让LockDown增强IIS服务器的安全性

Author: 曹文中 Date: 2001年 41期

?牐牨嗾甙矗浩笠抵凶ㄓ梅衿魉娑缘氖且欢ǚ段У挠没В婪犊刂葡喽越弦祝鳺eb服务器是面向全球客户的,接入的随意性给安全防范带来很大的压力,因而合理控制Web服务器,保障它在提供服务的前提下安全运行十分重要。在合理控制Web服务器方面,简单原则很有用,即根据本身业务的需求,启用Web服务器上最小服务进程。微软公司对其Web服务器IIS就提供了安全设置的工具LockDown(2001年《电脑报》39期D4版《谨防“尼姆达”蠕虫病毒》一文曾介绍过该软件的下载地址),通过该工具,Web服务器管理人员可以方便地控制Web服务器上运行的进程,从而达到防范控制的目的。
  ?牐犗挛闹饕恿礁龇矫娑訪ockdown软件的使用进行说明,一是IIS服务器上可选择的服务类型,二是Lockdown 软件的安装与使用。
  #1?牐營IS服务器上可选择的服务
  ?牐營IS服务器上可选择的服务包括两部分,一是一些Script对应关系,二是IIS服务器默认安装时,创建的附加事例文件及服务。Script对应关系与IIS服务器上采用的ISAPI接口有关。ISAPI的全称为互联网服务应用程序接口,通过它可以增强Web服务的性能,IIS服务器上一些高级服务就是通过ISAPI实现的。可我们通过中断相应的Script对应关系可屏蔽ISAPI的接口,它被屏蔽后,我们需建立新的对应关系,以便IIS服务器接到服务请求时,反馈用户“file no found”这样的错误提示。IIS中的Script对应关系有以下几种:
  ?牐牎馎ctive Server Pages (.ASP):ASP 是让开发者创建动态页面的技术。IIS服务器上的ASP文件接受到用户请求后,在服务器上执行,生成HTML文件,然后发送给客户。IIS服务器上无ASP文件,应关闭该项Script MAPPING.
  ?牐牎馡ndex Server Web Interface(.IDQ):该接口允许管理员远程管理索引服务器,并允许客户通过Web创建个性化的查询。禁止该接口,不影响标准的索引服务,但是,客户此时无法创建个性化的查询。
  ?牐牎馭erver-Side Includes (.SHTML、 .SHTM、 .STM):该功能使得Web服务器能在向客户发送页面前,将文本,图片及应用程序数据引入页面中。该特性使得Web开发者可将多个页面常用的信息放在独立的文件中,运行时再将它调入。
  ?牐牎馡nternet Data Connector (.IDC):IDC是一项执行数据库查询并将结果插入HTML页面的技术,该功能现可通过ASP技术来实现。建议屏蔽该功能,如需要则通过ASP来实现。
  ?牐牎馡nternet Printing (.Printer):该功能允许客户通过互联网发送和管理打印任务。建议屏蔽该功能,如启用该功能,必须同时启用ASP技术。
  ?牐牎馠TR Scripting (.HTR):HTR是第一代描述性语言,其与ASP相似,但功能要比ASP少得多,现应用得最多的地方是通过Web服务器更改登录口令。建议屏蔽该功能,如需要时,采用ASP来代替。IIS默认安装的附加文件和服务下列的服务均可通过Lockdown软件删除和恢复。
  ?牐牎馬emove sample Web files:IIS提供一些指导性的页面和Script范例,这些文件是不应出现在正式运行的Web服务器上的。建议删除这些范例文件。
  ?牐牎馬emove the Scripts virtual directory:默认情况下,IIS服务器在安装时创建存放Script的虚拟目录。通过删除虚拟目录,IIS服务器的安全性在两方面可以得到加强,一是保障没有缺省的Script被执行,二是防止网上攻击者通过在虚拟目录中放置Script获取其他权限。建议当Web服务器上无Script时不设虚拟目录,当实在需要时,也要将原虚拟目录移至其他地方,增强虚拟目录的安全性。
  ?牐牎馬emove the MSADC virtual directoryMSADC:虚拟目录提供通过微软高级数据连接和远程数据服务进行基于Web的数据库操作。建议在不许RDS服务时,屏蔽该功能。
  ?牐牎馜isable Distributed Authoring and Versioning (WebDAV):WebDAV是允许作者远程创建,分发和管理Web上内容的协议。
  ?牐牎馭et file permissions to prevent the IIS anonymous user account from executing system utilities:IIS对匿名用户采用(IUSR_computername) 账户,它有权接近存放Web内容的目录,但是,当某种异常情况出现时,匿名用户可能利用(IUSR_computername)是EVERYONE用户群一员的关系取得对系统文件的执行权。因而建议屏蔽匿名账户的执行权。
  ?牐牎馭et file permissions to prevent the IIS anonymous user account from writing to Web content directories:IIS对匿名用户采用(IUSR_computername) 账户,它有权读取存放Web内容的目录,但是,当某种异常情况出现时,匿名用户可能利用(IUSR_computername)是Everyone用户群一员的关系取得对系统文件的写权限。因而建议屏蔽匿名账户的写权限安装与操作Lockdown软件安装与执行是一体的,安装过程结束,即是执行结束。
  ?牐犉浒沧疤峁┝街址绞健R晃焖侔沧埃呒栋沧啊?
  #1?牐牽焖侔沧?
  ?牐牽焖侔沧笆褂萌砑系纳柚茫商峁┳畲蟮陌踩浴T诵泻螅琖eb服务器只能提供静态HTML页面,而不能提供ASP,动态搜索,互联网上打印等服务。
  ?牐牥沧爸葱泄倘缦拢?
  ?牐?1.运行IISLOCKD.EXE;
  ?牐?2.按下一步,选择安装方式;
  ?牐?3.快速安装选择Express Lockdown;
  ?牐?4.单击yes,执行安装运行任务,单击“View Report”可察看详细执行记录;
  ?牐?5.单击下一步,进入结束画面,点击完成,结束安装执行。
  #1?牐牳呒栋沧?
  ?牐牳呒栋沧笆共僮髡咦约貉≡窨刂葡睿此鑇eb服务器的实际需求进行配置。安装执行过程如下:
  ?牐?1.启动方式同快速安装,在选择安装方式时,选择Advanced Lockdown。
  ?牐?2.按下一步,进入Script选择页面,选择要禁止的Script对应关系(图1)(^41040801a^)。
  ?牐?3.然后,单击下一步,进入附加操作页面,选择要删除的内容(图2)(^41040801b^)。
  ?牐?4.单击下一步,进入后续执行页面,过程同快速安装。
  #1?牐牷指?
  ?牐營ISLockDown还提供恢复机制,当用户执行IISLockDown后,如意识到有不妥之处,可利用该恢复机制,将IIS服务器恢复到运行IISLockDown以前的效果。执行方式如下,仍然运行IISLOCKD.EXE程序,偶次运行时,其出现如下画面(图3)(^41040801c^)。
  ?牐牭セ鳌皍ndo”,进行恢复操作。再单击下一步,进入结束画面,单击完成,结束运行。值得注意的是,IIS LockDown软件只能提供到最近一次的恢复操作,如意识到对IIS安全控制有不妥时,应立即执行恢复操作。
  ?牐牳酱得鳎篒ISLockDown软件可应用在WinNT4.0和Win2000上,以上图示是在Win2000上运行的效果。