网站入侵与防御IIS 5安全注意事项和安全配置.docVIP

网站入侵与防御：IIS 5安全注意事项和安全配置 ?????本节涵盖IIS5所特有的安全问题，同时微软的IIS默认安装实在不敢恭维，所以IIS的配置是也将是重点。?????(1) 在虚拟目录上设置ACL。尽管该步骤与应用程序稍微有些关系，但是经验仍适用，正如表5.4中列出的那样。?????文件类型：?????访问控制列表 CGI (.exe, .dll, .cmd, .pl)Everyone (X)Administrators（完全控制）System（完全控制）脚本文件 (.asp)Everyone (X)Administrators（完全控制）System（完全控制）Include 文件 (.inc, .shtm, .shtml)Everyone (X)Administrators（完全控制）System（完全控制）静态内容 (.txt, .gif, .jpg, .html)Everyone (R)Administrators（完全控制）System（完全控制） ?????① 按文件类型推荐使用的默认ACL。?????无需在每个文件上设置ACL，最好为每个文件类型创建一个新目录、在每个目录上设置ACL、允许ACL传给各个文件。例如，目录结构可为以下形式： · c:\inetpub\wwwroot\myserver\static (.html) · c:\inetpub\wwwroot\myserver\include (.inc) · c:\inetpub\wwwroot\myserver\script (.asp) · c:\inetpub\wwwroot\myserver\executable (.dll) · c:\inetpub\wwwroot\myserver\images (.gif, .jpeg) ?????同样，请特别注意以下两个目录： · c:\inetpub\FTProot（FTP 服务器）· c:\inetpub\mailroot（SMTP 服务器） ?????在这两个目录上的ACL是Everyone（完全控制），并且应被更紧密的事物所覆盖（取决于您的功能级别）。如果打算支持 Everyone（写入），则将该文件夹放在IIS服务器以外的不同卷上，或使用Windows 2000磁盘配额限制可写入这些目录的数据量。?????② 设置适当的IIS日志文件ACL?????请确保IIS产生的日志文件 (%systemroot%\system32\LogFiles) 上的ACL是 · Administrators（完全控制） · System（完全控制） · Everyone (RWC) ?????这有助于防止恶意用户为隐藏他们的踪迹而删除文件。?????当您希望确定服务器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下：?????① 装载 Internet Information Services工具。?????② 右键单击所述站点，然后从上下文菜单中选择“属性”。?????③ 单击“Web 站点”选项卡。?????④ 选中“启用日志记录”复选框。?????⑤ 从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。?????⑥ 单击“属性”。?????⑦ 单击“扩展属性”选项卡，然后设置客户IP地址、用户名、方法、URI资源、HTTP状态、Win32 状态、用户代理、服务器IP地址、服务器端口。?????如果在一台计算机上有多个Web服务器，则后两种属性非常有用。Win32状态属性对于调试非常有用。检查日志时，密切注意错误5，这意味着访问被拒绝。在命令行上输入 net helpmsg err，可找出其他Win32错误的含义，其中err是要查找的错误号。?????(2) 设置IP地址/DNS 地址限制。这不是常用选项，但是如果您希望限制某些用户对 Web 站点的访问，则这是可采用的选项。请注意，如果您输入IIS拥有的域名系统(DNS) 名称以执行 DNS 查找，则这将非常耗时。?????(3) 验证可执行内容的可靠性。很难知道可执行内容是否可靠。一个试验就是使用 DumpBin工具查看可执行内容是否调用某些API。DumpBin 包括在多种Win32开发工具中。例如，如果要查看名为MyISAPI.dll的文件是否调用 RevertToSelf，请使用以下语法：dumpbin /imports MyISAPI.dll | find RevertToSelf ?????如果屏幕上未显示任何结果，则MyISAPI.dll不直接调用 R