九大招数铸造Web服务器金刚不坏之身

　　Web服务器是互联网上最重要的服务器之一，我们可以采取的强化其安全的方法有许多，不过在此仅就最重要的关键措施在列举如下：

　　　1. 保障安全补丁及时更新。尤其重要的是，你需要检查如下软件的补丁：服务器操作系统、IIS、SQL Server、DreamWeaver、FrontPage、Office、SharePoint Team Services等。因为这些是最常见的网络应用程序。这项工作不应只是一时举，而要作为一件经常性的工作。

　　2. 服务器上运行微软的基线安全分析器，直至打完所有的补丁而且所有对外暴露的缺陷都最小化;然后运行IIS锁定工具并尽可能地运行URLscan。

　　3. 在服务器所有方面增强基于角色安全和任何用户的强口令使用。

　　4. 所有内容站点要保存到与操作系统和其它关键资源不同的一个硬盘驱动器上。不同客户的站点要分别保存到独立的不相关的目录结构中。应当为每一个服务器布置停当灾难和恢复过程。

　　5. 需要清除所有的示例站点和未用站点(如IIS管理员站点和默认站点)，或禁用之。所有未用的应用程序和服务也需要清除或禁用。

　　6. 服务器要位于防火墙之后，而且要关闭除所使用的端口之外的所有端口。

　　7. 用来自Port80Software 的ServerMask等主机匿名软件，此软件会在主机的报头中向恶意的黑客们隐藏服务器的身份、厂商和版本。

　　8. 主动地测试客户们的应用程序，以确保没有明显的安全漏洞。除了通过浏览器来测试应用程序之外，笔者还发现了一个不错的产品可以测试Web应用程序的漏洞，这便是GreenBlue Inspector。此软件允许我们查看和响应请求报头、cookies和表单输入。它还允许我们测试缓冲区溢出漏洞和SQL注入漏洞这两种最常见的Web应用程序安全缺陷。

　　9. 时刻关注服务器的日志。