当前位置: 首页 > 图文教程 > 网络编程 > ASP > 提高IIS的安全性

ASP
Adodb.Command 平时很少注意到的一个参数
Asp.Net控件加载错误的解决方法
远程连接access数据库的方法
创建具有JScript的HTML的XMLHTTP
在Asp中如何快速优化分页的技巧
用VB生成DLL封装ASP代码,连接数据库
RS.OPEN SQL,CONN,A,B 全接触
利用adodb.stream直接下载任何后缀的文件(防盗链)
用ASP编程控制在IIS建立Web站点的程序代码
使用VBScript操作Html复选框(CheckBox)控件
把文章内容中涉及到的图片自动保存到本地服务器
两个不同数据库表的分页显示解决方案
使用组件封装数据库操作(一)
使用组件封装数据库操作(二)
如何在pb中创建COM组件,并在asp中调用并返回结果集?
用ASP和Microsoft.XMLDOM分析远程XML文件
浅谈无刷新取得远程数据技术
将ASP纪录集输出成n列的的表格形式显示的方法
在ASP中通过oo4o连接Oracle数据库的例子
Server Application Error详细解决办法

ASP 中的 提高IIS的安全性


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 22 ::
收藏到网摘: n/a

  概要:使用IIS的省缺设置就象把你屋子的钥匙给了别人,本文教你如何把门锁上。(本文不是100%直译,括号中的是讨饭猫的废话)

没有任何系统是100%安全的,系统漏洞会不断地发现,这是因为黑客和系统管理员一样也在整天看着新闻组,收集着这方面的信息。黑与反黑之间的战斗会永远进行下去。

如果你采用IIS的省缺设置,那你在这场较量中就已经处于下风。Windows NT省缺下被安装为一个开放的服务器,即使是菜鸟hacker也能得手。但只要你做下面几个简单步骤,情况就会有很大改善。虽不敢说攻无不克,至少可以保护你的数据不象小克的拉链门一样世人皆知。

一个安全的系统要有多层保护。一般的计算机系统有三层保护,物理层,网络层,文件系统。物理层就是保护好计算机硬件本身,硬盘,软盘不被偷走,这就不用我多说了。网络层是要保护与Internet和本地LAN的网络连接,主要是靠防火墙和端口的存取权限设置。最里面的是文件系统,这也是大多数攻击的目标。下面我们主要也就讲这方面。

省缺设置的问题

NT省缺设置成一个开放系统,文件系统是几乎完全没有安全设置的,网络上的任何用户都可以读写删除其中的文件。这主要原因是NT中大量使用了 Everyone 组(更可怕是省缺给 full权限),理论上,地球上任何用户都属于everyone组。相比之下,NetWare就设置为一个封闭的系统,安全性就好很多。为什么Microsoft要做这种蠢事?原因可能是给最大权限可以减少许多因为权限问题带来的技术支持电话吧。(是这样吗?)

IIS同样也有很多问题。安装IIS时,系统建立一个前缀是IWAM_(早期版本是IUSR_)的帐户,该帐户属于Guest组,能够存取Guest组和Everyone组权限下的所有文件。在省缺安装下,90%的系统文件可以被该用户访问。

看来解决方法就是删除所有的everyone组权限了,但实际上这样做行不通。因为IIS不仅要存取HTML文件,还会调用Script和ActiveX控件,还涉及到DLL的执行,全部取消Everyone组权限会使系统出现这样那样的问题。所以要使用一些系统安全工具来一步步做。

系统安全工具

熟悉以下NT系统自带的安全工具是很重要的:

User Manager(usrmgr.exe)
IIS 4.0: Microsoft management console (MMC.EXE)
IIS 3.0: Internet service manager (INETMGR.EXE)
Registry editor (REGEDT32.EXE)
(介绍省略,不相信你没用过)

Command line ACL editor (CACLS.EXE)
这个工具可能知道的人不多,也是NT自带,用于管理access control list(ACL)。

Control panel, system applet
该工具用于管理系统环境变量。

步骤一:使用专用的Web组

1 用user manager建立一个名为WWW的本地组
2 将IWAM_账号从Guests组中删除,加入WWW组
3 赋予WWW组“access this computer from the network”权限,让IIS能执行一个本地登录操作
4 重起WWW服务
5 在Web根目录下执行命令行操作:

CACLS <DIR>\*.*  /T /E /C /G WWW:R

参数        Meaning
<DIR>\*.*    Web根目录。在  With IIS 4.0 中通常是 C:\Inetpub\WWWRoot.    
/T    作用于所有的目录和子目录    
/E    编辑ACL,不是替换    
/C    有错误停止执行.    
/G WWW:R    赋予WWW组Read权限    

这样Web目录下的所有文件都承认WWW组的读权限了。别忘了在其他包含Web内容的目录下执行这个命令(主要是虚拟目录)

步骤二:删除Everyone组

完成以上操作后,Internet用户只能看所允许的文件了。但这还不够,因为everyone组还存在,现在需要将everyone组从计算机中的所有文件中清除出去。
但清除everyone组不象想象的那么简单。省缺下,许多Microsoft DLL文件在ACL中之只列了everyone组。如果一杆子打到底,这些DLL文件就无人可以访问了。因为一删除everyone组,ACL就空了,空的ACL意味着任何访问者都没有权限。执行以下命令:

CACLS C:\*.* /T /E /C /G Users:F /R Everyone

参数    Meaning
/G Users:F    赋予Users组所有权限
/R Everyone    取消Everyone组所有权限

这样可以保证ACL中不为空。然而这样做带来两个问题:本机完全开放给本地网络;变动太多的系统文件权限。最好的方法其实是找出那些文件只有everyone组权限,不幸地是WindowsNT没有提供该功能,但有一些第三方工具能做到这个功能。(原文中没有提到到底是哪些工具)如果有这些工具的话,该命令改为:

CACLS C:\*.* /T /E /C /R Everyone

步骤三:处理数据库

如果你的系统包括数