IIS(Internet Information Server,互联网信息服务).ppt.ppt

IIS InternetInformationServer 互联网信息服务 本章内容IIS基本配置IIS的安全问题IIS的辅助工具提高IIS效率的方法 IIS简介 IIS InternetInformationServer 互联网信息服务 是一种Web 网页 服务组件 其中包括Web服务器 FTP服务器 NNTP服务器和SMTP服务器 分别用于网页浏览 文件传输 新闻服务和邮件发送等方面 它使得在网络 包括互联网和局域网 上发布信息成了一件很容易的事 本章内容讲述Windows2000高级服务器版中自带的IIS5 0的配置和管理方法 目前最高版本是IIS6 0 IIS是扮演所有用户端服务要求的接口 和一般结构不同的是对ASP文件的处理方式 当IIS收到ASP文件的服务要求时 它会调用必须的ISAPI或DLL程序 对ASP程序进行解释执行 经过处理后 IIS再将结果转为HTML格式传回给使用者的Web浏览器 IIS的安装和运行 进入 控制面板 依次选 添加 删除程序 添加 删除Windows组件 将 Internet信息服务 IIS 前的小钩去掉 如有 重新勾选中后按提示操作即可完成IIS组件的添加 用这种方法添加的IIS组件中将包括Web FTP NNTP和SMTP等全部四项服务 IIS的运行 当IIS添加成功之后 再进入 开始 程序 管理工具 Internet服务管理器 以打开IIS管理器 对于有 已停止 字样的服务 均在其上单击右键 选 启动 来开启 建立第一个Web站点 请先在 默认Web站点 上单击右键 选 属性 以进入名为 默认Web站点属性 设置界面 1 修改绑定的IP地址 转到 Web站点 窗口 再在 IP地址 后的下拉菜单中选择所需用到的本机IP地址 192 168 0 1 2 修改主目录 转到 主目录 窗口 再在 本地路径 输入 或用 浏览 按钮选择 好自己网页所在的 D Wy 目录 3 添加虚拟目录 比如你的主目录在 D Wy 下 而你想输入 192 168 0 1 test 的格式就可调出 E All 中的网页文件 这里面的 test 就是虚拟目录 请在 默认Web站点 上单击右键 选 新建 虚拟目录 依次在 别名 处输入 test 在 目录 处输入 E All 后再按提示操作即可添加成功 4 添加首页文件名 转到 文档 窗口 再按 添加 按钮 根据提示在 默认文档名 后输入自己网页的首页文件名 Index htm 添加多个Web站点 多个IP对应多个Web站点如果本机已绑定了多个IP地址 想利用不同的IP地址得出不同的Web页面 则只需在 默认Web站点 处单击右键 选 新建 站点 然后根据提示在 说明 处输入任意用于说明它的内容 比如为 我的第二个Web站点 在 输入Web站点使用的IP地址 的下拉菜单处选中需给它绑定的IP地址即可 当建立好此Web站点之后 再按上步的方法进行相应设置 一个IP地址对应多个Web站点 当按上步的方法建立好所有的Web站点后 对于做虚拟主机 可以通过给各Web站点设不同的端口号来实现 比如给一个Web站点设为80 一个设为81 一个设为82 如图2 则对于端口号是80的Web站点 访问格式仍然直接是IP地址就可以了 而对于绑定其他端口号的Web站点 访问时必须在IP地址后面加上相应的端口号 也即使用如 http 192 168 0 1 81 的格式 很显然 改了端口号之后使用起来就麻烦些 如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址 则用设不同 主机头名 的方法 可以让你直接用域名来完成对不同Web站点的访问 比如你本机只有一个IP地址为192 168 0 1 你已经建立 或设置 好了两个Web站点 一个是 默认Web站点 一个是 我的第二个Web站点 现在你想输入 可直接访问前者 输入 可直接访问后者 其操作步骤如下 1 请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上 并确保所有的Web站点的端口号均保持为80这个默认值 2 再依次选 默认Web站点 右键 属性 Web站点 单击 IP地址 右侧的 高级 按钮 在 此站点有多个标识下 双击已有的那个IP地址 或单击选中它后再按 编辑 按钮 然后在 主机头名 下输入 再按 确定 按钮保存退出 3 接着按上步同样的方法为 我的第二个Web站点 设好新的主机头名为 即可 4 最后 打开你的IE浏览器 在地址栏输入不同的网址 就可以调出不同Web站点的内容了 3 多个域名对应同个Web站点 你只需先将某个IP地址绑定到Web站点上 再在DNS服务器中 将所需域名全部映射向你的这个IP地址上 则你在浏览器中输入任何一个域名 都会直接得到所设置好的那个网站的内容 对IIS服务的远程管理 1 在 管理Web站点 上单击右键 选 属性 再进入 Web站点 窗口 选择好 IP地址 2 转到 目录安全性 窗口 单击 IP地址及域名限制 下的 编辑 按钮 点选中 授权访问 以能接受客户端从本机之外的地方对IIS进行管理 最后单击 确定 按钮 3 则在任意计算机的浏览器中输入如 http 192 168 0 1 3598 3598为其端口号 的格式后 将会出现一个密码询问窗口 输入管理员帐号名 Administrator 和相应密码之后就可登录成功 现在就可以在浏览器中对IIS进行远程管理了 在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建 修改 启动 停止和删除等操作 IIS常见漏洞 1 Null htwIIS如果运行了IndexServer就包含了一个通过Null htw有关的漏洞 即服务器上不存在此 htw结尾的文件 这个漏洞会导致显示ASP脚本的源代码 global asa里面包含了用户帐户等敏感信息 如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制 进行逻辑分区和ROOT目录的访问 而这个 hit highlighting 功能在IndexServer中没有充分防止各种类型文件的请求 所以导致攻击者访问服务器上的任意文件 Null htw功能可以从用户输入中获得3个变量 CiWebhitsfileCiRestrictionCiHiliteType你可通过下列方法传递变量来获得如default asp的源代码 http www 目标机 com null htw CiWebhitsfile default asp 20 20CiRestriction none 20 20 CiHiliteType full其中不需要一个合法的 htw文件是因为虚拟文件已经存储在内存中了 3 htrBug这个漏洞是由NSFOCUS发现的 对有些ASA和ASP追加 htr的URL请求就会导致文件源代码的泄露 http www 目标机 com global asa htr 4 NTSiteServerAdsamples漏洞通过请求site csc 一般保存在 adsamples config site csc中 攻击者可能获得一些如数据库中的DSN UID和PASS的一些信息 如 http www 目标机 com adsamples config site csc 5 webhits dll htw这个hit highligting功能是由IndexServer提供的允许一个WEB用户在文档上highlighted 突出 其原始搜索的条目 这个文档的名字通过变量CiWebhitsfile传递给 htw文件 Webhits dll是一个ISAPI应用程序来处理请求 打开文件并返回结果 当用户控制了CiWebhitsfile参数传递给 htw时 他们就可以请求任意文件 结果就是导致可以查看ASP源码和其他脚本文件内容 要了解你是否存在这个漏洞 你可以请求如下条目 http www 目标机 com nosuchfile htw如果你从服务器端获得如下信息 formatoftheQUERY STRINGisinvalid这就表示你存在这个漏洞 ISM DLL缓冲截断漏洞 这个漏洞存在于IIS4 0和5 0中 允许攻击者查看任意文件内容和源代码 通过在文件名后面追加近230个 或者 20 这些表示空格 并追加 htr 的特殊请求给IIS 会使IIS认为客户端请求的是 htr 文件 而 htr文件的后缀映射到ISM DLLISAPI应用程序 这样IIS就把这个 htr请求转交给这个DLL文件 然后ISM DLL程序把传递过来的文件打开和执行 但在ISM DLL截断信息之前 缓冲区发送一个断开的 Htr并会延迟一段时间来返回一些你要打开的文件内容 可是要注意 除非WEB服务停止并重启过 否则这攻击只能有效执行一次 如果已经发送过一个 htr请求到机器上 那么这攻击会失效 它只能在ISM DLL第一次装入内存时工作 http www 目标机 com global asa 20 20 230 global asa htr IIS存在的Unicode解析错误漏洞 NSFOCUS安全小组发现微软IIS4 0和IIS5 0在Unicode字符解码的实现中存在一个安全漏洞 导致用户可以远程通过IIS执行任意命令 当IIS打开文件时 如果该文件名包含unicode字符 它会对其进行解码 如果用户提供一些特殊的编码 将导致IIS错误的打开或者执行某些web根目录以外的文件 你可以使用下面的方法利用这个漏洞 1 如果系统包含某个可执行目录 就可能执行任意系统命令 下面的URL可能列出当前目录的内容 http www 目标机 com scripts c1 1c winnt system32 cmd exe c dir 2 利用这个漏洞查看系统文件内容也是可能的 http www 目标机 com a asp c1 1c c1 1c winnt win ini这个漏洞是针对中文操作平台 你也可以使用 c0 af 或者 c1 9c 来测试英文版本 原因就是编码不同 Win2000 IIS5 0安全配置规范 Windows2000安全配置 确保所有磁盘分区为NTFS分区 操作系统 Web主目录 日志分别安装在不同的分区 不要安装不需要的协议 比如IPX SPX NetBIOS 不要安装其它任何操作系统 安装ServicePack 安装hotfix 一般需要安装如下补丁 Q260347 W2K sp2 x86 cn IISCrosssite Q262694 W2K SP2 x86 CN resetBrowseForm Q269049 W2K SP2 x86 CN shellpath Q269862 W2K SP2 x86 CN unicode Q270676 W2K SP2 x86 CN shurufa Q272743 W2K SP2 x86 CN NTLM Q277873 W2K sp2 x86 CN filerequest Q278499 W2K sp2 x86 CN indexserv Q280322 W2K sp2 x86 CN malwebform q285851 w2k sp3 x86 cn netdde 具体可参考微软网站 关闭所有不需要的服务 Alerter disable ClipBookServer disable ComputerBrowser disable DHCPClient disable DirectoryReplicator disable FTPpublishingservice disable LicenseLoggingService disable Messenger disable Netlogon disable NetworkDDE disable NetworkDDEDSDM disable NetworkMonitor disable PlugandPlay disableafterallhardwareconfiguration RemoteAccessServer disable RemoteProcedureCall RPC locater disable Schedule disable Server disable SimpleServices disable Spooler disable TCP IPNetbiosHelper disable TelephoneService disable 在必要时禁止如下服务 SNMPservice optional SNMPtrap optional UPS optional设置如下服务为自动启动 Eventlog required NTLMSecurityProvider required RPCservice required WWW required Workstation leaveserviceon willbedisabledlaterinthedocument MSDTC required ProtectedStorage required 删除OS 2和POSIX子系统 删除如下目录的任何键 HKEY LOCAL MACHINE SOFTWARE Microsoft OS 2SubsystemforNT删除如下的键 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SessionManager Environment Os2LibPath删除如下的键 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SessionManager SubSystems OptionalHKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SessionManager SubSystems PosixHKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SessionManager SubSystems Os2删除如下目录 c winnt system32 os2 帐号和密码策略 1 保证禁止guest帐号2 将administrator改名为比较难猜的帐号3 密码唯一性 记录上次的6个密码4 最短密码期限 25 密码最长期限 426 最短密码长度 87 密码复杂化 passfilt dll 启用8 用户必须登录方能更改密码 启用9 帐号失败登录锁定的门限 610 锁定后重新启用的时间间隔 720分钟 保护文件和目录 将C winnt C winnt config C winnt system32 C winnt system等目录的访问权限做限制 限制everyone的写权限 限制users组的读写权限 注册表一些条目的修改1 去除logon对话框中的shutdown按钮将HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Winlogon 中ShutdownWithoutLogonREG SZ值设为02 去除logon信息的cashing功能将HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Winlogon 中CachedLogonsCountREG SZ值设为0 3 隐藏上次登陆的用户名将HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Winlogon 中DontDisplayLastUserNameREG SZ值设为14 限制LSA匿名访问将HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control LSA中RestricAnonymousREG DWORD值设为15 去除所有网络共享将HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services LanManServer Parameters 中AutoShareServerREG DWORD值设为0 启用TCP IP过滤只允许TCP端口80和443 如果使用SSL 不允许UDP端口只允许IPProtocol6 TCP 移动部分重要文件并加访问控制 创建一个只有系统管理员能够访问的目录 将system32目录下的一些重要文件移动到此目录 xcopy exe wscript exe cscript exe net exe ftp exe telnet exe arp exe edlin exe ping exe route exe at exe finger exe posix exe rsh exe atsvc exe qbasic exe runonce exe syskey exe cacls exe ipconfig exe rcp exe secfixup exe nbtstat exe rdisk exe debug exe regedt32 exe regedit exe netstat exe tracert exe nslookup exe rexec exe cmd exe 安装防病毒软件 可以下载Hisecweb inf安全模板来配置Http 该模板配置基本的Windows2000系统安全策略 将该模板复制到 windir security templates目录 打开 安全模板 工具 查看这些设置 打开 安全配置和分析 工具 然后装载该模板 右键单击 安全配置和分析 工具 然后从上下文菜单中选择 立即分析计算机 等候操作完成 查看结果 如有必要就更新该模板 右键单击 安全配置和分析 工具 然后从上下文菜单中选择 立即配置计算机 IIS的安全配置 关闭并删除默认站点 默认FTP站点默认Web站点管理Web站点 建立自己的站点 与系统不在一个分区 如D wwwroot3 建立E Logfiles目录 以后建立站点时的日志文件均位于此目录 确保此目录上的访问控制权限是 Administrators 完全控制 System 完全控制 删除IIS的部分目录 IISHelpC winnt help iishelpIISAdminC system32 inetsrv iisadminMSADCC ProgramFiles CommonFiles System msadc 删除C inetpub 删除不必要的IIS映射和扩展 IIS被预先配置为支持常用的文件名扩展如 asp和 shtm文件 IIS接收到这些类型的文件请求时 该调用由DLL处理 如果您不使用其中的某些扩展或功能 则应删除该映射 步骤如下 打开Internet服务管理器 选择计算机名 点鼠标右键 选择属性 然后选择编辑然后选择主目录 点击配置选择扩展名 htw htr idc ida idq 和 printer 点击删除如果不使用serversideinclude 则删除 shtm stm 和 shtml 禁用父路径 父路径 选项允许您在对诸如MapPath函数调用中使用 在默认情况下 该选项处于启用状态 应该禁用它 禁用该选项的步骤如下 右键单击该Web站点的根 然后从上下文菜单中选择 属性 单击 主目录 选项卡 单击 配置 单击 应用程序选项 选项卡 取消选择 启用父路径 复选框 在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表 CGI exe dll cmd pl Everyone X Administrators 完全控制 System 完全控制 脚本文件 asp Everyone X Administrators 完全控制 System 完全控制 include文件 inc shtm shtml Everyone X Administrators 完全控制 System 完全控制 静态内容 txt gif jpg html Everyone R Administrators 完全控制 System 完全控制 在创建Web站点时 没有必要在每个文件上设置访问控制权限 应该为每个文件类型创建一个新目录 然后在每个目录上设置访问控制权限 允许访问控制权限传给各个文件 例如 目录结构可为以下形式 D wwwroot myserver static html D wwwroot myserver include inc D wwwroot myserver script asp D wwwroot myserver executable dll D wwwroot myserver images gif jpeg 启用日志记录 确定服务器是否被攻击时 日志记录是极其重要的 应使用W3C扩展日志记录格式 步骤如下 打开Internet服务管理器 右键单击站点 然后从上下文菜单中选择 属性 单击 Web站点 选项卡 选中 启用日志记录 复选框 从 活动日志格式 下拉列表中选择 W3C扩展日志文件格式 单击 属性 单击 扩展属性 选项卡 然后设置以下属性 客户IP地址 用户名 方法 URI资源 HTTP状态 Win32状态 用户代理 服务器IP地址 服务器端口 IIS的辅助工具 使用MetaBase 管理员可以完成关于IIS的所有工作 例如 建立一个虚拟目录 停止 启动或暂停Web站点 建立 删除 禁止或启用应用程序 微软提供了一个可视化工具MetaEdit帮助你读写MetaBase 你可以在这里下载它的最新版本 为了更有效地利用MetaBase 你应该试一下命令行接口 IISAdministrationScript 简称为adsutil vbs 你可以在C inetpub adminscripts或者 SystemRoot system32 inetsrv adminsamples目录下找到它 IIS的辅助工具 站点内容压缩 可以使用pipeboost压缩站点功能 IIS的辅助工具 Web应用程序缓存 你可以把不同的文件或目录设置过期时间 打开IIS信息服务器 右击站点内容 单击属性 在跳出来的窗体中你就可以进行相应的设置了 如果你想让开发者自己设置 请使用CacheRight XCache这些软件 IIS的辅助工具 站点的安全 找出你的服务器信息和操作系统信息是攻击者的第一个目标 所以不要暴露你的HTTP头让别人知道你运行的是IIS 使用ServerMask这类软件将HTTP头删除或替换掉 其次 你可以通过删除不必要的文件扩展名来进一步安装你的服务器环境 另外 你还可以扫描有问题的URL请求 微软提供了一个免费工具 URLScan IIS的辅助工具 补丁 下载安装最新的补丁 你可以到微软的站点 也可以到http www cert org 用IIS作为关键词查询 IIS信息服务器排错 IIS服务器出错的原因是复杂的 象服务启动失败 IIS进程中断或者站点不能启动这些错误都会在系统日志中记录一个错误事件 不论IIS出现何种错误 在确定排错方案之前 都应先使用事件查看器查阅系统日志所记录的相关事件 某些错误显然是由服务器硬件的损坏而造成的 而另一些由于软件原因造成的错误往往不易察觉 重新启动IIS 大多数软件问题可以通过重新启动到方法得以解决 作为IIS5 0的新功能之一 我们可以在不重新启动计算机的情况下重启IIS服务 甚至相当严重的问题都可以采用这种方法解决 重新启动IIS服务可以强迫系统重置IIS进程的内存空间 故由于内存错误引起的问题可以得到解决 重启IIS的方法主要用于下列情况 网站应用程序瘫痪 且不能有效加以控制 网站应用程序工作不正常或者不稳定 重新启动IIS服务的过程中 全部当前连接都不能保留 且重启期间服务器上的全部站点都不能工作 如果重启IIS服务不能解决问题 则重启服务器亦不会有效 当站点应用程序不能正常工作时 按照下述步骤重新启动服务器的IIS服务 1 在IIS管理控制树中展开IIS节点 选择需要重新启动IIS服务的计算机 2 单击 操作 菜单 选择 重新启动IIS 3 在 停止 启动 重新启动 对话框中的 您向要IIS做什么 下拉列表中选择 重新启动服务器的IIS 单击 确定 4 正在关闭 对话框显示重新启动IIS的进度 如果对话框长时间没有反应 单击 现在结束 并重新进行上述操作 注意 对于单个站点的稳定性问题 不必重新启动整个IIS进程 只要重启站点即可 备份 还原IIS IIS的实现机制包括一个类似注册表的元数据库 MetaBase 有关IIS本身和站点的配置属性全部保存在Windows2000和元数据库MetaBase中 因此 只要将相关的注册表和元数据库进行备份 即可保存站点相关的全部配置 即使在删除站点甚至重新安装IIS之后 仍然能够利用备份恢复到原来的状态 备份IIS的步骤如下 1 在IIS管理器中展开IIS节点 选择向要备份的计算机 2 单击 操作 菜单 选择 备份 还原配置 3 在 备份 还原配置 对话框中的 备份 列表中列出全部备份文件以及备份时间 单击 创建备份 按钮 4 在 备份配置 对话框中指定新建备份的名称 单击 确定 5 单击 关闭 完成备份 默认情况下 备份文件将保存在Winnt system32 inetsrv MetaBack目录中 IIS内置的备份 还原功能只能在本地服务器中使用 但如果想在网络中移植IIS网站配置信息到其它服务器 该工具就显得力不从心了 专门的备份工具IIS备份精灵IIS备份精灵只能用在相同版本的IIS网站间配置信息的移植IISExportUtility可以对不同版本的IIS站点配置信息进行移植 恢复备份的方法与此类似 在 备份 还原配置 对话框中的 备份 列表中选择一个备份文件 单击 还原 然后再如左图所示的提示对话框中单击 确定 一段时间之后 IIS服务器恢复到进行备份时所处的状态 提高IIS网站服务器效率 1 启用HTTP的持续作用可以改善15 20 的执行效率 2 不启用记录可以改善5 8 的执行效率 3 使用 独立 的处理程序会损失20 的执行效率 4 增加快取记忆体的保存文档数量 可提高ActiveServerPages之效能 5 勿使用CGI程式6 增加IIS5 0电脑CPU数量 7 勿启用ASP侦错功能 8 静态网页采用HTTP压缩 大约可以减少20 的传输量 1 启用HTTP的持续作用启用HTTP的持续作用 Keep Alive 时 IIS与浏览器的连线不会断线 可以改善执行效率 直到浏览器关闭时连线才会断线 因为维持 Keep Alive 状态时 于每次用户端请求时都不须重新建立一个新的连接 所以将改善服务器的效率 此功能为HTTP1 1预设的功能 HTTP1 0加上Keep Aliveheader也可以提供HTTP的持续作用功能 2 启用HTTP的持续作用可以改善15 20 的执行效率 如何启用HTTP的持续作用呢 步骤如下 在 Internet服务管理员 中 选取整个IIS电脑 或Web站台 内容 之 主目录 页 勾选 HTTP的持续作用 选项 3 不启用记录不启用记录可以改善5 8 的执行效率 如何设定不启用记录呢 步骤如下 在 Internet服务管理员 中 选取整个IIS电脑 或Web站台 於 内容 之 主目录 页 不勾选 启用记录 选项 设定非独立的处理程序使用 独立 的处理程序会损失20 的执行效率 此处所谓 独立 系指将 主目录 虚拟目录 页之应用程式保护选项