54SA.COM|专注于系统运维管理,为中国SA提供动力!

54SA.COM|系统运维网

系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > WEB >

重拳出击之让Web共享远离安全攻击(图)

分享到:
时间:2010-10-28 21:29来源:未知 作者:Tina

  时下,许多服务器都采用FTP方式将一些重要的目录内容,发布到网络中供相关用户访问;不过受制于FTP传输功能的约束,在不少复杂的网络环境中许多目录共享功能无法有效实施。为了让重要目录随心所欲地共享给其他用户使用,我们完全可以通过HTTP传输方式,来实现安全、高效Web共享。
  
  随心所欲,创建Web共享
  
  为了让其他用户通过HTTP传输方式,高效地访问到指定的重要目录,我们首先需要将该目录发布到网络中,这样其他人就能通过IE浏览器轻松访问到共享内容了。
  
  在将共享目录发布到网络中时,首先需要在Windows服务器中安装好IIS服务器组件,在缺省状态下该组件都会自动安装的,我们所要做的往往就是检查一下该组件是否能够正常启动就OK了。在检查IIS服务器组件是否工作正常时,可以依次单击“开始”/“程序”/“管理工具”/“Internet管理工具”命令,在弹出的服务器站点列表界面中,单击一下服务器的计算机名称,在对应的右边子窗口中如果我们能看到该服务器站点的运行状态是好的话,就说明IIS服务器组件已经能够正常工作,否则表明IIS服务已经停止运行或IIS服务器组件安装出错。此时你不妨用鼠标右键单击指定服务器站点名称,从弹出的右键菜单中执行“启动”命令,尝试着重新启动一下IIS服务;倘若启动失败的话,那就表明IIS服务器组件没有安装或设置成功,需要重新进行安装。
  
  一旦安装并启用好IIS服务器组件后,我们下面就需要将指定的重要目录发布到网络中,让其他用户随心所欲地去共享访问了。比方说,现在我们假设要把“E:YC”目录发布到网络中去,那就必须把该目录先设置成Web共享。
  
  在设置Web共享目录时,可以先打开系统资源管理器窗口,找到“E:YC”目录;接着用鼠标右键单击一下“YC”文件夹图标,并执行快捷菜单中的“共享”命令,打开共享目录设置对话框,再单击其中的“Web共享”标签,然后单击对应标签页面中的“共享该文件夹”按钮,打开文件夹共享属性对话框;在该对话框的“编辑别名”处输入共享别名,同时设置好必要的访问权限,最后单击“确定”按钮。
  
  完成好上面的步骤后,其他用户就可以打开IE浏览器窗口,并在地址栏中输入形如“http://Server/yc”格式的URL地址,就能通过HTTP方式访问到发布到网络中的共享目录了。
  
  小提示:在安装IIS服务器组件时,可以依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“添加或删除程序”图标,在其后出现的窗口中,单击“添加/删除Windows组件”标签,并在打开的Windows组件安装向导页面中,选中“应用程序服务器”选项(如图1所示),并单击该界面中的“详细信息”按钮;在其后弹出的图2界面中,将“万维网服务”选项选中,再单击“确定”按钮,然后把Windows 2000服务器的系统安装光盘插入到物理光驱中,并按照屏幕提示完成其他的安装任务。
  
 

  
图1

  
 

  
图2

  
  由于通过HTTP方式访问共享目录时,需要开启IIS服务器的目录浏览功能,可是该功能的启用,将会给网络服务器的安全带来麻烦。事实上,要是允许所有的用户都可以访问到服务器中的共享目录的话,将会严重影响服务器的整体运行性能;因此,为了既能保证共享目录的访问安全性,又不影响服务器的整体性能,我们需要“重权”出击,对服务器的共享安全进行必要的设置,以便授权只有指定的用户才能访问到共享目录:
  
  1、对共享目录进行验证
  
  为了禁止其他人随意访问发布到网络中的共享目录,我们可以对访问者进行身份验证,以便让授权用户才能访问共享目录。在进行身份验证时,可以依次单击“开始”/“程序”/“管理工具”/“计算机管理”/“本地用户和组”命令,在其后打开的计算机管理窗口中,添加需要访问共享目录的用户名和密码。
  
  下面再依次单击“开始”/“程序”/“管理工具”/“Internet管理工具”命令,在弹出的站点列表窗口中,用鼠标右键单击已经发布到网络中的共享目录,从弹出的右键菜单中执行“属性”命令,打开共享目录的属性设置窗口;
  
  单击其中的“目录安全性”标签,在对应标签页面的“匿名访问和验证控制”设置项处单击“编辑”按钮,在接着出现的编辑对话框中,取消“匿名访问”的选中状态,再把“集成Windows验证”选项选中,最后单击“确定”按钮,这样的话以后任何一位用户都需要凭借正确的用户名和密码才能访问到共享目录。
  
  小提示:为了防止没有授权的用户通过连接空用户的方法,非法访问到共享目录,我们可以进行如下的设置,来切断空用户的直接连接:
  
  依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入注册表编辑命令“Regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口;
  
  将鼠标定位于其中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA注册表分支,在对应“LSA”分支的右侧子窗口区域中,双击其中的“RestrictAnonymous”键值(如图3所示),在其后出现的数值设置框中,输入数字“1”,并单击一下“确定”,然后再将服务器系统重启一下就可以阻止未授权用户通过空连接方法来访问共享目录了。
  

  
图3

  
  2、对共享权限进行限制
  
  由于在缺省状态下,服务器会把发布到网络中的共享目录所有权限开放给网络中的每一位用户,这么一来的话共享目录很容易被其他人不小心修改或删除掉,从而影响共享目录的安全甚至危及到整个服务器的安全。为此对共享目录的访问权限进行合适设置,也是非常有必要的: 选中目标共享目录,然后在对应的窗口中依次单击“文件”/“安全”命令,在其后出现的安全设置窗口中,将“everyone”帐号的所有权限全部删除掉,然后分别对每一个授权的用户设置合适的访问或控制权限;
  
  为了防止其他不相关的共享目录,被授权用户访问到,我们最好将服务器中不需要的共享目录取消,或者将重要的共享目录全部放置到系统分区以外,这样即使共享目录遭受到了破坏,也不会影响整个服务器的安全。

[责任编辑:Lavy]

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>