問題
IIS(Internet Information Services,Internet 信息服務)是黑客們喜歡攻擊的對象。因此,對那些管理 IIS Web 服務器的來說,鎖定IIS是非常關鍵的。IIS 4.0 和IIS 5.0 的默認設置存在很多漏洞。
解決方案
通過下面 10 步來保護 IIS:
1. 為IIS 應用程序和數據專門安裝一個NTFS 設備。如果有可能,不要允許IUSER(或其它任何匿名用戶名)去訪問任何其它設備。如果應用程序因為匿名用戶無法訪問其它設備上的程序而出了問題,馬上使用Sysinternals 的FileMon 檢測出哪個文件無法訪問,並吧這個程序轉移到IIS 設備上。如果無法做到這些,就允許IUSER 訪問且只能訪問這個文件。
2. 在設備上設置NTFS 權限:
Developers = Full(所有權限)
IUSER = Read and execute only(讀和執行權限)
System and admin = Full(所有權限)
3. 使用一個軟件防火牆,確認沒有終端用戶能夠訪問 IIS 計算機上的除了 80 端口之外的其它端口。
4. 使用Microsoft 工具鎖定計算機:IIS Lockdown 和UrlScan.
5. 啟用IIS 事件日志。除了使用IIS 事件日志之外,如果有可能的話,盡量也對防火牆啟用事件日志。
6. 把日志文件從默認的存儲位置移走,並保證對它們的備份。為日志文件建立一個重復的拷貝,以確保這個放在第二位置的拷貝是可用的。
7. 在計算機上啟用Windows 審核,因為當我們試圖去追蹤那些攻擊者的行為的時候,我們總是缺少足夠的數據。通過使用審核日志,甚至有可能擁有一個腳本來進行可疑行為的審核,這個腳本隨後會向管理員發送一個報告。這聽起來好像有點走極端了,不過如果對你的組織來說安全性非常重要的話,這樣做是最好的選擇。建立審核制度來報告任何失敗帳戶登錄行為。另外,同IIS日志文件一樣,把它的默認存儲位置(c:\winnt\system32\config\secevent.log)改到另外一個地方,並確保它有一個備份和一個重復的拷貝。
8. 一般來說,盡你所能的查找安全方面的文章(從不同的地方),並按照它們進行實踐。在IIS和安全實踐方面,它們說的通常被你懂得的要好一些,而且不要只信服其他人(比如說我)告訴你的東西。
9. 訂閱一份IIS 缺陷列表郵件,並堅持按時對它進行閱讀。其中一個列表是Internet Security Systems(Internet 安全系統)的X-Force Alerts and Advisories。
10. 最後,確保你定期的對Windows 進行了更新,並檢驗補丁是否被成功的安裝了。
