1、IIS 加固精心配置 IIS 打造安全 Web 服务器因为 IIS(Internet Information Server)的方便性和易用性,所以成为最受欢迎的 Web服务器软件之一。但是,IIS 从诞生起,其安全性就一直受到人们的置疑,原因在于其经常被发现有新的安全漏洞。虽然 IIS 的安全性与其他的 Web 服务软件相比有差距,不过,只要我们精心对 IIS 进行安全配置,仍然能建立一个安全性的 Web 服务器的。构造一个安全的 Windows 2000 操作系统要创建一个安全可靠的 Web 服务器,必须要实现 Windows 2000 操作系统和 IIS 的双重安全,因为 IIS 的用户同
2、时也是 Windows 2000 的用户,并且 IIS 目录的权限依赖 Windows的 NTFS 文件系统的权限控制,所以保护 IIS 安全的第一步就是确保 Windows 2000 操作系统的安全。实际上,Web 服务器安全的根本就是保障操作系统的安全。使用 NTFS 文件系统在 NT 系统中应该使用 NTFS 系统,NTFS 可以对文件和目录进行管理,而 FAT 文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。而在 NTFS 文件下,建立新共享后可以通过修改权限保证系统安全。关闭默认共享在 Windows 2000 中,有
3、一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项,添加键值 AutoShareServer,类型为 REG_DWORD,值为 0。 这样就可以彻底关闭“默认共享”。共享权限的修改在系统默认情况下,每建立一个新的共享,Every
4、one 用户就享有“完全控制”的共享权限,因此,在建立新的共享后应该立即修改 Everyone 的缺省权限,不能让 Web 服务器访问者得到不必要的权限,给服务器带来被攻击的危险。为系统管理员账号改名对于一般用户,我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,所以我们需要将管理员账号更名。具体设置方法如下:鼠标右击“我的电脑” “管理”,启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(administrator)”,选择“重命名”,将管理员帐号修改为
5、一个很普通的用户名即可。禁用 TCP/IP 上的 NetBIOSNetBIOS 是许多安全缺陷的源泉,所以我们需要禁用它。鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。选择“Internet 协议(TCP/IP)” “属性” “高级” “WINS”,选中“禁用 TCP/IP 上的 NetBIOS”一项即可解除 TCP/IP 上的 NetBIOS,如图 1。TCP/IP 上对进站连接进行控制方法一 利用 TCP/IP 筛选鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。选择“Internet 协议(TCP/IP
6、)” “属性” “高级” “选项”, 在列表中单击选中“TCP/IP 筛选”选项。单击“属性”按钮,选择“只允许”,再单击“添加”按钮,如图 2,只填入 80 端口即可。方法二 利用 IP 安全策略IPSec Policy Filters(IP 安全策略过滤器)弥补了传统 TCP/IP 设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的 TCP/IP 安全。它是一个基于通讯分析的策略,将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输。我们同样可以设置只允许 80 端口的数据通过,其它端口来的数据一律拦截。防范拒绝服务攻击DDoS 攻击现在很流行,例
7、如 SYN 使用巨量畸形 TCP 信息包向服务器发出请求,最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击,但是可以降低其风险。打开注册表:将 HKLMSystemCurrentControlSetServicesTcpipParameters 下的SynAttackProtect 的值修改为 2。这样可以使 TCP/IP 调整 SYN-ACKS 的重传,当出现 SYN-ATTACK 迹象时,使连接对超时的响应更快。保证 IIS 自身的安全性IIS 安全安装在保证系统具有较高安全性的情况下,还要保证 IIS 的安全性。要构建一个安全的 IIS 服务器,必须从安装时就充分考虑安
8、全问题。不要将 IIS 安装在系统分区上默认情况下,IIS 与操作系统安装在同一个分区中,这是一个潜在的安全隐患。因为一旦入侵者绕过了 IIS 的安全机制,就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理,入侵者就有可能篡改、删除系统的重要文件,或者利用一些其他的方式获得权限的进一步提升。将 IIS 安装到其他分区,即使入侵者能绕过 IIS的安全机制,也很难访问到系统分区。修改 IIS 的安装默认路径IIS 的默认安装的路径是inetpub,Web 服务的页面路径是inetpubwwwroot,这是任何一个熟悉 IIS 的人都知道的,入侵者也不例外,使用默认的安装路径
9、无疑是告诉了入侵者系统的重要资料,所以需要更改。打上 Windows 和 IIS 的补丁只要提高安全意识,经常注意系统和 IIS 的设置情况,并打上最新的补丁,IIS 就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。IIS 的安全配置删除不必要的虚拟目录IIS 安装完成后在 wwwroot 下默认生成了一些目录,并默认设置了几个虚拟目录,包括 IISHelp、IISAdmin、IISSamples、MSADC 等,它们的实际位置有的是在系统安装目录下,有的是在重要的 Program files 下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必
10、要的虚拟目录。删除危险的 IIS 组件默认安装后的有些 IIS 组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。 Internet 服务管理器(HTML):这是基于 Web 的 IIS 服务器管理页面,一般情况下不应通过 Web 进行管理,建议卸载它。 SMTP Service 和 NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。 样本页面和脚本:这些样本中有些是专门为显示 IIS 的强大功能设计的,但同样可被用来从 Internet 上执行应用程序和浏览服
11、务器,建议删除。为 IIS 中的文件分类设置权限除了在操作系统里为 IIS 的文件设置必要的权限外,还要在 IIS 管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为 Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如: 静态文件文件夹:包括所有静态文件,如 HTM 或 HTML,给予允许读取、拒绝写的权限。 ASP 脚本文件夹:包含站点的所有脚本文件,如 cgi、vbs、asp 等等,给予允许执行、
12、拒绝写和读取的权限。 EXE 等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。删除不必要的应用程序映射IIS 中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer 等,通过这些程序映射,IIS 就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp 的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer 等多个程序映射都已经被发现存在缓
13、存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图 4。这样当客户请求这类文件时,IIS
14、会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。保护日志安全日志是系统安全策略的一个重要坏节,IIS 带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。方法一: 修改 IIS 日志的存放路径IIS 的日志默认保存在一个众所周知的位置(%WinDir%System32LogFil-es),这对Web 日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web 站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏
15、览”按钮或者直接在输入框中输入日志存放路径即可,如图 5。方法二: 修改日志访问权限日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在 NTFS 分区上,设置为只有管理员才能访问。当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是 NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS 日志保存在系统分区中,入侵者使用软件让 IIS 产生大量的日志,可能会导致日志填满硬盘空间,整个 Windows 系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。通过以上的一些安全设置,相信
16、你的 WEB 服务器会安全许多。不过,需要提醒大家注意的是:不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全利用 IIS 日志追查网站入侵者以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的 BBS 被黑了。根据当初的判断,BBS程序是我们 BCT 小组成员编写的 Lvbbs 不会存在着上传漏洞和 SQL 注入啊!就算能拿到权限都不可能可以弄出个 websh
17、ell 出来,不是程序的漏洞的话,就一定是服务器的安全问题了,以前整天拿着旁注去黑站,这下子好玩了,竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟,怎么知道网管还说我自己的问题,要我自己去找气死我啊。那只好做一回网管了,如果你是网管你会如何去追查问题的来源了?程序问题就去查看“事件查看器”,如果是 IIS 问题当然是查看 IIS 日志了!系统文件夹的 system32 低下的 logfile 有所有的 IIS 日志,用来记录服务器所有访问记录。因为是虚拟主机的用户,所以每个用户都配置独立的 IIS 日志目录,从里面的日志文件就可以发现入侵者入侵 BBS的资料了,所以下载了有关时间
18、段的所有日志下来进行分析,发现了很多我自己都不知道资料!哈哈哈,这下子就知道入侵者是怎么入侵我的 BBS 了。(入侵日记 1)从第一天里日志可以发现入侵者早就已经对我的 BBS 虎视耽耽的了。而且不止一个入侵者这么简单,还很多啊。头一天的 IIS 日志就全部都是利用程序扫描后台留下的垃圾数据。看上面的日志可以发现,入侵者 61.145.*.*利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入 BBS 的后台管理版面。很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。(入侵日志 2)查看了第二天的日志,开始的时候还是普通的用户访问日志没有
19、什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的 IIS 动作记录。从上面的资料发现入侵者 61.141.*.*也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的 BBS 是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了,入侵者 61.141.*.*在黑了我网站首页之前的动作记录了,首先在 Forum 的文件夹目录建立了一个 Myth.txt 文件,然后在 Forum 的文件夹目录下再生成了一只木马 Akk.asp日志的记录下,
20、看到了入侵者利用 akk.asp 木马的所有操作记录。详细入侵分析如下:GET /forum/akk.asp 200利用旁注网站的 webshell 在 Forum 文件夹下生成 akk.asp 后门GET /forum/akk.asp d=ls.asp 200入侵者登陆后门GET /forum/akk.asp d=ls.aspen-us;q309677) ,以及SPS :IIS Lockdown 工具影响 SharePoint Portal Server(http:/ 。另外,在正式应用 IIS Lockdown 或 URLScan 之前,务必搜索微软的知识库,收集可能出现问题的最新资料。掌握这些资料并了解其建议之后,再在测试服务器上安装 IIS Lockdown,全面测试 Web 应用需要的 IIS 功能是否受到影响。最后,做一次全面的系统备份,以便在系统功能受到严重影响时迅速恢复。二、安装
