IIS安全漏洞

张颢镡

当A S P以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候，其本身的一些缺陷、　　漏洞也正威胁着所有的网站开发者。所有的A S P应用程序开发者应密切关注，提高警惕。
　　微软再次被指责对其出品的 We b服务器软件的安全问题不加重视。在微软的流行产品 I I S
　　S e v e r 4 . 0中发现存在一种被称为“非法H T R请求”的缺陷。据微软称，此缺陷在特定情况下会导
　　致任意代码都可以在服务器端运行。但用发现这一漏洞的 I n t e r n e t安全公司e E y e的CEO Firas
　　B u s h n a q的话说：这只是冰山一角而已。 B u s h n a q说，微软隐瞒了些情况，比如***可以利用这
　　一漏洞对I I S服务器进行完全的控制，而恰恰许多电子商务站点是基于这套系统的。
　　尽管I I S存在一些漏洞，但它的强大功能正被许多程序开发者所认识，而微软也在不断地发
　　行更高版本的A S P，以提高其安全性。我们不能因为一些缺陷而放弃功能如此强大而又易于学习
　　使用的服务器应用程序开发环境。为了尽量使自己的网站安全，使自己的 A S P应用程序安全，应
　　合理进行I I S的系统配置。
　　以下是I I S系统配置的安全性建议，希望能给大家一些帮助：
　　* 使用最新版本的I I S 4 . 0，并安装N T最新版本的Service Pack5，服务器的文件系统不要使用
　　FAT，应该使用N T F S。
　　* 把I I S中的s a m p l e、s c r i p t s、i i s a d m i n和m s a d c等We b目录设置为禁止匿名访问并限制I P地址。
　　在微软还没有提供补丁之前，把i s m . d l l有关的应用程序映射删除。
　　* 有条件的话就采用防火墙机制，最简单的方法有， We b服务器开在前台，目录放在后台。
　　如果能用一个服务器一台机当然最好。
　　* We b目录、C G I目录、s c r i p t s目录和w i n n t目录等重要目录要用N T F S的特性设置详细的安全
　　权限，包含注册表信息的 Wi n n t目录只允许管理员完全控制，一般的用户只读的权限也不
　　要给。凡是与系统有关的重要文件，除了A d m i n i s t r a t o r，其他账号都应该设置为只读权限，而不是e v e r y o n e。
　　* 只开你需要的服务,关掉所有不应该打开的端口，如N e t B i o s端口1 3 9，这是一个典型的危险
　　端口；怎样禁止这些端口？除了使用防火墙外， N T的T C P / I P设置里面也提供了这种功能：
　　打开“控制面板|网络|协议| T C P / I P |属性|高级|启用安全机制|配置”，这里面提供了T C P和
　　U D P端口的限制和I P协议的限制功能。
　　* 管理员的账号要设置得复杂一些，建议加入特殊字符。