2004年09月26日

概要

这些 Internet 服务的每一种都可以从多个目录进行发布。 通过给目录指定一个 UNC(统一命名约定)名称、一个用来验证访问权的用户名和密码,各目录可以位于一个本地驱动器上,也可以分布在网络上。 虚拟服务器可以有一个主目录和任意数目的其他发布目录。 这些其他发布目录叫做虚拟目录。

为简化客户机 URL 地址,这些服务将整个发布目录集作为单个目录树展示给客户机。 主目录是此虚拟目录树的根,各虚拟目录的位置就好像此虚拟目录是主目录的一个子目录一样。 客户机也可以访问到虚拟目录实际的子目录。 只有 WWW 服务支持虚拟服务器;所以,FTP 和 gopher 服务只可以有一个主目录。

当在 Internet Service Manager 中定义一个虚拟目录时,就会有一个别名与之关联。 此别名是客户机在访问虚拟目录中的信息时要用到的子目录名。 如果管理员未给虚拟目录指定别名,则 Internet Service Manager 会自动生成一个别名。

例如,管理员可以像下面这样为 WWW 服务定义两个虚拟目录:

 C:\Wwwroot D:\Webdata Alias = data


在 IIS 2.0 和 3.0 中创建虚拟目录

您可以为服务创建数目几乎不限的虚拟目录,但如果创建太多的虚拟目录,性能可能就会有所下降。

  1. 在 Internet Service Manager 中,双击您要为之添加虚拟目录的服务以显示其属性表。
  2. 单击“目录”选项卡。
  3. 单击“添加”。
  4. 单击“浏览”从“目录”框中选择一个目录。
  5. 单击“虚拟目录”,然后在“别名”框中键入虚拟目录的名称。
  6. 设置“访问”权限。
  7. 单击“确定”。
  8. 单击“应用”,然后单击“确定”。

备注: 虚拟目录将不会在目录列表(在 WWW 服务中也叫“目录浏览”)中出现。 要访问一个虚拟目录,用户必须知道该虚拟目录的别名,并在浏览器中键入其 URL。

对于 WWW 服务,您也可以在 HTML 页面中创建链接。 对于 gopher 服务,您可以在标记文件中创建显式链接以便用户可以访问虚拟目录。 对于 FTP 服务,您可以使用目录批注来列出虚拟目录。

要浏览虚拟目录,必须指定虚拟目录的 URL。 您可以通过单击包含此 URL 的超文本链接或在浏览器中键入此 URL 来做到这一点。

在 Internet Information Server 联机文档和 Microsoft Windows NT Server Resource Kit 中可以查看到其他有关信息。

返回页首

在 IIS 4.0 和 5.0 中创建虚拟目录

有关在 IIS 版本 4.0 和 5.0 中创建虚拟目录的信息,请访问下面的 Microsoft Web 站点:

http://windows.microsoft.com/windows2000/en/server/iis/htm/core/iicodirv.htm

返回页首

这篇文章中的信息适用于:

  • Microsoft Internet Information Server 2.0, 3.0, 4.0
  • Microsoft Internet Information Services 5.0

 

ASP 的新增功能
除了内部性能增强和优化外,该版本的 Active Server Pages(ASP) 还具有如下新功能:

更好的国际化和 UTF-8 支持
改进的 POST 支持
ASP 挂起检测
常用文件的缓存
UNC 增强
ASP 中的 COM+ 服务
单元模型选择
并排集合
COM+ 分区
跟踪程序
事务
ASP 的新配置数据库属性
更好的国际化和 UTF-8 支持
UTF-8 支持已经被扩展到所有 ASP 内置对象的属性和方法中。上一版本的 ASP 仅在响应和写入方面支持 UTF-8。

改进的 POST 支持
ASP 目前可以从客户端读取 Chunked 编码的 POST 数据。

ASP 挂起检测
当 IIS 网站繁忙时,可能会出现这样的情况:迅速生成最大数量的 ASP 线程,其中的一些 ASP 线程被挂起,从而导致性能下降。 HSE_REQ_REPORT_UNHEALTHY 以及万维网发布服务(WWW 服务)将回收主控 ASP.dll 的工作进程,并将项目添加到事件日志中。

 注意 如果线程不响应超时,则将其视为“挂起”。

常用文件的缓存
目前,ASP 除了保留内存缓存之外,还在磁盘上缓存一些最常用的文件。磁盘缓存的默认位置是 %systemroot%\System32\inetsrv\ASP Compiled Templates。可以通过设置 AspDiskTemplateCacheDirectory 配置数据库属性来更改硬盘缓存的位置。

UNC 增强
目前,ASP 能够处理 ASP 脚本中的 UNC 路径。

ASP 中的 COM+ 服务
如果想要在以前版本的 IIS 中使用 ASP 应用程序提供的 COM+ 服务,您必须创建可以调用那些服务的方法的 COM 组件。目前,您可以配置 ASP 应用程序以使用下面的 COM+ 服务而不必创建 COM 组件

单元模型选择:
ASP 现在能够在多线程单元 (MTA) 中运行其全部线程。如果 COM 组件主要是自由线程或双线程组件,则将 ASP 线程作为 MTA 运行可显著改善性能。

要使 ASP 应用程序能够在 MTA 中运行,您可以在应用程序级别使用配置数据库设置 AspExecuteInMTA。这意味着您可以让一个应用程序运行于 ASP MTA 线程上,而让第二个应用程序运行于 ASP STA(单线程单元)线程上。ASP 线程的默认设置仍为 STA。

 要点 当您将 ASP 应用程序的运行环境从 STA 切换到 MTA(或从 MTA 切换到 STA)时,则模拟令牌将过时。这可能导致应用程序在无模拟的情况下运行,让其用可能允许访问其他资源的进程的标识有效地运行。如果您必须切换线程模型,请在进行更改之前禁用该应用程序并将其卸载。

下列示例设置默认网站应用程序 (W3SVC/1/ROOT) 在 MTA 中执行:

On Error Resume Next
set providerObj = GetObject(“winmgmts://MyMachine/root/MicrosoftIISv2″)
‘ 获得对名为“默认网站”的 ASP 应用程序的引用
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “Before: AspExecuteInMTA = ” & IIsWebVirtualDirSettingObj.AspExecuteInMTA
‘ 将 ASP 应用程序设置为在 MTA 中执行
IIsWebVirtualDirSettingObj.AspExecuteInMTA = 1
IIsWebVirtualDirSettingObj.Put_()
WScript.Echo “After: AspExecuteInMTA = ” & IIsWebVirtualDirSettingObj.AspExecuteInMTA
并排集合:
并排 (SxS) 集合允许 ASP 应用程序指定要使用哪个版本的系统 DLL 或传统 COM 组件,例如 MDAC、MFS、MSVCRT、MSXML 等。例如,如果您的 ASP 应用程序依赖 MSXML 2.0 版,则可以确保即使是在服务器上应用了 Service Pack 之后,您的应用程序仍使用 MSXML 2.0 版。任何新版本的 MSXML 仍安装在计算机上,但是保留 2.0 版且由应用程序使用。配置 SxS 程序集要求您知道 DLL 的路径,且 COM+ 清单文件存在于每个需要使用 DLL 的虚拟目录中。COM+ 清单是包含有关 DLL 安装位置信息的 XML 文件。IIS 不验证清单是否存在。清单的外观类似于下面的文件摘录:

<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<assembly xmlns=”urn:schemas-microsoft-com:asm.v1″ manifestVersion=”1.0″>
<assemblyIdentity publicKeyToken=”75e377300ab7b886″ type=”win32″ name=”Test4Dir” version=”1.0.0.0″ processorArchitecture=”x86″/>
<file name=”DirComp.dll” hash=”35ca6f27b11ed948ac6e50b75566355f0991d5d9″ hashalg=”SHA1″>
<comClass clsid=”{6C6CC20E-0F85-49C0-A14D-D09102BD7CDC}” progid=”DirComp.PathInfo” threadingModel=”apartment”/>
<typelib tlbid=”{AA56D6B8-9ADB-415D-9E10-16DD68447319}” version=”1.0″ helpdir=”"/>
</file>
</assembly>

您可以在 IIS 端以编程方式或者通过使用 IIS 管理器来启用并排集合。

在 IIS 端使用 IIS 管理器启用并排集合

在 IIS 管理器中,右键单击网站或虚拟目录,然后单击“属性”。
单击“虚拟目录”选项卡,然后单击“配置”。
如果配置按钮不可用,那么原因是还没有为该虚拟目录创建应用程序。单击“创建”以创建一个应用程序。
在“应用程序配置”对话框中,单击“选项”选项卡。
选中“启用并排集合”复选框。
在“清单文件名”框中,键入 COM+ 清单文件的名称。
单击“确定”两次。
要通过编程启用并排集合,请设置 AspAppServiceFlags 配置数据库属性的 AspEnableSxs 标志。同时将 AspSxsName 配置数据库属性设置为 COM+ 清单的名称。在应用程序级别设置这两个配置数据库属性。

 要点 即使该功能可在应用程序级别进行配置,在任何一个应用程序池中都只能使用一个版本的系统 DLL。例如,如果应用程序 App1 使用 MDAC 2.5 版,应用程序 App2 使用 MDAC 2.4 版,则 App1 和 App2 不应位于同一个应用程序池中。如果它们位于同一个应用程序池中,则首先加载的应用程序加载与之相对应的 MDAC 版本,在卸载这些应用程序之前,其他应用程序只能被迫使用该版本。

下列示例在默认网站应用程序 (W3SVC/1/ROOT) 上启用并排集合。请注意,只要设置了 AspEnableTracker 属性,AspAppServiceFlags 属性就发生改变:

On Error Resume Next
set providerObj = GetObject(“winmgmts://MyMachine/root/MicrosoftIISv2″)
‘ 获得对名为“默认网站”的 ASP 应用程序的引用
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “Before: AspEnableSxs = ” & IIsWebVirtualDirSettingObj.AspEnableSxs
WScript.Echo “        AspSxsName = ” & IIsWebVirtualDirSettingObj.AspSxsName
WScript.Echo “        AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
‘ 设置 ASP 应用程序以启用 COM+ 并排集合
IIsWebVirtualDirSettingObj.AspEnableSxs = 1
‘ 设置 AspSxsName 属性
IIsWebVirtualDirSettingObj.AspSxsName = “VersionInfo”
‘ 将值保存到 IIS 配置数据库
IIsWebVirtualDirSettingObj.Put_()
‘ 再次获得引用以刷新 AspAppServiceFlags 属性。
set IIsWebVirtualDirSettingObj = Nothing
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “After: AspEnableSxs = ” & IIsWebVirtualDirSettingObj.AspEnableSxs
WScript.Echo “       AspSxsName = ” & IIsWebVirtualDirSettingObj.AspSxsName
WScript.Echo “       AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
COM+ 分区:
COM+ 分区可用于将 Web 应用程序隔离到它们各自的 COM+ 分区中。这对于禁止一个 Web 应用程访问另一个 Web 应用程序的专用 COM+ 应用程序、配置信息和数据非常有用。COM+ 分区可拥有自定义 COM 组件的不同版本。例如,如果为两个竞争的公司宿主网站,它们都在其 Web 应用程序中使用了 COM+,则可以使用 COM+ 分区来确保一个公司的 Web 应用程序不能访问另一个公司的 Web 应用程序中的 COM+ 组件。如果其中某个公司要求您更改它们都使用的 COM+ 应用程序的某些功能,您可以在链接到它们的 Web 应用程序的分区中隔离该 COM+ 应用程序的新版本。

要在 IIS 端启用 COM+ 分区,请在应用程序级别设置 AspAppServiceFlags 配置数据库属性的 AspUsePartition 标志。分区由 GUID(使用组件服务管理器管理单元创建)标识,它可在 AspPartitionID 配置数据库属性上进行设置。如果未指定任何分区,则使用默认系统分区。详细信息,请参阅 COM+ SDK 中的“创建和配置 COM+ 分区”或联机查看 COM+ (Component Services)。

 要点 即使该功能可在应用程序级别进行配置,在任何一个应用程序池中也只能使用一个版本的 COM+ 组件。例如,如果应用程序 App1 使用名为 Shop.dll 的 1.0 版的自定义 COM+ 应用程序,应用程序 App2 使用 2.0 版的 Shop.dll,则 App1 和 App2 不应位于同一个应用程序池中。如果它们位于同一个应用程序池中,则首先加载的应用程序加载与之对应的 Shop.dll 版本,在卸载这些应用程序之前,另一个应用程序只能被迫使用该版本。

下列示例在默认网站应用程序 (W3SVC/1/ROOT) 上启用分区。请注意,只要设置了 AspEnableTracker 属性,AspAppServiceFlags 属性就发生改变。

On Error Resume Next
set providerObj = GetObject(“winmgmts://MyMachine/root/MicrosoftIISv2″)
‘ 获得对名为“默认网站”的 ASP 应用程序的引用
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “Before: AspUsePartition = ” & IIsWebVirtualDirSettingObj.AspUsePartition
WScript.Echo “        AspPartitionID = ” & IIsWebVirtualDirSettingObj.AspPartitionID
WScript.Echo “        AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
‘ 设置 ASP 应用程序以启用 COM+ 分区
IIsWebVirtualDirSettingObj.AspUsePartition = 1
‘ 将 AspPartitionID 属性设置为在组件服务管理器中配置的 GUID
‘ 当您创建 COM+ 分区时
IIsWebVirtualDirSettingObj.AspPartitionID = “{00000000-0000-0000-0000-000000000000}”
‘ 将值保存到 IIS 配置数据库
IIsWebVirtualDirSettingObj.Put_()
‘ 再次获得引用以刷新 AspAppServiceFlags 属性。
set IIsWebVirtualDirSettingObj = Nothing
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “After: AspUsePartition = ” & IIsWebVirtualDirSettingObj.AspUsePartition
WScript.Echo “       AspPartitionID = ” & IIsWebVirtualDirSettingObj.AspPartitionID
WScript.Echo “       AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
跟踪程序:
COM+ 跟踪程序允许管理员或开发人员调试 ASP 应用程序。例如,如果 Web 应用程序在服务器上产生问题,则可以启用 COM+ 跟踪程序,以便确定 ASP 页在何时加载、COM 组件在何时加载以及线程何时离开网页。在调试应用程序之后,可禁用 COM+ 跟踪程序,使应用程序返回到正常的执行速度。

要在 IIS 端上启用 COM+ 跟踪程序,请在应用程序级别中设置 AspAppServiceFlags 配置数据库属性的 AspEnableTracker 标志。

下列示例在默认网站应用程序 (W3SVC/1/ROOT) 上启用跟踪。请注意,只要设置了 AspEnableTracker 属性,AspAppServiceFlags 属性就发生改变:

On Error Resume Next
set providerObj = GetObject(“winmgmts://MyMachine/root/MicrosoftIISv2″)
‘ 获得对名为“默认网站”的 ASP 应用程序的引用
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “Before: AspEnableTracker = ” & IIsWebVirtualDirSettingObj.AspEnableTracker
WScript.Echo “        AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
‘ 设置 ASP 应用程序以启用 COM+ 跟踪
IIsWebVirtualDirSettingObj.AspEnableTracker = 1
IIsWebVirtualDirSettingObj.Put_()
‘ 再次获得引用以刷新 AspAppServiceFlags 属性。
set IIsWebVirtualDirSettingObj = Nothing
set IIsWebVirtualDirSettingObj = providerObj.get(“IIsWebVirtualDirSetting=’W3SVC/1/ROOT’”)
WScript.Echo “After: AspEnableTracker = ” & IIsWebVirtualDirSettingObj.AspEnableTracker
WScript.Echo “       AspAppServiceFlags = ” & IIsWebVirtualDirSettingObj.AspAppServiceFlags
事务:从 IIS 4.0 版起,ASP 页面中已经支持事务的使用。但是,IIS 更改了事务的内部实现以便利用 COM+ 服务。IIS 不再通过创建 COM 组件来容纳事务,而是直接访问 COM+ 事务服务,因而大大地提高了事务处理的速度。与以前一样,事务只能在页面级别进行配置,配置时使用 @TRANSACTION 指令和 ASP 内置对象的事件,该对象名为 ObjectContext。
ASP 的新配置数据库属性
下面的配置数据库设置已被添加到此版本的 ASP 中。

配置数据库属性名 用途
AspAppServiceFlags 启用诸如 COM+ 并排集合(以前被称为 Fusion)、分区等功能。
AspDiskTemplateCacheDirectory 指定 ASP 磁盘缓存的位置。
AspExecuteInMTA 使 ASP 线程能够在多线程单元中执行。
AspKeepSessionIDSecure 将 ASP 会话 Cookie 安全地发送到浏览器
AspMaxDiskTemplateCacheFiles 指定 ASP 的最大硬盘缓存。
AspPartitionID 为应用程序指定所使用的 COM+ 分区。
AspRunOnEndAnonymously 使 ASP 能够以匿名方式运行 global.asa Application_OnEndSession_OnEnd 事件。
AspBufferingLimit 指定缓冲区大小的限制。
AspMaxRequestEntityAllowed 指定 ASP 请求的实体中允许的最大字节数。
AspSxsName 允许 ASP 应用程序指定要使用的系统 DLL 或 传统 COM 组件的版本。

点击此处浏览全部IIS的内容

  本模块讲述了专门针对文件服务器安全模板的配置。本模块假定已将成员服务器基准应用于服务器。除安全模板定义的安全配置设置外,本模块还考虑了必须应用的其他安全配置设置。为了创建完全强化的文件服务器,您需要进行这些设置。

  目标

  使用本模块可以:

  1.强化基于 Microsoft? Windows Server? 2003 操作系统的文件服务器。
  2.检查文件服务器合适的安全配置。

  适用范围

  本模块适用于下列产品和技术:

  Windows Server 2003

  如何使用本模块

  使用本模块您可以了解应用于基于 Windows Server 2003 的文件服务器的安全设置。本模块使用多个角色特定安全模板和一个基准安全模板。安全模板来自“Windows Server 2003 Security Guide”。

  为了更好地理解本模块的内容,请:

  阅读模块 Windows Server 2003 安全性简介。该模块描述了“Windows Server 2003 Security Guide”的目的和内容。
  阅读模块创建 Windows Server 2003 服务器的成员服务器基准。该模块演示了使用组织单位和组策略将成员服务器基准应用于多个服务器的过程。

  概述

  由于文件服务器提供的大多数重要服务都需要 Microsoft? Windows? 网络基本输入/输出系统 (NetBIOS) 相关协议的支持,因此在进一步强化文件服务器上存在一些挑战。服务器消息块 (SMB) 协议和通用 Internet 文件系统 (CIFS) 协议可以为没有经过身份验证的用户提供丰富的信息。因此,常常建议在高安全性的 Windows 环境中禁止文件服务器使用这些协议。但是,禁用这些协议可能给您的环境中的管理员和用户访问文件服务器造成一定的困难。

  本模块后面的部分将详细描述文件服务器可从安全设置中受益的内容,这些安全设置不是通过成员服务器基准策略 (MSBP) 得到应用的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。

  审核策略设置

  在本指南定义的三种环境下,文件服务器的审核策略设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部的文件服务器上记录所有相关的安全性审核信息。

  用户权限分配

  在本指南定义的三种环境下,文件服务器的用户权限分配都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有适当的用户权限可以跨越所有文件服务器实现统一配置。

安全选项

  在本指南定义的三种环境下,文件服务器的安全性选项设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有相关的安全性选项设置可以跨越所有文件服务器实现统一配置。

  事件日志设置

  在本指南定义的三种环境下,文件服务器的事件日志设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。

  系统服务

  任何服务或应用程序都是一个潜在的攻击点,因此,应该禁用或删除所有不需要的服务或可执行文件。在 MSBP 中,这些可选服务以及所有不必要的服务都禁用。

  在运行 Microsoft Windows Server 2003 的文件服务器上,经常还有其他一些服务被启用,但是,这些服务不是必需的。这些服务的使用及其安全性一直是人们争论的主题。为此,本指南所建议的文件服务器配置可能不适用于您的环境。可以根据需要调整我们建议的文件服务器组策略以满足您组织机构的需求。

  Distributed File System

  表 1:设置

  Distributed File System (DFS) 服务管理分布在局域网 (LAN) 或广域网 (WAN) 的逻辑卷,而且是 Microsoft Active Directory? 目录服务 SYSVOL 共享所必需的。DFS 是将完全不同的文件共享集成为一个逻辑命名空间的分布式服务。

  命名空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。禁用 DFS 服务可以防止用户通过逻辑命名空间访问网络数据,要求用户必须知道环境中所有服务器和共享资源的名称才可以访问网络数据。

  文件服务器增量式组策略禁用了 DFS 服务,以便将环境中文件服务器遭到的攻击面降到最小。为此,在本指南所定义的所有安全环境中,应该将 Distributed File System 设置配置为“禁用”。

  注意:通过在文件服务器上使用 DFS 简化分布式资源访问方式的组织机构必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。

  File Replication Service

  表 6.2:设置

  File Replication Service (FRS) 可以自动复制文件并在多个服务器上同时进行保存。FRS 是 Microsoft? Windows? 2000 操作系统和 Windows Server 2003 家族中的一种自动文件复制服务。这种服务复制所有域控制器中的系统卷 (Sysvol)。另外,您还可以对该服务进行配置,使其复制与容错 DFS 关联的备用目标中的文件。若禁用这种服务,文件复制将不再发生而服务器上的数据也不再进行同步。

  文件服务器增量式组策略禁用了 FRS 服务,以便将您所在环境中文件服务器遭到的攻击表面积降到最小。为此,在本指南定义的所有安全环境中,应该将 File Replication Service 设置配置为“禁用”。

  注意:通过在文件服务器上使用 FRS 复制多个服务器上的数据的组织必须修改文件服务器的增量式组策略,或者创建一个新的 GPO 来启用该服务。
其他安全性设置

  MSBP 中应用的安全设置为文件服务器提供了大量的增强安全性。不过,您也需要考虑其他一些注意事项。这些步骤不能通过组策略来实施,而要在所有文件服务器上手动执行操作。

  保护众所周知帐户的安全

  Microsoft Windows Server 2003 中具有大量的内置用户帐户,不能将其删除,但可以重命名。Windows 2003 中最常用的两个内置帐户是“来宾”帐户和“管理员”帐户。

  默认情况下,“来宾”账户在成员服务器和域控制器上为禁用状态。不应该将此设置更改。您应该对内置的“管理员”账户重命名并改变其描述,以阻止攻击者利用一个众所周知的帐户危及远程服务器的安全。

  最初,许多恶意代码的变种使用内置的管理员帐号,企图破坏服务器。近几年来,进行上述重命名配置的意义已经降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 “管理员”账户的安全标识符 (SID) 确定该帐户的真实姓名,从而侵入服务器。SID 是识别每个用户、组、计算机帐户和网络上登录会话的唯一值。不可能更改内置帐户的 SID。将本地管理员帐户重命名为唯一的名称,操作部门就可以轻松监控攻击该帐户的企图。

  要保护文件服务器上的常用账户,您应当:

  1. 重新命名“管理员”帐户和“来宾”账户,然后在每个域和服务器上将其密码更改为长且复杂的值。
  2. 在每个服务器上使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他域和服务器的访问权。
  3. 改变默认的帐户描述,以防止帐户被轻易识别。
  4. 在安全的位置记录这些更改。

  注意:可通过组策略重命名内置的“管理员”帐户。由于应该为您的环境选择一个唯一的名称,因此本指南所提供的所有安全模板中都没有对此设置进行配置。在本指南定义的三种环境中,都可以将“账户:重命名管理员帐户”设置配置为重命名管理员帐户。此设置是组策略安全选项设置的一部分。

  保护服务账户

  除非绝对必要,否则不要配置在域帐号安全性背景之下运行的服务。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性机构 (LSA) 秘文而获得。

  用 IPSec 过滤器阻断端口

  Internet 协议安全 (IPSec) 过滤器能为提高服务器的安全级别提供一条有效途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。

  有关 IPSec 过滤器使用的详细信息,请参阅模块其他成员服务器强化过程。

  下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有 IPSec 过滤器。

  表 3:文件服务器 IPSec 网络流量图

  在执行上表列出的所有规则时都应该进行镜像处理。这可以确保进入服务器的所有网络流量也可以返回到源服务器。

  上表描述了为服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态 IP 地址,这些端口已经足够使用了。如果需要提供其他功能,可能需要打开其他端口。打开其他端口可使您环境中的文件服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
由于域成员和域控制器之间具有大量的交互操作,因此在特殊的 RPC 和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。还可以将通信进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得 IPSec 策略的执行和管理更为困难。与一个文件服务器相关的所有域控制器都要创建相似的规则。为了提高文件服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。

  如上所述,如果在环境中运行 Microsoft Operation Manager (MOM),则必须允许通过运行 IPSec 过滤器的服务器和 MOM 服务器之间的所有网络通信。这一点十分重要,因为 MOM 服务器和 OnePoint 客户 — 向 MOM 控制台提供报告的客户端应用程序 — 之间具有大量的交互行为。其他的管理软件可能也有相似的要求。如果需要更高级别的安全性,可以将 OnePoint 客户过滤操作配置为就 IPSec 同 MOM 服务器进行协商。

  IPSec 策略可以有效地阻止任意一个高端口的通信,因此,将无法进行远程过程调用 (RPC) 通信。这使得服务器的管理更加困难。由于已经有效关闭了如此之多的端口,因此可以启用终端服务。这将使管理员能够进行远程管理。

  上面的网络流量图假定环境中包括启用了 DNS 服务器的 Active Directory。如果使用独立的 DNS 服务器,可能还需要设定其他规则。

  执行 IPSec 策略不会对服务器的性能产生明显的影响。但是,在执行这些过滤器前应首先进行测试,以验证服务器的必要功能和性能是否得以维持。如果要支持其他应用软件,还可能需要添加其他规则。

  本指南包括一个 .cmd 文件,该文件简化了为文件服务器创建 IPSec 过滤器的过程。“PacketFilters-File.cmd”文件使用 NETSH 命令创建适当的过滤器。必须修改 .cmd 文件以使它包括环境中域控制器的 IP 地址。脚本为即将添加的域控制器提供了两个占位符。如果需要,还可以添加其他的域控制器。域控制器的 IP 地址列表必须是最新的。

  如果环境中有 MOM,那么相应的 MOM 服务器的 IP 地址也必须列入脚本。这个脚本不会创建永久性的过滤器。因此,除非 IPSec 策略代理开始运行,否则服务器是不受保护的。有关生成永久性的过滤器或创建更高级 IPSec 过滤脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,将该脚本配置为不对其创建的 IPSec 策略进行分配。IP 安全策略管理单元可用于检查它创建的 IPSec 过滤器和分配 IPSec 策略以便使其生效。

  小结

  本模块讲述了在本指南所定义的三种环境中保护文件服务器安全所需采取的服务器强化设置。所论述的大多数设置都是使用组策略进行配置和应用的。您可以将能够对 MSBP 进行有益补充的组策略对象 (GPO) 链接到包含文件服务器的相应组织单位 (OU) 中,以便为这些服务器提供的服务赋予更多的安全性。

  本指南所论述的一些设置不能使用组策略进行应用。在这些情况下,本指南提供了有关手动配置这些设置的详细信息。此外,本指南还提供了创建和应用能够控制文件服务器间网络通信类型的 IPSec 过滤器的详细信息。

    近几年,随着计算机及其周边设备技术的日益成熟和价位的一路走低,网络技术得到了充分的发展。企事业单位、工厂、学校等纷纷组建自己的局域网,有网络就有网站,有个人主页。在局域网中有很多的朋友都想将自己搜集来的影音佳作拿出来与大家一起分享,往往都是通过电影网站的形式对外发布,在实际的应用中,存在着建站复杂、维护管理困难、缺乏灵活性等等弊端,使许多的新手朋友望而却步。今天笔者就教大家一个快速搭建自己的流媒体点播系统的方法,注意是点播,也就是说具有很强的交互性哟。OK,我们开工吧!
    首先请出我们今天的主角—-”远古WebVOD视频点播系统”,下载地址:http://www.viewgood.com,大小:13.1MB。WebVOD(Web Video On Demand)即网络交互式视频点播,是随着计算机技术和网络通讯技术的发展,综合了计算机、通讯技术、电视技术而迅速新兴的一门综合性技术,集动态影视图像、静态图变、声音、文字等信息为一体,为用户提供实时、交互、按需点播服务的系统。用户还可以在播出过程中留言、发表评论等,从而加强交互性和增加用户与节目之间的交流。整个软件只需要在服务器上安装即可提供服务,在网络上的任何有权限访问该服务系统的用户,均可通过Web浏览器进行点播访问。

   视频点播服务器的安装

  文件系统是整个UNIX系统中与用户关系最密切,用户操作最频繁的部分,随着系统运行时间的延续,文件系统的使用效率也跟着下降,这主要表现为:硬盘空间的减少,垃圾信息的增加,寻址时间的增加等。本文将介绍几种提高文件系统使用效率的方法,和大家共享,欢迎更正和补充。

  首先,我们应该对UNIX文件系统的结构有一个了解。文件系统是UNIX系统中的文件,目录,以及对这些文件和目录进行管理的数据结构的总称。UNIX文件系统包括引导块、超级块、i节点区、文件存储区、进程对换区等几部分。

  引导块占用第0号物理块,不属于文件系统管辖,如果系统中有多个文件系统,只有根文件系统才有引导程序放在引导块中,其余文件系统都不使用引导块;

  超级块占用第1号物理块,是文件系统的控制块,超级块包括:文件系统的大小、空闲块数目、空闲块索引表、空闲i节点数目、空闲i节点索引表、封锁标记等。超级块是系统为文件分配存储空间、回收存储空间的依据。

  而i节点是对文件进行控制和管理的一种数据结构。一个文件对应一个i节点,每个i节点都有一个唯一的i节点号,i节点由64个字节组成,保存了文件的属性和类型、存放文件内容的物理块地址、最近一次的存取时间、最近一次的修改时间、创建此文件的时间。要注意哦:i节点中并不包括文件名,文件名和文件占用的i节点的i节点号放在目录文件的目录项中。

  文件存储区是存放文件内容的区域,文件存储区中各数据块的使用情况在超级块中由记录,系统利用超级块中的记录完成对数据块的分配和回收。

  在文件系统的末尾还可能有进程对换区,这里保留了对换到内存中的进程的映象,它不属于文件系统管辖。相信通过上面的这段文字,兄弟们应该对文件系统有一个大致的了解了。

  为提高UNIX系统的运行效率,文件系统应该保持一定的空闲空间,理论上,空闲空间至少应占文件系统总空间的15%,当空闲空间小于总空间的15%时,UNIX系统操作将明显变慢!因此系统管理员应该了解文件系统空闲时间和i节点的使用情况,保证系统的高效运行。系统管理员可以使用df命令了解空闲空间和i节点的使用情况。使用“df -v 文件系统”命令,可以显示文件系统的使用情况:该文件系统数据块的总数、已使用数据块的数量、空闲数据块的数量、使用的数据快占总数据块的百分比。如果想显示文件系统的i节点总数、空闲i节点的数目、已使用i节点数目以及已使用i节点占总i节点的百分比,可使用-i选项。比如在Solaris下,可执行:df -o i(注意哦:i前没有“-”,呵呵)

  当文件系统中的空闲空间减少,以至于使文件系统的效率降低时,可采用以下措施:

  1.删除临时目录下的文件

  临时目录下存放的都是临时文件,临时文件是在程序执行期间根据需要创建的,但没有被及时删除。系统中的临时目录一般有/var/tmp、/tmp和/usr/tmp。管理员可以手工删除他们,也可以建立一个作业调度,使清理工作自动进行。比如在/usr/spool/cron/crontabs/root中加入以下代码:

  30 2 * * * find /var/tmp –atime 7 –exec rm{} \ ; >/dev/null
  30 2 * * * find /usr/tmp –atime 7 –exec rm{} \ ; >/dev/null
  30 2 * * * find /tmp –atime 7 –exec rm{} \ ; >/dev/null

  2.删除core文件

  当系统中一些进程由于收到一些信号而非正常结束时,系统便建立一个core文件,记录进程当时的一些信息,包括进程状态、数据以及硬件寄存器的值等。在这些core文件没有用的时候,可以考虑删除它们。

  3.清除系统日志文件

  日志文件包含了有关系统运行情况的信息和用户访问系统的情况,系统在运行过程中,会不断地把新的信息添加到日志文件中,因此日志文件会急剧增多,系统中主要的日志文件有:

  /usr/adm/acct 记帐日志文件
  /usr/adm/messages 系统信息日志文件
  /usr/adm/sulog 命令使用日志文件
  /usr/adm/vold.log 卷管理日志文件
  /usr/spool/uucp/LOGFILE uucp的记录
  /usr/spool/uucp/.Log/.Old/* 旧的uucp日志文件
  /usr/spool/lp/logs/requests 打印请求记录
  /var/log/syslog 系统日志文件

  上述有的日志文件对分析系统出现的故障有帮助,因此在清除时要慎重。

  4.压缩不常使用的文件

  对平时不经常使用的文件可以进行压缩,以便节省空间,压缩与解压缩的命令有:compress和uncompress;gzip和gunzip等命令。

  5.减少小文件的使用

  文件系统中的i节点数目是一定的,系统中如果小文件太多,会浪费很多的i节点,这样可能会导致系统中虽然还有磁盘空间,但无法创建新文件的情况。可以把多个小文件合并成一个大文件以节省i节点,也可以删除系统中不再需要的文件。

  6.增加文件系统i节点的数目

  从文件系统的结构看,一个文件占用一个i节点和若干个数据块。当i节点用完时,可考虑在硬盘上重新建立文件系统,指定比较大的i节点数目。这时首先要备份原文件系统,然后卸载该文件系统,使用mkfs重新建立文件系统,指定更大的i节点数目,该命令的格式为:

  #mkfs 设备文件数目:新的i节点数目

  把新的文件系统安装到系统中,最后利用备份恢复文件系统的内容。

如果你的Linux服务器被非受权用户接触到(如服务器放在公用机房内、公用办公室内),那么它的安全就会存在严重的隐患。

使用单用户模式进入系统

Linux启动后出现boot:提示时,使用一个特殊的命令,如linuxsingle或linux 1,就能进入单用户模式(Single-User mode)。这个命令非常有用,比如忘记超级用户(root)密码。重启系统,在boot:提示下输入linux single(或linux 1),以超级用户进入系统后,编辑Passwd文件,去掉root一行中的x即可。

防范对策:

以超级用户(root)进入系统,编辑/etc/inittab文件,改变id:3:initdefault的设置,在其中额外加入一行(如下),让系统重新启动进入单用户模式的时候,提示输入超级用户密码:

~~:S:walt:/sbin/sulogin

然后执行命令:/sbin/init q,使这一设置起效。

天极IT资讯短信服务 电脑小技巧
资费:包月5元
手机:    
   介绍:细处着手,巧处用功。高手和菜鸟之间的差别就是:高手什么都知道,菜鸟知道一些。电脑小技巧收集最新奇招高招,让你轻松踏上高手之路。  

在系统启动时向核心传递危险参数

在Linux下最常用的引导装载(boot loader)工具是LILO,它负责管理启动系统(可以加入别的分区及操作系统)。但是一些非法用户可能随便启动Linux或者在系统启动时向核心传递危险参数,这也是相当危险的。

防范对策:

编辑文件/etc/lilo.conf,在其中加入restricted参数,这一参数必须同下面一个要讲的password参数一起使用,表明在boot:提示下,传递给Linux内核一些参数时,需要你输入密码。

password参数可以同restricted一起使用,也可以单独使用,下面将分别说明。

同restricted一起使用:只有在启动时需要传递给内核参数时,才会要求输入密码,而在正常(缺省)模式下,是不需要密码的,这一点一定要注意。

单独使用(没有同restricted一起使用):表示不管用什么启动模式,Linux总会要求输入密码;如果没有密码,就没有办法启动Linux,在这种情况下的安全程度更高,相当于外围又加入一层防御措施。当然也有坏处——你不能远程重启系统,除非你加上restricted参数。

由于密码是明文没有加密,所以/etc/lilo.conf文件一定要设置成只有超级用户可读,可使用下面的命令进行设置:

chmod 600 /ietc/lilo.conf

然后执行命令:/sbin/lilo -V,将其写入boot sector,并使这一改动生效。

为了加强/etc/liIo.conf文件的安全,你还可以设置这个文件为不可改变的属性,可使用命令:

chattr  十i/etc/lilo.conf

如果日后你要修改/etc/liIo.conf文件,用chattr -i/etc/lilo.conf命令去掉这个属性即可。

使用“Ctrl+Alt+Del”组合键重新启动

对于这一点,非常重要,也非常容易忽略,如果非法用户能接触到服务器的键盘,他就可以用组合键“Ctrl+AIt+Del”使你的服务器重启。

防范对策:

编辑/etc/inittab文件,给ca::ctrlaltdel:/sbin/shutdown-t3 -r now加上注释###ca::ctrlaltdeI:/sbin/shutdown-t3 -r now。

然后执行命令:/sbin/init q,使这一改动生效。v

   最新版的Serv-U3.0是一款不错的FTP服务器软件,可以应用于95/98/2000/me/NT上。使用Serv-U3.0,我们可以很快建立起强大的FTP服务器。
  Serv-U3.0由两部分组成:引擎(Engine)和用户接口(user interface)。Serv-U3.0 Engine(或称守护程序)是Serv-U3.0的核心部分,它执行FTP客户端发出的所有命令,实现文件的传输。Serv-U3.0 Administrator(Serv-U3.0管理员)是用户与engine交互的接口,主要用来配置Serv-U3.0和定义用户、指定访问权限等。
  Serv-U3.0为共享软件,标准版的注册费为49.95美元,专家版的注册费为299.95美元,主页地址是http://www.Serv-U.com。

Serv-U3.0具有以下主要特点:

标准Windows界面,设置维护非常方便;
众多安全设置。口令、基于目录和文件和读/写/添加/改变权限,可以分组管理用户并针对不同的用户提供不同的设置(包括匿名用户),可基于IP控制用户的访问;
快速稳定;
完全支持多主IP站点和虚拟FTP服务器;
支持实时多用户连接;
支持远程管理;
支持S/Key一次性口令;
可以做为”系统服务”后台运行于95/98/200/me和NT上;
支持临时账户,账户过期后会自动被删除;
OL/DL比率限制,磁盘配额限制,网络带宽限制;
完全UNC路径支持;
虚拟路径支持;
Links支持;
完全支持所有的”ls”目录列表选项;
支持用户与服务器间的消息通信;
文件上传下载的断点续传功能;
完全支持RFC959和RFC1123标准,包括被动传输模式;
详细的消息设置;
客户端超时自动挂断功能;
所有事务均有完整的记录(记录在文件中,显示在屏幕上),可以非常容易的被第三方软件读取。