精心配置IIS打造安全Web服務(wù)器

1、因?yàn)閕is (internet information server)的方便性和易用性，所以成為最 受歡迎的web服務(wù)器軟件z-o但是，11s從誕生起，其安全性就一直受到人們 的置疑，原因在于其經(jīng)常被發(fā)現(xiàn)有新的安全漏洞。雖然iis的安全性與其他的web 服務(wù)軟件相比有差距，不過(guò)，只要我們精心對(duì)iis進(jìn)行安全配置，仍然能建立一 個(gè)安全性的web服務(wù)器的。構(gòu)造一個(gè)安全的windows 2000操作系統(tǒng)要?jiǎng)?chuàng)建一個(gè)安全可靠的web服務(wù)器，必須要實(shí)現(xiàn)windows 2000操作系統(tǒng)和 hs的雙重安全，因?yàn)閕is的用戶同時(shí)也是windows 2000的用戶，并且iis 0錄 的權(quán)限依賴windows的nt

2、fs文件系統(tǒng)的權(quán)限控制，所以保護(hù)iis安全的第一步 就是確保windows 2000操作系統(tǒng)的安全。實(shí)際上，web服務(wù)器安全的根本就是保 障操作系統(tǒng)的安全。使用ntfs文件系統(tǒng)在nt系統(tǒng)屮應(yīng)該使用ntfs系統(tǒng)，ntfs可以對(duì)文件和目錄進(jìn)行管理，而fat 文件系統(tǒng)只能提供共享級(jí)的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所 有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。而在ntfs文件下，建立新共 享后口j以通過(guò)修改權(quán)限保證系統(tǒng)安全。關(guān)閉默認(rèn)共享在windows 2000中,有一個(gè)“默認(rèn)共享”,這是在安裝服務(wù)器的時(shí)候,把 系統(tǒng)安裝分區(qū)自動(dòng)進(jìn)行共享，雖然對(duì)其訪問(wèn)還需要超級(jí)用戶的密碼，但這是潛在 的

3、安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個(gè)“默認(rèn)共享”，以保證系統(tǒng)安全。 方法是：?jiǎn)螕簟伴_(kāi)始/運(yùn)行”，在運(yùn)行窗口中輸入“regedit” ,打開(kāi)注冊(cè)表編輯 器，展開(kāi)“hkey local machinesystemcurrentcontrolsetserviceslanmanserverp arameters,?項(xiàng)，添加鍵值 autoshareserver,類型為 reg_dw0rd,值為 0。這 樣就可以徹底關(guān)閉“默認(rèn)共享”。共享權(quán)限的修改在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，everyone用戶就享有“完全控 制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改everyone的缺省權(quán)限，

4、不能讓web服務(wù)器訪問(wèn)者得到不必耍的權(quán)限，給服務(wù)器帶來(lái)被攻擊的危險(xiǎn)。為系統(tǒng)管理員賬號(hào)改名對(duì)于一般用戶，我們可以在“本地安全策略”中的“帳戶鎖定策略”中限制 猜測(cè)口令的次數(shù)，但對(duì)系統(tǒng)管理員賬號(hào)(adminstrator)卻無(wú)法限制，這就可能 給非法用戶攻擊管理員賬號(hào)口令帶來(lái)機(jī)會(huì)，所以我們需要將管理員賬號(hào)更名。具 體設(shè)置方法如下：鼠標(biāo)右擊“我的電腦” “管理”，啟動(dòng)“計(jì)算機(jī)管理”程序，在“本地用 戶和組”中,鼠標(biāo)右擊“管理員賬號(hào)(administrator) ，選擇“重命名”,將 管理員帳號(hào)修改為一個(gè)很普通的用戶名即可。禁用 tcp/ip 上的 netbiosnetbios是許多安全缺陷的源泉,所

5、以我們需要禁用它。鼠標(biāo)右擊桌面上“網(wǎng) 絡(luò)鄰居” “屬性” “木地連接”“屬性”，打開(kāi)“本地連接屬性”對(duì)話框。選擇“internet協(xié)議(tcp/ip)” “屬性” “高級(jí)” “wins” ,選中 “禁用tcp/ip上的netbios” 一項(xiàng)即可解除tcp/ip上的netbios,如圖1。tcp/tp上對(duì)進(jìn)站連接進(jìn)行控制方法一利用tcp/ip篩選鼠標(biāo)右擊桌面上“網(wǎng)絡(luò)鄰居”“屬性” “木地連接” “屬性”，打開(kāi)“本地連接屬性”對(duì)話框。選擇“internet協(xié)議(tcp/ip) ”“屬性” “高級(jí)”“選項(xiàng)”,在列表中單擊選中“tcp/ip篩選”選項(xiàng)。單擊“屬性”按鈕，選擇 “只允許”，再單擊“添加”

6、按鈕，如圖2,只填入80端口即可。方法二利用ip安全策略ipsec policy alters （ip安全策略過(guò)濾器）彌補(bǔ)了傳統(tǒng)tcp/ip設(shè)計(jì)上的 “隨意信任”重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的tcp/ip安全。它是一個(gè)基 于通訊分析的策略，將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期 相吻合，然后據(jù)此允許或拒絕通訊的傳輸。我們同樣可以設(shè)置只允許80端口的 數(shù)據(jù)通過(guò)，其它端口來(lái)的數(shù)據(jù)一律攔截。防范拒絕服務(wù)攻擊ddos攻擊現(xiàn)在很流行，例如syn使用巨量畸形tcp信息包向服務(wù)器發(fā)出請(qǐng)求, 最終導(dǎo)致服務(wù)器不能正常工作。改寫(xiě)注冊(cè)表信息雖然不能完全阻止這類攻擊，但 是可以降低其風(fēng)險(xiǎn)。打開(kāi)注冊(cè)

7、表：將 hklmsystemcurrentcontrolsetservicestcpipparameters 下的 synattackprotect的值修改為2。這樣可以使tcp/ip調(diào)整syn-acks的重傳，當(dāng) 出現(xiàn)syn-attack跡象時(shí)，使連接對(duì)超時(shí)的響應(yīng)更快。保證iis自身的安全性iis安全安裝在保證系統(tǒng)具有較高安全性的情況下，還要保證iis的安全性。要構(gòu)建一個(gè) 安全的11s服務(wù)器，必須從安裝時(shí)就充分考慮安全問(wèn)題。不要將iis安裝在系統(tǒng)分區(qū)上默認(rèn)情況下，iis與操作系統(tǒng)安裝在同一個(gè)分區(qū)中，這是一個(gè)潛在的安全隱 患。因?yàn)橐坏┤肭终呃@過(guò)了 1is的安全機(jī)制，就冇可能入侵到系統(tǒng)分區(qū)。如果

8、管 理員對(duì)系統(tǒng)文件夾、文件的權(quán)限設(shè)置不是非常合理，入侵者就有可能篡改、刪除 系統(tǒng)的重要文件，或者利用一些其他的方式獲得權(quán)限的進(jìn)一步提升。將iis安裝到其他分區(qū)，即使入侵者能繞過(guò)11s的安全機(jī)制，也很難訪問(wèn)到系統(tǒng)分區(qū)。修改iis的安裝默認(rèn)路徑tts的默認(rèn)安裝的路徑是inetpub, web服務(wù)的頁(yè)面路徑是 inctpubwwwroot,這是任何一個(gè)熟悉iis的人都知道的，入侵者也不例外，使 用默認(rèn)的安裝路徑無(wú)疑是告訴了入侵者系統(tǒng)的重要資料，所以需要更改。打上windows和iis的補(bǔ)丁只要提高安全意識(shí)，經(jīng)常注意系統(tǒng)和iis的設(shè)置情況，并打上最新的補(bǔ)門 11s就會(huì)是一個(gè)比較安全的服務(wù)器平臺(tái)，能為我

9、們提供安全穩(wěn)定的服務(wù)。iis的安全配置刪除不必耍的虛擬目錄iis安裝完成后在wwwroot下默認(rèn)生成了一些目錄，并默認(rèn)設(shè)置了兒個(gè)虛擬 目錄,包括iishelp、iisadmin、iissamples> msadc等，它們的實(shí)際位置有的 是在系統(tǒng)安裝目錄下，冇的是在重要的program files下，從安全的角度來(lái)看很 不安全，而且這些設(shè)置實(shí)際也沒(méi)有太大的作用，所以我們可以刪除這些不必耍的 虛擬目錄。刪除危險(xiǎn)的iis組件默認(rèn)安裝后的有些iis組件可能會(huì)造成安全威脅，應(yīng)該從系統(tǒng)中去掉，以下 是一些“黑名單”，大家可以根據(jù)自己的需要決定是否需要?jiǎng)h除。 internet服務(wù)管理器(html):這

10、是基于web的iis服務(wù)器管理頁(yè)面， 一般情況下不應(yīng)通過(guò)web進(jìn)行管理，建議卸載它。 smtp service和nntp service：如果不打算使用服務(wù)辭轉(zhuǎn)發(fā)郵件和捉供 新聞組服務(wù)，就可以刪除這兩項(xiàng)，否則，可能因?yàn)樗鼈兊穆┒磶?lái)新的不安全。樣本頁(yè)面和腳本：這些樣本中有些是專門為顯示tts的強(qiáng)大功能設(shè)計(jì)的, 但同樣可被用來(lái)從internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器，建議刪除。為iis中的文件分類設(shè)置權(quán)限除了在操作系統(tǒng)里為tts的文件設(shè)置必要的權(quán)限外，還要在tts管理器中為 它們?cè)O(shè)置權(quán)限，以期做到雙保險(xiǎn)。一般而言，對(duì)一個(gè)文件夾永遠(yuǎn)也不應(yīng)同時(shí)設(shè)置 寫(xiě)和執(zhí)行權(quán)限，以防止攻擊者向站點(diǎn)上傳并執(zhí)行惡意

11、代碼。另外目錄瀏覽功能也 應(yīng)禁止，預(yù)防攻擊者把站點(diǎn)上的文件夾瀏覽個(gè)遍最后找到漏洞。一個(gè)好的設(shè)置策 略是：為web站點(diǎn)上不同類型的文件都建立口錄，然后給它們分配適當(dāng)權(quán)限。例如:靜態(tài)文件文件夾：包括所有靜態(tài)文件，如htm或html,給予允許讀取、 拒絕寫(xiě)的權(quán)限。 asp腳本文件夾:包含站點(diǎn)的所有腳本文件,如cgi、vbs、asp等等, 給予允許執(zhí)行、拒絕寫(xiě)和讀取的權(quán)限。 exe等可執(zhí)行程序：包含站點(diǎn)上的二進(jìn)制執(zhí)行文件，給予允許執(zhí)行、拒 絕寫(xiě)和拒絕讀取的權(quán)限。刪除不必要的應(yīng)用程序映射tts中默認(rèn)存在很多種應(yīng)用程序映射， 如i. htw> ida> idq> asp、 cer>

12、 cdx> asa> htr、idc> shtm> shtml 、stni、. printer等，通過(guò)這些程序映射，iis就能知道對(duì)于什么樣的文件該調(diào) 用什么樣的動(dòng)態(tài)鏈接庫(kù)文件來(lái)進(jìn)行解析處理。但是，在這些程序映射中，除了asp 的這個(gè)程序映射，其它的文件在網(wǎng)站上都很少用到。而且在這些程序映射 中，htr、idq/ida> .printer等多個(gè)程序映射都已經(jīng)被發(fā)現(xiàn)存在緩存溢出問(wèn) 題，入侵者可以利用這些程序映射中存在的緩存溢出獲得系統(tǒng)的權(quán)限。即使已經(jīng) 安裝了系統(tǒng)最新的補(bǔ)丁程序，仍然沒(méi)法保證安全。所以我們需要將這些不需要的程序映射刪除。在“internet服務(wù)管理器” 屮，右擊網(wǎng)站口錄，選擇“屬性”，在網(wǎng)站口錄屬性對(duì)話框的“主口錄”頁(yè)面屮， 點(diǎn)擊“配置”按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁(yè)面， 刪除無(wú)用的程序映射，如圖3。如杲需要這一類文件時(shí)，必須安裝最新的系統(tǒng)修 補(bǔ)程序以解決程序映射存在的問(wèn)題，并且選屮相應(yīng)的程序映射，再點(diǎn)擊“編輯” 按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在” 選項(xiàng)，如圖4。這樣當(dāng)客戶請(qǐng)求這類文件吋，