對計算機網絡組件IIS運行安全問題的思考

【摘要】IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以，IIS在Windows Server 2003中不是默認安裝的，只有在確定啟用一臺Web服務器的時候，才有必要安裝。但是IIS的配置仍然是我們的重點。根據安全原則，最少的服務+最小的權限=最大的安全。

【關鍵詞】IIS；漏洞；問題；安全

一、IIS概述

IIS是Internet Information Services的簡稱，中文意思為Internet信息服務。它是Windows Server 2003的一個重點的服務器組件，主要是向客戶端提供各種Internet服務。IIS提供的基本服務包括：發布信息（WEB）、傳輸文件（FTP）、支持用戶通訊（SNMP）和更新這些服務所在依賴的數據存儲等等。正是因為這樣所以服務越多，漏洞也隨之越多，而這里的重點就是補漏。

二、有關IIS安全設置與漏洞安全

（1）有關IIS安全設置。第一，只安裝Option Pack中必須的服務。建議不要安裝公司Index Server、FrontPage Server Extensions、示例WWW站點等功能。第二，新建WWW服務與FTP服務。默認的站點與管理Web站點含有大量有安全漏洞的文件，容易給黑客創造攻擊機會。因此，必須禁止。同時，應該在新的目錄下建立服務。這個目錄千萬不要放在InetPub\\wwwroot下，最好放在與它不同的分區下。第三，刪除不必要的IIS擴展名映射。最好關閉.IDC、.HTR、.STM、.IDA、.HTW等應用程序映射。第四，安裝新的Service Pack后，IIS應用程序映射應重新設置。要安裝新的Service Pack后，某些應用程序映射可能又會出現，導到出現安全漏洞。這是網絡管理員比較容易忽視的一點。第五，設置IP拒絕訪問列表。對于WWW服務，可以拒絕一些對站點有攻擊嫌疑的地址、特別是對于FTP服務。第六，禁止對FTP服務的匿名訪問如果允許對FTP服務做匿名訪問，該匿名賬戶就有可能被利用來獲取更多的信息，以至對系統造成危害。第七，建議使用W3C擴充日志文件格式。每天記錄客戶IP地址、用戶名、服務器端口、方法、URL字根、HTTP狀態以用用戶代理，而且每天均要審查日志。同時最好不要使用缺省目錄。建議更換一個記日志的路徑，同時重新設置日志的訪問權限。（2）有關IIS漏洞安全。第一，IIS的Index Server服務漏洞。IIS4.0與5.0的服務器存在著INDEX SERVER服務漏洞，當用戶使用IIS4.0或者IIS5.0的服務器時，一旦啟動了INDEX SERVER，入侵者就可在瀏覽器地址欄中的URL后面加上一些特殊的字符格式，此時入侵者就可以瀏覽到ASP源程序或者其他頁面的程序，甚至已經打上了最近關于查看源代碼的漏洞補丁程序的系統，或者沒有.HTW文件的系統，同樣存在該問題。通過構建下面的URL請求可以查看到該程序的源代碼：http：//___/1.htw?CiwebHitsFile=/default.acpCiRestriction=noneCiHiliteType=pull。但是，這樣只能得到一些HTML格式的文本.如果把特殊符號%20添加到CiWebHitsFile的參數后面，構造如下的URL：HTTP：//___/1.htw?CiWebHitsFile=/default.asp%20CiRestriction=noneCiHiliteType=Full，就得到了該程序的源代碼了?！?.htw”文件并非真正的系統映射文件，它只是一個儲存在系統內在中的虛擬文件。第二，IIS的INDEX WERVER服務漏洞的防范。解決這個漏洞的方法就是刪除.htw映像文件或者下載補丁。

三、IIS安全隱患策略

首先，把C盤那個什么Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是這樣也不放心用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:\\Inetpub；其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除（這里雖然已經把Inetpub從系統盤挪出來了，但是還是小心為上），如果這里需要什么權限的目錄可以慢慢建，需要什么權限開什么。（特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給。）

當今社會隨之而來的電子信息產的發展趨勢，我們有理由相信不久的將來網絡站點服務將會越來越重要，隨之而來的就是網站服務的安全問題。重點就是怎樣使它們之間保持平衡能夠更好的服務于大眾，在這里網站服務的安全性就顯的尤其重要，所以這里就得對它隨時隨地監控和維護。

參 考 文 獻

[1]劉永華．Windows Server 2003[J]．北京：科學出版社，2005

[2]方耿，林慶霓，莫卓豪．網絡維護與故障診斷[J]．北京：冶金工業出版，2004

[3]孫振池，王勤．ASP動態網頁設計[J]．北京：中國計劃出版社，2007