熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

小技巧:建立相對安全的IIS服務器

2022-06-13   來源: 安全防毒 

  在網絡高速發展的今天網絡安全問題已經明顯的體現出來 從以前的北約總部電腦網絡被黑客攻擊造成多小時無法工作到去年的五一中美黑客攻擊戰無處不體現著黑客的存在和網絡的不安全性
  
  說到黑客的攻擊我們可以和清楚的發現大多數黑客攻擊的是個人比如說盜取OICQ號碼修改IE浏覽器的屬性大不了用冰河等遠程管理工具管理你的計算機在這裡我並不認為他們就是所謂的黑客只是會用一些惡意腳本和工具的人而已真正的黑客是經過長時間的延讀代碼發現系統漏洞並利用這些漏洞非法的控制計算機的人所以網絡安全意識的普及刻不容緩我想向大家介紹一些提高網絡安全的辦法
  
  當大家訪問互聯網上的資源時感覺一下子就出現了其實他在網上經過了一個比較復雜的過程比如說利用DNS做的地址解析利用IIS服務/Apache服務程序所作的相應處理在這篇文章中我將介紹給大家如何配置一個使用安全的IIS服務提供Web服務的服務器
  
  在網絡攻擊中首先黑客要通過與你的服務器聯機才能采取進一步的手段所以我們應該在一開始就采取關閉不必要協議端口的方法減少黑客的機會關閉端口的方法有很多比如說通過防火牆軟件但是請大家記住所有的關閉端口的軟件都是一開始就將所有的服務端口都關閉如果你想打開什麼端口都必須自己指定在這裡我向大家介紹一種WK自帶的關閉端口的方法右擊網卡點擊屬性(如圖)點擊Internet協議再點擊屬性
  
 

  然後點擊高級在選選項選擇TCP/IP篩選OK我們將會看到如下界面
  
 

  在這裡通過提示就可很簡單的開關端口了除了關閉端口我們還要對IIS本身進行配置對虛擬目錄指定仔細的訪問權限比如說讀取寫入等等我在這裡推薦一種配置文件訪問控制的例子(如下表):
  
 

  除此之外我們還應該按照文件類型建立目錄結構並不是簡單的將所有文件放置在一起(雖然這樣可以簡單方便的為文件建立訪問控制權限將安全屬性添加在文件夾一級就可以了)
  
  如果你設置了ftp或smtp服務在如下的目錄中你要為C:\inetpub\ftproot&&C:\inetpub\mailroot 設置更嚴的訪問權限在使用IIS服務架設服務器時我們應當移除iisadmpwd 虛擬目錄 因為IIS被安裝時自動創建%system%\inetsrv\iisadmpwd 該目錄下包含 htr 文件用於WEB方式口令管理僅僅當虛擬目錄IISADMPWD 被建立才允許用戶更改口令
  
  接著我們要移除不再使用的腳本映射也就是ISAPI映射當然要留下有用的ISAPI映射談到要移除它的主要原因是因為他的漏洞太多有一些是微軟和一些網絡安全組織都沒有察覺的比如說上次紅色代碼的流行就與它有密不可分的關系ISAPI是通過dlls 提供一些擴展功能微軟IIS在缺省安裝情況下帶了一個索引服務器(Index Server在Windows 下名為Index Service)缺省安裝時IIS支持兩種腳 本映射管理腳本(ida文件)Inernet數據查詢腳本(idq文件)這兩種腳本都由一個ISAPI擴展——idqdll來處理和解釋
  
  idqdll在一段處理URL輸入代碼中存在一個未經檢查的緩沖區如果攻擊者提供 一個特殊格式的URL就可能引發一個緩沖區溢出一個攻擊者與有這樣的idqdll存在的server建立web會話通過此會話發出緩沖區溢出攻擊並在web server上執行代碼而更為嚴重的是idqdll是以SYS TEM身份運行的可利用此漏洞取得系統管理員權限還有利用 htr 控制模塊(handler)解析檔案能力的安全漏洞這是在 年七月被發現的
  
  IIS 的 Internet Service Manager 使用 ismdll 來處理 htr 檔案IIS 本身則使用 aspdll 來處理 ASP 檔案 利用 htr 的安全漏洞我們可以將任何檔案(包括 asp 檔asa 檔等等)用 ismdll 處理而非用 aspdll 處理而因為 ismdll 並非被設計用來處理 ASP 的 tag它便直接把原始程序代碼顯示出來 這個漏洞實際上類似ASP?dot?漏洞其能在IIS上顯示其WEB目錄信息很奇怪有些人還在IIS上發現過此類漏洞通過增加?idc?或者?ida?後綴到URL會導致IIS嘗試允許通過數據庫連接程序DLL來運行IDC如果此idc不存在它就返回一些信息給客戶端
  
  NSFOCUS安全小組發現微軟IIS /所帶的一個動態鏈接庫(ssincdll)在處理包含文 件時存在一個緩沖區溢出漏洞攻擊者可能利用這個漏洞獲取SYSTEM權限 漏洞分析 微軟IIS支持SSI(Server Side Include)功能ssincdll就是一個SSI解釋器默認情況 下擴展名 stmshtm 和 shtml 被映射到解釋程序(Ssincdll) 默認情況下IIS?服務器存在一個後綴為printer的應用程序映射這個映射使用位於\WINNT\System\下的名為?mswprtdll?的動態庫文件這個功能是用於基於Web控制的網絡打印的是Windows為Internet?Printing?Protocol(IPP)協議而設置 的應用程序功能不幸的是這個映射存在一個緩沖區溢出錯誤可以導致inetinfoexe出錯允許黑客通過web獲取服務器的管理權限黑客制造一個?printer?的ISAPI請求當Http?host參數的值達到個字符時就會發生緩沖區溢出所以我們更及應該移除一些不必要的映射這裡我告訴一些不是必須用到的映射給大家(如下表)
  
 

  
 

  當然我們還要啟動日志記錄最好使用WC擴展文件記錄格式這樣在發生問題時我們能夠從這些記錄文件中找到黑客多這台服務器所做的事情采取相應的對策將損失降低到最小
  
  現在我們可以高枕無憂了對嗎?不是這樣的我們不能忘記使用的是Microsoft的系統所以還要常常更新系統的補丁以防止由於漏洞而造成的系統安全問題比如去年流行的Unicode漏洞 這是由於IIS服務程序再解釋一些特殊代碼時產生了緩沖區益處造成黑客獲得管理員權限這是一個Unicode攻擊的例子(已做部分修改)
  
  
  **** /winnt/system/cmdexe?/c+dir
  
  **** /winnt/system/cmdexe?/c+dir+c:
  **** /winnt/system/cmdexe?/c+md+c:\aaa
  
  **** /winnt/system/cmdexe?/c+echo+你的站點已經被我黑了+> c:\inetpub\wwwroot\
  
  這樣這個服務器的首頁已經被黑了(在更新補丁後以不起作用)
  
  使用IISlockdown工具加強你的IIS的安全性首先安裝按照向導如圖所示
  
 educitycn/img_///gif>

  在這裡選擇你的IIS的應用方向比如說ASP應用FTP應用Smtp應用一一選擇展示出來接著下一步
  
 educitycn/img_///gif>

  安裝URL合法性掃描工具接著IISLOCKDOWN開始自動操作運行
  
 educitycn/img_///gif>

  
 educitycn/img_///gif>

  它刪除了一些你用不著的ISAPI文件並建立了應用安全屬性操作
  
educitycn/img_///gif>

  完成好了就介紹到這裡配置你的安全的WEb服務器吧
From:http://tw.wingwit.com/Article/Security/201401/30208.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.