精心配置IIS打造安全Web服務(wù)器

1、因為iis (internet information server)的方便性和易用性，所以成為最 受歡迎的web服務(wù)器軟件z-o但是，11s從誕生起，其安全性就一直受到人們 的置疑，原因在于其經(jīng)常被發(fā)現(xiàn)有新的安全漏洞。雖然iis的安全性與其他的web 服務(wù)軟件相比有差距，不過，只要我們精心對iis進行安全配置，仍然能建立一 個安全性的web服務(wù)器的。構(gòu)造一個安全的windows 2000操作系統(tǒng)要創(chuàng)建一個安全可靠的web服務(wù)器，必須要實現(xiàn)windows 2000操作系統(tǒng)和 hs的雙重安全，因為iis的用戶同時也是windows 2000的用戶，并且iis 0錄 的權(quán)限依賴windows的nt

2、fs文件系統(tǒng)的權(quán)限控制，所以保護iis安全的第一步 就是確保windows 2000操作系統(tǒng)的安全。實際上，web服務(wù)器安全的根本就是保 障操作系統(tǒng)的安全。使用ntfs文件系統(tǒng)在nt系統(tǒng)屮應(yīng)該使用ntfs系統(tǒng)，ntfs可以對文件和目錄進行管理，而fat 文件系統(tǒng)只能提供共享級的安全，而且在默認情況下，每建立一個新的共享，所 有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。而在ntfs文件下，建立新共 享后口j以通過修改權(quán)限保證系統(tǒng)安全。關(guān)閉默認共享在windows 2000中,有一個“默認共享”,這是在安裝服務(wù)器的時候,把 系統(tǒng)安裝分區(qū)自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在 的

3、安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個“默認共享”，以保證系統(tǒng)安全。 方法是：單擊“開始/運行”，在運行窗口中輸入“regedit” ,打開注冊表編輯 器，展開“hkey local machinesystemcurrentcontrolsetserviceslanmanserverp arameters,?項，添加鍵值 autoshareserver,類型為 reg_dw0rd,值為 0。這 樣就可以徹底關(guān)閉“默認共享”。共享權(quán)限的修改在系統(tǒng)默認情況下，每建立一個新的共享，everyone用戶就享有“完全控 制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改everyone的缺省權(quán)限，

4、不能讓web服務(wù)器訪問者得到不必耍的權(quán)限，給服務(wù)器帶來被攻擊的危險。為系統(tǒng)管理員賬號改名對于一般用戶，我們可以在“本地安全策略”中的“帳戶鎖定策略”中限制 猜測口令的次數(shù)，但對系統(tǒng)管理員賬號(adminstrator)卻無法限制，這就可能 給非法用戶攻擊管理員賬號口令帶來機會，所以我們需要將管理員賬號更名。具 體設(shè)置方法如下：鼠標右擊“我的電腦” “管理”，啟動“計算機管理”程序，在“本地用 戶和組”中,鼠標右擊“管理員賬號(administrator) ，選擇“重命名”,將 管理員帳號修改為一個很普通的用戶名即可。禁用 tcp/ip 上的 netbiosnetbios是許多安全缺陷的源泉,所

5、以我們需要禁用它。鼠標右擊桌面上“網(wǎng) 絡(luò)鄰居” “屬性” “木地連接”“屬性”，打開“本地連接屬性”對話框。選擇“internet協(xié)議(tcp/ip)” “屬性” “高級” “wins” ,選中 “禁用tcp/ip上的netbios” 一項即可解除tcp/ip上的netbios,如圖1。tcp/tp上對進站連接進行控制方法一利用tcp/ip篩選鼠標右擊桌面上“網(wǎng)絡(luò)鄰居”“屬性” “木地連接” “屬性”，打開“本地連接屬性”對話框。選擇“internet協(xié)議(tcp/ip) ”“屬性” “高級”“選項”,在列表中單擊選中“tcp/ip篩選”選項。單擊“屬性”按鈕，選擇 “只允許”，再單擊“添加”

6、按鈕，如圖2,只填入80端口即可。方法二利用ip安全策略ipsec policy alters （ip安全策略過濾器）彌補了傳統(tǒng)tcp/ip設(shè)計上的 “隨意信任”重大安全漏洞，可以實現(xiàn)更仔細更精確的tcp/ip安全。它是一個基 于通訊分析的策略，將通訊內(nèi)容與設(shè)定好的規(guī)則進行比較以判斷通訊是否與預(yù)期 相吻合，然后據(jù)此允許或拒絕通訊的傳輸。我們同樣可以設(shè)置只允許80端口的 數(shù)據(jù)通過，其它端口來的數(shù)據(jù)一律攔截。防范拒絕服務(wù)攻擊ddos攻擊現(xiàn)在很流行，例如syn使用巨量畸形tcp信息包向服務(wù)器發(fā)出請求, 最終導(dǎo)致服務(wù)器不能正常工作。改寫注冊表信息雖然不能完全阻止這類攻擊，但 是可以降低其風險。打開注冊

7、表：將 hklmsystemcurrentcontrolsetservicestcpipparameters 下的 synattackprotect的值修改為2。這樣可以使tcp/ip調(diào)整syn-acks的重傳，當 出現(xiàn)syn-attack跡象時，使連接對超時的響應(yīng)更快。保證iis自身的安全性iis安全安裝在保證系統(tǒng)具有較高安全性的情況下，還要保證iis的安全性。要構(gòu)建一個 安全的11s服務(wù)器，必須從安裝時就充分考慮安全問題。不要將iis安裝在系統(tǒng)分區(qū)上默認情況下，iis與操作系統(tǒng)安裝在同一個分區(qū)中，這是一個潛在的安全隱 患。因為一旦入侵者繞過了 1is的安全機制，就冇可能入侵到系統(tǒng)分區(qū)。如果

8、管 理員對系統(tǒng)文件夾、文件的權(quán)限設(shè)置不是非常合理，入侵者就有可能篡改、刪除 系統(tǒng)的重要文件，或者利用一些其他的方式獲得權(quán)限的進一步提升。將iis安裝到其他分區(qū)，即使入侵者能繞過11s的安全機制，也很難訪問到系統(tǒng)分區(qū)。修改iis的安裝默認路徑tts的默認安裝的路徑是inetpub, web服務(wù)的頁面路徑是 inctpubwwwroot,這是任何一個熟悉iis的人都知道的，入侵者也不例外，使 用默認的安裝路徑無疑是告訴了入侵者系統(tǒng)的重要資料，所以需要更改。打上windows和iis的補丁只要提高安全意識，經(jīng)常注意系統(tǒng)和iis的設(shè)置情況，并打上最新的補門 11s就會是一個比較安全的服務(wù)器平臺，能為我

9、們提供安全穩(wěn)定的服務(wù)。iis的安全配置刪除不必耍的虛擬目錄iis安裝完成后在wwwroot下默認生成了一些目錄，并默認設(shè)置了兒個虛擬 目錄,包括iishelp、iisadmin、iissamples> msadc等，它們的實際位置有的 是在系統(tǒng)安裝目錄下，冇的是在重要的program files下，從安全的角度來看很 不安全，而且這些設(shè)置實際也沒有太大的作用，所以我們可以刪除這些不必耍的 虛擬目錄。刪除危險的iis組件默認安裝后的有些iis組件可能會造成安全威脅，應(yīng)該從系統(tǒng)中去掉，以下 是一些“黑名單”，大家可以根據(jù)自己的需要決定是否需要刪除。 internet服務(wù)管理器(html):這

10、是基于web的iis服務(wù)器管理頁面， 一般情況下不應(yīng)通過web進行管理，建議卸載它。 smtp service和nntp service：如果不打算使用服務(wù)辭轉(zhuǎn)發(fā)郵件和捉供 新聞組服務(wù)，就可以刪除這兩項，否則，可能因為它們的漏洞帶來新的不安全。樣本頁面和腳本：這些樣本中有些是專門為顯示tts的強大功能設(shè)計的, 但同樣可被用來從internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器，建議刪除。為iis中的文件分類設(shè)置權(quán)限除了在操作系統(tǒng)里為tts的文件設(shè)置必要的權(quán)限外，還要在tts管理器中為 它們設(shè)置權(quán)限，以期做到雙保險。一般而言，對一個文件夾永遠也不應(yīng)同時設(shè)置 寫和執(zhí)行權(quán)限，以防止攻擊者向站點上傳并執(zhí)行惡意

11、代碼。另外目錄瀏覽功能也 應(yīng)禁止，預(yù)防攻擊者把站點上的文件夾瀏覽個遍最后找到漏洞。一個好的設(shè)置策 略是：為web站點上不同類型的文件都建立口錄，然后給它們分配適當權(quán)限。例如:靜態(tài)文件文件夾：包括所有靜態(tài)文件，如htm或html,給予允許讀取、 拒絕寫的權(quán)限。 asp腳本文件夾:包含站點的所有腳本文件,如cgi、vbs、asp等等, 給予允許執(zhí)行、拒絕寫和讀取的權(quán)限。 exe等可執(zhí)行程序：包含站點上的二進制執(zhí)行文件，給予允許執(zhí)行、拒 絕寫和拒絕讀取的權(quán)限。刪除不必要的應(yīng)用程序映射tts中默認存在很多種應(yīng)用程序映射， 如i. htw> ida> idq> asp、 cer>

12、 cdx> asa> htr、idc> shtm> shtml 、stni、. printer等，通過這些程序映射，iis就能知道對于什么樣的文件該調(diào) 用什么樣的動態(tài)鏈接庫文件來進行解析處理。但是，在這些程序映射中，除了asp 的這個程序映射，其它的文件在網(wǎng)站上都很少用到。而且在這些程序映射 中，htr、idq/ida> .printer等多個程序映射都已經(jīng)被發(fā)現(xiàn)存在緩存溢出問 題，入侵者可以利用這些程序映射中存在的緩存溢出獲得系統(tǒng)的權(quán)限。即使已經(jīng) 安裝了系統(tǒng)最新的補丁程序，仍然沒法保證安全。所以我們需要將這些不需要的程序映射刪除。在“internet服務(wù)管理器” 屮，右擊網(wǎng)站口錄，選擇“屬性”，在網(wǎng)站口錄屬性對話框的“主口錄”頁面屮， 點擊“配置”按鈕，彈出“應(yīng)用程序配置”對話框，在“應(yīng)用程序映射”頁面， 刪除無用的程序映射，如圖3。如杲需要這一類文件時，必須安裝最新的系統(tǒng)修 補程序以解決程序映射存在的問題，并且選屮相應(yīng)的程序映射，再點擊“編輯” 按鈕，在“添加/編輯應(yīng)用程序擴展名映射”對話框中勾選“檢查文件是否存在” 選項，如圖4。這樣當客戶請求這類文件吋，