打造安全主機加固脆弱的IIS服務

2019-11-04 20:22:49

字體：大中小

來源：轉載

供稿：網友

　　難道IIS（Internet Information Services）就真是“脆弱”的嗎？難道擁有全球市場排名第一的Apache就堅不可摧？其實這些問題只是我們對服務器安全問題的曲解，在IIS 6沒有推出以前，我一直忙著對IIS 5 修修補補，也確實過了一段提心吊膽的日子。我們完全有理由相信，經過調整后的IIS足以讓我們值得信賴。

　　解釋幾個常見漏洞

　　1．緩沖區溢出

　　簡單解釋一下，緩沖區溢出主要因為提交的數據長度超出了服務器正常要求，導致服務器檢查代碼錯誤。而溢出的方法有可以分為：基于堆棧的溢出和基于堆的溢出。在IIS 6以前的版本，Web服務是運行在LocalSystem賬戶下，當某個黑客利用緩沖區溢出的漏洞入侵后，當然就可以執行大部分的治理員命令了。

　　利用該漏洞比較名的病毒是“紅色代碼（Redcode）”和“尼姆達（Nimda）”。eEye Digital Security 公司早于1996年就發現了這類漏洞的代表作HTR緩沖區漏洞。eEye發現，IIS反抗力十分脆弱。假如攻擊傳遞給IIS，那么輸入值將不是一串字母而是可以執行的系統命令。HTR文件的解釋程序是將一個以.htr結尾的超長文件在ism.dll中造成輸入緩沖區溢出。

　　我們早已用不到HTR了（筆者個人的理解），那只是早些時候，微軟腳本編程用到的，早已經被asp技術取代。

　　說明：根據上文的說明我們知道一個漏洞的根源就是．htr文件與System32目錄下的ism．dll存在著關聯，假如將ism．dll和．htr文件之間存在的映射關系斷開，或者刪除了ism．dll，就可以解決了。

　　2．臭名昭著的Unicode

　　首先要知道什么是Unicode二次解碼漏洞？打開IE，選擇“查看→編碼→Unicode（UTF-8）”，在沒有創造Unicode之前，沒有一個編碼可以包含足夠的字符來容納數百種的數字編碼。比如我們要看一個繁體中文（BIG5）的網頁，在你的簡體中文版的Windows 系統上，沒有Unicode的支持就不可能實現。

　　假如非法用戶提交一些非凡的編碼，將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。那么，未經授權的用戶可以利用IUSR_machinename賬號訪問用戶目錄的任何文件。同時，我們有知道這個賬號在默認情況下屬于Everyone和Users組，windows 2000 Server默認的安全權限是“Everyone完全控制”因此任何能被這些用戶組訪問的文件都可能被刪除、修改或執行。

　　說明：可以限制網絡用戶訪問和調用CMD命令的權限；若沒必要使用Scripts和Msadc目錄，可以刪除或者重新命名；還有一個問題，安裝Windows NT系統時不使用默認的WINNT路徑。

　　3． FrontPage 服務器擴展漏洞

　　對于安裝FrontPage服務器的網站，通常會在Web目錄（缺省）下有若干個以字母“_vti”開頭的目錄，正是這些目錄為黑客提供了可乘之機。我們可以從搜索引擎上搜索默認的Frontpage目錄，這時我們能從引擎上返回大量的信息。

　　說明：你真的需要FrontPage 服務器擴展嗎？我是從來沒有用過，這都是默認安裝的時候為我們帶來的隱患。假如不需要，直接卸載了該服務就沒問題了。

更多的請看：http://www.QQread.com/windows/2003/index.Html

IIS加固策略的建議

　　你得到的網站源代碼不會完全一樣，而大多數程序員不會為你只提供一種類型的代碼。所以不要完全按照下面的加固列表操作，尤其在加固之前要和程序的提供商取得聯系。在得到他們確認后，修改本文中涉及到服務器擴展內容。

　　1．調整IIS日志

　　當您希望確定服務器是否被攻擊時，日志記錄是極其重要的。默認的日志不會為我們搜索黑客記錄提供很大的幫助，所以我們必須擴展 W3C日志記錄格式，步驟如下：

　　★檢查是否啟用了日志記錄，右鍵單擊所述站點，然后從上菜單中選擇啟用“屬性→Web 站點→啟用日志記錄”復選框。

　　★更改日志的默認路徑，黑客成功入侵一個系統后，臨走時要做的一件事就是清除日志，假如以圖形界面的遠程控制軟件或是從終端登錄進入，我們自然是無法保護日志的。不過，現在比較流行的日志清除工具，大多以命令行方式刪除默認的W3C日志記錄，所以可以將圖1所示的路徑改寫，達到簡單保護的功能。

打造安全主機加固脆弱的IIS服務（圖一）

　　圖1 改寫日志默認存儲路徑

　　★從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。單擊“屬性→擴展屬性”選項卡，然后添加以下信息的記錄：客戶IP 地址、用戶名、方法、URI 資源、HTTP 狀態、Win32 狀態、用戶代理、服務器 IP 地址、服務器端口。

　　日志記錄是我們被入侵后惟一能夠找到自身漏洞的地方。就比如有些人鐘愛的“動網上傳文件”漏洞，假如你能在日志當中發現“HTTP GET 200（文件上傳成功）”，沒什么可以辯解的，肯定是沒有升級補丁或者開放了上傳權限。所以說日志防護是每個治理員必備的知識。

　　2．刪除IIS所有默認示例

　　這是一個在Windows 2000和Windows Server 2003上都在安裝的時候保留的內容，因為只能從本地訪問這些文件，所以這些默認的示例不會為服務器帶來威脅。假如不需要它們作為建立站時的參照以及遠程的治理幫助，可以刪除它們，同時起到優化系統的功能（需要關閉IIS服務）。

　　3．刪除不必要擴展映射

　　IIS 5被預先配置為支持如.asp這樣的動態程序文件，但除了我們常用的幾個文件格式之外，還支持了本文中提到的可能造成緩沖區溢出的文件類型。IIS 接收到這些類型的文件請求時，該調用由 DLL 處理，所以最好刪除它們。

　　選擇“WWW服務→編輯→主目錄→應用程序配置”，參照下表有針對性的選擇刪除對象：

　　IIS 6 的全新奉獻

　　我們常在網上看到關于Windows Server 2003 已經非常安全的報道，但是我們的治理員不是天天做個補丁更新的工作嗎？其實，Windows Server 2003中給我帶來最直接的感覺就是IIS 6的安全性，直到現在為止筆者確實沒有發現IIS 6中有什么重大的漏洞可以被黑客利用。

　　工作進程隔離（Worker PRocess Isolation）以及URL的授權訪問，我在以前版本里面根本就沒有奢念。不僅如此，最主要的改進就是IIS本身的“默認可用性”和“默認鎖定擴展服務” （如圖2）。

　　當把服務器升級到Windows Server 2003的時候，假如你沒有運行IISLockdown工具，服務器竟然禁止我們提供Web服務。

打造安全主機加固脆弱的IIS服務（圖二）