小技巧：建立相对安全的IIS服务器

在网络高速发展的今天网络安全问题已经明显的体现出来 从以前的北约总部电脑网络被黑客攻击造成多小时无法工作到去年的五一中美黑客攻击战无处不体现着黑客的存在和网络的不安全性

说到黑客的攻击我们可以和清楚的发现大多数黑客攻击的是个人比如说盗取OICQ号码修改IE浏览器的属性大不了用冰河等远程管理工具管理你的计算机在这里我并不认为他们就是所谓的黑客只是会用一些恶意脚本和工具的人而已真正的黑客是经过长时间的延读代码发现系统漏洞并利用这些漏洞非法的控制计算机的人所以网络安全意识的普及刻不容缓我想向大家介绍一些提高网络安全的办法

当大家访问互联网上的资源时感觉一下子就出现了其实他在网上经过了一个比较复杂的过程比如说利用DNS做的地址解析利用IIS服务/Apache服务程序所作的相应处理在这篇文章中我将介绍给大家如何配置一个使用安全的IIS服务提供Web服务的服务器

在网络攻击中首先黑客要通过与你的服务器联机才能采取进一步的手段所以我们应该在一开始就采取关闭不必要协议端口的方法减少黑客的机会关闭端口的方法有很多比如说通过防火墙软件但是请大家记住所有的关闭端口的软件都是一开始就将所有的服务端口都关闭如果你想打开什么端口都必须自己指定在这里我向大家介绍一种WK自带的关闭端口的方法右击网卡点击属性（如图）点击Internet协议再点击属性

然后点击高级在选选项选择TCP/IP筛选OK我们将会看到如下界面

在这里通过提示就可很简单的开关端口了除了关闭端口我们还要对IIS本身进行配置对虚拟目录指定仔细的访问权限比如说读取写入等等我在这里推荐一种配置文件访问控制的例子(如下表）:

除此之外我们还应该按照文件类型建立目录结构并不是简单的将所有文件放置在一起（虽然这样可以简单方便的为文件建立访问控制权限将安全属性添加在文件夹一级就可以了）

如果你设置了ftp或smtp服务在如下的目录中你要为C:\inetpub\ftproot&&C:\inetpub\mailroot 设置更严的访问权限在使用IIS服务架设服务器时我们应当移除iisadmpwd 虚拟目录 因为IIS被安装时自动创建%system%\inetsrv\iisadmpwd 该目录下包含 htr 文件用于WEB方式口令管理仅仅当虚拟目录IISADMPWD 被建立才允许用户更改口令

接着我们要移除不再使用的脚本映射也就是ISAPI映射当然要留下有用的ISAPI映射谈到要移除它的主要原因是因为他的漏洞太多有一些是微软和一些网络安全组织都没有察觉的比如说上次红色代码的流行就与它有密不可分的关系ISAPI是通过dlls 提供一些扩展功能微软IIS在缺省安装情况下带了一个索引服务器(Index Server在Windows 下名为Index Service)缺省安装时IIS支持两种脚 本映射管理脚本(ida文件)Inernet数据查询脚本(idq文件)这两种脚本都由一个ISAPI扩展——idqdll来处理和解释

idqdll在一段处理URL输入代码中存在一个未经检查的缓沖区如果攻击者提供 一个特殊格式的URL就可能引发一个缓沖区溢出一个攻击者与有这样的idqdll存在的server建立web会话通过此会话发出缓沖区溢出攻击并在web server上执行代码而更为严重的是idqdll是以SYS TEM身份运行的可利用此漏洞取得系统管理员权限还有利用 htr 控制模块（handler）解析档案能力的安全漏洞这是在 年七月被发现的

IIS 的 Internet Service Manager 使用 ismdll 来处理 htr 档案IIS 本身则使用 aspdll 来处理 ASP 档案 利用 htr 的安全漏洞我们可以将任何档案（包括 asp 档asa 档等等）用 ismdll 处理而非用 aspdll 处理而因为 ismdll 并非被设计用来处理 ASP 的 tag它便直接把原始程序代码显示出来 这个漏洞实际上类似ASP?dot?漏洞其能在IIS上显示其WEB目录信息很奇怪有些人还在IIS上发现过此类漏洞通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序DLL来运行IDC如果此idc不存在它就返回一些信息给客户端

NSFOCUS安全小组发现微软IIS /所带的一个动态链接库(ssincdll)在处理包含文 件时存在一个缓沖区溢出漏洞攻击者可能利用这个漏洞获取SYSTEM权限 漏洞分析 微软IIS支持SSI(Server Side Include)功能ssincdll就是一个SSI解释器默认情况 下扩展名 stmshtm 和 shtml 被映射到解释程序（Ssincdll） 默认情况下IIS?服务器存在一个后缀为printer的应用程序映射这个映射使用位于\WINNT\System\下的名为?mswprtdll?的动态库文件这个功能是用于基于Web控制的网络打印的是Windows为Internet?Printing?Protocol(IPP)协议而设置 的应用程序功能不幸的是这个映射存在一个缓沖区溢出错误可以导致inetinfoexe出错允许黑客通过web获取服务器的管理权限黑客制造一个?printer?的ISAPI请求当Http?host参数的值达到个字符时就会发生缓沖区溢出所以我们更及应该移除一些不必要的映射这里我告诉一些不是必须用到的映射给大家（如下表）

当然我们还要启动日志记录最好使用WC扩展文件记录格式这样在发生问题时我们能够从这些记录文件中找到黑客多这台服务器所做的事情采取相应的对策将损失降低到最小

现在我们可以高枕无忧了对吗？不是这样的我们不能忘记使用的是Microsoft的系统所以还要常常更新系统的补丁以防止由于漏洞而造成的系统安全问题比如去年流行的Unicode漏洞 这是由于IIS服务程序再解释一些特殊代码时产生了缓沖区益处造成黑客获得管理员权限这是一个Unicode攻击的例子（已做部分修改）

**** /winnt/system/cmdexe?/c+dir

**** /winnt/system/cmdexe?/c+dir+c:

**** /winnt/system/cmdexe?/c+md+c:\aaa

**** /winnt/system/cmdexe?/c+echo+你的站点已经被我黑了+> c:\inetpub\wwwroot\

这样这个服务器的首页已经被黑了（在更新补丁后以不起作用）

使用IISlockdown工具加强你的IIS的安全性首先安装按照向导如图所示

在这里选择你的IIS的应用方向比如说ASP应用FTP应用Smtp应用一一选择展示出来接着下一步

安装URL合法性扫描工具接着IISLOCKDOWN开始自动操作运行

它删除了一些你用不着的ISAPI文件并建立了应用安全属性操作

完成好了就介绍到这里配置你的安全的WEb服务器吧