让LockDown增强IIS服务器的安全性 曹文中 2001年 41期 编者按:企业中专用服务器所面对的是一定范围的用户,防范控制相对较易,而Web服务器是面向全球客户的,接入的随意性给安全防范带来很大的压力,因而合理控制Web服务器,保障它在提供服务的前提下安全运行十分重要。在合理控制Web服务器方面,简单原则很有用,即根据本身业务的需求,启用Web服务器上最小服务进程。微软公司对其Web服务器IIS就提供了安全设置的工具LockDown(2001年《电脑报》39期D4版《谨防“尼姆达”蠕虫病毒》一文曾介绍过该软件的下载地址),通过该工具,Web服务器管理人员可以方便地控制Web服务器上运行的进程,从而达到防范控制的目的。   下文主要从两个方面对Lockdown软件的使用进行说明,一是IIS服务器上可选择的服务类型,二是Lockdown 软件的安装与使用。   #1IIS服务器上可选择的服务   IIS服务器上可选择的服务包括两部分,一是一些Script对应关系,二是IIS服务器默认安装时,创建的附加事例文件及服务。Script对应关系与IIS服务器上采用的ISAPI接口有关。ISAPI的全称为互联网服务应用程序接口,通过它可以增强Web服务的性能,IIS服务器上一些高级服务就是通过ISAPI实现的。可我们通过中断相应的Script对应关系可屏蔽ISAPI的接口,它被屏蔽后,我们需建立新的对应关系,以便IIS服务器接到服务请求时,反馈用户“file no found”这样的错误提示。IIS中的Script对应关系有以下几种:   ●Active Server Pages (.ASP):ASP 是让开发者创建动态页面的技术。IIS服务器上的ASP文件接受到用户请求后,在服务器上执行,生成HTML文件,然后发送给客户。IIS服务器上无ASP文件,应关闭该项Script MAPPING.   ●Index Server Web Interface(.IDQ):该接口允许管理员远程管理索引服务器,并允许客户通过Web创建个性化的查询。禁止该接口,不影响标准的索引服务,但是,客户此时无法创建个性化的查询。   ●Server-Side Includes (.SHTML、 .SHTM、 .STM):该功能使得Web服务器能在向客户发送页面前,将文本,图片及应用程序数据引入页面中。该特性使得Web开发者可将多个页面常用的信息放在独立的文件中,运行时再将它调入。   ●Internet Data Connector (.IDC):IDC是一项执行数据库查询并将结果插入HTML页面的技术,该功能现可通过ASP技术来实现。建议屏蔽该功能,如需要则通过ASP来实现。   ●Internet Printing (.Printer):该功能允许客户通过互联网发送和管理打印任务。建议屏蔽该功能,如启用该功能,必须同时启用ASP技术。   ●HTR Scripting (.HTR):HTR是第一代描述性语言,其与ASP相似,但功能要比ASP少得多,现应用得最多的地方是通过Web服务器更改登录口令。建议屏蔽该功能,如需要时,采用ASP来代替。IIS默认安装的附加文件和服务下列的服务均可通过Lockdown软件删除和恢复。   ●Remove sample Web files:IIS提供一些指导性的页面和Script范例,这些文件是不应出现在正式运行的Web服务器上的。建议删除这些范例文件。   ●Remove the Scripts virtual directory:默认情况下,IIS服务器在安装时创建存放Script的虚拟目录。通过删除虚拟目录,IIS服务器的安全性在两方面可以得到加强,一是保障没有缺省的Script被执行,二是防止网上攻击者通过在虚拟目录中放置Script获取其他权限。建议当Web服务器上无Script时不设虚拟目录,当实在需要时,也要将原虚拟目录移至其他地方,增强虚拟目录的安全性。   ●Remove the MSADC virtual directoryMSADC:虚拟目录提供通过微软高级数据连接和远程数据服务进行基于Web的数据库操作。建议在不许RDS服务时,屏蔽该功能。   ●Disable Distributed Authoring and Versioning (WebDAV):WebDAV是允许作者远程创建,分发和管理Web上内容的协议。   ●Set file permissions to prevent the IIS anonymous user account from executing system utilities:IIS对匿名用户采用(IUSR_computername) 账户,它有权接近存放Web内容的目录,但是,当某种异常情况出现时,匿名用户可能利用(IUSR_computername)是EVERYONE用户群一员的关系取得对系统文件的执行权。因而建议屏蔽匿名账户的执行权。   ●Set file permissions to prevent the IIS anonymous user account from writing to Web content directories:IIS对匿名用户采用(IUSR_computername) 账户,它有权读取存放Web内容的目录,但是,当某种异常情况出现时,匿名用户可能利用(IUSR_computername)是Everyone用户群一员的关系取得对系统文件的写权限。因而建议屏蔽匿名账户的写权限安装与操作Lockdown软件安装与执行是一体的,安装过程结束,即是执行结束。   其安装提供两种方式。一为快速安装,二为高级安装。   #1快速安装   快速安装使用软件默认的设置,可提供最大的安全性。运行后,Web服务器只能提供静态HTML页面,而不能提供ASP,动态搜索,互联网上打印等服务。   安装执行过程如下:   1.运行IISLOCKD.EXE;   2.按下一步,选择安装方式;   3.快速安装选择Express Lockdown;   4.单击yes,执行安装运行任务,单击“View Report”可察看详细执行记录;   5.单击下一步,进入结束画面,点击完成,结束安装执行。   #1高级安装   高级安装使操作者自己选择控制项,按所设Web服务器的实际需求进行配置。安装执行过程如下:   1.启动方式同快速安装,在选择安装方式时,选择Advanced Lockdown。   2.按下一步,进入Script选择页面,选择要禁止的Script对应关系(图1)(^41040801a^)。   3.然后,单击下一步,进入附加操作页面,选择要删除的内容(图2)(^41040801b^)。   4.单击下一步,进入后续执行页面,过程同快速安装。   #1恢复   IISLockDown还提供恢复机制,当用户执行IISLockDown后,如意识到有不妥之处,可利用该恢复机制,将IIS服务器恢复到运行IISLockDown以前的效果。执行方式如下,仍然运行IISLOCKD.EXE程序,偶次运行时,其出现如下画面(图3)(^41040801c^)。   单击“undo”,进行恢复操作。再单击下一步,进入结束画面,单击完成,结束运行。值得注意的是,IIS LockDown软件只能提供到最近一次的恢复操作,如意识到对IIS安全控制有不妥时,应立即执行恢复操作。   附带说明:IISLockDown软件可应用在WinNT4.0和Win2000上,以上图示是在Win2000上运行的效果。