让LockDown增强IIS服务器的安全性

Author: 曹文中 Date: 2001年 41期

?牐牨嗾甙矗浩笠抵凶ㄓ梅衿魉娑缘氖且欢ǚ段У挠没В婪犊刂葡喽越弦祝鳺eb服务器是面向全球客户的，接入的随意性给安全防范带来很大的压力，因而合理控制Web服务器，保障它在提供服务的前提下安全运行十分重要。在合理控制Web服务器方面，简单原则很有用，即根据本身业务的需求，启用Web服务器上最小服务进程。微软公司对其Web服务器IIS就提供了安全设置的工具LockDown（2001年《电脑报》39期D4版《谨防“尼姆达”蠕虫病毒》一文曾介绍过该软件的下载地址），通过该工具，Web服务器管理人员可以方便地控制Web服务器上运行的进程，从而达到防范控制的目的。
　　?牐犗挛闹饕恿礁龇矫娑訪ockdown软件的使用进行说明，一是IIS服务器上可选择的服务类型，二是Lockdown 软件的安装与使用。
　　#1?牐營IS服务器上可选择的服务
　　?牐營IS服务器上可选择的服务包括两部分，一是一些Script对应关系，二是IIS服务器默认安装时，创建的附加事例文件及服务。Script对应关系与IIS服务器上采用的ISAPI接口有关。ISAPI的全称为互联网服务应用程序接口，通过它可以增强Web服务的性能，IIS服务器上一些高级服务就是通过ISAPI实现的。可我们通过中断相应的Script对应关系可屏蔽ISAPI的接口，它被屏蔽后，我们需建立新的对应关系，以便IIS服务器接到服务请求时，反馈用户“file no found”这样的错误提示。IIS中的Script对应关系有以下几种：
　　?牐牎馎ctive Server Pages （.ASP）：ASP 是让开发者创建动态页面的技术。IIS服务器上的ASP文件接受到用户请求后，在服务器上执行，生成HTML文件，然后发送给客户。IIS服务器上无ASP文件，应关闭该项Script MAPPING.
　　?牐牎馡ndex Server Web Interface（.IDQ）：该接口允许管理员远程管理索引服务器，并允许客户通过Web创建个性化的查询。禁止该接口，不影响标准的索引服务，但是，客户此时无法创建个性化的查询。
　　?牐牎馭erver-Side Includes （.SHTML、 .SHTM、 .STM）：该功能使得Web服务器能在向客户发送页面前，将文本，图片及应用程序数据引入页面中。该特性使得Web开发者可将多个页面常用的信息放在独立的文件中，运行时再将它调入。
　　?牐牎馡nternet Data Connector （.IDC）：IDC是一项执行数据库查询并将结果插入HTML页面的技术，该功能现可通过ASP技术来实现。建议屏蔽该功能，如需要则通过ASP来实现。
　　?牐牎馡nternet Printing （.Printer）：该功能允许客户通过互联网发送和管理打印任务。建议屏蔽该功能，如启用该功能，必须同时启用ASP技术。
　　?牐牎馠TR Scripting （.HTR）：HTR是第一代描述性语言，其与ASP相似，但功能要比ASP少得多，现应用得最多的地方是通过Web服务器更改登录口令。建议屏蔽该功能，如需要时，采用ASP来代替。IIS默认安装的附加文件和服务下列的服务均可通过Lockdown软件删除和恢复。
　　?牐牎馬emove sample Web files：IIS提供一些指导性的页面和Script范例，这些文件是不应出现在正式运行的Web服务器上的。建议删除这些范例文件。
　　?牐牎馬emove the Scripts virtual directory：默认情况下，IIS服务器在安装时创建存放Script的虚拟目录。通过删除虚拟目录，IIS服务器的安全性在两方面可以得到加强，一是保障没有缺省的Script被执行，二是防止网上攻击者通过在虚拟目录中放置Script获取其他权限。建议当Web服务器上无Script时不设虚拟目录，当实在需要时，也要将原虚拟目录移至其他地方，增强虚拟目录的安全性。
　　?牐牎馬emove the MSADC virtual directoryMSADC：虚拟目录提供通过微软高级数据连接和远程数据服务进行基于Web的数据库操作。建议在不许RDS服务时，屏蔽该功能。
　　?牐牎馜isable Distributed Authoring and Versioning （WebDAV）：WebDAV是允许作者远程创建，分发和管理Web上内容的协议。
　　?牐牎馭et file permissions to prevent the IIS anonymous user account from executing system utilities：IIS对匿名用户采用（IUSR_computername）账户，它有权接近存放Web内容的目录，但是，当某种异常情况出现时，匿名用户可能利用（IUSR_computername）是EVERYONE用户群一员的关系取得对系统文件的执行权。因而建议屏蔽匿名账户的执行权。
　　?牐牎馭et file permissions to prevent the IIS anonymous user account from writing to Web content directories：IIS对匿名用户采用（IUSR_computername）账户，它有权读取存放Web内容的目录，但是，当某种异常情况出现时，匿名用户可能利用（IUSR_computername）是Everyone用户群一员的关系取得对系统文件的写权限。因而建议屏蔽匿名账户的写权限安装与操作Lockdown软件安装与执行是一体的，安装过程结束，即是执行结束。
　　?牐犉浒沧疤峁┝街址绞健Ｒ晃焖侔沧埃呒栋沧啊?
　　#1?牐牽焖侔沧?
　　?牐牽焖侔沧笆褂萌砑系纳柚茫商峁┳畲蟮陌踩浴Ｔ诵泻螅琖eb服务器只能提供静态HTML页面，而不能提供ASP，动态搜索，互联网上打印等服务。
　　?牐牥沧爸葱泄倘缦拢?
　　?牐?1.运行IISLOCKD.EXE；
　　?牐?2.按下一步，选择安装方式；
　　?牐?3.快速安装选择Express Lockdown；
　　?牐?4.单击yes，执行安装运行任务，单击“View Report”可察看详细执行记录；
　　?牐?5.单击下一步，进入结束画面，点击完成，结束安装执行。
　　#1?牐牳呒栋沧?
　　?牐牳呒栋沧笆共僮髡咦约貉≡窨刂葡睿此鑇eb服务器的实际需求进行配置。安装执行过程如下：
　　?牐?1.启动方式同快速安装，在选择安装方式时，选择Advanced Lockdown。
　　?牐?2.按下一步，进入Script选择页面，选择要禁止的Script对应关系（图1）（^41040801a^）。
　　?牐?3.然后，单击下一步，进入附加操作页面，选择要删除的内容（图2）（^41040801b^）。
　　?牐?4.单击下一步，进入后续执行页面，过程同快速安装。
　　#1?牐牷指?
　　?牐營ISLockDown还提供恢复机制，当用户执行IISLockDown后，如意识到有不妥之处，可利用该恢复机制，将IIS服务器恢复到运行IISLockDown以前的效果。执行方式如下，仍然运行IISLOCKD.EXE程序，偶次运行时，其出现如下画面（图3）（^41040801c^）。
　　?牐牭セ鳌皍ndo”，进行恢复操作。再单击下一步，进入结束画面，单击完成，结束运行。值得注意的是，IIS LockDown软件只能提供到最近一次的恢复操作，如意识到对IIS安全控制有不妥时，应立即执行恢复操作。
　　?牐牳酱得鳎篒ISLockDown软件可应用在WinNT4.0和Win2000上，以上图示是在Win2000上运行的效果。
　　
　　