小技巧:建立相对安全的IIS服务器

发表于:2007-06-21来源:作者:点击数: 标签:
在网络高速发展的今天, 网络安全 问题已经明显的体现出来。 从以前的北约总部电脑网络被黑客攻击,造成多小时无法工作,到去年的五一中美黑客攻击战。无处不体现着黑客的存在和网络的不安全性。 说到黑客的攻击我们可以和清楚的发现,大多数黑客攻击的是个人

   
  在网络高速发展的今天,网络安全问题已经明显的体现出来。 从以前的北约总部电脑网络被黑客攻击,造成多小时无法工作,到去年的五一中美黑客攻击战。无处不体现着黑客的存在和网络的不安全性。
  

  说到黑客的攻击我们可以和清楚的发现,大多数黑客攻击的是个人,比如说盗取OICQ号码,修改IE浏览器的属性,大不了用冰河等远程管理工具,管理你的计算机。在这里我并不认为他们就是所谓的黑客,只是会用一些恶意脚本和工具的人而已。真正的黑客是经过长时间的延读代码,发现系统漏洞,并利用这些漏洞非法的控制计算机的人。所以网络安全意识的普及刻不容缓。我想向大家介绍一些提高网络安全的办法。
  
  当大家访问互联网上的资源时感觉一下子就出现了,其实他在网上经过了一个比较复杂的过程,比如说利用DNS做的地址解析,利用IIS服务/Apache服务程序所作的相应处理。在这篇文章中我将介绍给大家如何配置一个使用安全的IIS服务提供Web服务的服务器
  
  在网络攻击中,首先黑客要通过与你的服务器联机才能采取进一步的手段,所以我们应该在一开始就采取关闭不必要协议端口的方法减少黑客的机会。关闭端口的方法有很多,比如说通过防火墙软件,但是请大家记住,所有的关闭端口的软件都是一开始就将所有的服务端口都关闭,如果你想打开什么端口都必须自己指定。在这里我向大家介绍一种W2K自带的关闭端口的方法。右击网卡点击属性(如图)。点击Internet协议,再点击属性。
  
 小技巧:建立相对安全的IIS服务器(图一)

  然后点击高级,在选选项。选择TCP/IP筛选。OK我们将会看到如下界面。
  
 小技巧:建立相对安全的IIS服务器(图二)

  在这里通过提示就可很简单的开关端口了。除了关闭端口我们还要对IIS本身进行配置。对虚拟目录指定仔细的访问权限,比如说读取、写入等等。我在这里推荐一种配置文件访问控制的例子(如下表):
  
 小技巧:建立相对安全的IIS服务器(图三)

  除此之外,我们还应该按照文件类型建立目录结构。并不是简单的将所有文件放置在一起(虽然这样可以简单、方便的为文件建立访问控制权限,将安全属性添加在文件夹一级就可以了)
  
  如果你设置了ftp或smtp服务在如下的目录中,你要为C:\inetpub\ftproot&&C:\inetpub\mailroot 设置更严的访问权限。在使用IIS服务架设服务器时我们应当移除iisadmpwd 虚拟目录 。因为IIS被安装时,自动创建%system32%\inetsrv\iisadmpwd ,该目录下包含 .htr 文件,用于WEB方式口令管理。仅仅当虚拟目录IISADMPWD 被建立,才允许用户更改口令。
  
  接着我们要移除不再使用的脚本映射,也就是ISAPI映射,当然要留下有用的ISAPI映射。谈到要移除它的主要原因是因为他的漏洞太多有一些是微软和一些网络安全组织都没有察觉的,比如说上次红色代码的流行就与它有密不可分的关系。ISAPI是通过.dlls 提供一些扩展功能,微软IIS在缺省安装情况下带了一个索引服务器(Index Server,在Windows 2000下名为Index Service)。缺省安装时,IIS支持两种脚 本映射:管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展——idq.dll来处理和解释。
  
  idq.dll在一段处理URL输入代码中存在一个未经检查的缓冲区,如果攻击者提供 一个特殊格式的URL,就可能引发一个缓冲区溢出。一个攻击者与有这样的idq.dll存在的server建立web会话,通过此会话发出缓冲区溢出攻击,并在web server上执行代码。而更为严重的是idq.dll是以SYS TEM身份运行的,可利用此漏洞取得系统管理员权限。还有利用 .htr 控制模块(handler)解析档案能力的安全漏洞,。这是在 2000 年七月被发现的。
  
  IIS 的 Internet Service Manager 使用 ism.dll 来处理 .htr 档案。IIS 本身则使用 asp.dll 来处理 ASP 档案。 利用 .htr 的安全漏洞,我们可以将任何档案(包括 .asp 檔,.asa 檔等等)用 ism.dll 处理,而非用 asp.dll 处理。而因为 ism.dll 并非被设计用来处理 ASP 的 tag,它便直接把原始程序代码显示出来。 这个漏洞实际上类似ASP?dot?漏洞,其能在IIS4.0上显示其WEB目录信息,很奇怪有些人还在IIS5.0上发现过此类漏洞,通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC,如果此.idc不存在,它就返回一些信息给客户端。
  
  NSFOCUS安全小组发现微软IIS 4.0/5.0所带的一个动态链接库(ssinc.dll)在处理包含文 件时存在一个缓冲区溢出漏洞,攻击者可能利用这个漏洞获取SYSTEM权限。 漏洞分析: 微软IIS支持SSI(Server Side Include)功能。ssinc.dll就是一个SSI解释器。默认情况 下,扩展名 .stm、.shtm 和 .shtml 被映射到解释程序(Ssinc.dll)。 默认情况下,IIS?5.0服务器存在一个后缀为"printer"的应用程序映射,这个映射使用位于\WINNT\System32\下的名为?msw3prt.dll?的动态库文件。这个功能是用于基于Web控制的网络打印的,是Windows2000为Internet?Printing?Protocol(IPP)协议而设置 的应用程序功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错,允许黑客通过web获取服务器的管理权限,黑客制造一个?.printer?的ISAPI请求,当Http?host参数的值达到420个字符时,就会发生缓冲区溢出。所以我们更及应该移除一些不必要的映射。这里我告诉一些不是必须用到的映射给大家(如下表):
  
 小技巧:建立相对安全的IIS服务器(图四)

  
 小技巧:建立相对安全的IIS服务器(图五)

  当然我们还要启动日志记录,最好使用W3C扩展文件记录格式,这样在发生问题时我们能够从这些记录文件中找到黑客多这台服务器所做的事情,采取相应的对策,将损失降低到最小。
  
  现在我们可以高枕无忧了对吗?不是这样的。我们不能忘记使用的是Microsoft的系统,所以还要常常更新系统的补丁以防止由于漏洞而造成的系统安全问题。比如去年流行的Unicode漏洞。 这是由于IIS服务程序再解释一些特殊代码时产生了缓冲区益处造成黑客获得管理员权限。这是一个Unicode攻击的例子(已做部分修改)
  
  http://127.0.0.1/scripts/
  ..****.. /winnt/system32/cmd.exe?/c+dir
  http://127.0.0.1/scripts/
  ..****.. /winnt/system32/cmd.exe?/c+dir+c:http://127.0.0.1/scripts/
  ..****.. /winnt/system32/cmd".exe?/c+md+c:\aaa
  http://127.0.0.1/scripts/
  ..****.. /winnt/system32/cmd".exe?/c+echo+你的站点已经被我黑了+> c:\inetpub\wwwroot\default.htm
  
  这样这个服务器的首页已经被黑了(在更新补丁后以不起作用)。
  
  使用IISlockdown工具加强你的IIS的安全性。首先安装按照向导如图所示:
  
 小技巧:建立相对安全的IIS服务器(图六)

  在这里选择你的IIS的应用方向比如说ASP应用,FTP应用,Smtp应用。一一选择展示出来。接着下一步:
  
 小技巧:建立相对安全的IIS服务器(图七)

  安装URL合法性扫描工具,接着IISLOCKDOWN开始自动操作运行:
  
 小技巧:建立相对安全的IIS服务器(图八)

  
 小技巧:建立相对安全的IIS服务器(图九)

  它删除了一些你用不着的ISAPI文件,并建立了应用安全属性操作:
  
小技巧:建立相对安全的IIS服务器(图十)

  完成。好了就介绍到这里。配置你的安全的WEb服务器吧。

原文转自:http://www.ltesting.net