破解IIS 6.0默認(rèn)設(shè)置安全性的終極秘籍

因此，IIS 6.0被完全的重新設(shè)計(jì)，以實(shí)現(xiàn)默認(rèn)安全和設(shè)計(jì)安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計(jì)上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺(tái)。

由于Web服務(wù)器被越來越多的駭客和蠕蟲制造者作為首要攻擊目標(biāo)，IIS便也成為了Microsoft可信賴計(jì)算計(jì)劃中首要關(guān)注的內(nèi)容。因此，IIS 6.0被完全的重新設(shè)計(jì)，以實(shí)現(xiàn)默認(rèn)安全和設(shè)計(jì)安全。本文主要講述了IIS 6.0在默認(rèn)設(shè)置和設(shè)計(jì)上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺(tái)。

默認(rèn)安全

過去，包括像微軟這樣的企業(yè)

，都在他們的web服務(wù)器上安裝一系列的默認(rèn)示例腳本，文件處理和最小文件授權(quán)，以提高管理員管理的靈活性和可用性。但是，這些默認(rèn)設(shè)置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎(chǔ)。因此，IIS 6.0被設(shè)計(jì)成了一個(gè)比早期產(chǎn)品更安全的平臺(tái)。最顯而易見的變化是IIS 6.0并沒有被Windows Server 2003默認(rèn)安裝，而是需要管理員顯式的安裝這個(gè)組件。其他的變化包括：

默認(rèn)只安裝靜態(tài)HTTP服務(wù)器

IIS 6.0的默認(rèn)安裝被設(shè)置為僅安裝靜態(tài)HTML頁面顯示所需的組件，而不允許動(dòng)態(tài)內(nèi)容。下表比較了IIS 5.0和IIS 6.0的默認(rèn)安裝設(shè)置：

默認(rèn)不安裝應(yīng)用范例

IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應(yīng)用。這些程序原被設(shè)計(jì)來方便程序員快速察看和調(diào)試數(shù)據(jù)庫的連接代碼，但是由于showcode.asp和codebrws.asp沒有正確的進(jìn)行輸入檢查，以確定所訪問的文件是否位于站點(diǎn)根目錄下。這就允許攻擊者繞過它去讀取系統(tǒng)中的任何一個(gè)文件(包括敏感信息和本應(yīng)不可見的配置文件)，參考以下鏈接以獲取該漏洞的更多的細(xì)節(jié)：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增強(qiáng)的文件訪問控制

匿名帳號(hào)不再具有web服務(wù)器根目錄的寫權(quán)限。另外，F(xiàn)TP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務(wù)器文件系統(tǒng)的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執(zhí)行代碼，并遠(yuǎn)程執(zhí)行這些代碼，從而攻擊web站點(diǎn)。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]