IIS 6.0默認(rèn)設(shè)置安全性的改變

2019-11-04 20:57:48

字體：大中小

供稿：網(wǎng)友

　　由于Web服務(wù)器被越來(lái)越多的駭客和蠕蟲(chóng)制造者作為首要攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計(jì)算計(jì)劃中首要關(guān)注的內(nèi)容。因此，IIS 6.0被完全的重新設(shè)計(jì)，以實(shí)現(xiàn)默認(rèn)安全和設(shè)計(jì)安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計(jì)上安全性的改變是如何使其成為要害web應(yīng)用的平臺(tái)。　　

　　默認(rèn)安全　　

　　過(guò)去，包括像微軟這樣的企業(yè)，都在他們的web服務(wù)器上安裝一系列的默認(rèn)示例腳本，文件處理和最小文件授權(quán)，以提高治理員治理的靈活性和可用性。但是，這些默認(rèn)設(shè)置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎(chǔ)。因此，IIS 6.0被設(shè)計(jì)成了一個(gè)比早期產(chǎn)品更安全的平臺(tái)。最顯而易見(jiàn)的變化是IIS 6.0并沒(méi)有被Windows Server 2003默認(rèn)安裝，而是需要治理員顯式的安裝這個(gè)組件。其他的變化包括：　　

　　·默認(rèn)只安裝靜態(tài)HTTP服務(wù)器　　

　　IIS 6.0的默認(rèn)安裝被設(shè)置為僅安裝靜態(tài)Html頁(yè)面顯示所需的組件，而不答應(yīng)動(dòng)態(tài)內(nèi)容。下表比較了IIS 5.0和IIS 6.0的默認(rèn)安裝設(shè)置：

　　 IIS 6.0默認(rèn)設(shè)置安全性的改變

　　·默認(rèn)不安裝應(yīng)用范例　　

　　IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應(yīng)用。這些程序原被設(shè)計(jì)來(lái)方便程序員快速察看和調(diào)試數(shù)據(jù)庫(kù)的連接代碼，但是由于showcode.asp和codebrws.asp沒(méi)有正確的進(jìn)行輸入檢查，以確定所訪問(wèn)的文件是否位于站點(diǎn)根目錄下。這就答應(yīng)攻擊者繞過(guò)它去讀取系統(tǒng)中的任何一個(gè)文件（包括敏感信息和本應(yīng)不可見(jiàn)的配置文件），參考以下鏈接以獲取該漏洞的更多的細(xì)節(jié)：http://www.microsoft.com/technet/treeview/default.asp?

　　url=/technet/security/bulletin/MS99-013.asp 　　

　　·增強(qiáng)的文件訪問(wèn)控制

　　匿名帳號(hào)不再具有web服務(wù)器根目錄的寫(xiě)權(quán)限。另外，F(xiàn)TP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務(wù)器文件系統(tǒng)的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執(zhí)行代碼，并遠(yuǎn)程執(zhí)行這些代碼，從而攻擊web站點(diǎn)。

　　·虛擬目錄不再具有執(zhí)行權(quán)限　　

　　虛擬目錄中不再答應(yīng)執(zhí)行可執(zhí)行程序。這樣避免了大量的存在于早期IIS系統(tǒng)中的目錄遍歷漏洞、上傳代碼漏洞以及MDAC漏洞。　　

　　·去除了子驗(yàn)證模塊　　

　　IIS 6.0中去除了IISSUBA.dll。任何在早期IIS版本中，需要該DLL模塊來(lái)驗(yàn)證的賬號(hào)，現(xiàn)在需要具有"從網(wǎng)絡(luò)上訪問(wèn)這臺(tái)計(jì)算機(jī)"的權(quán)限。這個(gè)DLL模塊的去除，可以強(qiáng)制要求所有的訪問(wèn)都直接去SAM或者活動(dòng)目錄進(jìn)行身份驗(yàn)證，從而減少I(mǎi)IS可能的被攻擊面。　　

　　·父目錄被禁用　　

　　IIS 6.0中默認(rèn)禁用了對(duì)父目錄的訪問(wèn)。這樣可以避免攻擊者跨越web站點(diǎn)的目錄結(jié)構(gòu)，訪問(wèn)服務(wù)器上的其他敏感文件，如SAM文件等。當(dāng)然也請(qǐng)注重，由于父目錄默認(rèn)被禁用，這可能導(dǎo)致一些從早期版本IIS上遷移過(guò)來(lái)的應(yīng)用由于無(wú)法使用父目錄而出錯(cuò) QQRead.com 推出數(shù)據(jù)恢復(fù)指南教程數(shù)據(jù)恢復(fù)指南教程數(shù)據(jù)恢復(fù)故障解析常用數(shù)據(jù)恢復(fù)方案硬盤(pán)數(shù)據(jù)恢復(fù)教程數(shù)據(jù)保護(hù)方法數(shù)據(jù)恢復(fù)軟件專業(yè)數(shù)據(jù)恢復(fù)服務(wù)指南
　　安全設(shè)計(jì)　　

　　IIS 6.0設(shè)計(jì)中安全性的根本改變表現(xiàn)在：改善的數(shù)據(jù)有效性、增強(qiáng)的日志功能、快速失敗保護(hù)、應(yīng)用程序隔離和最小權(quán)限原則。　　

　　改善的數(shù)據(jù)有效性　　

　　IIS 6.0設(shè)計(jì)上的一個(gè)主要新特性是工作在內(nèi)核模式的HTTP驅(qū)動(dòng)--HTTP.sys。它不僅提高了web服務(wù)器的性能和可伸縮性，而且極大程度的加強(qiáng)了服務(wù)器的安全性。HTTP.sys作為web服務(wù)器的門(mén)戶，首先解析用戶對(duì)web服務(wù)器的請(qǐng)求，然后指派一個(gè)合適的用戶級(jí)工作進(jìn)程來(lái)處理請(qǐng)求。工作進(jìn)程被限制在用戶模式以避免它訪問(wèn)未授權(quán)的系統(tǒng)核心資源。從而極大的限制了攻擊者對(duì)服務(wù)器保護(hù)資源的訪問(wèn)。

　　IIS 6.0通過(guò)在內(nèi)核模式的驅(qū)動(dòng)中整合一系列的安全機(jī)制，以提升其設(shè)計(jì)上固有的安全性。這些機(jī)制包括避免潛在的緩沖溢出，改善的日志機(jī)制以輔助事件響應(yīng)進(jìn)程和檢查用戶有效性請(qǐng)求的先進(jìn)URL解析機(jī)制。　　

　　為了第一時(shí)間的避免潛在的緩沖區(qū)和內(nèi)存溢出漏洞的利用，微軟通過(guò)在HTTP.sys中進(jìn)行非凡的URL解析設(shè)置以實(shí)現(xiàn)IIS 6.0安全設(shè)計(jì)中的深度防御原則。這些設(shè)置還可以通過(guò)修改注冊(cè)表中特定的鍵值來(lái)進(jìn)一步優(yōu)化。下表提供了主要注冊(cè)表鍵值的位置（均在以下路徑HKLMSystemCurrentControlSetServicesHTTPParameters）：　　

　　增強(qiáng)的日志機(jī)制　　

　　一個(gè)全面的日志是檢測(cè)或響應(yīng)一個(gè)安全事故的基礎(chǔ)要求。微軟也意識(shí)到了在HTTP.sys中進(jìn)行全面的、可靠的日志機(jī)制的重要性。HTTP.sys在將請(qǐng)求指派給特定的工作進(jìn)程之前就進(jìn)行日志記錄。這樣可以保證，即使工作進(jìn)程中斷了，也會(huì)保留一個(gè)錯(cuò)誤日志。日志由發(fā)生錯(cuò)誤的時(shí)間戳、來(lái)源目的IP和端口、協(xié)議版本、HTTP動(dòng)作、URL地址、協(xié)議狀態(tài)、站點(diǎn)ID和HTTP.sys的原因解釋等條目構(gòu)成。原因解釋能夠提供具體的錯(cuò)誤產(chǎn)生原因的信息，如由于超時(shí)導(dǎo)致的錯(cuò)誤，或由于工作進(jìn)程的異常終止而引發(fā)的應(yīng)用程序池強(qiáng)行切斷連接而導(dǎo)致的錯(cuò)誤。　　

　　以下連接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp

　　?url=/technet/PRodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp QQRead.com 推出數(shù)據(jù)恢復(fù)指南教程數(shù)據(jù)恢復(fù)指南教程數(shù)據(jù)恢復(fù)故障解析常用數(shù)據(jù)恢復(fù)方案硬盤(pán)數(shù)據(jù)恢復(fù)教程數(shù)據(jù)保護(hù)方法數(shù)據(jù)恢復(fù)軟件專業(yè)數(shù)據(jù)恢復(fù)服務(wù)指南
　　快速失敗保護(hù)　

　　除了修改注冊(cè)表，IIS 6.0的治理員還可以通過(guò)服務(wù)器設(shè)置，來(lái)使那些在一段時(shí)間內(nèi)反復(fù)失敗的進(jìn)程關(guān)閉或者重新運(yùn)行。這個(gè)附加的保護(hù)措施是為了防止應(yīng)用程序因?yàn)槭艿焦舳粩嗟爻鲥e(cuò)。這個(gè)特性就叫做快速失敗保護(hù)。　　

　　快速失敗保護(hù)可以按照以下步驟在Internet信息服務(wù)治理工具中配置：　　

　　1. 在Internet信息服務(wù)（IIS）治理器中，展開(kāi)本地計(jì)算機(jī)。　　

　　2. 展開(kāi)應(yīng)用程序池。　　

　　3. 在要設(shè)定快速失敗保護(hù)的應(yīng)用程序池上單擊鼠標(biāo)右鍵。　　

　　4. 選擇屬性。　　

　　5. 選擇運(yùn)行狀況選項(xiàng)卡，勾選啟用快速失敗保護(hù)。　　

　　6. 在失敗數(shù)中，填寫(xiě)可以忍受的工作進(jìn)程失敗次數(shù)（在結(jié)束這個(gè)進(jìn)程之前）。 7. 在時(shí)間段中，填寫(xiě)累計(jì)工作進(jìn)程失敗次數(shù)統(tǒng)計(jì)的時(shí)間。　　

　　應(yīng)用程序隔離

　　在早期版本的IIS中（5.0和以前的版本），由于將web應(yīng)用程序隔離在獨(dú)立的單元將會(huì)導(dǎo)致嚴(yán)重的性能下降，因此沒(méi)有實(shí)現(xiàn)應(yīng)用程序隔離。通常一個(gè)web應(yīng)用程序的失敗會(huì)影響同一服務(wù)器上其他應(yīng)用程序。然而，IIS 6.0在處理請(qǐng)求時(shí)，通過(guò)將應(yīng)用程序隔離成一個(gè)個(gè)叫做應(yīng)用程序池的孤立單元這種設(shè)計(jì)上的改變，成倍的提高了性能。每個(gè)應(yīng)用程序池中通常由一個(gè)或多個(gè)工作進(jìn)程。這樣就答應(yīng)確定錯(cuò)誤的位置，防止一個(gè)工作進(jìn)程影響其他工作進(jìn)程。這種機(jī)制也提高了服務(wù)器以及其上應(yīng)用的可靠性。　

　　堅(jiān)持最小特權(quán)原則　　

　　IIS 6.0堅(jiān)持一個(gè)基本安全原則--最小特權(quán)原則。也就是說(shuō)，HTTP.sys中所有代碼都是以Local System權(quán)限執(zhí)行的，而所有的工作進(jìn)程，都是以Network Service的權(quán)限執(zhí)行的。Network Service是Windows 2003中新內(nèi)置的一個(gè)被嚴(yán)格限制的賬號(hào)。另外，IIS 6.0只答應(yīng)治理員執(zhí)行命令行工具，從而避免命令行工具的惡意使用。這些設(shè)計(jì)上的改變，都降低了通過(guò)潛在的漏洞攻擊服務(wù)器的可能性。部分基礎(chǔ)設(shè)計(jì)上的改變、一些簡(jiǎn)單配置的更改（包括取消匿名用戶向web服務(wù)器的根目錄寫(xiě)入權(quán)限，和將FTP用戶的訪問(wèn)隔離在他們各自的主目錄中）都極大地提高了IIS 6.0的安全性。　　

　　IIS 6.0是微軟公司在幫助客戶提高安全性上邁出的正確一步。它為Web應(yīng)用提供了一個(gè)可靠的安全的平臺(tái)。這些安全性的提高應(yīng)歸功于IIS 6.0默認(rèn)的安全設(shè)置，在設(shè)計(jì)過(guò)程中就對(duì)安全性的著重考慮，以及增強(qiáng)的監(jiān)視與日志功能。但是治理員不應(yīng)該認(rèn)為僅通過(guò)簡(jiǎn)單的遷移到新平臺(tái)就可以獲得全面的安全。正確的做法是應(yīng)該進(jìn)行多層面的安全設(shè)置，從而獲得更全面的安全性。這也與針對(duì)Code Red和Nimda病毒威脅而進(jìn)行的深度安全防御原則是一致的。

上一篇：無(wú)盤(pán)終端問(wèn)題解決一法

下一篇：無(wú)盤(pán)網(wǎng)絡(luò)PXE啟動(dòng)原理