第十二章 針對IIS的漏洞:兩大工具打造安全網站
自從紅色代碼(Codered)病毒在網上傳播並且造成巨大損失以後,專門針對微軟服務器的病毒就已經在一個月之內出現三例:紅色代碼二(CodeBlue2)、藍色代碼(CodeBlue)和9月18日出現的病毒尼姆達(Nimda)。這幾例病毒不但在短時間內傳播全球,且每一種病毒均不同程度引起業界驚呼,稱其為最危險的病毒!
這些病毒之所以傳播廣泛,主要利用了微軟最新出現的幾個漏洞,各病毒利用漏洞情況如下:
病毒名稱
對於漏洞
紅色代碼
緩衝區溢出漏洞、索引服務
紅色代碼二
緩衝區溢出漏洞、索引服務
藍色代碼
Unicode漏洞
尼姆達
IFRAMEExecCommand、Unicode漏洞
仔細觀察以上病毒對應的漏洞,在驚歎病毒厲害的同時,係統管理員們有必要反省:其實以上漏洞通告均早已經出現,現在正在傳播的尼姆達病毒利用的Unicode漏洞,正是今年"五一"中美黑客大戰時黑客們廣泛使用的一種漏洞,微軟針對這些漏洞的補丁包也早已經推出。之所以在這些病毒出現以後還有那麼多計算機中招,很大責任就是NT、Win2000的管理員們沒有及時加上應該有的補丁和沒有仔細關注這兩個係統的安全設置有關。當大家一次又一次的罵微軟服務器的脆弱的時候,應該去微軟的網站看看,看看自己應該擔負的責任。
也就是針對這一點,微軟意識到需要采取必要措施幫助管理員們來設置服務器的安全屬性,因此,在紅色代碼傳播以後,微軟在2001年8月23日推出了一款傻瓜式的IIS安全設置工具:IISLockTool;同時,在尼姆達病毒傳播以前的幾天(2001年9月11日),微軟推出了一款過濾網站訪問不合法請求的工具:URLScan。這兩款工具均是針對IIS的漏洞設計的,係統管理員使用以上兩款工具,可以有效設置IIS安全屬性,避免被類似紅色代碼病毒和一些黑客的攻擊。
一、IISLockTool,快速設置IIS安全屬性
IISLockTool的推出,還要感謝紅色代碼,因為正是紅色代碼的大麵積傳播,致使微軟設計發布這款幫助管理員們設置IIS安全性的工具。
(一)、IISLockTool具有以下功能和特點
1、最基本功能,幫助管理員設置IIS安全性;
2、此工具可以在IIS4和IIS5上使用;
3、即使係統沒有及時安裝所有補丁,也能有效防止IIS4和IIS5的已知漏洞;
4、幫助管理員去掉對本網站不必要的一些服務,使IIS在滿足本網站需求的情況下運行最少的服務;
5、具有兩種使用模式:快捷模式和高級模式。快捷模式直接幫助管理員設置好IIS安全性,這種模式隻適合於隻有HTML和HTM靜態網頁的網站使用,因為設置完成以後,ASP不能運行;高級模式允許管理員自己設置各種屬性,設置得當,對IIS係統任何功能均沒有影響。
(二)、IISLockTool的使用
1、軟件下載和安裝
IISLockTool在微軟網站下載,下載地址:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
安裝很簡單,需要注意的是,安裝以後,程序不會在係統的【程序】菜單出現,也不會在【管理工具】出現,需要安裝者在安裝目錄尋找運行該程序。
2、軟件的使用
在以下的介紹中,我們將詳細介紹每一步設置的意義和推薦設置,之所以詳細介紹,是為了我們明白這些設置到底意味著什麼,同時,和我們原來的安全設置相對照,避免出現設置完成以後,係統出現障礙。
運行該軟件,首先出現以下界麵(圖一):
圖一
以上界麵介紹了IISLockTool的一些基本情況和使用時需要注意的地方:1)使用時應該選擇針對本網站最少的服務,去掉不必要的服務;2)設置完成以後,建議對網站進行徹底檢查,以確定設置對本網站是否合適;
在以上界麵,點擊【下一步】按鈕,出現以下界麵(圖二):
圖二
以上界麵選擇快捷模式還是高級模式來運行軟件,在這裏,軟件介紹了兩者模式的區別:
快捷模式:此設置模式關閉了IIS的一些高級服務屬性,其中包括動態網頁屬性(ASP);所以,我們需要再重複一遍,選擇快捷模式隻適合提供靜態頁麵的網站,當然,這種模式是相對最安全的。
高級模式:此模式運行安裝者自定義各種屬性,同時允許高級屬性的運行。
快捷模式設置我們不必介紹,點擊【下一步】按鈕就可以設置完成。我們選擇【AdvancedLockdown】(高級設置),點擊【下一步】按鈕,出現以下界麵(圖三):
圖三
以上界麵幫助管理員設置各種腳本映射,我們來看每一種影射應該怎樣設置:
1)DisablesupportActiveServerPages(ASP),選擇這種設置將使IIS不支持ASP功能;可以根據網站具體情況選擇,一般不選擇此項,因為網站一般要求運行ASP程序;
2)DisablesupportIndexServerWebInterface(.idq,.htw,.ida),選擇這一項將不支持索引服務,具體就是不支持.idq,.htw,.ida這些文件。我們先來看看到底什麼是索引服務,然後來決定取舍。索引服務是IIS4中包含的內容索引引擎。你可以對它進行ADO調用並搜索你的站點,它為你提供了一個很好的web搜索引擎。如果你的網站沒有利用索引服務對網站進行全文檢索,也就可以取消網站的這個功能,取消的好處是:1)減輕係統負擔;2)有效防止利用索引服務漏洞的病毒和黑客,因為索引服務器漏洞可能使攻擊者控製網站服務器,同時,暴露網頁文件在服務器上的物理位置(利用.ida、.idq)。因此,我們一般建議在這一項前麵打勾,也就是取消索引服務;