extensions;Internet 打??;NNTP 服務(wù)
啟用:公用文件;Internet 信息服務(wù)管理器;萬(wàn)維網(wǎng)服務(wù)
二、建議您刪除未使用的帳戶,因?yàn)楣粽呖赡馨l(fā)現(xiàn)這些帳戶,然后利用這些帳戶來(lái)獲取您服務(wù)器上的數(shù)據(jù)和應(yīng)用程序的訪問(wèn)權(quán)。始終使用強(qiáng)密碼,因?yàn)槿趺艽a增加了成功進(jìn)行強(qiáng)力攻擊或字典攻擊(即攻擊者竭盡全力地猜密碼)的可能性。使用以最低特權(quán)運(yùn)行的帳戶。否則,攻擊者可以通過(guò)使用以高級(jí)特權(quán)運(yùn)行的帳戶來(lái)獲取未經(jīng)授權(quán)的資源的訪問(wèn)權(quán)。
1、禁用來(lái)賓帳戶(Guest),采用匿名連接來(lái)訪問(wèn) Web 服務(wù)器時(shí),使用來(lái)賓帳戶。在默認(rèn)安裝 Windows Server 2003 時(shí),禁用來(lái)賓帳戶。 要限制對(duì)服務(wù)器的匿名連接,請(qǐng)確保禁用來(lái)賓帳戶。
2、重命名管理員帳戶,默認(rèn)的本地管理員帳戶因其在計(jì)算機(jī)上的更高特權(quán)而成為惡意用戶的目標(biāo)。要增強(qiáng)安全性,請(qǐng)重命名默認(rèn)的管理員帳戶并分配一個(gè)強(qiáng)密碼。
3、重命名 IUSR 帳戶,默認(rèn)的匿名 Internet 用戶帳戶 IUSR_ComputerName 是在 IIS 安裝期間創(chuàng)建的。ComputerName 的值是安裝 IIS 時(shí)服務(wù)器的 NetBIOS 名稱(chēng)。
4、在 IIS 元數(shù)據(jù)庫(kù)中更改 IUSR 帳戶的值:?jiǎn)螕?ldquo;開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”, 右鍵單擊“本地計(jì)算機(jī)”,然后單擊“屬性”。 選中“允許直接編輯配置數(shù)據(jù)庫(kù)”復(fù)選框,然后單擊“確定”。 瀏覽至 MetaBase.xml 文件的位置,默認(rèn)情況下為 C:\Windows\system32\inetsrv。右鍵單擊 MetaBase.xml 文件,然后單擊“編輯”。 搜索“AnonymousUserName”屬性,然后鍵入 IUSR 帳戶的新名稱(chēng)。在“文件”菜單上,單擊“退出”,然后單擊“是”。
三、使用應(yīng)用程序池來(lái)隔離應(yīng)用程序,使用 IIS 6.0,可以將應(yīng)用程序隔離到應(yīng)用程序池。應(yīng)用程序池是包含一個(gè)或多個(gè) URL 的一個(gè)組,一個(gè)工作進(jìn)程或者一組工作進(jìn)程對(duì)應(yīng)用程序池提供服務(wù)。因?yàn)槊總€(gè)應(yīng)用程序都獨(dú)立于其他應(yīng)用程序運(yùn)行,因此,使用應(yīng)用程序池可以提高 Web 服務(wù)器的可靠性和安全性。在 Windows 操作系統(tǒng)上運(yùn)行進(jìn)程的每個(gè)應(yīng)用程序都有一個(gè)進(jìn)程標(biāo)識(shí),以確定此進(jìn)程如何訪問(wèn)系統(tǒng)資源。每個(gè)應(yīng)用程序池也有一個(gè)進(jìn)程標(biāo)識(shí),此標(biāo)識(shí)是一個(gè)以應(yīng)用程序需要的最低權(quán)限運(yùn)行的帳戶。可以使用此進(jìn)程標(biāo)識(shí)來(lái)允許匿名訪問(wèn)您的網(wǎng)站或應(yīng)用程序。
1、創(chuàng)建應(yīng)用程序池:?jiǎn)螕?ldquo;開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 雙擊本地計(jì)算機(jī),右鍵單擊“應(yīng)用程序池”,單擊“新建”,然后單擊“應(yīng)用程序池”。 在“應(yīng)用程序池 ID”框中,為應(yīng)用程序池鍵入一個(gè)新 ID(例如,ContosoAppPool)。在“應(yīng)用程序池設(shè)置”下,單擊“Use default settings for the new application pool”(使用新應(yīng)用程序池的默認(rèn)設(shè)置),然后單擊“確定”。
2、將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池:?jiǎn)螕?ldquo;開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序,然后單擊“屬性”。 根據(jù)您選擇的應(yīng)用程序類(lèi)型,單擊“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡。如果您將目錄或虛擬目錄分配到應(yīng)用程序池,則驗(yàn)證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱(chēng)或者如果在“應(yīng)用程序名”框中沒(méi)有名稱(chēng),則單擊“創(chuàng)建”,然后鍵入網(wǎng)站或應(yīng)用程序的名稱(chēng)在“應(yīng)用程序池”列表框中,單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱(chēng),然后單擊“確定”。
四、配置文件和目錄的安全使用強(qiáng)訪問(wèn)控制來(lái)幫助保護(hù)敏感的文件和目錄。在多數(shù)情況下,允許對(duì)特定帳戶的訪問(wèn)比拒絕對(duì)特定帳戶的訪問(wèn)更加有效。如有可能,請(qǐng)將訪問(wèn)設(shè)置在目錄級(jí)。當(dāng)文件添加到文件夾時(shí),它們繼承文件夾的權(quán)限,因此您不需要采取進(jìn)一步的措施。
1、重新定位和設(shè)置 IIS 日志文件的權(quán)限,為了增強(qiáng) IIS 日志文件的安全,您應(yīng)該將文件重新定位到非系統(tǒng)驅(qū)動(dòng)器,此驅(qū)動(dòng)器格式化為使用 NTFS 文件系統(tǒng)。此位置應(yīng)該與網(wǎng)站內(nèi)容的位置不同。單擊“開(kāi)始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至您想要重新定位 IIS 日志文件的位置。右鍵單擊您想要重新定位 IIS 日志文件的上一級(jí)目錄,單擊“新建”,然后單擊“文件夾”。 鍵入文件夾的名稱(chēng),例如 ContosoIISLogs,然后按 Enter 鍵。單擊“開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊網(wǎng)站,然后單擊“屬性”。 單擊“網(wǎng)站”選項(xiàng)卡,然后單擊“啟用日志記錄”框架中的“屬性”。 在“常規(guī)屬性”選項(xiàng)卡中,單擊“瀏覽”,然后導(dǎo)航到您剛才創(chuàng)建的文件夾以存儲(chǔ) IIS 日志文件,再確定。(注意:如果您在原來(lái)的位置 Windows\System32\Logfiles 上有 IIS 日志文件,則必須將這些文件手動(dòng)移動(dòng)到新位置。IIS 不為您移動(dòng)這些文件。)
2、設(shè)置 IIS 日志文件的 ACL,單擊“開(kāi)始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至日志文件所在的文件夾。右鍵單擊此文件夾,單擊“屬性”,然后單擊“安全”選項(xiàng)卡。在頂部窗格中,單擊“Administrators”(管理員),確保底部窗格中的權(quán)限設(shè)置為“完全控制”。 在頂部窗格中,單擊“System”(系統(tǒng)),確保底部窗格中的權(quán)限設(shè)置為“完全控制”,然后單擊“確定”。
3、配置 IIS 元數(shù)據(jù)庫(kù)權(quán)限,單擊“開(kāi)始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至 Windows\System32\Inetsrv\MetaBase.xml 文件,右鍵單擊此文件,然后單擊“屬性”。 單擊“安全”選項(xiàng)卡,確認(rèn)只有 Administrators 組的成員和 LocalSystem 帳戶擁有對(duì)元數(shù)據(jù)庫(kù)的完全控制訪問(wèn)權(quán),刪除所有其他文件權(quán)限,然后單擊“確定”。
4、禁用 FileSystemObject 組件,ASP、Windows 腳本主機(jī)和其他編寫(xiě)腳本的應(yīng)用程序使用 FileSystemObject (FSO) 組件來(lái)創(chuàng)建、刪除、獲取信息以及操縱驅(qū)動(dòng)器、文件夾和文件??煽紤]禁用 FSO 組件,但要注意,這也將刪除字典對(duì)象。另外,驗(yàn)證是否沒(méi)有其他程序需要這個(gè)組件:?jiǎn)螕?ldquo;開(kāi)始”,單擊“運(yùn)行”,在“打開(kāi)”框中鍵入 cmd,然后單擊“確定”。 切換到 C:\Windows\system32 目錄。在命令提示符處,鍵入 regsvr32 scrrun.dll /u ,然后按 Enter 鍵。出現(xiàn):DllUnregisterServer in scrrun.dll succeeded,再確定。
五、保護(hù)網(wǎng)站和虛擬目錄,將 Web 根目錄和虛擬目錄重新定位到非系統(tǒng)分區(qū),以幫助防御目錄遍歷攻擊。這些攻擊允許攻擊者執(zhí)行操作系統(tǒng)程序和工具。由于這種攻擊不能遍歷所有驅(qū)動(dòng)器,因此,將網(wǎng)站內(nèi)容重新定位到另一個(gè)驅(qū)動(dòng)器可以增強(qiáng)對(duì)這些攻擊的防護(hù)。
1、將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器,不要使用默認(rèn)的 \Inetpub\Wwwroot 目錄作為網(wǎng)站內(nèi)容的位置。例如,如果系統(tǒng)安裝在 C: 驅(qū)動(dòng)器,則將內(nèi)容目錄移動(dòng)到 D: 驅(qū)動(dòng)器,以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽 Web 服務(wù)器的目錄結(jié)構(gòu))帶來(lái)的危險(xiǎn)。一定要驗(yàn)證是否所有的虛擬目錄都指向新驅(qū)動(dòng)器。
2、刪除系統(tǒng)驅(qū)動(dòng)器上的網(wǎng)站內(nèi)容
六、配置網(wǎng)站權(quán)限 可以為您的 Web 服務(wù)器配置特定站點(diǎn)、目錄和文件的訪問(wèn)權(quán)。這些權(quán)限可以應(yīng)用于所有用戶,無(wú)論用戶有何特定的訪問(wèn)權(quán)。
七、配置文件系統(tǒng)目錄的權(quán)限 ,IIS 6.0 依靠 NTFS 權(quán)限來(lái)幫助保護(hù)單個(gè)文件和目錄不會(huì)受到未經(jīng)授權(quán)的訪問(wèn)。網(wǎng)站權(quán)限應(yīng)用于試圖訪問(wèn)網(wǎng)站的任何人,與此不同的是,您可以使用 NTFS 權(quán)限來(lái)定義哪些用戶可以訪問(wèn)您的內(nèi)容,以及如何允許這些用戶操作這些內(nèi)容。為了增強(qiáng)安全性,同時(shí)使用網(wǎng)站權(quán)限和 NTFS 權(quán)限。
1、訪問(wèn)控制列表 (ACL) 指示哪些用戶或組有訪問(wèn)或修改特定文件的權(quán)限。不是在每個(gè)文件上設(shè)置 ACL,而是為每種文件類(lèi)型創(chuàng)建新目錄,在每個(gè)目錄上設(shè)置 ACL,然后允許文件從它們所在的目錄中繼承這些權(quán)限。單擊“開(kāi)始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至包含網(wǎng)站內(nèi)容的文件,然后單擊網(wǎng)站內(nèi)容的最上層的文件夾。在“文件”菜單中,單擊“新建”,然后單擊“文件夾”,以便在網(wǎng)站的內(nèi)容目錄中創(chuàng)建一個(gè)新文件夾。為文件夾命名,然后按 Enter 鍵。按 Ctrl 鍵,然后選擇您想要保護(hù)的每個(gè)網(wǎng)頁(yè)。右鍵單擊這些網(wǎng)頁(yè),然后單擊“復(fù)制”。 右鍵單擊新文件夾,然后單擊“粘貼”。( 注意: 如果您已經(jīng)創(chuàng)建了到這些網(wǎng)頁(yè)的鏈接,則必須更新這些鏈接以便反映站點(diǎn)內(nèi)容的新位置。)
2、設(shè)置 Web 內(nèi)容的權(quán)限,單擊“開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要配置的網(wǎng)站的文件夾、網(wǎng)站、目錄、虛擬目錄或文件,然后單擊“屬性”。 根據(jù)您想要授權(quán)或拒絕訪問(wèn)的類(lèi)型,選擇或清除下列任何復(fù)選框(如果可用):
腳本源文件訪問(wèn)。用戶可以訪問(wèn)源文件。如果選擇“讀”,則可以讀源文件;如果選擇“寫(xiě)”,則可以寫(xiě)源文件。腳本源訪問(wèn)包括腳本的源代碼。如果“讀”或“寫(xiě)”均未選擇,則此選項(xiàng)不可用。
讀(默認(rèn)情況下選擇)。用戶可以查看目錄或文件的內(nèi)容和屬性。
寫(xiě)。用戶可以更改目錄或文件的內(nèi)容和屬性。
目錄瀏覽。用戶可以查看文件列表和集合。
日志訪問(wèn)。對(duì)網(wǎng)站的每次訪問(wèn)創(chuàng)建日志項(xiàng)。
檢索資源。允許檢索服務(wù)檢索此資源。這允許用戶搜索資源。
在“執(zhí)行權(quán)限”列表框中,選擇腳本執(zhí)行的相應(yīng)級(jí)別:
無(wú)。不在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件(例如,文件類(lèi)型為 .exe 的文件)。
僅腳本。只在服務(wù)器上運(yùn)行腳本。
腳本和可執(zhí)行文件。在服務(wù)器運(yùn)行腳本和可執(zhí)行文件。
單擊“確定”。如果目錄的子節(jié)點(diǎn)配置了不同的網(wǎng)站權(quán)限,則出現(xiàn)“繼承覆蓋”框。如果出現(xiàn)“繼承覆蓋”框,在“子節(jié)點(diǎn)”列表中選擇您想要應(yīng)用目錄的 Web 權(quán)限的子節(jié)點(diǎn)或者單擊“全選”來(lái)設(shè)置屬性,以便將 Web 權(quán)限應(yīng)用到所有子節(jié)點(diǎn)。如果您不只看到一個(gè)“繼承覆蓋”對(duì)話框,則從“子節(jié)點(diǎn)”列表中選擇子節(jié)點(diǎn),或者單擊“全選”,然后單擊“確定”,以便將此屬性的 Web 權(quán)限應(yīng)用到子節(jié)點(diǎn)。如果一個(gè)子節(jié)點(diǎn)屬于您已經(jīng)更改了網(wǎng)站權(quán)限的目錄,此節(jié)點(diǎn)還為特定選項(xiàng)設(shè)置了網(wǎng)站權(quán)限,則子節(jié)點(diǎn)的權(quán)限將覆蓋您為目錄設(shè)置的權(quán)限。如果您想要將目錄級(jí)的 Web 權(quán)限應(yīng)用到子節(jié)點(diǎn),則必須在“繼承覆蓋”框中選擇這些子節(jié)點(diǎn)。
八、在 Web 服務(wù)器上配置安全套接字層 (SSL) 安全功能,以便驗(yàn)證內(nèi)容的完整性,驗(yàn)證用戶身份并對(duì)網(wǎng)絡(luò)傳輸加密。SSL 安全依靠服務(wù)器證書(shū),此證書(shū)允許用戶在傳輸個(gè)人信息(例如信用卡帳號(hào))之前驗(yàn)證 Web 網(wǎng)站的身份。每個(gè)網(wǎng)站只能有一個(gè)服務(wù)器證書(shū)。
1、獲取并安裝服務(wù)器證書(shū),證書(shū)由稱(chēng)作證書(shū)頒發(fā)機(jī)構(gòu) (CA) 的非 Microsoft 組織頒發(fā)。服務(wù)器證書(shū)通常與 Web 服務(wù)器有關(guān),尤其與配置了 SSL 的網(wǎng)站有關(guān)。您必須生成證書(shū)請(qǐng)求,將此請(qǐng)求發(fā)送到 CA,然后在接收到 CA 的證書(shū)之后安裝此證書(shū)。證書(shū)依靠一對(duì)加密密鑰(一個(gè)公鑰和一個(gè)私鑰)來(lái)確保安全。當(dāng)您生成服務(wù)器證書(shū)請(qǐng)求時(shí),您實(shí)際上正在生成私鑰。從 CA 接收到的服務(wù)器證書(shū)包含公鑰。單擊“開(kāi)始”,右鍵單擊“我的電腦”,然后單擊“管理”。 雙擊“服務(wù)和應(yīng)用程序”部分, 然后雙擊“Internet 信息服務(wù)”。 右鍵單擊您想要安裝服務(wù)器證書(shū)的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分中,單擊“服務(wù)器證書(shū)”,以啟動(dòng)“Web 服務(wù)器證書(shū)向?qū)?rdquo;,然后單擊“下一步”。 單擊“創(chuàng)建一個(gè)新證書(shū)”,然后單擊“下一步”。 單擊“立即準(zhǔn)備請(qǐng)求,但稍后發(fā)送”,然后單擊“下一步”。 在“名稱(chēng)”框中,鍵入容易記住的名稱(chēng)。(默認(rèn)的名稱(chēng)是您正在生成證書(shū)請(qǐng)求的網(wǎng)站名,例如 [url]http://www.abc.com[/url])指定位長(zhǎng)度,然后單擊“下一步”。 加密密鑰的位長(zhǎng)度確定了加密的強(qiáng)度。大多數(shù)非 Microsoft CA 都希望您最少選擇 1024 位。在“組織”部分,鍵入您的組織和組織單位信息。確保此信息的準(zhǔn)確性,并且“組織”字段中不包含逗號(hào),然后單擊“下一步”。 在“站點(diǎn)的公用名稱(chēng)”部分,鍵入含域名的宿主計(jì)算機(jī)的名稱(chēng),然后單擊“下一步”。 鍵入您的地理信息,然后單擊“下一步”。 將此文件保存為 .txt 文件。(默認(rèn)的文件名和位置是 C:\certreq.txt。)以下示例顯示證書(shū)請(qǐng)求文件的特征:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
確認(rèn)請(qǐng)求的詳細(xì)信息,單擊“下一步”,然后單擊“完成”。
2、 提交服務(wù)器證書(shū)請(qǐng)求,聯(lián)系 CA,查找提交請(qǐng)求的要求。將上述過(guò)程中創(chuàng)建的 .txt 文件的內(nèi)容復(fù)制成 CA 要求的請(qǐng)求格式。將請(qǐng)求發(fā)送給您的 CA。接收到 CA 的證書(shū)后,準(zhǔn)備在您的 Web 服務(wù)器上安裝此證書(shū)。
3、 安裝服務(wù)器證書(shū),將證書(shū) (.cer) 文件復(fù)制到 C:\Windows\System32\CertLog 文件夾。單擊“開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要安裝服務(wù)器證書(shū)的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分中,單擊“服務(wù)器證書(shū)”,以啟動(dòng)“Web 服務(wù)器證書(shū)向?qū)?rdquo;,然后單擊“下一步”。 單擊“處理掛起的請(qǐng)求并安裝證書(shū)”,然后單擊“下一步”。 瀏覽至您接收到的 CA 證書(shū)。單擊“下一步”兩次,然后單擊“完成”。
4、 在 Web 服務(wù)器上強(qiáng)制和啟用 SSL 連接,
A 、強(qiáng)制SSL連接:安裝服務(wù)器證書(shū)之后,必須在 Web 服務(wù)器上強(qiáng)制 SSL 連接。然后,必須啟用 SSL 連接。單擊“開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要強(qiáng)制 SSL 連接的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分,單擊“編輯”。 單擊“要求安全通道 (SSL)”,選擇加密長(zhǎng)度,然后單擊“確定”。 注意:如果您指定 128 位加密,使用 40 位或 56 位長(zhǎng)度瀏覽的客戶端計(jì)算機(jī)不能與您的站點(diǎn)通信,除非將其瀏覽器升級(jí)到支持 128 位加密的版本。
B 、啟用 SSL 連接:?jiǎn)螕?ldquo;開(kāi)始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 鍵單擊您想要啟用 SSL 連接的網(wǎng)站,然后單擊“屬性”。 單擊“網(wǎng)站”選項(xiàng)卡。在“網(wǎng)站標(biāo)識(shí)”部分,驗(yàn)證“SSL 端口”是否填充了數(shù)值 443。然后單擊“高級(jí)”。通常出現(xiàn)兩個(gè)對(duì)話框,在“此網(wǎng)站的多個(gè)標(biāo)識(shí)”框中列出此網(wǎng)站 IP 地址和端口。在“此網(wǎng)站的多個(gè) SSL 標(biāo)識(shí)”字段下,如果還沒(méi)有列出端口 443,則單擊“添加”。選擇服務(wù)器的 IP 地址,在“SSL 端口”框中鍵入數(shù)值“443”,然后單擊“確定”。
現(xiàn)在IIS已經(jīng)安全很多了,但是,黑客會(huì)不斷尋找新漏洞來(lái)攻破你的系統(tǒng),所以這種安全性設(shè)置只是與黑客進(jìn)行的第一場(chǎng)戰(zhàn)役。
問(wèn)題未解決?付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信
所寫(xiě)所說(shuō),是心之所感,思之所悟,行之所得;文當(dāng)無(wú)敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!