快捷搜索:  
笨牛网>服务器>Win+IIS> > 让IIS服务器远离安全威胁(1) >

让IIS服务器远离安全威胁(1)

发布者: 资讯频道 围观 点赞:0

  最近一段时间,许多单位的网站在不经意间就被黑掉了,或者网站的许多管理权限莫名其妙地被盗了,这是什么原因呢?除了服务器系统自身安全性能不高外,造成这些现象最主要的原因就是IIS服务器在默认状态下存在不少安全漏洞,许多非法攻击者往往会充分利用这些漏洞,来对服务器系统进行安全攻击,最终导致网站被黑或网络管理权限发生丢失。为了让IIS服务器远离安全攻击,我们必须对症下药、采取措施,来堵住IIS服务器的各种安全漏洞;现在,本文就以Windows 2003 Enterprise Edition IIS6服务器系统为操作蓝本,向各位详细介绍两则安全技巧,来让自己的IIS服务器运行更安全。

  堵住目录漏洞 谨防木马攻击

  相信目前多数单位的服务器都使用的是Windows 2003 Enterprise Edition系统,该系统中自带的IIS6在默认状态下存在文件解析漏洞,当Web服务器主目录中的某文件夹名与**.asp格式相近时候,那么该文件夹中的任何文件都能被IIS服务器看成ASP程序来进行执行,如此一来非法攻击者就能通过向该文件夹中上传gif或jpg格式的图象木马文件,来间接在服务器系统中运行木马程序了,那样的话IIS服务器系统的安全性就会受到严重威胁。考虑到微软公司还没有发布目录漏洞补丁程序,因此基本上大部分Web服务器都存在由该漏洞引起的安全威胁;为了避免Web服务器的超级管理权限丢失,或者发生网站被非法黑掉的现象,我们需要想方设法地及时堵住IIS服务器的安全漏洞。

  原本通过安装目录漏洞补丁程序,就能非常轻松地解决上面的安全威胁,可是微软公司到目前为止,都没有为用户提供相关的漏洞补丁程序,这么一来我们就无法为采用这种方法来让IIS服务器远离安全攻击。考虑到IIS服务器通常会指定特定的文件夹来保存上传的图象文件或动画文件,此时我们只要找到那个目标文件夹,并对该文件夹的属性信息进行修改,以便让其中的所有文件都不具有执行权限。在进行这种设置操作时,我们可以先以系统管理员身份进入服务器系统,并打开该系统的资源管理器窗口,从中找到用来存在网站图象或动画的目标文件夹;用鼠标右键单击该目标文件夹图标,从弹出的右键菜单中执行“属性”命令,打开目标文件夹的属性设置窗口;单击该设置窗口中的“安全”标签,进入如图1所示的标签设置页面,从该页面的“组或用户名称”列表框中选中“everyone”帐号,并将该帐号的运行权限设置为“读取”和“写入”,并将其他所有权限全部设置为拒绝,最后单击“确定”按钮结束权限属性设置操作,如此一来IIS服务器就会禁止普通用户运行gif或jpg格式的图象木马文件了。

编缉推荐阅读以下文章

技巧:如何加固外网上的IIS服务器安全 500-IIS服务器内部错误解决方法 故障诊断:解惑IIS服务器无法添加映射之谜 IIS服务器不支持FLV视频的解决办法 详解:IIS服务器状态代码的含义 逐步排查 层层递进 解决IIS服务器报错 IIS服务器组建一览

让IIS服务器远离安全威胁

  图1

  小提示:gif或jpg格式的图象木马文件被上传到服务器系统中后,网络管理员一般不大容易觉察到。这里,本文为各位贡献一则快速识别木马文件的小技巧;我们可以先从系统资源管理器窗口中找到用来保存图象或动画文件的目标文件夹,在对应该文件夹窗口的空白位置处单击鼠标右键,并从右键菜单中依次选择“查看”/“详细信息”命令,这么一来系统资源管理器窗口中的所有内容都会以详细资料方式来显示。之后,依次单击系统资源管理器窗口中的“查看”/“选择详细信息”命令,在其后弹出的设置对话框中,选中“尺寸”选项,再单击“确定”按钮,如此一来正常的图象文件会自动显示出图象的尺寸大小,要是没有显示尺寸大小,那么我们可以基本断定gif或jpg格式的文件是木马文件了。

  使用身份验证 谨防非法访问

  我们知道,IIS服务器允许普通用户使用HTTP协议来访问Web网站中的信息内容,然而HTTP通信协议使用的是明码传输方式来显示内容的,而不会对在网络上传输的网站内容进行加密,所以使用这种协议来访问目标网站中的隐私内容时很不安全。为了防止网站信息在传输过程中被非法用户通过专业工具随意窃取到,我们不妨使用SSL服务器自带的身份验证功能,来加密需要在网络通道中传输的网站信息,同时指定只有特殊用户才能使用HTTPS协议访问目标Web站点中的信息。现在,我们就一起来看一下如何使用SSL身份验证,来对需要传输的网站内容进行加密,以便确保IIS服务器不受非法访问。

  首先我们需要为特定网站创建SSL验证证书,在创建该验证证书时,我们可以先打开服务器系统的“开始”菜单,从中依次点选“设置”/“控制面板”选项,并双击控制面板窗口的“管理工具”图标,打开服务器系统的管理工具列表窗口,双击该列表窗口中的“Internet 信息服务(IIS)管理器”图标,在弹出的IIS控制台左侧显示区域,点选“本地计算机”节点下面的“网站”分支,从该分支下面找到目标网站名称,并用鼠标右击该目标网站名称,再执行右键菜单中的“属性”命令,进入目标网站的属性设置窗口;

编缉推荐阅读以下文章

技巧:如何加固外网上的IIS服务器安全 500-IIS服务器内部错误解决方法 故障诊断:解惑IIS服务器无法添加映射之谜 IIS服务器不支持FLV视频的解决办法 详解:IIS服务器状态代码的含义 逐步排查 层层递进 解决IIS服务器报错 IIS服务器组建一览

  其次在目标网站属性设置窗口,单击“目录安全性”选项卡,打开“目录安全性”选项设置页面,在其中的“安全通信”处单击“服务器证书”按钮,打开Web服务器身份验证证书安装向导窗口;在该安装向导窗口中单击“下一步”按钮,在其后弹出的服务器证书设置窗口中,我们随意为特定网站设置一个证书分配方法,例如我们在这里选中“新建证书”项目,再单击对应向导界面中的“下一步”按钮;

  之后,选中向导界面中的“现在准备证书请求,但稍后发送”选项,并根据提示为新安装的身份验证证书取一适当名称,而且需要在“位长”列表框中为新安装的身份验证证书指定一个恰当的密钥位长;紧接着按照提示输入使用目标证书的单位名称信息以及其他说明信息,下面再正确输入目标站点的公用名称,通常情况如果目标站点位于Internet网络中时,我们就必须正确输入目标网站的详细域名信息。等到上面的设置操作结束后,我们再根据向导提示设置一个目标文本文件来存储证书请求信息,在缺省状态下系统会自动指定Windows安装根目录下的“certreq.txt”文件来存储证书请求信息,最后单击“完成”按钮身份验证证书就算创建成功了。

  在完成证书创建任务后,我们还需要采用手工方法来添加证书服务;在添加证书服务时,双击系统控制面板窗口中的“添加或删除程序”选项图标,再单击“添加/删除Windows组件”选项卡,选中其后界面中的“证书服务” 选项(如图2所示),之后根据提示选择“是”按钮,再选中“独立根CA”选项,当屏幕上出现CA识别信息窗口时;我们可以在该设置窗口的“公用名称”框中正确输入CA名称信息,并对该证书的生效时间进行合适设置,缺省状态下该证书的有效时间为5年。下面,我们将看到证书数据库设置窗口,在这里我们可以指定好证书数据库的保存路径,同时指定好相关日志信息的存放位置。

编缉推荐阅读以下文章

技巧:如何加固外网上的IIS服务器安全 500-IIS服务器内部错误解决方法 故障诊断:解惑IIS服务器无法添加映射之谜 IIS服务器不支持FLV视频的解决办法 详解:IIS服务器状态代码的含义 逐步排查 层层递进 解决IIS服务器报错 IIS服务器组建一览

让IIS服务器远离安全威胁

  图2

  为了让特定网站的信息不被非法用户偷窥,我们还必须申请一个高级网站证书;在申请高级网站证书时,我们需要进入服务器系统的资源管理器窗口,打开其中的system32文件夹窗口,将该窗口中的Certsrv子文件夹拷贝到特定网站主目录下;之后,在IE地址框中输入“http://目标网站地址/certsrv/default.asp”,打开Microsoft证书服务页面,单击“申请一个证书”选项,从随后弹出的浏览页面中点选“高级证书申请”选项;然后点选“使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请”选项,在其后申请页面中填入“certreq.txt”文件中的内容,并单击“提交”按钮,如此一来我们就能成功申请到高级网站证书了。为了让高级网站证书正式生效,我们还需要对其进行颁发操作,在颁发证书时,可以双击服务器系统控制面板窗口中的“证书颁发机构”选项图标,选中对应截面中的“挂起的申请”项目,再在对应“挂起的申请”项目右侧列表窗格中右击之前成功申请好的高级网站证书,从右键菜单中依次选择“所有任务”/“颁发”选项;紧接着再将“颁发的证书”项目选中,并在对应“颁发的证书”项目右侧列表窗格中双击之前成功申请好的高级网站证书,紧接着单击证书对话框中的“详细信息”选项卡,在对应的选项设置页面中单击“复制到文件”按钮,进入证书导出向导窗口,依照向导窗口提示设置好具体的文件名称,完成高级网站证书的颁发任务。

编缉推荐阅读以下文章

技巧:如何加固外网上的IIS服务器安全 500-IIS服务器内部错误解决方法 故障诊断:解惑IIS服务器无法添加映射之谜 IIS服务器不支持FLV视频的解决办法 详解:IIS服务器状态代码的含义 逐步排查 层层递进 解决IIS服务器报错 IIS服务器组建一览

  下面,我们必须要将颁发好的网站证书正确导入特定网站的主目录,才能实现该网站的信息加密传输功能;在进行这种操作时,我们先双击服务器系统控制面板窗口中的“管理工具”选项,在其后窗口中双击“Internet 信息服务(IIS)管理器”,进入本地服务器系统的IIS列表窗口;依次点选该窗口左侧显示区域中的“本地计算机”/“网站”节点,再右击该节点下面的特定网站名称,并执行右键菜单中的“属性”选项命令,进入特定网站的属性窗口;在该属性窗口中单击“目录安全性”选项卡,打开“目录安全性”选项设置页面,单击该设置页面中的“服务器证书”按钮,然后选择IIS证书向导界面中的“分配现有证书”项目,选中之前已经成功颁发的高级网站证书,同时设置好特定网站使用的SSL端口号码,该端口默认号码通常为“443”(如图3所示),最后单击“完成”按钮结束“目录安全性”设置操作。

让IIS服务器远离安全威胁

  图3

  完成上面的各项设置操作后,我们再将特定网站的身份验证功能启用起来就可以了。按照之前的操作步骤,进入特定网站的目录安全选项设置页面,在该页面的“安全通信”设置项处单击“编辑”按钮,依次选中其后界面中的“要求安全通道(SSL)”、“要求128位加密”选项;接着在目录安全选项设置页面中的“身份验证和访问控制”设置项处,单击“编辑”按钮,在弹出的身份验证对话框中,取消“启用匿名访问”、“集成Windows身份验证”的选中状态,再选中“基本身份验证”,最后根据提示完成剩余操作就可以了。

  到了这里,我们已经完成特定网站信息的加密传输操作了。日后,我们再对特定网站进行访问时,只需要在IE浏览器地址框中输入“https://特定网站地址”URL地址,就能访问到其中的页面内容了;此时,该页面中的内容在传输过程中,任何非法攻击者都将无法偷窥到,那样一来IIS服务器中的内容就安全了。

编缉推荐阅读以下文章

技巧:如何加固外网上的IIS服务器安全 500-IIS服务器内部错误解决方法 故障诊断:解惑IIS服务器无法添加映射之谜 IIS服务器不支持FLV视频的解决办法 详解:IIS服务器状态代码的含义 逐步排查 层层递进 解决IIS服务器报错 IIS服务器组建一览
顶(0)
踩(0)
win服务器搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论