確保 Internet 信息服務 5.0 和 5.1 的安全(4)_動易Cms教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

      HTR 腳本 (.htr)、Internet 打印 (.printer)
      .idq、.ida: 緩沖區溢出向攻擊者提供了完全控制服務器的可能性。
      .htw:用戶可能無意間通過瀏覽器或支持 HTML 的電子郵件客戶端打開惡意鏈接。
      .shtml、.shtm、.stm:ssiinc.dll 安全問題可向瀏覽器返回任何 Web 服務器中的攻擊者指定內容。
      .Idc:跨站點腳本安全問題可在錯誤頁中提供完整的 URL,使攻擊者能在服務器中隨意運行腳本代碼。
      .htr:顯示 ASP 文件的源代碼。
      .printer: 向攻擊者提供目標 IIS 系統的遠程控制臺。

      附加安全性
      刪除 Internet 打印的如下虛擬目錄:
      ISS Samples
      MSADC
      IISHelp
      Scripts
      IISAdmin
      Printers

      刪除 IISAdmin Web 站點

      限制匿名訪問系統工具

      限制匿名用戶向 Web 內容目錄寫入

      創建稱為 Web Anonymous Users 和 Web Applications 的兩個新本地組,將二者的“拒絕”訪問控制條目 (ACE) 添加到要害工具和目錄的訪問控制列表 (ACL) 中。

      將默認的匿名 Internet 用戶帳戶
      IUSR_ComputerName 添加到 Web Anonymous Users 中。

      將 Web 應用程序標識 IWAM_ComputerName 添加到 Web Applications 中。

      禁止 WebDAV (Web Distributed Authoring and Versioning)。
      安裝 UrlScan ISAPI 篩選器。
       

      • 驗證 Web 服務器的 IIS Lockdown Tool 配置有效

      1.
      右鍵單擊桌面的“我的電腦”,單擊“資源治理器”,然后瀏覽 C:\WINNT\system32\inetsrv 目錄。

      2.
      查找 oblt-undo.log 和 oblt-undone.log 文件。



      假如沒有日志文件,或雖然存在但數據和時間戳早于 oblt-log.log 文件,表示 Web 服務器的 IIS Lockdown Tool 配置已生效。

      運行 IIS Lockdown Tool 之后,您可以手動重新啟動文件擴展名。假如要重新運行 IIS Lockdown Tool 刪除其配置,這種方法最可取。

      • 運行 IIS Lockdown Tool 后手動重新映射文件擴展名

      1.
      單擊“開始”>“程序”>“治理工具”>“Internet 服務治理器”。

      2.
      右鍵單擊 Web 站點,然后單擊“屬性”。

      3.
      單擊“主目錄”選項卡,然后單擊“配置”。

      4.
      查找要重新映射的文件擴展名。

      5.
      雙擊文件,然后將路徑從 404.dll 更改到 C:\WINNT\system32\inetsrv\file name.dll,其中都是要重新映射的文件擴展名。例如:idq.dll。



      自定義 UrlScan 配置
      UrlScan 在 IIS Lockdown Tool 運行時安裝。UrlScan 是一種 Internet 服務應用程序編程接口 (ISAPI) 篩選器,它可以根據一組規則來篩選或拒絕 HTTP 請求,從而使 Web 服務器遠離攻擊。這些規則適用于 Web 服務器駐留的所有 Web 站點。正確安裝 UrlScan 之后,無論是否啟動 IIS,UrlScan 都將自動運行。

      您可以通過編輯 UrlScan.ini 文件來更改 UrlScan 規則。此文件必須與 UrlScan.dll 文件位于同一目錄,UrlScan.dll 是運行 UrlScan 的文件。

      本節提供下列分步指導來實現自定義 UrlScan 配置:

      • 自定義 UrlScan 配置

      • 驗證新的 UrlScan 設置


      要求

      • 憑據:您必須以 Web 服務器 Administrators 組成員的身份登錄。

      • 工具:我的電腦、UrlScan.ini 文件、記事本、iisreset 命令。

      • 自定義 UrlScan 配置

      1.
      右鍵單擊桌面的“我的電腦”,單擊“資源治理器”,然后瀏覽 C:\WINNT\system32\inetsrv\urlscan 目錄。

      2.
      雙擊 UrlScan.ini 文件并在記事本中打開。完成相應更改,然后保存文件并關閉。

      下表列出了 UrlScan.ini 文件中的各部分。

      查看更多 動易Cms教程  動易Cms模板

      來源:模板無憂//所屬分類:動易Cms教程/更新時間:2005-03-30
      相關動易Cms教程