對(duì)計(jì)算機(jī)網(wǎng)絡(luò)組件IIS運(yùn)行安全問題的思考

【摘要】IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以，IIS在Windows Server 2003中不是默認(rèn)安裝的，只有在確定啟用一臺(tái)Web服務(wù)器的時(shí)候，才有必要安裝。但是IIS的配置仍然是我們的重點(diǎn)。根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。

【關(guān)鍵詞】IIS；漏洞；問題；安全

一、IIS概述

IIS是Internet Information Services的簡(jiǎn)稱，中文意思為Internet信息服務(wù)。它是Windows Server 2003的一個(gè)重點(diǎn)的服務(wù)器組件，主要是向客戶端提供各種Internet服務(wù)。IIS提供的基本服務(wù)包括：發(fā)布信息（WEB）、傳輸文件（FTP）、支持用戶通訊（SNMP）和更新這些服務(wù)所在依賴的數(shù)據(jù)存儲(chǔ)等等。正是因?yàn)檫@樣所以服務(wù)越多，漏洞也隨之越多，而這里的重點(diǎn)就是補(bǔ)漏。

二、有關(guān)IIS安全設(shè)置與漏洞安全

（1）有關(guān)IIS安全設(shè)置。第一，只安裝Option Pack中必須的服務(wù)。建議不要安裝公司Index Server、FrontPage Server Extensions、示例WWW站點(diǎn)等功能。第二，新建WWW服務(wù)與FTP服務(wù)。默認(rèn)的站點(diǎn)與管理Web站點(diǎn)含有大量有安全漏洞的文件，容易給黑客創(chuàng)造攻擊機(jī)會(huì)。因此，必須禁止。同時(shí)，應(yīng)該在新的目錄下建立服務(wù)。這個(gè)目錄千萬不要放在InetPub\\wwwroot下，最好放在與它不同的分區(qū)下。第三，刪除不必要的IIS擴(kuò)展名映射。最好關(guān)閉.IDC、.HTR、.STM、.IDA、.HTW等應(yīng)用程序映射。第四，安裝新的Service Pack后，IIS應(yīng)用程序映射應(yīng)重新設(shè)置。要安裝新的Service Pack后，某些應(yīng)用程序映射可能又會(huì)出現(xiàn)，導(dǎo)到出現(xiàn)安全漏洞。這是網(wǎng)絡(luò)管理員比較容易忽視的一點(diǎn)。第五，設(shè)置IP拒絕訪問列表。對(duì)于WWW服務(wù)，可以拒絕一些對(duì)站點(diǎn)有攻擊嫌疑的地址、特別是對(duì)于FTP服務(wù)。第六，禁止對(duì)FTP服務(wù)的匿名訪問如果允許對(duì)FTP服務(wù)做匿名訪問，該匿名賬戶就有可能被利用來獲取更多的信息，以至對(duì)系統(tǒng)造成危害。第七，建議使用W3C擴(kuò)充日志文件格式。每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URL字根、HTTP狀態(tài)以用用戶代理，而且每天均要審查日志。同時(shí)最好不要使用缺省目錄。建議更換一個(gè)記日志的路徑，同時(shí)重新設(shè)置日志的訪問權(quán)限。（2）有關(guān)IIS漏洞安全。第一，IIS的Index Server服務(wù)漏洞。IIS4.0與5.0的服務(wù)器存在著INDEX SERVER服務(wù)漏洞，當(dāng)用戶使用IIS4.0或者IIS5.0的服務(wù)器時(shí)，一旦啟動(dòng)了INDEX SERVER，入侵者就可在瀏覽器地址欄中的URL后面加上一些特殊的字符格式，此時(shí)入侵者就可以瀏覽到ASP源程序或者其他頁面的程序，甚至已經(jīng)打上了最近關(guān)于查看源代碼的漏洞補(bǔ)丁程序的系統(tǒng)，或者沒有.HTW文件的系統(tǒng)，同樣存在該問題。通過構(gòu)建下面的URL請(qǐng)求可以查看到該程序的源代碼：http：//___/1.htw?CiwebHitsFile=/default.acpCiRestriction=noneCiHiliteType=pull。但是，這樣只能得到一些HTML格式的文本.如果把特殊符號(hào)%20添加到CiWebHitsFile的參數(shù)后面，構(gòu)造如下的URL：HTTP：//___/1.htw?CiWebHitsFile=/default.asp%20CiRestriction=noneCiHiliteType=Full，就得到了該程序的源代碼了。“1.htw”文件并非真正的系統(tǒng)映射文件，它只是一個(gè)儲(chǔ)存在系統(tǒng)內(nèi)在中的虛擬文件。第二，IIS的INDEX WERVER服務(wù)漏洞的防范。解決這個(gè)漏洞的方法就是刪除.htw映像文件或者下載補(bǔ)丁。

三、IIS安全隱患策略

首先，把C盤那個(gè)什么Inetpub目錄徹底刪掉，在D盤建一個(gè)Inetpub（要是這樣也不放心用默認(rèn)目錄名也可以改一個(gè)名字，但是自己要記得）在IIS管理器中將主目錄指向D:\\Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除（這里雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但是還是小心為上），如果這里需要什么權(quán)限的目錄可以慢慢建，需要什么權(quán)限開什么。（特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對(duì)的必要千萬不要給。）

當(dāng)今社會(huì)隨之而來的電子信息產(chǎn)的發(fā)展趨勢(shì)，我們有理由相信不久的將來網(wǎng)絡(luò)站點(diǎn)服務(wù)將會(huì)越來越重要，隨之而來的就是網(wǎng)站服務(wù)的安全問題。重點(diǎn)就是怎樣使它們之間保持平衡能夠更好的服務(wù)于大眾，在這里網(wǎng)站服務(wù)的安全性就顯的尤其重要，所以這里就得對(duì)它隨時(shí)隨地監(jiān)控和維護(hù)。

參 考 文 獻(xiàn)

[1]劉永華．Windows Server 2003[J]．北京：科學(xué)出版社，2005

[2]方耿，林慶霓，莫卓豪．網(wǎng)絡(luò)維護(hù)與故障診斷[J]．北京：冶金工業(yè)出版，2004

[3]孫振池，王勤．ASP動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)[J]．北京：中國計(jì)劃出版社，2007