IISWeb服务器容易忽视的六大基本安全问题电脑资料.doc

1、IIS Web效劳器容易无视的六大根本平安问题 电脑资料 　　对Web效劳器的攻击可以说是层次不穷， 　　一、不要使用缺省的WEB站点 　　在IIS Web效劳器安装部署完成之后，系统会建立一个默认的Web站点。有些用户就会直接使用这个站点进展网站的开发。这是一个非常不理智的做法，可能会带来很大的平安隐患。因为很多攻击都是针对默认的Web站点所展开的。 　　如在默认的Web站点中，有一个ipub文件夹。有些攻击者喜欢在这个文件夹中放置一些 工具，如窃取密码、Dos攻击等等。从而使得他们可以远程遥控这些工具，造成效劳器的瘫痪。由于默认的站点与文件夹的相关配置信息根本上是一样的，这

2、就方便了攻击者对效劳器进展工具。连信息搜集这一个步骤都可以省了。一些通过IP地址与效劳扫描的 工具，其使用的就是默认站点这个空子。 　　防范措施： 　　其实这一个风险还是很容易防止的。最简单的方法就是在建立网站的时候，不要使用这个默认的站点。而且需要将这个站点禁用掉。其实这个方法是一个最根本的平安措施。如在路由器等网络设备上，出于平安需要，也要求管理员禁用掉默认的用户名。这是同样的道理。然后也不要使用原有的文件夹。用户可以将真实的Web站点指向一个特定的位置。假设要进一步进步平安性的话，还可以对这个文件夹设置NTFS权限等措施。可见要预防这个平安风险是轻而易举的事情。但是现实中，可能用

3、户就是觉得其小，而没有引起足够的重视。从而给攻击者有机可乘。 　　二、严格控制效劳器的写访问权限 　　在一些内容比较多、构造比较复杂的Web效劳器，往往多个用户都对效劳器具有写入的权限。如有专门人员负责板块，有专门人员负责博客，有专门人员负责论坛等等。由于有众多的用户对网站效劳器具有写入的权限，就可能会带来一定的平安隐患。如某个用户的密码泄露的话，就会乘机对效劳器进展破坏。其实虽然他们都具有对效劳器的写入权限，但是他们的分工是不同的。每个人都有自己的领域。 　　再如一个校园的校园网，一个Web效劳器实际上可能拥有多个网站，多个管理员。如各个有自己的网站等等。此时管理员都有对效劳器修

4、改的权限。权限控制不严格的话，那么效劳器上的文件夹就可能会处于非常危险的境地。 　　防范措施： 　　这个防范措施也比较简单，其根本的原理就是给与用户最小的权限。如可以根据网站板块的不同，将相关的内容放置到对应的文件夹中。然后每个特定的用户只可以访问自己负责内容的文件夹。如此的话，即使某个管理员用户的密码泄露了，那么其影响的也只是一个文件夹。而不会对其他用户的文件夹产生不利影响。 　　其次就是最好不要讲Web效劳器同其他的应用效劳放置在一起。特别对于企业来说，可能为了节省本钱，喜欢将Web效劳器与文件效劳器等部署在同一个效劳器上。这是一种非常危险的方式。因为对于文件效劳器来说，可能每

5、个用户都具有往效劳器上写入的权限。而这就会给木马、病毒等提供时机。从而也会影响到Web效劳器的平安， 　　总之管理员需要严格限制Web效劳器的写入权限。在分配用户权限的时候，假设要给用户写的权限，那么最好可以结合NTFS权限管理，只提供用户特定文件夹的写入权限。其次就是最好将Web效劳器同文件效劳器等分开，争取只有少量的用户具有对效劳器写入的权限。 　　三、不定时的检查效劳器上的bat与exe文件 　　大部分攻击者都系统使用bat或者exe文件来进展攻击。如有些攻击者会利用操作系统的任务管理器。让系统每天或者每隔一段固定的时间调用某个程序。这些程序就是以bat或者exe结尾的，或那

6、么是以reg文件结尾的。这些文件具有非常大的破坏性。如 可以利用这些文件更改表、建立隐形帐户、发送文件给 等等。 　　防范措施： 　　有时候即使管理员采用了病毒防火墙等措施，或者每天对效劳器进展杀毒，也很难找到这些文件。此时管理员可以采用一个比较原始的方法，就是通过扩展名来搜索这些文件。然后查看是否有可疑的。笔者的做法是，Web效劳器部署完成之后，先利用扩展名exe、bat、reg等作为查找条件，查找相关的文件。然后将文件名存放到一个表格中。以后每天或者每周再查找一次，然后跟原有的表格进展比照，看看是否增加了一些文件。假设有增加的话，那么这些增加的文件就可能是问题文件。用户可以使用记事

7、本（注意千万不可以直接双击翻开）这些文件，看看其代码。或者直接将这些文件删除掉，免除后患。 　　四、对于IIS目录采用严格的访问策略 　　IIS目录是Web效劳器中很重要的一个目录。其相当于人的大脑，控制着Web效劳器的运行。为此在规划Web效劳器平安的时候，要对此进展特别的关注。不过在实际工作中，这个目录却没有引起用户的足够高的关注。他们有些甚至直接使用系统的默认设置，也没有进展后续的追踪。这都有可能成为以后网站被黑、效劳器瘫痪的起因。 　　防范措施： 　　对于IIS目录的平安，至少需要做到两点。一是需要对IP地址、子网、域名等加以限制。如根据追踪发现某个不知名的IP地址经常

8、ping Web效劳器，此时就需要及时的将这个IP地址拉入黑，制止其访问IIS目录。二是需要做好追踪、分析工作。管理员可以使用一些软件来记录用户对IIS目录的访问。如是否有用户试图越权访问其没有权限的目录等等。限制与事后追踪，对于IIS目录的平安来说，是两把保护伞，一把都不可以缺。 　　五、做好效劳器的晋级工作 　　假设在效劳器上只部署了一个Web效劳，那么建议在第一时间对操作系统与IIS效劳器进展晋级。通过给系统与效劳打补丁，是进步Web效劳器平安的最好方法之一。毕竟如今很多的 其攻击都是停留在对现有破绽的攻击。假设将这些已经发现的破绽补上，那么遭受到攻击的可能性就会小许多。 　

9、　不过在晋级的过程中需要注意。假设在Web效劳器上还有第三方的效劳或者非微软的产品，那么在晋级之前需要先进展测试。判断操作系统与IIS效劳最新的补丁是否跟现有的其他效劳与产品互相冲突。虽然这个冲突的几率还是比较少的，但是这个测试的工作不可缺。 　　六、禁用不需要的效劳 　　IIS效劳器部署完成之后，其可能还会同时装有其他的应用效劳。如FTP、SMTP等等。这些效劳都带有比较大的平安隐患。如FTP本身就是被设计满足简单的读写访问。假设你在Web效劳器上采取了比较严格的平安措施。但是在FTP效劳上没有。那么攻击者就可以先利用FTP效劳器下载一些 的工具。然后再借助这些工具从内部发起对Web效劳器的攻击。此时攻击成功率就会高许多。 　　所以假设某些效劳不需要的话，需要在第一时间禁用它。宁可以后有需要的时候i，再花时间翻开。每个效劳都好似房间的门。假设将不需要的门堵死，那么平安工作就会好做许多。因为需要关注的“门”的数量大大减少了。 　　以上这六点虽然不怎么起眼，但是确是大家在日常工作中经常容易无视的地方。从小处着眼，可以让你的Web效劳器在平安方面前进一大步。