如何提高IIS 6.0的安全性
[重要通告]如您遇疑難雜癥,本站支持知識付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!
如何提高IIS 6.0的安全性
沒有任何系統(tǒng)是100%安全的,系統(tǒng)漏洞會不斷地發(fā)現(xiàn),這是因?yàn)楹诳秃拖到y(tǒng)管理員一樣也在整天看著新聞組,收集著這方面的信息。黑與反黑之間的戰(zhàn)斗會永遠(yuǎn)進(jìn)行下去。Web 服務(wù)器通常是各種安全攻擊的目標(biāo)。其中一些攻擊非常嚴(yán)重,足以對企業(yè)資產(chǎn)、工作效率和客戶關(guān)系造成相當(dāng)?shù)钠茐?mdash;所有攻擊都會帶來不便和麻煩。Web 服務(wù)器的安全是企業(yè)成功的關(guān)鍵。
初次安裝 IIS 6.0 時,Web 服務(wù)器僅服務(wù)于或顯示靜態(tài)網(wǎng)頁 (HTML),這降低了服務(wù)于動態(tài)網(wǎng)頁或可執(zhí)行文件、內(nèi)容而帶來的風(fēng)險(xiǎn)。默認(rèn)情況下禁用 ASP 和 ASP.NET。由于 IIS 6.0 的默認(rèn)設(shè)置禁用了 Web 服務(wù)通常使用的許多功能,所以,如何在降低服務(wù)器暴露給潛在攻擊者的程度,同時配置 Web 服務(wù)器的其他功能呢?
一、減少 Web 服務(wù)器的攻擊面,通過減少 Web 服務(wù)器的攻擊面,或者降低服務(wù)器暴露給潛在攻擊者的程度,來開始保護(hù) Web 服務(wù)器的過程。例如,僅啟用 Web 服務(wù)器正常運(yùn)行所必需的組件、服務(wù)和端口:
1、 禁用面向 Internet 連接上的 SMB:開始---設(shè)置---控制面板---網(wǎng)絡(luò)連接---本地連接---屬性---清除“Microsoft 網(wǎng)絡(luò)客戶端”復(fù)選框---清除“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”復(fù)選框,然后單擊“確定”。
SMB 使用的端口:
TCP 端口 139、TCP 和 UDP 端口 445 (SMB Direct Host)
2、禁用基于 TCP/IP 的 NetBIOS:我的電腦---屬性---硬件---設(shè)備管理”器---單擊查看---顯示隱藏的設(shè)備---雙擊非即插即用驅(qū)動程序---右鍵單擊“NetBios over Tcpip”---停用
NetBIOS 使用的端口:
TCP 和 UDP 端口 137(NetBIOS 命名服務(wù))、TCP 和 UDP 端口 138(NetBIOS 數(shù)據(jù)報(bào)服務(wù))、TCP 和 UDP 端口 139(NetBIOS 會話服務(wù))
上述過程不僅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主偵聽者,而且禁用 Nbt.sys 驅(qū)動程序,并需要重新啟動系統(tǒng)。
3、配置 IIS 組件和服務(wù),只選擇基本的 IIS 組件和服務(wù)。IIS 6.0 除了包括 WWW 服務(wù)之外,還包括一些子組件和服務(wù),例如 FTP 服務(wù)和 SMTP 服務(wù)。為了最大限度地降低針對特定服務(wù)和子組件的攻擊風(fēng)險(xiǎn),建議您只選擇網(wǎng)站和 Web 應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開始---控制面板--- 添加或刪除程序---添加/刪除 Windows 組件---應(yīng)用程序服務(wù)器單擊詳細(xì)信息--- Internet 信息服務(wù) (IIS)單擊詳細(xì)信息---然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框,來選擇或取消相應(yīng)的 IIS 組件和服務(wù)。
IIS 子組件和服務(wù)的推薦設(shè)置:
禁用:后臺智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展;FTP 服務(wù);FrontPage 2002 Server Extensions;Internet 打??;NNTP 服務(wù)
啟用:公用文件;Internet 信息服務(wù)管理器;萬維網(wǎng)服務(wù)
二、建議您刪除未使用的帳戶,因?yàn)楣粽呖赡馨l(fā)現(xiàn)這些帳戶,然后利用這些帳戶來獲取您服務(wù)器上的數(shù)據(jù)和應(yīng)用程序的訪問權(quán)。始終使用強(qiáng)密碼,因?yàn)槿趺艽a增加了成功進(jìn)行強(qiáng)力攻擊或字典攻擊(即攻擊者竭盡全力地猜密碼)的可能性。使用以最低特權(quán)運(yùn)行的帳戶。否則,攻擊者可以通過使用以高級特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源的訪問權(quán)。
1、禁用來賓帳戶(Guest),采用匿名連接來訪問 Web 服務(wù)器時,使用來賓帳戶。在默認(rèn)安裝 Windows Server 2003 時,禁用來賓帳戶。 要限制對服務(wù)器的匿名連接,請確保禁用來賓帳戶。
2、重命名管理員帳戶,默認(rèn)的本地管理員帳戶因其在計(jì)算機(jī)上的更高特權(quán)而成為惡意用戶的目標(biāo)。要增強(qiáng)安全性,請重命名默認(rèn)的管理員帳戶并分配一個強(qiáng)密碼。
3、重命名 IUSR 帳戶,默認(rèn)的匿名 Internet 用戶帳戶 IUSR_ComputerName 是在 IIS 安裝期間創(chuàng)建的。ComputerName 的值是安裝 IIS 時服務(wù)器的 NetBIOS 名稱。
4、在 IIS 元數(shù)據(jù)庫中更改 IUSR 帳戶的值:單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”, 右鍵單擊“本地計(jì)算機(jī)”,然后單擊“屬性”。 選中“允許直接編輯配置數(shù)據(jù)庫”復(fù)選框,然后單擊“確定”。 瀏覽至 MetaBase.xml 文件的位置,默認(rèn)情況下為 C:\Windows\system32\inetsrv。右鍵單擊 MetaBase.xml 文件,然后單擊“編輯”。 搜索“AnonymousUserName”屬性,然后鍵入 IUSR 帳戶的新名稱。在“文件”菜單上,單擊“退出”,然后單擊“是”。
三、使用應(yīng)用程序池來隔離應(yīng)用程序,使用 IIS 6.0,可以將應(yīng)用程序隔離到應(yīng)用程序池。應(yīng)用程序池是包含一個或多個 URL 的一個組,一個工作進(jìn)程或者一組工作進(jìn)程對應(yīng)用程序池提供服務(wù)。因?yàn)槊總€應(yīng)用程序都獨(dú)立于其他應(yīng)用程序運(yùn)行,因此,使用應(yīng)用程序池可以提高 Web 服務(wù)器的可靠性和安全性。在 Windows 操作系統(tǒng)上運(yùn)行進(jìn)程的每個應(yīng)用程序都有一個進(jìn)程標(biāo)識,以確定此進(jìn)程如何訪問系統(tǒng)資源。每個應(yīng)用程序池也有一個進(jìn)程標(biāo)識,此標(biāo)識是一個以應(yīng)用程序需要的最低權(quán)限運(yùn)行的帳戶??梢允褂么诉M(jìn)程標(biāo)識來允許匿名訪問您的網(wǎng)站或應(yīng)用程序。
1、創(chuàng)建應(yīng)用程序池:單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 雙擊本地計(jì)算機(jī),右鍵單擊“應(yīng)用程序池”,單擊“新建”,然后單擊“應(yīng)用程序池”。 在“應(yīng)用程序池 ID”框中,為應(yīng)用程序池鍵入一個新 ID(例如,ContosoAppPool)。在“應(yīng)用程序池設(shè)置”下,單擊“Use default settings for the new application pool”(使用新應(yīng)用程序池的默認(rèn)設(shè)置),然后單擊“確定”。
2、將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池:單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序,然后單擊“屬性”。 根據(jù)您選擇的應(yīng)用程序類型,單擊“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡。如果您將目錄或虛擬目錄分配到應(yīng)用程序池,則驗(yàn)證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱或者如果在“應(yīng)用程序名”框中沒有名稱,則單擊“創(chuàng)建”,然后鍵入網(wǎng)站或應(yīng)用程序的名稱在“應(yīng)用程序池”列表框中,單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱,然后單擊“確定”。
四、配置文件和目錄的安全使用強(qiáng)訪問控制來幫助保護(hù)敏感的文件和目錄。在多數(shù)情況下,允許對特定帳戶的訪問比拒絕對特定帳戶的訪問更加有效。如有可能,請將訪問設(shè)置在目錄級。當(dāng)文件添加到文件夾時,它們繼承文件夾的權(quán)限,因此您不需要采取進(jìn)一步的措施。
1、重新定位和設(shè)置 IIS 日志文件的權(quán)限,為了增強(qiáng) IIS 日志文件的安全,您應(yīng)該將文件重新定位到非系統(tǒng)驅(qū)動器,此驅(qū)動器格式化為使用 NTFS 文件系統(tǒng)。此位置應(yīng)該與網(wǎng)站內(nèi)容的位置不同。單擊“開始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至您想要重新定位 IIS 日志文件的位置。右鍵單擊您想要重新定位 IIS 日志文件的上一級目錄,單擊“新建”,然后單擊“文件夾”。 鍵入文件夾的名稱,例如 ContosoIISLogs,然后按 Enter 鍵。單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊網(wǎng)站,然后單擊“屬性”。 單擊“網(wǎng)站”選項(xiàng)卡,然后單擊“啟用日志記錄”框架中的“屬性”。 在“常規(guī)屬性”選項(xiàng)卡中,單擊“瀏覽”,然后導(dǎo)航到您剛才創(chuàng)建的文件夾以存儲 IIS 日志文件,再確定。(注意:如果您在原來的位置 Windows\System32\Logfiles 上有 IIS 日志文件,則必須將這些文件手動移動到新位置。IIS 不為您移動這些文件。)
2、設(shè)置 IIS 日志文件的 ACL,單擊“開始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至日志文件所在的文件夾。右鍵單擊此文件夾,單擊“屬性”,然后單擊“安全”選項(xiàng)卡。在頂部窗格中,單擊“Administrators”(管理員),確保底部窗格中的權(quán)限設(shè)置為“完全控制”。 在頂部窗格中,單擊“System”(系統(tǒng)),確保底部窗格中的權(quán)限設(shè)置為“完全控制”,然后單擊“確定”。
3、配置 IIS 元數(shù)據(jù)庫權(quán)限,單擊“開始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至 Windows\System32\Inetsrv\MetaBase.xml 文件,右鍵單擊此文件,然后單擊“屬性”。 單擊“安全”選項(xiàng)卡,確認(rèn)只有 Administrators 組的成員和 LocalSystem 帳戶擁有對元數(shù)據(jù)庫的完全控制訪問權(quán),刪除所有其他文件權(quán)限,然后單擊“確定”。
4、禁用 FileSystemObject 組件,ASP、Windows 腳本主機(jī)和其他編寫腳本的應(yīng)用程序使用 FileSystemObject (FSO) 組件來創(chuàng)建、刪除、獲取信息以及操縱驅(qū)動器、文件夾和文件??煽紤]禁用 FSO 組件,但要注意,這也將刪除字典對象。另外,驗(yàn)證是否沒有其他程序需要這個組件:單擊“開始”,單擊“運(yùn)行”,在“打開”框中鍵入 cmd,然后單擊“確定”。 切換到 C:\Windows\system32 目錄。在命令提示符處,鍵入 regsvr32 scrrun.dll /u ,然后按 Enter 鍵。出現(xiàn):DllUnregisterServer in scrrun.dll succeeded,再確定。
五、保護(hù)網(wǎng)站和虛擬目錄,將 Web 根目錄和虛擬目錄重新定位到非系統(tǒng)分區(qū),以幫助防御目錄遍歷攻擊。這些攻擊允許攻擊者執(zhí)行操作系統(tǒng)程序和工具。由于這種攻擊不能遍歷所有驅(qū)動器,因此,將網(wǎng)站內(nèi)容重新定位到另一個驅(qū)動器可以增強(qiáng)對這些攻擊的防護(hù)。
1、將網(wǎng)站內(nèi)容移動到非系統(tǒng)驅(qū)動器,不要使用默認(rèn)的 \Inetpub\Wwwroot 目錄作為網(wǎng)站內(nèi)容的位置。例如,如果系統(tǒng)安裝在 C: 驅(qū)動器,則將內(nèi)容目錄移動到 D: 驅(qū)動器,以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽 Web 服務(wù)器的目錄結(jié)構(gòu))帶來的危險(xiǎn)。一定要驗(yàn)證是否所有的虛擬目錄都指向新驅(qū)動器。
2、刪除系統(tǒng)驅(qū)動器上的網(wǎng)站內(nèi)容
六、配置網(wǎng)站權(quán)限 可以為您的 Web 服務(wù)器配置特定站點(diǎn)、目錄和文件的訪問權(quán)。這些權(quán)限可以應(yīng)用于所有用戶,無論用戶有何特定的訪問權(quán)。
七、配置文件系統(tǒng)目錄的權(quán)限 ,IIS 6.0 依靠 NTFS 權(quán)限來幫助保護(hù)單個文件和目錄不會受到未經(jīng)授權(quán)的訪問。網(wǎng)站權(quán)限應(yīng)用于試圖訪問網(wǎng)站的任何人,與此不同的是,您可以使用 NTFS 權(quán)限來定義哪些用戶可以訪問您的內(nèi)容,以及如何允許這些用戶操作這些內(nèi)容。為了增強(qiáng)安全性,同時使用網(wǎng)站權(quán)限和 NTFS 權(quán)限。
1、訪問控制列表 (ACL) 指示哪些用戶或組有訪問或修改特定文件的權(quán)限。不是在每個文件上設(shè)置 ACL,而是為每種文件類型創(chuàng)建新目錄,在每個目錄上設(shè)置 ACL,然后允許文件從它們所在的目錄中繼承這些權(quán)限。單擊“開始”,右鍵單擊“我的電腦”,然后單擊“資源管理器”。 瀏覽至包含網(wǎng)站內(nèi)容的文件,然后單擊網(wǎng)站內(nèi)容的最上層的文件夾。在“文件”菜單中,單擊“新建”,然后單擊“文件夾”,以便在網(wǎng)站的內(nèi)容目錄中創(chuàng)建一個新文件夾。為文件夾命名,然后按 Enter 鍵。按 Ctrl 鍵,然后選擇您想要保護(hù)的每個網(wǎng)頁。右鍵單擊這些網(wǎng)頁,然后單擊“復(fù)制”。 右鍵單擊新文件夾,然后單擊“粘貼”。( 注意: 如果您已經(jīng)創(chuàng)建了到這些網(wǎng)頁的鏈接,則必須更新這些鏈接以便反映站點(diǎn)內(nèi)容的新位置。)
2、設(shè)置 Web 內(nèi)容的權(quán)限,單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要配置的網(wǎng)站的文件夾、網(wǎng)站、目錄、虛擬目錄或文件,然后單擊“屬性”。 根據(jù)您想要授權(quán)或拒絕訪問的類型,選擇或清除下列任何復(fù)選框(如果可用):
腳本源文件訪問。用戶可以訪問源文件。如果選擇“讀”,則可以讀源文件;如果選擇“寫”,則可以寫源文件。腳本源訪問包括腳本的源代碼。如果“讀”或“寫”均未選擇,則此選項(xiàng)不可用。
讀(默認(rèn)情況下選擇)。用戶可以查看目錄或文件的內(nèi)容和屬性。
寫。用戶可以更改目錄或文件的內(nèi)容和屬性。
目錄瀏覽。用戶可以查看文件列表和集合。
日志訪問。對網(wǎng)站的每次訪問創(chuàng)建日志項(xiàng)。
檢索資源。允許檢索服務(wù)檢索此資源。這允許用戶搜索資源。
在“執(zhí)行權(quán)限”列表框中,選擇腳本執(zhí)行的相應(yīng)級別:
無。不在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件(例如,文件類型為 .exe 的文件)。
僅腳本。只在服務(wù)器上運(yùn)行腳本。
腳本和可執(zhí)行文件。在服務(wù)器運(yùn)行腳本和可執(zhí)行文件。
單擊“確定”。如果目錄的子節(jié)點(diǎn)配置了不同的網(wǎng)站權(quán)限,則出現(xiàn)“繼承覆蓋”框。如果出現(xiàn)“繼承覆蓋”框,在“子節(jié)點(diǎn)”列表中選擇您想要應(yīng)用目錄的 Web 權(quán)限的子節(jié)點(diǎn)或者單擊“全選”來設(shè)置屬性,以便將 Web 權(quán)限應(yīng)用到所有子節(jié)點(diǎn)。如果您不只看到一個“繼承覆蓋”對話框,則從“子節(jié)點(diǎn)”列表中選擇子節(jié)點(diǎn),或者單擊“全選”,然后單擊“確定”,以便將此屬性的 Web 權(quán)限應(yīng)用到子節(jié)點(diǎn)。如果一個子節(jié)點(diǎn)屬于您已經(jīng)更改了網(wǎng)站權(quán)限的目錄,此節(jié)點(diǎn)還為特定選項(xiàng)設(shè)置了網(wǎng)站權(quán)限,則子節(jié)點(diǎn)的權(quán)限將覆蓋您為目錄設(shè)置的權(quán)限。如果您想要將目錄級的 Web 權(quán)限應(yīng)用到子節(jié)點(diǎn),則必須在“繼承覆蓋”框中選擇這些子節(jié)點(diǎn)。
八、在 Web 服務(wù)器上配置安全套接字層 (SSL) 安全功能,以便驗(yàn)證內(nèi)容的完整性,驗(yàn)證用戶身份并對網(wǎng)絡(luò)傳輸加密。SSL 安全依靠服務(wù)器證書,此證書允許用戶在傳輸個人信息(例如信用卡帳號)之前驗(yàn)證 Web 網(wǎng)站的身份。每個網(wǎng)站只能有一個服務(wù)器證書。
1、獲取并安裝服務(wù)器證書,證書由稱作證書頒發(fā)機(jī)構(gòu) (CA) 的非 Microsoft 組織頒發(fā)。服務(wù)器證書通常與 Web 服務(wù)器有關(guān),尤其與配置了 SSL 的網(wǎng)站有關(guān)。您必須生成證書請求,將此請求發(fā)送到 CA,然后在接收到 CA 的證書之后安裝此證書。證書依靠一對加密密鑰(一個公鑰和一個私鑰)來確保安全。當(dāng)您生成服務(wù)器證書請求時,您實(shí)際上正在生成私鑰。從 CA 接收到的服務(wù)器證書包含公鑰。單擊“開始”,右鍵單擊“我的電腦”,然后單擊“管理”。 雙擊“服務(wù)和應(yīng)用程序”部分, 然后雙擊“Internet 信息服務(wù)”。 右鍵單擊您想要安裝服務(wù)器證書的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分中,單擊“服務(wù)器證書”,以啟動“Web 服務(wù)器證書向?qū)?rdquo;,然后單擊“下一步”。 單擊“創(chuàng)建一個新證書”,然后單擊“下一步”。 單擊“立即準(zhǔn)備請求,但稍后發(fā)送”,然后單擊“下一步”。 在“名稱”框中,鍵入容易記住的名稱。(默認(rèn)的名稱是您正在生成證書請求的網(wǎng)站名,例如 [url]http://www.abc.com[/url])指定位長度,然后單擊“下一步”。 加密密鑰的位長度確定了加密的強(qiáng)度。大多數(shù)非 Microsoft CA 都希望您最少選擇 1024 位。在“組織”部分,鍵入您的組織和組織單位信息。確保此信息的準(zhǔn)確性,并且“組織”字段中不包含逗號,然后單擊“下一步”。 在“站點(diǎn)的公用名稱”部分,鍵入含域名的宿主計(jì)算機(jī)的名稱,然后單擊“下一步”。 鍵入您的地理信息,然后單擊“下一步”。 將此文件保存為 .txt 文件。(默認(rèn)的文件名和位置是 C:\certreq.txt。)以下示例顯示證書請求文件的特征:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
確認(rèn)請求的詳細(xì)信息,單擊“下一步”,然后單擊“完成”。
2、 提交服務(wù)器證書請求,聯(lián)系 CA,查找提交請求的要求。將上述過程中創(chuàng)建的 .txt 文件的內(nèi)容復(fù)制成 CA 要求的請求格式。將請求發(fā)送給您的 CA。接收到 CA 的證書后,準(zhǔn)備在您的 Web 服務(wù)器上安裝此證書。
3、 安裝服務(wù)器證書,將證書 (.cer) 文件復(fù)制到 C:\Windows\System32\CertLog 文件夾。單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要安裝服務(wù)器證書的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分中,單擊“服務(wù)器證書”,以啟動“Web 服務(wù)器證書向?qū)?rdquo;,然后單擊“下一步”。 單擊“處理掛起的請求并安裝證書”,然后單擊“下一步”。 瀏覽至您接收到的 CA 證書。單擊“下一步”兩次,然后單擊“完成”。
4、 在 Web 服務(wù)器上強(qiáng)制和啟用 SSL 連接,
A 、強(qiáng)制SSL連接:安裝服務(wù)器證書之后,必須在 Web 服務(wù)器上強(qiáng)制 SSL 連接。然后,必須啟用 SSL 連接。單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 右鍵單擊您想要強(qiáng)制 SSL 連接的網(wǎng)站,然后單擊“屬性”。 單擊“目錄安全”選項(xiàng)卡。在“安全通信”部分,單擊“編輯”。 單擊“要求安全通道 (SSL)”,選擇加密長度,然后單擊“確定”。 注意:如果您指定 128 位加密,使用 40 位或 56 位長度瀏覽的客戶端計(jì)算機(jī)不能與您的站點(diǎn)通信,除非將其瀏覽器升級到支持 128 位加密的版本。
B 、啟用 SSL 連接:單擊“開始”,單擊“控制面板”,再單擊“管理工具”,然后雙擊“Internet 信息服務(wù) (IIS) 管理器”。 鍵單擊您想要啟用 SSL 連接的網(wǎng)站,然后單擊“屬性”。 單擊“網(wǎng)站”選項(xiàng)卡。在“網(wǎng)站標(biāo)識”部分,驗(yàn)證“SSL 端口”是否填充了數(shù)值 443。然后單擊“高級”。通常出現(xiàn)兩個對話框,在“此網(wǎng)站的多個標(biāo)識”框中列出此網(wǎng)站 IP 地址和端口。在“此網(wǎng)站的多個 SSL 標(biāo)識”字段下,如果還沒有列出端口 443,則單擊“添加”。選擇服務(wù)器的 IP 地址,在“SSL 端口”框中鍵入數(shù)值“443”,然后單擊“確定”。
現(xiàn)在IIS已經(jīng)安全很多了,但是,黑客會不斷尋找新漏洞來攻破你的系統(tǒng),所以這種安全性設(shè)置只是與黑客進(jìn)行的第一場戰(zhàn)役。
問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!