IIS加固.docx
《IIS加固.docx》由会员分享,可在线阅读,更多相关《IIS加固.docx(80页珍藏版)》请在冰豆网上搜索。
IIS加固
IIS加固
精心配置IIS打造安全Web服务器
因为IIS(InternetInformationServer)的方便性和易用性,所以成为最受欢迎的Web服务器软件之一。
但是,IIS从诞生起,其安全性就一直受到人们的置疑,原因在于其经常被发现有新的安全漏洞。
虽然IIS的安全性与其他的Web服务软件相比有差距,不过,只要我们精心对IIS进行安全配置,仍然能建立一个安全性的Web服务器的。
构造一个安全的Windows2000操作系统
要创建一个安全可靠的Web服务器,必须要实现Windows2000操作系统和IIS的双重安全,因为IIS的用户同时也是Windows2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows2000操作系统的安全。
实际上,Web服务器安全的根本就是保障操作系统的安全。
使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。
而在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
关闭默认共享
在Windows2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
方法是:
单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。
这样就可以彻底关闭“默认共享”。
共享权限的修改
在系统默认情况下,每建立一个新的共享,Everyone用户就享有“完全控制”的共享权限,因此,在建立新的共享后应该立即修改Everyone的缺省权限,不能让Web服务器访问者得到不必要的权限,给服务器带来被攻击的危险。
为系统管理员账号改名
对于一般用户,我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,所以我们需要将管理员账号更名。
具体设置方法如下:
鼠标右击“我的电脑” “管理”,启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(administrator)”,选择“重命名”,将管理员帐号修改为一个很普通的用户名即可。
禁用TCP/IP上的NetBIOS
NetBIOS是许多安全缺陷的源泉,所以我们需要禁用它。
鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。
选择“Internet协议(TCP/IP)” “属性” “高级” “WINS”,选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS,如图1。
TCP/IP上对进站连接进行控制
方法一利用TCP/IP筛选
鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。
选择“Internet协议(TCP/IP)” “属性” “高级” “选项”,在列表中单击选中“TCP/IP筛选”选项。
单击“属性”按钮,选择“只允许”,再单击“添加”按钮,如图2,只填入80端口即可。
方法二利用IP安全策略
IPSecPolicyFilters(IP安全策略过滤器)弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的TCP/IP安全。
它是一个基于通讯分析的策略,将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输。
我们同样可以设置只允许80端口的数据通过,其它端口来的数据一律拦截。
防范拒绝服务攻击
DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作。
改写注册表信息虽然不能完全阻止这类攻击,但是可以降低其风险。
打开注册表:
将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。
这样可以使TCP/IP调整SYN-ACKS的重传,当出现SYN-ATTACK迹象时,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
在保证系统具有较高安全性的情况下,还要保证IIS的安全性。
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
不要将IIS安装在系统分区上
默认情况下,IIS与操作系统安装在同一个分区中,这是一个潜在的安全隐患。
因为一旦入侵者绕过了IIS的安全机制,就有可能入侵到系统分区。
如果管理员对系统文件夹、文件的权限设置不是非常合理,入侵者就有可能篡改、删除系统的重要文件,或者利用一些其他的方式获得权限的进一步提升。
将IIS安装到其他分区,即使入侵者能绕过IIS的安全机制,也很难访问到系统分区。
修改IIS的安装默认路径
IIS的默认安装的路径是\inetpub,Web服务的页面路径是\inetpub\wwwroot,这是任何一个熟悉IIS的人都知道的,入侵者也不例外,使用默认的安装路径无疑是告诉了入侵者系统的重要资料,所以需要更改。
打上Windows和IIS的补丁
只要提高安全意识,经常注意系统和IIS的设置情况,并打上最新的补丁,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
IIS的安全配置
删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Programfiles下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。
●Internet服务管理器(HTML):
这是基于Web的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
●SMTPService和NNTPService:
如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
●样本页面和脚本:
这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。
一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。
另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。
一个好的设置策略是:
为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:
●静态文件文件夹:
包括所有静态文件,如HTM或HTML,给予允许读取、拒绝写的权限。
●ASP脚本文件夹:
包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。
●EXE等可执行程序:
包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。
删除不必要的应用程序映射
IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。
但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。
而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。
即使已经安装了系统最新的补丁程序,仍然没法保证安全。
所以我们需要将这些不需要的程序映射删除。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。
如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图4。
这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。
确保日志的安全能有效提高系统整体安全性。
方法一:
修改IIS日志的存放路径
IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。
所以我们最好修改一下其存放路径。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入日志存放路径即可,如图5。
方法二:
修改日志访问权限
日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。
当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。
如果IIS日志保存在系统分区中,入侵者使用软件让IIS产生大量的日志,可能会导致日志填满硬盘空间,整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。
通过以上的一些安全设置,相信你的WEB服务器会安全许多。
不过,需要提醒大家注意的是:
不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全
利用IIS日志追查网站入侵者
以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。
根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊!
就算能拿到权限都不可能可以弄出个webshell出来,不是程序的漏洞的话,就一定是服务器的安全问题了,以前整天拿着旁注去黑站,这下子好玩了,竟然被别人拿去黑自己的网站了。
所以就硬着头皮去找网管问个究竟,怎么知道网管还说我自己的问题,要我自己去找气死我啊。
那只好做一回网管了,如果你是网管你会如何去追查问题的来源了?
程序问题就去查看“事件查看器”,如果是IIS问题当然是查看IIS日志了!
系统文件夹的system32低下的logfile有所有的IIS日志,用来记录服务器所有访问记录。
因为是虚拟主机的用户,所以每个用户都配置独立的IIS日志目录,从里面的日志文件就可以发现入侵者入侵BBS的资料了,
所以下载了有关时间段的所有日志下来进行分析,发现了很多我自己都不知道资料!
哈哈哈,这下子就知道入侵者是怎么入侵我的BBS了。
(入侵日记1)
从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。
而且不止一个入
侵者这么简单,还很多啊。
头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。
看上面的日志可以发现,入侵者.***.***利用程序不断的在扫描后台的页面,似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。
很可惜这位入侵者好像真的没有什么思路,麻木的利用程序作为帮助去寻找后台,没有什么作用的入侵手法。
(入侵日志2)
查看了第二天的日志,开始的时候还是普通的用户访问日志没有什么特别,到了中段的时候问题就找到了,找到了一个利用程序查找指定文件的IIS动作记录。
从上面的资料发现入侵者.***.***也是利用程序去扫描指定的上传页面,从而确定入侵目标是否存在这些页面,然后进行上传漏洞的入侵。
还有就是扫描利用动网默认数据库,一些比较常用的木马名称,看来这个入侵者还以为我的BBS是马坊啊,扫描这么多的木马文件能找着就是奇迹啊。
继续往下走终于被我发现了,入侵者.***.***在黑了我网站首页之前的动作记录了,首先在Forum的文件夹目录建立了一个文件,然后在Forum的文件夹目录下再生成了一只木马
日志的记录下,看到了入侵者利用木马的所有操作记录。
详细入侵分析如下:
GET/forum/–200
利用旁注网站的webshell在Forum文件夹下生成后门
GET/forum/d=200
入侵者登陆后门
GET/forum/d=&path=/test&oldpath=&attrib=200
进入test文件夹
GET/forum/d=&path=/test/&attrib=200
利用后门在test文件夹修改的文件
GET/forum/d=200
GET/forum/d=&path=/lan&oldpath=&attrib=200
进入lan文件夹
GET/forum/d=&path=/lan/&attrib=200
利用编辑命令修改lan文件夹内的首页文件
GET/forum/d=200
GET/forum/d=&path=/forum&oldpath=&attrib=200
进入BBS文件夹(这下子真的进入BBS目录了)
POST/forum/d=200
GET/forum/d=&path=/forum&oldpath=&attrib=200
GET/forum/–200
在forum的文件夹内上传的文件
GET/forum/d=&path=/forum&oldpath=&attrib=200
GET/forum/d=&path=/forum/&op=del&attrib=200
POST/forum/d=200
GET/forum/–200
利用后门修改Forum文件夹目录下的文件。
之后又再利用旁注网站的webshell进行了的后门建立,利用的后门修改了首页,又把首页备份。
晕死啊,不明白这位入侵者是怎么一回事,整天换webshell进行利用,还真的摸不透啊。
分析日志总结:
入侵者是利用工具踩点,首先确定BBS可能存在的漏洞页面,经过测试发现不可以入侵,然后转向服务器的入侵,利用旁注专用的程序或者是特定的程序进行网站入侵,拿到首要的webshell,再进行文件夹的访问从而入侵了我的BBS系统修改了首页,因为是基于我空间的IIS日志进行分析,所以不清楚入侵者是利用哪个网站哪个页面进行入侵的!
不过都已经完成的资料收集了,确定了入侵BBS的入侵者IP地址以及使用的木马(xiaolu编写的),还留下了大量入侵记录。
整个日志追踪过程就完毕了,从这里我们就知道如果入侵的时候,不注意在入侵时候所造成的记录,就很容易的被网管发现我们入侵的手法以及过程,这样子对于我们自身就增加了一份危险。
敬告大家,不想被警察叔叔抓就不要去入侵,想入侵又不想被警察叔叔抓,就记得如何去擦干净你的入侵痕迹。
本文技术含量不高,只是希望给各位小黑和网管知道入侵和被入侵都有迹可寻
给IISWeb虚拟主机服务器装上一把锁
为了提高IIS的安全性,微软提供了两个工具:
IISLockdown和URLScan,其中IISLockdown包含了URLScan。
IISLockdown具有如下功能:
⑴禁用或者删除不必要的IIS服务和组件。
⑵修改默认配置,提高系统文件和Web内容目录的安全性。
⑶用URLScan来过滤HTTP请求。
本文介绍如何运用IISLockdown的前两项功能。
注意本文的说明针对IISLockdown版本,以前版本的用法大不相同。
一、注意事项
IISLockdown会改变IIS的运行方式,因此很可能与依赖IIS某些功能的应用冲突。
特别地,如果要在一个运行MicrosoftExchange2000Server、ExchangeServer或MicrosoftSharePointPortalServer的服务器上安装IISLockdown和URLScan,应当加倍小心。
微软的两篇文章解释了可能遇到的困难和解决办法:
《XADM:
在Exchange2000环境中使用IISLockdown向导的已知问题和调整策略》(),以及《SPS:
IISLockdown工具影响SharePointPortalServer》()。
另外,在正式应用IISLockdown或URLScan之前,务必搜索微软的知识库,收集可能出现问题的最新资料。
掌握这些资料并了解其建议之后,再在测试服务器上安装IISLockdown,全面测试Web应用需要的IIS功能是否受到影响。
最后,做一次全面的系统备份,以便在系统功能受到严重影响时迅速恢复。
二、安装
IISLockdown可以从下载。
下载之后得到一个,双击运行,把它解压缩到一个临时目录并启动IISLockdown向导。
但是,如果要用IISLockdown来保护多个服务器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IISLockdown都要重新解压缩了。
必须注意的是,下载得到的是一个自解压缩的执行文件,这个执行文件与压缩包里面的应用执行文件同名。
因此,如果把解压缩到它本身所在的目录,就会引起文件名称冲突。
请按照下面的安装步骤执行,以避免可能出现的问题:
㈠将下载到一个临时目录。
㈡打开控制台窗口,进入临时目录,执行命令“/q/c/t:
c:
\IISLockdown”解开压缩,/q要求以“安静”模式操作,/c要求IISLockdown只执行提取文件的操作,和-t选项一起使用,-t选项指定了要把文件解压缩到哪一个目录(例如在本例中,要求把文件解压缩到c:
\IISLockdown目录)。
表一列出了解压缩得到的主要文件,注意包含了URLScan的文件,但本文不准备详细探讨URLScan。
表一:
IISLockdown主要文件
IISLockdown文件说明
IISLockdown主执行文件。
配置和选项文件。
联机帮助。
有关“无人值守”运行方式的文档。
“文件没有找到”应答文件。
URLScan文件说明
URLScan安装程序包。
URLScan文档。
urlscan*.ini配置和选项文件。
无人值守方式安装URLScan的配置文件。
针对无人值守方式运行URLScan的说明
无人值守方式安装URLScan的命令文件。
三、实践应用
IISLockdown的用法很简单。
双击启动,出现InternetInformationServicesLockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。
首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中IAgree选项,点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板,本文假定使用StaticWebServer(静态Web服务器)模板。
选中ViewTemplateSettings选项,向导将显示出一系列有关该模板类型的对话框,如果不选中这个选项,向导将跳过这些对话框,直接进入URLScan安装过程。
点击“下一步”,出现InternetServices对话框,如图二,这是第一个真正配置IIS加锁选项的页面。
IISLockdown能够禁用或删除四种IIS服务:
HTTP,FTP,SMTP,以及NNTP(NetworkNewsTransportProtocol,网络新闻传输协议)。
怎样才能知道哪些服务才是必需的呢?
除了前面选择的服务器模板类型可资参考之外,个人经验、全面地测试也同样重要。
InternetServices对话框中的IIS服务选项有三种状态:
㈠启用:
选项处于选中状态,检查框有标记,例如图二的Webservices。
清除检查框的标记将禁用服务。
㈡启用,但推荐禁用,例如图二的E-mailservice:
选项没有选中,检查框没有标记。
如果保留检查框的清除状态,服务将被禁用。
㈢禁用,且不可选择,例如图二的FileTransferservice:
如果一个选项变灰,它的检查框也没有选中标记,则表示不允许修改该服务,可能是因为服务没有安装,也可能是因为当前选择的服务器模板需要该服务。
如果服务器的用途不是经常改变,最好彻底删除不用的服务,这样就再也没有人会意外地激活它了。
点击“下一步”,向导显示出ScriptMaps(脚本映射)对话框。
脚本映射是指把特定的文件扩展名关联到ISAPI(InternetServerAPI)执行文件,由指定的ISAPI文件来解释该类文件的内容。
例如,.asp文件类型映射到。
如果禁用了某种类型的脚本文件,IISLockdown会把脚本映射指向一个特殊的DLL,当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。
要禁用某种类型的文件,只需在图三对话框中清除该类文件的检查框。
点击“下一步”,进入最后一个IISLockdown的选项对话框AdditionalSecurity,如图四所示,通过这个对话框可以删除不需要
升级会员 