|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 難道IIS(Internet Information Services)就真是“脆弱”的嗎?難道擁有全球市場排名第一的Apache就堅不可摧?其實這些問題只是我們對服務器安全問題的曲解,在IIS 6沒有推出以前,我一直忙著對IIS 5 修修補補,也確實過了一段提心吊膽的日子。我們完全有理由相信,經過調整后的IIS足以讓我們值得信賴。解釋幾個常見漏洞 1. 緩沖區溢出 簡單解釋一下,緩沖區溢出主要因為提交的數據長度超出了服務器正常要求,導致服務器檢查代碼錯誤。而溢出的方法有可以分為:基于堆棧的溢出和基于堆的溢出。在IIS 6以前的版本,Web服務是運行在LocalSystem賬戶下,當某個黑客利用緩沖區溢出的漏洞入侵后,當然就可以執行大部分的管理員命令了。 利用該漏洞比較名的病毒是“紅色代碼(Redcode)”和“尼姆達(Nimda)”。eEye Digital Security 公司早于1996年就發現了這類漏洞的代表作HTR緩沖區漏洞。eEye發現,IIS抵抗力十分脆弱。如果攻擊傳遞給IIS,那么輸入值將不是一串字母而是可以執行的系統命令。HTR文件的解釋程序是將一個以.htr結尾的超長文件在ism.dll中造成輸入緩沖區溢出。 我們早已用不到HTR了(筆者個人的理解),那只是早些時候,微軟腳本編程用到的,早已經被ASP技術取代。 說明:根據上文的說明我們知道一個漏洞的根源就是.htr文件與System32目錄下的ism.dll存在著關聯,如果將ism.dll和.htr文件之間存在的映射關系斷開,或者刪除了ism.dll,就可以解決了。 2. 臭名昭著的Unicode 首先要知道什么是Unicode二次解碼漏洞?打開IE,選擇“查看→編碼→Unicode(UTF-8)”,在沒有創造Unicode之前,沒有一個編碼可以包含足夠的字符來容納數百種的數字編碼。比如我們要看一個繁體中文(BIG5)的網頁,在你的簡體中文版的Windows 系統上,沒有Unicode的支持就不可能實現。 如果非法用戶提交一些特殊的編碼,將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。那么,未經授權的用戶可以利用IUSR_machinename賬號訪問用戶目錄的任何文件。同時,我們有知道這個賬號在默認情況下屬于Everyone和Users組,Windows 2000 Server默認的安全權限是“Everyone完全控制”因此任何能被這些用戶組訪問的文件都可能被刪除、修改或執行。 說明:可以限制網絡用戶訪問和調用CMD命令的權限;若沒必要使用Scripts和Msadc目錄,可以刪除或者重新命名;還有一個問題,安裝Windows NT系統時不使用默認的WINNT路徑。 3. FrontPage 服務器擴展漏洞 對于安裝FrontPage服務器的網站,通常會在Web目錄(缺省)下有若干個以字母“_vti”開頭的目錄,正是這些目錄為黑客提供了可乘之機。我們可以從搜索引擎上搜索默認的Frontpage目錄,這時我們能從引擎上返回大量的信息。 說明:你真的需要FrontPage 服務器擴展嗎?我是從來沒有用過,這都是默認安裝的時候為我們帶來的隱患。如果不需要,直接卸載了該服務就沒問題了。 IIS加固策略的建議 你得到的網站源代碼不會完全一樣,而大多數程序員不會為你只提供一種類型的代碼。所以不要完全按照下面的加固列表操作,尤其在加固之前要和程序的提供商取得聯系。在得到他們確認后,修改本文中涉及到服務器擴展內容。 1. 調整IIS日志 當您希望確定服務器是否被攻擊時,日志記錄是極其重要的。默認的日志不會為我們搜索黑客記錄提供很大的幫助,所以我們必須擴展 W3C日志記錄格式,步驟如下: ★檢查是否啟用了日志記錄,右鍵單擊所述站點,然后從上菜單中選擇啟用“屬性→Web 站點→啟用日志記錄”復選框。 ★更改日志的默認路徑,黑客成功入侵一個系統后,臨走時要做的一件事就是清除日志,如果以圖形界面的遠程控制軟件或是從終端登錄進入,我們自然是無法保護日志的。不過,現在比較流行的日志清除工具,大多以命令行方式刪除默認的W3C日志記錄,所以可以將圖1所示的路徑改寫,達到簡單保護的功能。 ★從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。單擊“屬性→擴展屬性”選項卡,然后添加以下信息的記錄:客戶IP 地址、用戶名、方法、URI 資源、HTTP 狀態、Win32 狀態、用戶代理、服務器 IP 地址、服務器端口。 日志記錄是我們被入侵后惟一能夠找到自身漏洞的地方。就比如有些人鐘愛的“動網上傳文件”漏洞,如果你能在日志當中發現“HTTP GET 200(文件上傳成功)”,沒什么可以辯解的,肯定是沒有升級補丁或者開放了上傳權限。所以說日志防護是每個管理員必備的知識。 2. 刪除IIS所有默認示例 這是一個在Windows 2000和Windows Server 2003上都在安裝的時候保留的內容,因為只能從本地訪問這些文件,所以這些默認的示例不會為服務器帶來威脅。如果不需要它們作為建立站時的參照以及遠程的管理幫助,可以刪除它們,同時起到優化系統的功能(需要關閉IIS服務)。 3. 刪除不必要擴展映射 IIS 5被預先配置為支持如.asp這樣的動態程序文件,但除了我們常用的幾個文件格式之外,還支持了本文中提到的可能造成緩沖區溢出的文件類型。IIS 接收到這些類型的文件請求時,該調用由 DLL 處理,所以最好刪除它們。 選擇“WWW服務→編輯→主目錄→應用程序配置”,參照下表有針對性的選擇刪除對象: IIS 6 的全新奉獻 我們常在網上看到關于Windows Server 2003 已經非常安全的報道,但是我們的管理員不是每天做個補丁更新的工作嗎?其實,Windows Server 2003中給我帶來最直接的感覺就是IIS 6的安全性,直到現在為止筆者確實沒有發現IIS 6中有什么重大的漏洞可以被黑客利用。 工作進程隔離(Worker Process Isolation)以及URL的授權訪問,我在以前版本里面根本就沒有奢念。不僅如此,最主要的改進就是IIS本身的“默認可用性”和“默認鎖定擴展服務” (如圖2)。 當把服務器升級到Windows Server 2003的時候,如果你沒有運行IISLockdown工具,服務器竟然禁止我們提供Web服務。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
