熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

重拳出擊之讓Web共享遠離安全攻擊(圖)

2013-11-23 22:18:54  來源: Windows服務器 

  時下許多服務器都采用FTP方式將一些重要的目錄內容發布到網絡中供相關用戶訪問;不過受制於FTP傳輸功能的約束在不少復雜的網絡環境中許多目錄共享功能無法有效實施為了讓重要目錄隨心所欲地共享給其他用戶使用我們完全可以通過HTTP傳輸方式來實現安全高效Web共享
  
  隨心所欲創建Web共享
  
  為了讓其他用戶通過HTTP傳輸方式高效地訪問到指定的重要目錄我們首先需要將該目錄發布到網絡中這樣其他人就能通過IE浏覽器輕松訪問到共享內容了
  
  在將共享目錄發布到網絡中時首先需要在Windows服務器中安裝好IIS服務器組件在缺省狀態下該組件都會自動安裝的我們所要做的往往就是檢查一下該組件是否能夠正常啟動就OK了在檢查IIS服務器組件是否工作正常時可以依次單擊開始/程序/管理工具/Internet管理工具命令在彈出的服務器站點列表界面中單擊一下服務器的計算機名稱在對應的右邊子窗口中如果我們能看到該服務器站點的運行狀態是好的話就說明IIS服務器組件已經能夠正常工作否則表明IIS服務已經停止運行或IIS服務器組件安裝出錯此時你不妨用鼠標右鍵單擊指定服務器站點名稱從彈出的右鍵菜單中執行啟動命令嘗試著重新啟動一下IIS服務;倘若啟動失敗的話那就表明IIS服務器組件沒有安裝或設置成功需要重新進行安裝
  
  一旦安裝並啟用好IIS服務器組件後我們下面就需要將指定的重要目錄發布到網絡中讓其他用戶隨心所欲地去共享訪問了比方說現在我們假設要把E:\YC目錄發布到網絡中去那就必須把該目錄先設置成Web共享
  
  在設置Web共享目錄時可以先打開系統資源管理器窗口找到E:\YC目錄;接著用鼠標右鍵單擊一下YC文件夾圖標並執行快捷菜單中的共享命令打開共享目錄設置對話框再單擊其中的Web共享標簽然後單擊對應標簽頁面中的共享該文件夾按鈕打開文件夾共享屬性對話框;在該對話框的編輯別名處輸入共享別名同時設置好必要的訪問權限最後單擊確定按鈕
  
  完成好上面的步驟後其他用戶就可以打開IE浏覽器窗口並在地址欄中輸入形如//Server/yc格式的URL地址就能通過HTTP方式訪問到發布到網絡中的共享目錄了
  
  小提示:在安裝IIS服務器組件時可以依次單擊開始/設置/控制面板命令在打開的控制面板窗口中雙擊添加或刪除程序圖標在其後出現的窗口中單擊添加/刪除Windows組件標簽並在打開的Windows組件安裝向導頁面中選中應用程序服務器選項(如圖所示)並單擊該界面中的詳細信息按鈕;在其後彈出的圖界面中萬維網服務選項選中再單擊確定按鈕然後把Windows 服務器的系統安裝光盤插入到物理光驅中並按照屏幕提示完成其他的安裝任務
  
 

  

  
 

  

  
  由於通過HTTP方式訪問共享目錄時需要開啟IIS服務器的目錄浏覽功能可是該功能的啟用將會給網絡服務器的安全帶來麻煩事實上要是允許所有的用戶都可以訪問到服務器中的共享目錄的話將會嚴重影響服務器的整體運行性能;因此為了既能保證共享目錄的訪問安全性又不影響服務器的整體性能我們需要重權出擊對服務器的共享安全進行必要的設置以便授權只有指定的用戶才能訪問到共享目錄:
  
  對共享目錄進行驗證
  
  為了禁止其他人隨意訪問發布到網絡中的共享目錄我們可以對訪問者進行身份驗證以便讓授權用戶才能訪問共享目錄在進行身份驗證時可以依次單擊開始/程序/管理工具/計算機管理/本地用戶和組命令在其後打開的計算機管理窗口中添加需要訪問共享目錄的用戶名和密碼
  
  下面再依次單擊開始/程序/管理工具/Internet管理工具命令在彈出的站點列表窗口中用鼠標右鍵單擊已經發布到網絡中的共享目錄從彈出的右鍵菜單中執行屬性命令打開共享目錄的屬性設置窗口;
  
  單擊其中的目錄安全性標簽在對應標簽頁面的匿名訪問和驗證控制設置項處單擊編輯按鈕在接著出現的編輯對話框中取消匿名訪問的選中狀態再把集成Windows驗證選項選中最後單擊確定按鈕這樣的話以後任何一位用戶都需要憑借正確的用戶名和密碼才能訪問到共享目錄
  
  小提示:為了防止沒有授權的用戶通過連接空用戶的方法非法訪問到共享目錄我們可以進行如下的設置來切斷空用戶的直接連接:
  
  依次單擊開始/運行命令在彈出的系統運行對話框中輸入注冊表編輯命令Regedit單擊確定按鈕後打開系統的注冊表編輯窗口;
  
  將鼠標定位於其中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA注冊表分支在對應LSA分支的右側子窗口區域中雙擊其中的RestrictAnonymous鍵值(如圖所示)在其後出現的數值設置框中輸入數字並單擊一下確定然後再將服務器系統重啟一下就可以阻止未授權用戶通過空連接方法來訪問共享目錄了
  

  

  
  對共享權限進行限制
  
  由於在缺省狀態下服務器會把發布到網絡中的共享目錄所有權限開放給網絡中的每一位用戶這麼一來的話共享目錄很容易被其他人不小心修改或刪除掉從而影響共享目錄的安全甚至危及到整個服務器的安全為此對共享目錄的訪問權限進行合適設置也是非常有必要的: 選中目標共享目錄然後在對應的窗口中依次單擊文件/安全命令在其後出現的安全設置窗口中everyone帳號的所有權限全部刪除掉然後分別對每一個授權的用戶設置合適的訪問或控制權限;
  
  為了防止其他不相關的共享目錄被授權用戶訪問到我們最好將服務器中不需要的共享目錄取消或者將重要的共享目錄全部放置到系統分區以外這樣即使共享目錄遭受到了破壞也不會影響整個服務器的安全
From:http://tw.wingwit.com/Article/os/fwq/201311/29797.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.