论文部分内容阅读
【摘要】IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以,IIS在Windows Server 2003中不是默认安装的,只有在确定启用一台Web服务器的时候,才有必要安装。但是IIS的配置仍然是我们的重点。根据安全原则,最少的服务+最小的权限=最大的安全。
【关键词】IIS;漏洞;问题;安全
一、IIS概述
IIS是Internet Information Services的简称,中文意思为Internet信息服务。它是Windows Server 2003的一个重点的服务器组件,主要是向客户端提供各种Internet服务。IIS提供的基本服务包括:发布信息(WEB)、传输文件(FTP)、支持用户通讯(SNMP)和更新这些服务所在依赖的数据存储等等。正是因为这样所以服务越多,漏洞也随之越多,而这里的重点就是补漏。
二、有关IIS安全设置与漏洞安全
(1)有关IIS安全设置。第一,只安装Option Pack中必须的服务。建议不要安装公司Index Server、FrontPage Server Extensions、示例WWW站点等功能。第二,新建WWW服务与FTP服务。默认的站点与管理Web站点含有大量有安全漏洞的文件,容易给黑客创造攻击机会。因此,必须禁止。同时,应该在新的目录下建立服务。这个目录千万不要放在InetPubwwwroot下,最好放在与它不同的分区下。第三,删除不必要的IIS扩展名映射。最好关闭.IDC、.HTR、.STM、.IDA、.HTW等应用程序映射。第四,安装新的Service Pack后,IIS应用程序映射应重新设置。要安装新的Service Pack后,某些应用程序映射可能又会出现,导到出现安全漏洞。这是网络管理员比较容易忽视的一点。第五,设置IP拒绝访问列表。对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址、特别是对于FTP服务。第六,禁止对FTP服务的匿名访问如果允许对FTP服务做匿名访问,该匿名账户就有可能被利用来获取更多的信息,以至对系统造成危害。第七,建议使用W3C扩充日志文件格式。每天记录客户IP地址、用户名、服务器端口、方法、URL字根、HTTP状态以用用户代理,而且每天均要审查日志。同时最好不要使用缺省目录。建议更换一个记日志的路径,同时重新设置日志的访问权限。(2)有关IIS漏洞安全。第一,IIS的Index Server服务漏洞。IIS4.0与5.0的服务器存在着INDEX SERVER服务漏洞,当用户使用IIS4.0或者IIS5.0的服务器时,一旦启动了INDEX SERVER,入侵者就可在浏览器地址栏中的URL后面加上一些特殊的字符格式,此时入侵者就可以浏览到ASP源程序或者其他页面的程序,甚至已经打上了最近关于查看源代码的漏洞补丁程序的系统,或者没有.HTW文件的系统,同样存在该问题。通过构建下面的URL请求可以查看到该程序的源代码:http://___/null.htw?CiwebHitsFile=/default.acp&CiRestriction=none&CiHiliteType=pull。但是,这样只能得到一些HTML格式的文本.如果把特殊符号%20添加到CiWebHitsFile的参数后面,构造如下的URL:HTTP://___/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full,就得到了该程序的源代码了。“null.htw”文件并非真正的系统映射文件,它只是一个储存在系统内在中的虚拟文件。第二,IIS的INDEX WERVER服务漏洞的防范。解决这个漏洞的方法就是删除.htw映像文件或者下载补丁。
三、IIS安全隐患策略
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是这样也不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(这里虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果这里需要什么权限的目录可以慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。)
当今社会随之而来的电子信息产的发展趋势,我们有理由相信不久的将来网络站点服务将会越来越重要,随之而来的就是网站服务的安全问题。重点就是怎样使它们之间保持平衡能够更好的服务于大众,在这里网站服务的安全性就显的尤其重要,所以这里就得对它随时随地监控和维护。
参 考 文 献
[1]刘永华.Windows Server 2003[J].北京:科学出版社,2005
[2]方耿,林庆霓,莫卓豪.网络维护与故障诊断[J].北京:冶金工业出版,2004
[3]孙振池,王勤.ASP动态网页设计[J].北京:中国计划出版社,2007
【关键词】IIS;漏洞;问题;安全
一、IIS概述
IIS是Internet Information Services的简称,中文意思为Internet信息服务。它是Windows Server 2003的一个重点的服务器组件,主要是向客户端提供各种Internet服务。IIS提供的基本服务包括:发布信息(WEB)、传输文件(FTP)、支持用户通讯(SNMP)和更新这些服务所在依赖的数据存储等等。正是因为这样所以服务越多,漏洞也随之越多,而这里的重点就是补漏。
二、有关IIS安全设置与漏洞安全
(1)有关IIS安全设置。第一,只安装Option Pack中必须的服务。建议不要安装公司Index Server、FrontPage Server Extensions、示例WWW站点等功能。第二,新建WWW服务与FTP服务。默认的站点与管理Web站点含有大量有安全漏洞的文件,容易给黑客创造攻击机会。因此,必须禁止。同时,应该在新的目录下建立服务。这个目录千万不要放在InetPubwwwroot下,最好放在与它不同的分区下。第三,删除不必要的IIS扩展名映射。最好关闭.IDC、.HTR、.STM、.IDA、.HTW等应用程序映射。第四,安装新的Service Pack后,IIS应用程序映射应重新设置。要安装新的Service Pack后,某些应用程序映射可能又会出现,导到出现安全漏洞。这是网络管理员比较容易忽视的一点。第五,设置IP拒绝访问列表。对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址、特别是对于FTP服务。第六,禁止对FTP服务的匿名访问如果允许对FTP服务做匿名访问,该匿名账户就有可能被利用来获取更多的信息,以至对系统造成危害。第七,建议使用W3C扩充日志文件格式。每天记录客户IP地址、用户名、服务器端口、方法、URL字根、HTTP状态以用用户代理,而且每天均要审查日志。同时最好不要使用缺省目录。建议更换一个记日志的路径,同时重新设置日志的访问权限。(2)有关IIS漏洞安全。第一,IIS的Index Server服务漏洞。IIS4.0与5.0的服务器存在着INDEX SERVER服务漏洞,当用户使用IIS4.0或者IIS5.0的服务器时,一旦启动了INDEX SERVER,入侵者就可在浏览器地址栏中的URL后面加上一些特殊的字符格式,此时入侵者就可以浏览到ASP源程序或者其他页面的程序,甚至已经打上了最近关于查看源代码的漏洞补丁程序的系统,或者没有.HTW文件的系统,同样存在该问题。通过构建下面的URL请求可以查看到该程序的源代码:http://___/null.htw?CiwebHitsFile=/default.acp&CiRestriction=none&CiHiliteType=pull。但是,这样只能得到一些HTML格式的文本.如果把特殊符号%20添加到CiWebHitsFile的参数后面,构造如下的URL:HTTP://___/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full,就得到了该程序的源代码了。“null.htw”文件并非真正的系统映射文件,它只是一个储存在系统内在中的虚拟文件。第二,IIS的INDEX WERVER服务漏洞的防范。解决这个漏洞的方法就是删除.htw映像文件或者下载补丁。
三、IIS安全隐患策略
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是这样也不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(这里虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果这里需要什么权限的目录可以慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。)
当今社会随之而来的电子信息产的发展趋势,我们有理由相信不久的将来网络站点服务将会越来越重要,随之而来的就是网站服务的安全问题。重点就是怎样使它们之间保持平衡能够更好的服务于大众,在这里网站服务的安全性就显的尤其重要,所以这里就得对它随时随地监控和维护。
参 考 文 献
[1]刘永华.Windows Server 2003[J].北京:科学出版社,2005
[2]方耿,林庆霓,莫卓豪.网络维护与故障诊断[J].北京:冶金工业出版,2004
[3]孙振池,王勤.ASP动态网页设计[J].北京:中国计划出版社,2007