安全认知 详尽了解IIS服务漏洞与安全性

IIS加固策略的建议

你得到的网站源代码不会完全一样，而大多数程序员不会为你只提供一种类型的代码。所以不要完全按照下面的加固列表操作，尤其在加固之前要和程序的提供商取得联系。在得到他们确认后，修改本文中涉及到服务器扩展内容。

1．调整IIS日志

当您希望确定服务器是否被攻击时，日志记录是极其重要的。默认的日志不会为我们搜索黑客记录提供很大的帮助，所以我们必须扩展 W3C日志记录格式，步骤如下：

★检查是否启用了日志记录，右键单击所述站点，然后从上菜单中选择启用“属性→Web 站点→启用日志记录”复选框。

★更改日志的默认路径，黑客成功入侵一个系统后，临走时要做的一件事就是清除日志，如果以图形界面的远程控制软件或是从终端登录进入，我们自然是无法保护日志的。不过，现在比较流行的日志清除工具，大多以命令行方式删除默认的W3C日志记录，所以可以将路径改写，达到简单保护的功能。

★从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性→扩展属性”选项卡，然后添加以下信息的记录：客户IP 地址、用户名、方法、URI 资源、HTTP 状态、Win32 状态、用户代理、服务器 IP 地址、服务器端口。

日志记录是我们被入侵后惟一能够找到自身漏洞的地方。就比如有些人钟爱的“动网上传文件”漏洞，如果你能在日志当中发现“HTTP GET 200（文件上传成功）”，没什么可以辩解的，肯定是没有升级补丁或者开放了上传权限。所以说日志防护是每个管理员必备的知识。

2．删除IIS所有默认示例

这是一个在Windows 2000和Windows Server 2003上都在安装的时候保留的内容，因为只能从本地访问这些文件，所以这些默认的示例不会为服务器带来威胁。如果不需要它们作为建立站时的参照以及远程的管理帮助，可以删除它们，同时起到优化系统的功能（需要关闭IIS服务）。

3． 删除不必要扩展映射

IIS 5被预先配置为支持如.asp这样的动态程序文件，但除了我们常用的几个文件格式之外，还支持了本文中提到的可能造成缓冲区溢出的文件类型。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理，所以最好删除它们。

选择“WWW服务→编辑→主目录→应用程序配置”，参照下表有针对性的选择删除对象：

IIS 6的全新奉献

我们常在网上看到关于Windows Server 2003 已经非常安全的报道，但是我们的管理员不是每天做个补丁更新的工作吗？其实，Windows Server 2003中给我带来最直接的感觉就是IIS 6的安全性，直到现在为止笔者确实没有发现IIS 6中有什么重大的漏洞可以被黑客利用。

工作进程隔离（Worker Process Isolation）以及URL的授权访问，我在以前版本里面根本就没有奢念。不仅如此，最主要的改进就是IIS本身的“默认可用性”和“默认锁定扩展服务”。

当把服务器升级到Windows Server 2003的时候，如果你没有运行IISLockdown工具，服务器竟然禁止我们提供Web服务。

由此可见，我们真的可以再也不用“提心吊胆”了。