IIS之大事件
一、IIS大事件
Windows 2000操作系统是可以被利用作为
Web服务器使用的,原因很简单就是因自身携带了IIS的服务。当你选用了IIS(Internet Information Service)后就得注意了,因为它是微软的组件中漏洞最多的一个,而微软的IIS默认安装设置又实在不敢恭维,所以IIS的配置是安全重点的防范对象,这些漏洞一旦处理不好,系统就很有可能被病毒或者黑客破坏,下面就来进行一些操作,切实地“保护”IIS的安全。
二、安全操作
Windows 2000的IIS组件安装是在“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”在组件的清单上能很清楚地看到“Internet信息服务(IIS)”,你只需要对其进行勾选,然后按下一步即可完成IIS组件的安装。
安装好IIS后你可以在“开始→设置→控制面板→管理工具”看到“Internet 服务管理器”的图标。你双击打开“Internet 服务管理器”,就进入到有关“Internet 服务管理器”的设置。
在“Internet 服务管理器”的左边你选择“默认Web站点”,这个是IIS组件安装后自己生成的一个Web站点的管理器。选中“默认Web站点”右键查看属性。这个时候能看到有关Web的属性,你可以把你的IP地址、TCP端口(默认80)进行设置或修改。在“主目录”设置中把它指向到你的Web页面的所在文件夹。默认是将主目录指向C:\Inetpub;但这样非常不安全。
注意:更改了Web页面的目录后,把C盘的“Inetpub”彻底删除。或者转移到其他分区(用默认目录名Inetpub,也可以改一个名字)。其次,IIS在安装时默认“Scripts”(脚本)的虚拟目录都必须删掉,因为可以通过“http//www.xxxxxx.com/scripts/..%c1%1c../winnt/system32/cmd.exe”而造成对你的系统威胁。应该对页面目录设置相应的权限,写权限和执行程序的权限一般情况下不要用。
在“配置”中必须删除必须之外的任何无用映射,保留ASP,ASA文件类型就可以了。把.htw、.htr、.idq、.ida……等内容全部删除,因为这是漏洞的根源。在IIS管理器中右击主机“属性→主目录→配置→应用程序映射”(如图所示),然后就开始一个个删。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本。
一般IIS都有CGI漏洞扫描的漏洞,CGI扫描器通过查看返回页面的HTTP代码来判断漏洞是否存在。针对这个问题在IIS中将“HTTP 404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以防止CGI漏洞扫描。(通过URL将HTTP404出错信息重定向到HTTP404.htm文件)。
你使用Windows 2000建站就注定要用IIS,为了你的网站安全。对你的IIS进行相应的安全措施是十分有必要的。而这些小小的设置是相当容易又不需要花费太多力气,何乐而不为呢?
|