IIS的安全加固

IIS的安全加固1.关闭并删除默认站点默认FTP站点默认Web站点管理Web站点2.建立自己的站点，与系统不在一个分区如：D:\．建立E:\Logfiles目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）3.删除IIS的部分目录IISHelpC:\winnt\help\iishelpIISAdminC:\system32\inetsrv\iisadminMSADCC:\ProgramFiles\CommonFiles\System\msadc\删除C:\inetpub4、网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改成“无”这样能很有效的防止用户非法上传一些ASA文件来执行上传木马。5、所有网站IUSR-PCNAME用户权限减去“遍历文件夹-运行文件。6、建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤，如.MDB、‘、--、NULL、select、%5c、c:、cmd、system32、xp_cmdshell、exec、@a、dir、alert()、’or’’=’、Where、count(*)、between、and、inetpub、、nchar、，%2B、%25等。对于提交有上述字串请示的IP，一般都是人为有意进行，因此可令防火墙对这类访问的IP进行较长时间的屏蔽。7、其他安全工具安装安全工具：如Urlscn、IISLock等2）日志的安全管理1、启用操作系统组策略中的审核功能，对关键事件进行审核记录；2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。5、准备一款日志分析工具，以便随时可用。6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。9.修改IIS标志1）使用工具程序修改IIS标志修改IIS标志Banner的方法：下载一个修改IISBanner显示信息的软件——IIS/PWSBannerEdit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将WorldWideWebPublishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。IIS/PWSBannerEdit其实是个傻瓜级的软件，我们只要直接在NewBanner中输入想要的Banner信息，再点击Savetofile就修改成功了。用IIS/PWSBannerEdit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。高版本Windows的文件路径为C:\WINDOWS\system32\inetsrv\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。2）修改IIS的默认出错提示信息等。10.重定义错误信息很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点.不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404.500等ObjectNotFound出错页面通过URL重定向到一个定制HTM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql注射。对于服务器管理员，既然你不可能挨个检查每个网站是否存在SQL注入漏洞，那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且\省心又省力，效果真好！\SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http500错误，那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面C:\WINDOWS\Help\iisHelp\common0-100.asp改成C:\WINDOWS\Help\iisHelp\common0.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP500错误。还可更改C:\WINDOWS\Help\iisHelp\common4b.htm内容改为这样，出错了自动转到首页。4.Access数据库的安全概要1）新生成的数据库在保证干净的前提下，主动在尾部合并一行ASP代码，内容一般可以为重定向，以免别人通过论坛发帖等方式嵌入有害代码后被得到执行；2）对MDB文件创建一个无效的映射，以便在IE中下载时出错；3）修改出错页面，建议将出错页面设计为正常被曝库后的内容，但给一个数据库的虚假地址（最好存在相应的虚假数据库文件，比如一个改名后的病毒等）；4）在防火墙中对MDB类型的扩展名进行过滤；5）删除或禁用网站的后台数据库备份功能，而用本地安装的专门自动备份程序进行自动增量备份。6）ASP通用防止注入的程序：功能简单说明：1.自动获取页面所有参数，无需手工定义参数名.2.提供三种错误处理方式供选择.(1).提示信息.(2).转向页面.(3).提示信息,再转向页面.3.自定义转向页面.使用方法很简单，只需要在ASP页面头部插入代码Code:包含Fy_SqlX.Asp就可以了~~简单实用7)使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密，例如：DBPath=Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb”)conn.open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。如果使用ODBC数据源，就不会存在这样的问题了：conn.open“ODBC-DSN名”Win2003中提高FSO的安全性ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：第一步是有别于Windows2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组，并重启计算机。经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。例：新建IURS-ABC用户，IIS中某个站点的IUSR指定此账号。常见问题：1、解除FSO上传程序小于200k限制？先在服务里关闭IISadminservice服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IISadminservice服务。2、注册会员到最后一步点击“提交信息”时出现出现错误信息，因卡巴更新后自动把JMAIL文件目录中一些JMAIL.DLL文件误为病毒木马。当多次添加到卡巴信任区后，问题解决。3、打开网站时出现“你无权查看本页，或者让你输入用户名和密码时，有三种可能，一是你网站目录权限问题，二是网站扩展名没有设，比如说PHP的主页，你打开时，如果你没有添加PHP执行脚本的话也会出现以上错误，三是你IIS账号于系统IIS账号的密码不一样。被黑客改了!前二种可能性最大，也是最容易修正的，关于第三种以下是详细的解决方案：1、停掉IIS2、查看IIS配置数据库密码：（为了查看下步的密码）第一步先修改相关文件使查看到的******变为可显示：在c:\inetpub\adminscripts找到adsutil.vbs（根据装系统时设定的不同，有的路径可能不一样）用记事本打开此文件查找IsSecureProperty=True（严重非常提醒：只有一个符合字段，在一个条件语句里面，就一句啊，在最下面那句）将IsSecureProperty=True改为IsSecureProperty=False保存关闭。第二步执行查看密码命令：开始-运行输入cmd回车打开命令行工具输入cdc:\inetpub\adminscripts（进入adminscripts目录，视你机器路径而定）获取IWAM帐户密码命令：cscript.exeadsutil.vbsgetw3svc/wamuserpass（如果看到的是******，那就是上步改错了）你还可以获取IUSR帐户密码，我没有用到命令为：cscript.exeadsutil.vbsgetw3svc/anonymoususerpass输入以上命令，按回车可分别拿到IWAM和IUSR的密码。3、右键单击我的电脑-管理，打开计算机管理界面打开本地用户和组-用户右键单击启动IIS进程帐号IWAM_****（注：****一般是计算机名）点击设置密码，设置为刚才你得到的IWAM密码。4、更改组件服务中的密码开始-运行输入cmd回车打开命令行工具先输入cdc:\inetpub\adminscripts然后输入cscript.exesynciwam.vbs-v系统会提示出来一大堆字符，不用管它。关闭窗口然后启动IIS，报错信息应该没有了。