Microsoft IIS 真的如此「不安全」嗎？(2)

2019-11-18 20:28:22

字體：大中小

來源：轉載

供稿：網友

很多公司使用以下這兩個步驟為它們基于 Windows 2000 的網絡服務器來做組態：（1）安裝 IIS 5.0、（2）不再理它。如果僅只于此的話，何不來個第三步驟：祈禱。

對于 IIS 5.0，Microsoft 針對安全性和可存取性/可用性（accessibility/usability）兩方面做了很好的折衷，一般認為更傾向于后者。Data Return Corporation 的高級信息安全工程師 Alexandra Nosratinia 說，與諸如Apache 等服務器相比，IIS 的圖形使用者接口（GUI）使管理和解決問題變得容易了，網站架設也非常快速。有了 IIS 的圖形使用者接口，甚至可以不再需要專家的幫助。但要了解的是，容易用的系統并不代表是安全的系統。

如果選擇 IIS 的預設組態（default configuration），你就是在自找麻煩。加強安全性雖然是你的責任，不過Microsoft 為此提供了充足的信息來幫助你。

從 Microsoft 的IIS 5.0 安全性檢查清單開始吧！它收錄了許多簡單易懂的步驟，幫助保護 Windows 2000 系列的網站服務器免受絕大多數的攻擊。在這個清單中能夠找到的信息包括以下實用的主題：

在入侵者突破了防火墻的情況下配置 ipSec 策略。
通過限制來隔絕那些可以存取 Telnet 服務器的用戶以達到保護服務器的目的。
為服務器的虛擬目錄設置適當的存取控制。
進行日志記錄，并在日志文件（log files）中設置適當的權限。
如果合適的話，為 IP 地址和 DNS 地址做權限。
更新網絡服務器上的 Root CA 證書。
移除 IIS 中所有的示范應用程序。
移除所有不必要的 COM 組件，例如 File System Object。
從 IIS 4.0 升級以后，移除 IISADMPWD 虛擬目錄。
移除無用的應用程序對應（script mappings），例如 IDC 或 HTR。
在 asp 程序代碼中檢查窗體輸入，以防止惡意輸入。
在 IIS 5.0 中禁用 Parent Paths 選項。
禁用 Content-Location 文件的表頭信息，以免泄露地址。
如果你熟悉為 IIS 4.0 提供的類似檢查清單，你會注意到 IIS 5.0 的版本簡短了許多。這是因為 Microsoft 把很多 IIS 4.0 清單中的配置（setting）移到了為 Windows 2000 準備的新的Hisecweb.inf 安全模板中。下載該模板并用在你的服務器上。另外，也有很多在IIS 4.0 清單中屬于建議的配置，現在已成了 IIS 5.0 中預設的配置。

上一篇：Microsoft IIS 真的如此「不安全」嗎？(3)

下一篇：Microsoft IIS 真的如此「不安全」嗎？(1)