IIS(Internet Information Server)是黑客特別喜歡的目標。因此,對於管理IIS網頁服務器的管理員來說,確保服務器安全是一件至關重要的事。IIS 4.0和IIS 5.0的默認值安裝尤其容易受到攻擊。
采取下面的10個步驟來確保IIS的安全:
1.專門為IIS應用和數據設置一個NTFS磁盤驅動器。如果可能的話,不允許IUSER(或者無論什麼匿名用戶)存取任何其它的磁盤驅動器。如果應用遇到任何由於匿名用戶沒有權限存取位於其它磁盤驅動器上的程序而造成的問題,那麼,使用Sysinternals的FileMon來尋找哪一個檔案該用戶不能存取,然後把該程序移至IIS磁盤驅動器上。如果這樣不可行的話,則允許IUSER僅可存取該檔案。
2.設置磁盤驅動器上的NTFS權限: Developers = Full IUSER = Read and execute only System and admin = Full
3.使用一個軟件防火牆確保沒有終端用戶(只有研發人員)可以存取IIS機器上除了port 80之外的其它埠。
4.使用微軟的工具來保護機器:IIS Lockdown和UrlScan。
5.啟動使用IIS的日志文件(logging)功能。除了IIS紀錄外,如果可能的話,同時也使用防火牆日志文件功能。
6.把記錄的日志(log)從預設地點移開,並確保已經進行備份。為日志檔案夾建立一個備份,這樣在另一個位置總是有一個可以使用的備份檔。
7.啟動機器上的Windows監督功能(auditing),因為在試圖反向追查攻擊者的行為的時候總會發現資料不足。利用監督日志,你可借著執行腳本來檢查任何可疑的行為,然後發送報告給管理員。這聽起來好像有一點極端,但是如果貴公司非常重視安全的話,這種作法可說十分值得鼓勵。建立監督功能來報告所有的失敗賬號登錄事件。另外,就跟先前的IIS日志一樣,請將默認值位置 (c:\winnt\system32\config\secevent.log)改變為另一個不同的位置,並且確保你有一個備份而且有一個復制的拷貝文件。
8.經常多閱讀一些安全文章(各種來源的)。最好是盡可能多了解IIS,並進行全面的安全作法,而不僅僅是按照其它人(比如我)告訴你的經驗來實現。
9.加入IIS漏洞郵件清單(mailing list),並要確實加以閱讀以掌握最新狀態。這種列表有來自因特網安全系統的X-Force Alerts and Advisories。
10.最後,確保你經常執行Windows Update,並重復檢驗修補程序真的已經有安裝妥當。
