《互联网信息服务)》由会员分享,可在线阅读,更多相关《互联网信息服务)(63页珍藏版)》请在金锄头文库上搜索。
1、IISInternet Information Server,互联互联网信息服务网信息服务 本章内容IIS基本配置IIS的安全问题IIS的辅助工具提高IIS效率的方法IIS简介简介 IISInternet Information Server,互联网信息服务是一种Web网页服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络包括互联网和局域网上发布信息成了一件很容易的事.本章内容讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法. 目前最高版本是IIS 6.0lIIS是扮演所
2、有用户端服务要求的接口,和一般结构不同的是对ASP文件的处理方式,当IIS收到ASP文件的服务要求时,它会调用必须的ISAPI或DLL程序,对ASP程序进行解释执行,经过处理后,IIS再将结果转为HTML格式传回给使用者的Web浏览器.IIS的安装和运行的安装和运行 l进入控制面板,依次选添加/删除程序添加/删除Windows组件,将Internet信息服务IIS前的小钩去掉如有,重新勾选中后按提示操作即可完成IIS组件的添加.用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务.lIIS的运行的运行当IIS添加成功之后,再进入开始程序管理工具Internet服务
3、管理器以打开IIS管理器,对于有已停止字样的服务,均在其上单击右键,选启动来开启.建立第一个建立第一个Web站点站点请先在默认Web站点上单击右键,选属性,以进入名为默认Web站点属性设置界面.1修改绑定的IP地址:转到Web站点窗口,再在IP地址后的下拉菜单中选择所需用到的本机IP地址192.168.0.1.2修改主目录:转到主目录窗口,再在本地路径输入或用浏览按钮选择好自己网页所在的D:Wy目录.l3添加虚拟目录:比如你的主目录在D:Wy下,而你想输入192.168.0.1/test的格式就可调出E:All中的网页文件,这里面的test就是虚拟目录.请在默认Web站点上单击右键,选新建虚拟
4、目录,依次在别名处输入test,在目录处输入E:All后再按提示操作即可添加成功.l4添加首页文件名:转到文档窗口,再按添加按钮,根据提示在默认文档名后输入自己网页的首页文件名Index.htm.添加多个添加多个Web站点站点 l多个IP对应多个Web站点l如果本机已绑定了多个IP地址,想利用不同的IP地址得出不同的Web页面,则只需在默认Web站点处单击右键,选新建站点,然后根据提示在说明处输入任意用于说明它的内容比如为我的第二个Web站点、在输入Web站点使用的IP地址的下拉菜单处选中需给它绑定的IP地址即可;当建立好此Web站点之后,再按上步的方法进行相应设置.一个一个IP地址对应多个地
5、址对应多个Web站点站点 l当按上步的方法建立好所有的Web站点后,对于做虚拟主机,可以通过给各Web站点设不同的端口号来实现,比如给一个Web站点设为80,一个设为81,一个设为82如图2,则对于端口号是80的Web站点,访问格式仍然直接是IP地址就可以了,而对于绑定其他端口号的Web站点,访问时必须在IP地址后面加上相应的端口号,也即使用如:/192.168.0.1:81的格式.l很显然,改了端口号之后使用起来就麻烦些.如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址,则用设不同主机头名的方法,可以让你直接用域名来完成对不同Web站点的访问.比如你本机只有一个IP地
6、址为192.168.0.1,你已经建立或设置好了两个Web站点,一个是默认Web站点,一个是我的第二个Web站点,现在你想输入enanshan可直接访问前者,输入popunet可直接访问后者.其操作步骤如下:ll1请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上;并确保所有的Web站点的端口号均保持为80这个默认值.l2再依次选默认Web站点右键属性Web站点,单击IP地址右侧的高级按钮,在此站点有多个标识下双击已有的那个IP地址或单击选中它后再按编辑按钮,然后在主机头名下输入enanshan再按确定按钮保存退出3接着按上步同样的方法为我的第二个Web站点设好新的主机头名为x
7、xxx即可.l4最后,打开你的IE浏览器,在地址栏输入不同的网址,就可以调出不同Web站点的内容了.3多个域名对应同个多个域名对应同个Web站点站点 你只需先将某个IP地址绑定到Web站点上,再在DNS服务器中,将所需域名全部映射向你的这个IP地址上,则你在浏览器中输入任何一个域名,都会直接得到所设置好的那个网站的内容.对对IIS服务的远程管理服务的远程管理 l1在管理Web站点上单击右键,选属性,再进入Web站点窗口,选择好IP地址.2转到目录安全性窗口,单击IP地址及域名限制下的编辑按钮,点选中授权访问以能接受客户端从本机之外的地方对IIS进行管理;最后单击确定按钮.l3则在任意计算机的浏
8、览器中输入如:/192.168.0.1:35983598为其端口号的格式后,将会出现一个密码询问窗口,输入管理员#名Administrator和相应密码之后就可登录成功,现在就可以在浏览器中对IIS进行远程管理了!在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作.IIS常见漏洞常见漏洞 l1Null.htwlIIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞,即服务器上不存在此.htw结尾的文件.这个漏洞会导致显示ASP脚本的源代码, global.asa里面包含了用户#等敏感信息.如果攻击者提供特殊的URL请求给II
9、S就可以跳出虚拟目录的限制,进行逻辑分区和ROOT目录的访问.而这个hit-highlighting功能在Index Server中没有充分防止各种类型文件的请求,所以导致攻击者访问服务器上的任意文件.Null.htw功能可以从用户输入中获得3个变量:lCiWebhitsfileCiRestrictionCiHiliteTypel你可通过下列方法传递变量来获得如default.asp的源代码:l:/目标机/null.htw?CiWebhitsfile=/default.asp%20&%20CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的
10、.htw文件是因为虚拟文件已经存储在内存中了.l3+.htr Bugl这个漏洞是由NSFOCUS发现的,对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露::/目标机/global.asa+.htrl4NT Site Server Adsamples 漏洞l通过请求site.csc,一般保存在/adsamples/config/site.csc中,攻击者可能获得一些如数据库中的DSN,UID和PASS的一些信息,如:l:/目标机/adsamples/config/site.cscl5webhits.dll & .htwl这个hit-highligting功能是由Index
11、Server提供的允许一个WEB用户在文档上highlighted突出其原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致可以查看ASP源码和其他脚本文件内容.要了解你是否存在这个漏洞,你可以请求如下条目::/目标机/nosuchfile.htwl如果你从服务器端获得如下信息:lformat of the QUERY_STRING is invalidl这就表示你存在这个漏洞.ISM.DL
12、L 缓冲截断漏洞缓冲截断漏洞 这个漏洞存在于IIS4.0和5.0中,允许攻击者查看任意文件内容和源代码.通过在文件 名后面追加近230个+或者?%20?这些表示空格并追加?.htr?的特殊请求给IIS,会使IIS认为客户端请求的是?.htr?文件,而.htr文件的后缀映射到ISM.DLL ISAPI应用程序,这样IIS就把这个.htr请求转交给这个DLL文件,然后ISM.DLL程序把传递过来的文件打开和执行,但在ISM.DLL 截断信息之前,缓冲区发送一个断开的 .Htr 并会延迟一段时间来返回一些你要打开的文件内容.可是要注意,除非 WEB 服务停止并重启过,否则这攻击只能有效执行一次.如果
13、已经发送过一个 .htr 请求到机器上,那么这攻击会失效.它只能在 ISM.DLL 第一次装入内存时工作.:/目标机/global.asa%20%20.=230global.asa.htrIIS存在的存在的Unicode解析错误漏洞解析错误漏洞lNSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令.当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件.l你可以使用下面的方法利用这个漏洞:l1 如
14、果系统包含某个可执行目录,就可能执行任意系统命令.下面的URL可能列出当前目录的内容::/目标机/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir2 利用这个漏洞查看系统文件内容也是可能的:l:/目标机/a.asp/.%c1%1c./.%c1%1c./winnt/win.ini这个漏洞是针对中文操作平台,你也可以使用%c0%af或者%c1%9c来测试英文版本,原因就是编码不同. lWin2000+IIS 5.0安全配置规范安全配置规范 lWindows 2000安全配置l 确保所有磁盘分区为NTFS分区 操作系统、Web主目录、日志分别安装在不同的分
15、区 不要安装不需要的协议,比如IPX/SPX, NetBIOS? 不要安装其它任何操作系统 安装Service Pack 安装hotfix,一般需要安装如下补丁* Q260347_W2K_sp2_x86_cn* Q262694_W2K_SP2_x86_CN* Q269049_W2K_SP2_x86_CN* Q269862_W2K_SP2_x86_CN* Q270676_W2K_SP2_x86_CN* Q272743_W2K_SP2_x86_CN* Q277873_W2K_sp2_x86_CN* Q278499_W2K_sp2_x86_CN* Q280322_W2K_sp2_x86_CN* q2
16、85851_w2k_sp3_x86_cn具体可参考微软网站::/microsoft/Windows2000/downloads 关闭所有不需要的服务 * Alerter * ClipBook Server * Computer Browser * DHCP Client * Directory Replicator * FTP publishing service * License Logging Service * Messenger * Netlogon * Network DDE * Network DDE DSDM * Network Monitor * Plug and Play * Remote Access Server * Remote Procedure Call locater * Schedule * Server * Simple Services * Spooler * TCP/IP Netbios Helper * Telephone Service l在必要时禁止如下服务:* SNMP service * SNMP trap * UPS optional
