以下的文章主要描述的是IIS 6.0默認(rèn)設(shè)置安全性的終極秘籍，因為Web服務(wù)器現(xiàn)在被越來越多的駭客與蠕蟲制造者的攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計算計劃中首要關(guān)注的內(nèi)容。

因此，IIS 6.0被完全的重新設(shè)計，以實現(xiàn)默認(rèn)安全和設(shè)計安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺。

由于Web服務(wù)器被越來越多的駭客和蠕蟲制造者作為首要攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計算計劃中首要關(guān)注的內(nèi)容。因此，IIS 6.0被完全的重新設(shè)計，以實現(xiàn)默認(rèn)安全和設(shè)計安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺。

默認(rèn)安全

過去，包括像微軟這樣的企業(yè)

，都在他們的web服務(wù)器上安裝一系列的默認(rèn)示例腳本，文件處理和最小文件授權(quán)，以提高管理員管理的靈活性和可用性。但是，這些默認(rèn)設(shè)置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎(chǔ)。因此，IIS 6.0被設(shè)計成了一個比早期產(chǎn)品更安全的平臺。最顯而易見的變化是IIS 6.0并沒有被Windows Server 2003默認(rèn)安裝，而是需要管理員顯式的安裝這個組件。其他的變化包括：

默認(rèn)只安裝靜態(tài)HTTP服務(wù)器

IIS 6.0的默認(rèn)安裝被設(shè)置為僅安裝靜態(tài)HTML頁面顯示所需的組件，而不允許動態(tài)內(nèi)容。下表比較了IIS 5.0和IIS 6.0的默認(rèn)安裝設(shè)置：

默認(rèn)不安裝應(yīng)用范例

IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應(yīng)用。這些程序原被設(shè)計來方便程序員快速察看和調(diào)試數(shù)據(jù)庫的連接代碼，但是由于showcode.asp和codebrws.asp沒有正確的進(jìn)行輸入檢查，以確定所訪問的文件是否位于站點(diǎn)根目錄下。這就允許攻擊者繞過它去讀取系統(tǒng)中的任何一個文件(包括敏感信息和本應(yīng)不可見的配置文件)，參考以下鏈接以獲取該漏洞的更多的細(xì)節(jié)：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增強(qiáng)的文件訪問控制

匿名帳號不再具有web服務(wù)器根目錄的寫權(quán)限。另外，F(xiàn)TP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務(wù)器文件系統(tǒng)的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執(zhí)行代碼，并遠(yuǎn)程執(zhí)行這些代碼，從而攻擊web站點(diǎn)。

虛擬目錄不再具有執(zhí)行權(quán)限

虛擬目錄中不再允許執(zhí)行可執(zhí)行程序。這樣避免了大量的存在于早期IIS系統(tǒng)中的目錄遍歷漏洞、上傳代碼漏洞以及MDAC漏洞。

去除了子驗證模塊

IIS 6.0中去除了IISSUBA.dll。任何在早期IIS版本中，需要該DLL模塊來驗證的賬號，現(xiàn)在需要具有"從網(wǎng)絡(luò)上訪問這臺計算機(jī)"的權(quán)限。這個DLL模塊的去除，可以強(qiáng)制要求所有的訪問都直接去SAM或者活動目錄進(jìn)行身份驗證，從而減少IIS可能的被攻擊面。

父目錄被禁用

IIS 6.0中默認(rèn)禁用了對父目錄的訪問。這樣可以避免攻擊者跨越web站點(diǎn)的目錄結(jié)構(gòu)，訪問服務(wù)器上的其他敏感文件，如SAM文件等。當(dāng)然也請注意，由于父目錄默認(rèn)被禁用，這可能導(dǎo)致一些從早期版本IIS上遷移過來的應(yīng)用由于無法使用父目錄而出錯

安全設(shè)計

IIS 6.0設(shè)計中安全性的根本改變表現(xiàn)在：改善的數(shù)據(jù)有效性、增強(qiáng)的日志功能、快速失敗保護(hù)、應(yīng)用程序隔離和最小權(quán)限原則。

改善的數(shù)據(jù)有效性

IIS 6.0設(shè)計上的一個主要新特性是工作在內(nèi)核模式的HTTP驅(qū)動--HTTP.sys。它不僅提高了web服務(wù)器的性能和可伸縮性，而且極大程度的加強(qiáng)了服務(wù)器的安全性。HTTP.sys作為web服務(wù)器的門戶，首先解析用戶對web服務(wù)器的請求，然后指派一個合適的用戶級工作進(jìn)程來處理請求。工作進(jìn)程被限制在用戶模式以避免它訪問未授權(quán)的系統(tǒng)核心資源。從而極大的限制了攻擊者對服務(wù)器保護(hù)資源的訪問。

IIS 6.0通過在內(nèi)核模式的驅(qū)動中整合一系列的安全機(jī)制，以提升其設(shè)計上固有的安全性。這些機(jī)制包括避免潛在的緩沖溢出，改善的日志機(jī)制以輔助事件響應(yīng)進(jìn)程和檢查用戶有效性請求的先進(jìn)URL解析機(jī)制。

為了第一時間的避免潛在的緩沖區(qū)和內(nèi)存溢出漏洞的利用，微軟通過在HTTP.sys中進(jìn)行特殊的URL解析設(shè)置以實現(xiàn)IIS 6.0安全設(shè)計中的深度防御原則。這些設(shè)置還可以通過修改注冊表中特定的鍵值來進(jìn)一步優(yōu)化。下表提供了主要注冊表鍵值的位置(均在以下路徑HKLM\System\CurrentControl\SetServices\HTTP\Parameters)：

增強(qiáng)的日志機(jī)制

一個全面的日志是檢測或響應(yīng)一個安全事故的基礎(chǔ)要求。微軟也意識到了在HTTP.sys中進(jìn)行全面的、可靠的日志機(jī)制的重要性。HTTP.sys在將請求指派給特定的工作進(jìn)程之前就進(jìn)行日志記錄。

這樣可以保證，即使工作進(jìn)程中斷了，也會保留一個錯誤日志。日志由發(fā)生錯誤的時間戳、來源目的IP和端口、協(xié)議版本、HTTP動作、URL地址、協(xié)議狀態(tài)、站點(diǎn)ID和HTTP.sys的原因解釋等條目構(gòu)成。原因解釋能夠提供詳細(xì)的錯誤產(chǎn)生原因的信息，如由于超時導(dǎo)致的錯誤，或由于工作進(jìn)程的異常終止而引發(fā)的應(yīng)用程序池強(qiáng)行切斷連接而導(dǎo)致的錯誤。

以下連接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp

快速失敗保護(hù)

除了修改注冊表，IIS 6.0的管理員還可以通過服務(wù)器設(shè)置，來使那些在一段時間內(nèi)反復(fù)失敗的進(jìn)程關(guān)閉或者重新運(yùn)行。這個附加的保護(hù)措施是為了防止應(yīng)用程序因為受到攻擊而不斷地出錯。這個特性就叫做快速失敗保護(hù)。

快速失敗保護(hù)可以按照以下步驟在Internet信息服務(wù)管理工具中配置：

1. 在Internet信息服務(wù)(IIS)管理器中，展開本地計算機(jī)。

2. 展開應(yīng)用程序池。

3. 在要設(shè)定快速失敗保護(hù)的應(yīng)用程序池上單擊鼠標(biāo)右鍵。

4. 選擇屬性。

5. 選擇運(yùn)行狀況選項卡，勾選啟用快速失敗保護(hù)。

6. 在失敗數(shù)中，填寫可以忍受的工作進(jìn)程失敗次數(shù)(在結(jié)束這個進(jìn)程之前)。 7. 在時間段中，填寫累計工作進(jìn)程失敗次數(shù)統(tǒng)計的時間。

應(yīng)用程序隔離

在早期版本的IIS中(5.0和以前的版本)，由于將web應(yīng)用程序隔離在獨(dú)立的單元將會導(dǎo)致嚴(yán)重的性能下降，因此沒有實現(xiàn)應(yīng)用程序隔離。通常一個web應(yīng)用程序的失敗會影響同一服務(wù)器上其他應(yīng)用程序。然而，IIS 6.0在處理請求時，通過將應(yīng)用程序隔離成一個個叫做應(yīng)用程序池的孤立單元這種設(shè)計上的改變，成倍的提高了性能。每個應(yīng)用程序池中通常由一個或多個工作進(jìn)程。這樣就允許確定錯誤的位置，防止一個工作進(jìn)程影響其他工作進(jìn)程。這種機(jī)制也提高了服務(wù)器以及其上應(yīng)用的可靠性。

堅持最小特權(quán)原則

IIS 6.0堅持一個基本安全原則--最小特權(quán)原則。也就是說，HTTP.sys中所有代碼都是以Local System權(quán)限執(zhí)行的，而所有的工作進(jìn)程，都是以Network Service的權(quán)限執(zhí)行的。Network Service是Windows 2003中新內(nèi)置的一個被嚴(yán)格限制的賬號。另外，IIS 6.0只允許管理員執(zhí)行命令行工具，從而避免命令行工具的惡意使用。這些設(shè)計上的改變，都降低了通過潛在的漏洞攻擊服務(wù)器的可能性。部分基礎(chǔ)設(shè)計上的改變、一些簡單配置的更改(包括取消匿名用戶向web服務(wù)器的根目錄寫入權(quán)限，和將FTP用戶的訪問隔離在他們各自的主目錄中)都極大地提高了IIS 6.0的安全性。

IIS 6.0是微軟公司在幫助客戶提高安全性上邁出的正確一步。它為Web應(yīng)用提供了一個可靠的安全的平臺。這些安全性的提高應(yīng)歸功于IIS 6.0默認(rèn)的安全設(shè)置，在設(shè)計過程中就對安全性的著重考慮，以及增強(qiáng)的監(jiān)視與日志功能。但是管理員不應(yīng)該認(rèn)為僅通過簡單的遷移到新平臺就可以獲得全面的安全。正確的做法是應(yīng)該進(jìn)行多層面的安全設(shè)置，從而獲得更全面的安全性。這也與針對Code Red和Nimda病毒威脅而進(jìn)行的深度安全防御原則是一致的。

原文出自【比特網(wǎng)】，轉(zhuǎn)載請保留原文鏈接：http://sec.chinabyte.com/343/8870343.shtml