日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

以下的文章主要描述的是IIS 6.0默認(rèn)設(shè)置安全性的終極秘籍，因?yàn)閃eb服務(wù)器現(xiàn)在被越來越多的駭客與蠕蟲制造者的攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計(jì)算計(jì)劃中首要關(guān)注的內(nèi)容。

創(chuàng)新互聯(lián)公司"三網(wǎng)合一"的企業(yè)建站思路。企業(yè)可建設(shè)擁有電腦版、微信版、手機(jī)版的企業(yè)網(wǎng)站。實(shí)現(xiàn)跨屏營銷，產(chǎn)品發(fā)布一步更新，電腦網(wǎng)絡(luò)+移動(dòng)網(wǎng)絡(luò)一網(wǎng)打盡，滿足企業(yè)的營銷需求！創(chuàng)新互聯(lián)公司具備承接各種類型的成都網(wǎng)站制作、成都做網(wǎng)站項(xiàng)目的能力。經(jīng)過十載的努力的開拓，為不同行業(yè)的企事業(yè)單位提供了優(yōu)質(zhì)的服務(wù)，并獲得了客戶的一致好評。

因此，IIS 6.0被完全的重新設(shè)計(jì)，以實(shí)現(xiàn)默認(rèn)安全和設(shè)計(jì)安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計(jì)上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺(tái)。

由于Web服務(wù)器被越來越多的駭客和蠕蟲制造者作為首要攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計(jì)算計(jì)劃中首要關(guān)注的內(nèi)容。因此，IIS 6.0被完全的重新設(shè)計(jì)，以實(shí)現(xiàn)默認(rèn)安全和設(shè)計(jì)安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計(jì)上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺(tái)。

默認(rèn)安全

過去，包括像微軟這樣的企業(yè)

，都在他們的web服務(wù)器上安裝一系列的默認(rèn)示例腳本，文件處理和最小文件授權(quán)，以提高管理員管理的靈活性和可用性。但是，這些默認(rèn)設(shè)置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎(chǔ)。因此，IIS 6.0被設(shè)計(jì)成了一個(gè)比早期產(chǎn)品更安全的平臺(tái)。最顯而易見的變化是IIS 6.0并沒有被Windows Server 2003默認(rèn)安裝，而是需要管理員顯式的安裝這個(gè)組件。其他的變化包括：

默認(rèn)只安裝靜態(tài)HTTP服務(wù)器

IIS 6.0的默認(rèn)安裝被設(shè)置為僅安裝靜態(tài)HTML頁面顯示所需的組件，而不允許動(dòng)態(tài)內(nèi)容。下表比較了IIS 5.0和IIS 6.0的默認(rèn)安裝設(shè)置：

默認(rèn)不安裝應(yīng)用范例

IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應(yīng)用。這些程序原被設(shè)計(jì)來方便程序員快速察看和調(diào)試數(shù)據(jù)庫的連接代碼，但是由于showcode.asp和codebrws.asp沒有正確的進(jìn)行輸入檢查，以確定所訪問的文件是否位于站點(diǎn)根目錄下。這就允許攻擊者繞過它去讀取系統(tǒng)中的任何一個(gè)文件(包括敏感信息和本應(yīng)不可見的配置文件)，參考以下鏈接以獲取該漏洞的更多的細(xì)節(jié)：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增強(qiáng)的文件訪問控制

匿名帳號(hào)不再具有web服務(wù)器根目錄的寫權(quán)限。另外，F(xiàn)TP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務(wù)器文件系統(tǒng)的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執(zhí)行代碼，并遠(yuǎn)程執(zhí)行這些代碼，從而攻擊web站點(diǎn)。

虛擬目錄不再具有執(zhí)行權(quán)限

虛擬目錄中不再允許執(zhí)行可執(zhí)行程序。這樣避免了大量的存在于早期IIS系統(tǒng)中的目錄遍歷漏洞、上傳代碼漏洞以及MDAC漏洞。

去除了子驗(yàn)證模塊

IIS 6.0中去除了IISSUBA.dll。任何在早期IIS版本中，需要該DLL模塊來驗(yàn)證的賬號(hào)，現(xiàn)在需要具有"從網(wǎng)絡(luò)上訪問這臺(tái)計(jì)算機(jī)"的權(quán)限。這個(gè)DLL模塊的去除，可以強(qiáng)制要求所有的訪問都直接去SAM或者活動(dòng)目錄進(jìn)行身份驗(yàn)證，從而減少IIS可能的被攻擊面。

父目錄被禁用

IIS 6.0中默認(rèn)禁用了對父目錄的訪問。這樣可以避免攻擊者跨越web站點(diǎn)的目錄結(jié)構(gòu)，訪問服務(wù)器上的其他敏感文件，如SAM文件等。當(dāng)然也請注意，由于父目錄默認(rèn)被禁用，這可能導(dǎo)致一些從早期版本IIS上遷移過來的應(yīng)用由于無法使用父目錄而出錯(cuò)

安全設(shè)計(jì)

IIS 6.0設(shè)計(jì)中安全性的根本改變表現(xiàn)在：改善的數(shù)據(jù)有效性、增強(qiáng)的日志功能、快速失敗保護(hù)、應(yīng)用程序隔離和最小權(quán)限原則。

改善的數(shù)據(jù)有效性

IIS 6.0設(shè)計(jì)上的一個(gè)主要新特性是工作在內(nèi)核模式的HTTP驅(qū)動(dòng)--HTTP.sys。它不僅提高了web服務(wù)器的性能和可伸縮性，而且極大程度的加強(qiáng)了服務(wù)器的安全性。HTTP.sys作為web服務(wù)器的門戶，首先解析用戶對web服務(wù)器的請求，然后指派一個(gè)合適的用戶級(jí)工作進(jìn)程來處理請求。工作進(jìn)程被限制在用戶模式以避免它訪問未授權(quán)的系統(tǒng)核心資源。從而極大的限制了攻擊者對服務(wù)器保護(hù)資源的訪問。

IIS 6.0通過在內(nèi)核模式的驅(qū)動(dòng)中整合一系列的安全機(jī)制，以提升其設(shè)計(jì)上固有的安全性。這些機(jī)制包括避免潛在的緩沖溢出，改善的日志機(jī)制以輔助事件響應(yīng)進(jìn)程和檢查用戶有效性請求的先進(jìn)URL解析機(jī)制。

為了第一時(shí)間的避免潛在的緩沖區(qū)和內(nèi)存溢出漏洞的利用，微軟通過在HTTP.sys中進(jìn)行特殊的URL解析設(shè)置以實(shí)現(xiàn)IIS 6.0安全設(shè)計(jì)中的深度防御原則。這些設(shè)置還可以通過修改注冊表中特定的鍵值來進(jìn)一步優(yōu)化。下表提供了主要注冊表鍵值的位置(均在以下路徑HKLM\System\CurrentControl\SetServices\HTTP\Parameters)：

增強(qiáng)的日志機(jī)制

一個(gè)全面的日志是檢測或響應(yīng)一個(gè)安全事故的基礎(chǔ)要求。微軟也意識(shí)到了在HTTP.sys中進(jìn)行全面的、可靠的日志機(jī)制的重要性。HTTP.sys在將請求指派給特定的工作進(jìn)程之前就進(jìn)行日志記錄。

這樣可以保證，即使工作進(jìn)程中斷了，也會(huì)保留一個(gè)錯(cuò)誤日志。日志由發(fā)生錯(cuò)誤的時(shí)間戳、來源目的IP和端口、協(xié)議版本、HTTP動(dòng)作、URL地址、協(xié)議狀態(tài)、站點(diǎn)ID和HTTP.sys的原因解釋等條目構(gòu)成。原因解釋能夠提供詳細(xì)的錯(cuò)誤產(chǎn)生原因的信息，如由于超時(shí)導(dǎo)致的錯(cuò)誤，或由于工作進(jìn)程的異常終止而引發(fā)的應(yīng)用程序池強(qiáng)行切斷連接而導(dǎo)致的錯(cuò)誤。

以下連接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp

快速失敗保護(hù)

除了修改注冊表，IIS 6.0的管理員還可以通過服務(wù)器設(shè)置，來使那些在一段時(shí)間內(nèi)反復(fù)失敗的進(jìn)程關(guān)閉或者重新運(yùn)行。這個(gè)附加的保護(hù)措施是為了防止應(yīng)用程序因?yàn)槭艿焦舳粩嗟爻鲥e(cuò)。這個(gè)特性就叫做快速失敗保護(hù)。

快速失敗保護(hù)可以按照以下步驟在Internet信息服務(wù)管理工具中配置：

1. 在Internet信息服務(wù)(IIS)管理器中，展開本地計(jì)算機(jī)。

2. 展開應(yīng)用程序池。

3. 在要設(shè)定快速失敗保護(hù)的應(yīng)用程序池上單擊鼠標(biāo)右鍵。

4. 選擇屬性。

5. 選擇運(yùn)行狀況選項(xiàng)卡，勾選啟用快速失敗保護(hù)。

6. 在失敗數(shù)中，填寫可以忍受的工作進(jìn)程失敗次數(shù)(在結(jié)束這個(gè)進(jìn)程之前)。 7. 在時(shí)間段中，填寫累計(jì)工作進(jìn)程失敗次數(shù)統(tǒng)計(jì)的時(shí)間。

應(yīng)用程序隔離

在早期版本的IIS中(5.0和以前的版本)，由于將web應(yīng)用程序隔離在獨(dú)立的單元將會(huì)導(dǎo)致嚴(yán)重的性能下降，因此沒有實(shí)現(xiàn)應(yīng)用程序隔離。通常一個(gè)web應(yīng)用程序的失敗會(huì)影響同一服務(wù)器上其他應(yīng)用程序。然而，IIS 6.0在處理請求時(shí)，通過將應(yīng)用程序隔離成一個(gè)個(gè)叫做應(yīng)用程序池的孤立單元這種設(shè)計(jì)上的改變，成倍的提高了性能。每個(gè)應(yīng)用程序池中通常由一個(gè)或多個(gè)工作進(jìn)程。這樣就允許確定錯(cuò)誤的位置，防止一個(gè)工作進(jìn)程影響其他工作進(jìn)程。這種機(jī)制也提高了服務(wù)器以及其上應(yīng)用的可靠性。

堅(jiān)持最小特權(quán)原則

IIS 6.0堅(jiān)持一個(gè)基本安全原則--最小特權(quán)原則。也就是說，HTTP.sys中所有代碼都是以Local System權(quán)限執(zhí)行的，而所有的工作進(jìn)程，都是以Network Service的權(quán)限執(zhí)行的。Network Service是Windows 2003中新內(nèi)置的一個(gè)被嚴(yán)格限制的賬號(hào)。另外，IIS 6.0只允許管理員執(zhí)行命令行工具，從而避免命令行工具的惡意使用。這些設(shè)計(jì)上的改變，都降低了通過潛在的漏洞攻擊服務(wù)器的可能性。部分基礎(chǔ)設(shè)計(jì)上的改變、一些簡單配置的更改(包括取消匿名用戶向web服務(wù)器的根目錄寫入權(quán)限，和將FTP用戶的訪問隔離在他們各自的主目錄中)都極大地提高了IIS 6.0的安全性。

IIS 6.0是微軟公司在幫助客戶提高安全性上邁出的正確一步。它為Web應(yīng)用提供了一個(gè)可靠的安全的平臺(tái)。這些安全性的提高應(yīng)歸功于IIS 6.0默認(rèn)的安全設(shè)置，在設(shè)計(jì)過程中就對安全性的著重考慮，以及增強(qiáng)的監(jiān)視與日志功能。但是管理員不應(yīng)該認(rèn)為僅通過簡單的遷移到新平臺(tái)就可以獲得全面的安全。正確的做法是應(yīng)該進(jìn)行多層面的安全設(shè)置，從而獲得更全面的安全性。這也與針對Code Red和Nimda病毒威脅而進(jìn)行的深度安全防御原則是一致的。

原文出自【比特網(wǎng)】，轉(zhuǎn)載請保留原文鏈接：http://sec.chinabyte.com/343/8870343.shtml

文章名稱：破解IIS 6.0默認(rèn)設(shè)置安全性的終極秘籍
網(wǎng)站路徑：http://m.5511xx.com/article/cossspp.html