网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

重拳出击之让Web共享远离安全攻击(图)


发布日期:2022年08月22日
 
重拳出击之让Web共享远离安全攻击(图)

时下许多服务器都采用FTP方式将一些重要的目录内容发布到网络中供相关用户访问;不过受制于FTP传输功能的约束在不少复杂的网络环境中许多目录共享功能无法有效实施为了让重要目录随心所欲地共享给其他用户使用我们完全可以通过HTTP传输方式来实现安全高效Web共享

随心所欲创建Web共享

为了让其他用户通过HTTP传输方式高效地访问到指定的重要目录我们首先需要将该目录发布到网络中这样其他人就能通过IE浏览器轻松访问到共享内容了

在将共享目录发布到网络中时首先需要在Windows服务器中安装好IIS服务器组件在缺省状态下该组件都会自动安装的我们所要做的往往就是检查一下该组件是否能够正常启动就OK了在检查IIS服务器组件是否工作正常时可以依次单击开始/程序/管理工具/Internet管理工具命令在弹出的服务器站点列表界面中单击一下服务器的计算机名称在对应的右边子窗口中如果我们能看到该服务器站点的运行状态是好的话就说明IIS服务器组件已经能够正常工作否则表明IIS服务已经停止运行或IIS服务器组件安装出错此时你不妨用鼠标右键单击指定服务器站点名称从弹出的右键菜单中执行启动命令尝试着重新启动一下IIS服务;倘若启动失败的话那就表明IIS服务器组件没有安装或设置成功需要重新进行安装

一旦安装并启用好IIS服务器组件后我们下面就需要将指定的重要目录发布到网络中让其他用户随心所欲地去共享访问了比方说现在我们假设要把E:\YC目录发布到网络中去那就必须把该目录先设置成Web共享

在设置Web共享目录时可以先打开系统资源管理器窗口找到E:\YC目录;接着用鼠标右键单击一下YC文件夹图标并执行快捷菜单中的共享命令打开共享目录设置对话框再单击其中的Web共享标签然后单击对应标签页面中的共享该文件夹按钮打开文件夹共享属性对话框;在该对话框的编辑别名处输入共享别名同时设置好必要的访问权限最后单击确定按钮

完成好上面的步骤后其他用户就可以打开IE浏览器窗口并在地址栏中输入形如//Server/yc格式的URL地址就能通过HTTP方式访问到发布到网络中的共享目录了

小提示:在安装IIS服务器组件时可以依次单击开始/设置/控制面板命令在打开的控制面板窗口中双击添加或删除程序图标在其后出现的窗口中单击添加/删除Windows组件标签并在打开的Windows组件安装向导页面中选中应用程序服务器选项(如图所示)并单击该界面中的详细信息按钮;在其后弹出的图界面中万维网服务选项选中再单击确定按钮然后把Windows 服务器的系统安装光盘插入到物理光驱中并按照屏幕提示完成其他的安装任务

由于通过HTTP方式访问共享目录时需要开启IIS服务器的目录浏览功能可是该功能的启用将会给网络服务器的安全带来麻烦事实上要是允许所有的用户都可以访问到服务器中的共享目录的话将会严重影响服务器的整体运行性能;因此为了既能保证共享目录的访问安全性又不影响服务器的整体性能我们需要重权出击对服务器的共享安全进行必要的设置以便授权只有指定的用户才能访问到共享目录:

对共享目录进行验证

为了禁止其他人随意访问发布到网络中的共享目录我们可以对访问者进行身份验证以便让授权用户才能访问共享目录在进行身份验证时可以依次单击开始/程序/管理工具/计算机管理/本地用户和组命令在其后打开的计算机管理窗口中添加需要访问共享目录的用户名和密码

下面再依次单击开始/程序/管理工具/Internet管理工具命令在弹出的站点列表窗口中用鼠标右键单击已经发布到网络中的共享目录从弹出的右键菜单中执行属性命令打开共享目录的属性设置窗口;

单击其中的目录安全性标签在对应标签页面的匿名访问和验证控制设置项处单击编辑按钮在接着出现的编辑对话框中取消匿名访问的选中状态再把集成Windows验证选项选中最后单击确定按钮这样的话以后任何一位用户都需要凭借正确的用户名和密码才能访问到共享目录

小提示:为了防止没有授权的用户通过连接空用户的方法非法访问到共享目录我们可以进行如下的设置来切断空用户的直接连接:

依次单击开始/运行命令在弹出的系统运行对话框中输入注册表编辑命令Regedit单击确定按钮后打开系统的注册表编辑窗口;

将鼠标定位于其中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA注册表分支在对应LSA分支的右侧子窗口区域中双击其中的RestrictAnonymous键值(如图所示)在其后出现的数值设置框中输入数字并单击一下确定然后再将服务器系统重启一下就可以阻止未授权用户通过空连接方法来访问共享目录了

对共享权限进行限制

由于在缺省状态下服务器会把发布到网络中的共享目录所有权限开放给网络中的每一位用户这么一来的话共享目录很容易被其他人不小心修改或删除掉从而影响共享目录的安全甚至危及到整个服务器的安全为此对共享目录的访问权限进行合适设置也是非常有必要的: 选中目标共享目录然后在对应的窗口中依次单击文件/安全命令在其后出现的安全设置窗口中everyone帐号的所有权限全部删除掉然后分别对每一个授权的用户设置合适的访问或控制权限;

为了防止其他不相关的共享目录被授权用户访问到我们最好将服务器中不需要的共享目录取消或者将重要的共享目录全部放置到系统分区以外这样即使共享目录遭受到了破坏也不会影响整个服务器的安全

上一篇:防止Windows变慢完全解决方案

下一篇:扩展ISA 2004防火墙的SSL隧道端口范围