IIS 安全配置
2009-03-19 13:42
169 查看
删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。
● Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
● SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
● 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:
● 静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。
● ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。
● EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。
删除不必要的应用程序映射
IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。
所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图4。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。
方法一: 修改IIS日志的存放路径
IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入日志存放路径即可,如图5。
方法二: 修改日志访问权限
日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。
当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中,入侵者使用软件让IIS产生大量的日志,可能会导致日志填满硬盘空间,整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。
通过以上的一些安全设置,相信你的WEB服务器会安全许多。不过,需要提醒大家注意的是:不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全
IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。
● Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
● SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
● 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:
● 静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。
● ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。
● EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。
删除不必要的应用程序映射
IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。
所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图4。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。
方法一: 修改IIS日志的存放路径
IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入日志存放路径即可,如图5。
方法二: 修改日志访问权限
日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。
当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中,入侵者使用软件让IIS产生大量的日志,可能会导致日志填满硬盘空间,整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。
通过以上的一些安全设置,相信你的WEB服务器会安全许多。不过,需要提醒大家注意的是:不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 一个IIS网站的异常配置的安全解决方案
- Windows Server2003防木马权限设置IIS服务器安全配置整理
- IIS安全配置精华
- IIS配置安全策略
- 为IIS服务器配置SSL安全信道
- Win 2003 防***提升权限设置IIS服务器安全配置整理
- 配置安全的IIS
- Windows Server2003 防木马权限设置IIS服务器安全配置整理
- Windows+IIS+PHP安全配置之php篇
- [转]Windows IIS WEB服务器配置安全规范
- 分享Windows Server2003 防木马权限设置IIS服务器安全配置整理
- IIS服务器安全配置[摘]
- Windows 2003安全设置大全---IIS、终端服务、FTP、SQL的配置
- Windows IIS WEB服务器配置安全规范
- IIS虚拟主机防木马权限安全配置整合
- Windows Server2003 防木马权限设置IIS服务器安全配置整理
- 在IIS上如何发布HTTPS网站,SSL安全服务配置
- IIS的安全配置策略
- Win2003 防木马、权限设置、IIS服务器安全配置整理
- IIS安全配置教程