js333 > 计算机互联网 > Lockdown实践实用并不难【金沙js333娱乐场】,摘自

原标题:Lockdown实践实用并不难【金沙js333娱乐场】,摘自

浏览次数:150 时间:2019-11-29

点击“下一步”,出现Internet Services对话框,这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务:HTTP,FTP,SMTP,以及NNTPNetwork News Transport Protocol,网络新闻传输协议)。

点击“下一步”,出现Internet Services对话框,如图二,这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务:HTTP,FTP,SMTP,以及NNTPNetwork News Transport Protocol,网络新闻传输协议)。

 Everyone (RWC)

㈢ 禁用,且不可选择,例如图二的File Transfer service:如果一个选项变灰,它的检查框也没有选中标记,则表示不允许修改该服务,可能是因为服务没有安装,也可能是因为当前选择的服务器模板需要该服务。

在图一对话框中选择一个最接近当前服务器配置的模板,本文假定使用Static Web Server静态Web服务器)模板。选中View Template Settings选项,向导将显示出一系列有关该模板类型的对话框,如果不选中这个选项,向导将跳过这些对话框,直接进入URLScan安装过程。

5.1 服务器模板

如果服务器的用途不是经常改变,最好彻底删除不用的服务,这样就再也没有人会意外地激活它了。

金沙js333娱乐场 1

如果只想允许使用.aspx、.ascx、.asax、.htm、.html、.jpg、.jpeg和.gif等文件类型,那么应当使用下列设置:

Internet Services对话框中的IIS服务选项有三种状态:

IIS Lockdown的用法很简单。双击启动IISlockd.exe,出现Internet Information Services Lockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中I Agree选项,点击“下一步”进入服务器模板选择对话框,如图。

  对于许多Web应用程序并不需要在服务器上安装每一个COM组件。应用删除File System Object 等不用的COM组件,因为它们可能被用来攻击服务器。我们可以使用Regsvr32实用程序加上/u 命令行开关来取消注册COM组件。

首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中I Agree选项,点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板,本文假定使用Static Web Server静态Web服务器)模板。

Lockdown 2.1已经有了一定的了解。我们知道IIS Lockdown 2.1可以从...

2.如何使用IIS:是每台服务器使用单独Web应用程序,还是共享主机Web应用程序

如果禁用了某种类型的脚本文件,IIS Lockdown会把脚本映射指向一个特殊的DLL,当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件,只需在刚才的对话框中清除该类文件的检查框。

我们对IIS Lockdown 2.1已经有了一定的了解。我们知道IIS Lockdown 2.1可以从 lockd.exe,双击运行,把它解压缩到一个临时目录并启动IIS Lockdown向导。

 从Windows服务器上删除所有不用的ODBC驱动程序,特别是Microsoft Text Driver。然后应用严格的ACL为可信用户帐户提供访问权限。

IIS安装好之后会有许多用于开发和学习的虚拟目录,正式向用户提供服务的环境不需要这些目录,IIS Lockdown将删除图四对话框中选中的虚拟目录,但仍会完好地保留这些目录包含的数据。

但是,如果要用IIS Lockdown来保护多个服务器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IIS Lockdown都要重新解压缩了。

三、保护IIS

为了保护IIS服务器的安全,我们会选择使用IIS Lockdown。IIS Lockdown的用法很简单。双击启动iislockd.exe,出现Internet Information Services Lockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。

8.服务器要与其他的服务器相互配合吗

㈡ 启用,但推荐禁用,例如图二的E-mail service:选项没有选中,检查框没有标记。如果保留检查框的清除状态,服务将被禁用。

 对IIS最常见攻击之一是分解MDAC的部件----Remote Data Service(远程数据服务,简称RDS)的DATAFactory对象。该对象发布了可以在IIS上执行shell命令的不安全方法。它也使非法用户能连接任何需要保护的隐秘后端数据源,并且可以利用ODBC驱动程序来执行任何的SQL语句,然后获取在IIS服务器上被保护的非公开文件的访问权限。.NET Framework安装MDAC2.7是.NET安装的一部分。

㈠ 启用:选项处于选中状态,检查框有标记,例如刚才的Web services。清除检查框的标记将禁用服务。

为Web站点和虚拟目录分配适当的Access Control List(访问控制列表,ACL)

点击“下一步”,进入最后一个IIS Lockdown的选项对话框Additional Security,通过这个对话框可以删除不需要的目录,禁止未经授权的用户访问文件系统。

数据访问                           MSADC

点击“下一步”,向导显示出Script Maps脚本映射)对话框。脚本映射是指把特定的文件扩展名关联到ISAPIInternet Server API)执行文件,由指定的ISAPI文件来解释该类文件的内容。例如,.asp文件类型映射到asp.dll。

怎样才能知道哪些服务才是必需的呢?除了前面选择的服务器模板类型可资参考之外,个人经验、全面地测试也同样重要。

.asax

Lockdown。IIS Lockdown的用法很简单。双击启动iislockd.exe,出现Internet Information Services Lockdown向导...

.htm

选中View Template Settings选项,向导将显示出一系列有关该模板类型的对话框,如果不选中这个选项,向导将跳过这些对话框,直接进入URLScan安装过程。

如果重新安装IIS Lockdown Wizard,将撤销已做的改变。

当IIS收到一个被映射的文件类型的请求时,将由文件类型所映射的DLL处理该项呼叫。如果您不使用这些文件类型,那么最好把它们的映射从IIS上删除。这将减少安全威胁。

IIS示例                             IISSamples

 Client IP Address

如果没有发现最适合自己的IIS角色模板,那么可以选择Other(服务器不匹配任意一个列出角色)选项,这将赋予设置IIS的完全控制权。

[Options]

 

    我们应该禁用Directory Browsing选项。这样将会阻止黑客导航到带有危险工具的目录。如果您不打算使用CGI应用程序,那么选择Scripts only选项提供Execute权限。

下一个界面 ,使我们能够设置附加安全设置。默认状态下,它将删随IIS一起提供的示例应用程序。我们可以有选择地删除下列选项:

    我们可以用IIS MMC启动日志记录。启动IIS MMC,并单击web站点或者您想要启用日志记录的虚拟目录,然后右击目录节点并且选择“属性”选项,打开对应的属性对话框。在web site标签内启用“启用日志记录”复选框。在启用日志记录时要确信您选择了IIS MMC Extented Log File Format(W3C扩展日志格式)选项,而且要启用下列选项来筛选Extended Properties标签。

3.设置完安全性之后,安全性的测试阶段要进行应用程序的测试,而且要保证应用程序的功能合理并且有足够的权限与外部资源连接,诸如连接一个数据库或一个服务器主机的中间层组件。

IIS4服务器包括IISADMPWD虚拟目录,它允许用户重置windows口令。如果您已经从IIS4升级到IIS5就可以不用删除IISADMPWD虚拟目录(现在用IIS6、7的比较多)。

 

 Server IP Address

 IIS Help选项

摘自:

**3.5 启用日志记录**

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchRDSServer.DataFactory

IIS Lockdown Wizard提供多种模板,可以选用最适合自己的方式来设置IIS。

注意:

该界面允许我们启用和禁用各种选项。如果不打算使用FTP、SMTP或NNTP服务,就可以禁用它们。

默认状态下,FTP(C:inetpubftproot)和SMTP(C:inetpubLockdown实践实用并不难【金沙js333娱乐场】,摘自网络。mailroot)文件夹授予Everyone组Full Control(完全控制)权限。是否需要改变权限取决于应用程序的要求。例如:如果我们打算为Everyone和Internet Guest Account帐户提供Write权限,那么明确的做法是将这些文件夹移到与IIS Server所在卷不同的其他卷上,而且要强制Windows的磁盘配额限制向这些目录中写入的数据量。这样,如果有人获得对这些文件夹的访问权限,他们也不能上传大量的信息(上传大量的信息会耗尽服务器上的所有可用磁盘空间,从而使服务器变得不稳定或者降低服务器的整体性能)。

 Administrator (Full Control)

 

二、计划的安全性

删除IIS的Admin虚拟目录和不用的脚本映射

IIS文档                             IISHelp

IIS 示例                            虚拟目录

 

  如果用的是SQL服务器,那么就应用一个具有极少特权的用户帐户来操作服务器,并且不允许扩展存储过程。

UrlScan是一个ISAPI筛选器,它能监视并且分析发到IIS的HTTP请求。管理员可以在%Windir%System32文件夹的UrlScan.ini文件中设置UrlScan参数。Lockdown Wizard含有UrlScan.ini文件的若干个版本。要安装的版本将取决于选择了哪个模板。UrlScan.ini文件中有每个设置选项的部分。UrlScan实用程序产生一个日志文件UrlScan.log,它给出实用程序的状态信息,包括它拒绝了的HTTP请求。

五、锁定IIS

金沙js333娱乐场,.cmd

5.2 Internet服务

# Discurage all web indexing User-agent:* Disallow:/

-如果您的应用程序只是驻留动态Web应用程序所需要的文件,诸如与.asp and .aspx相关的文件,那么应该选择Dynamic Web Server(ASP)选项并单击下一步按钮。如果启用View template settings复选框,那么就可以定制自己想要启用或禁用的选项, 而非简单地沿用选定模板的默认值。

 右击Web站点或者需要保护的虚拟目录,并且选择“属性”选项。

 

 

 User Name

 在分布式环境下使用WebDEV向Web服务器编制内容的能力。

设置ACL是保护IIS的第一个步骤。针对不同类型的文件,我们既可以设置Windows ACL又可以设置基于IIS的ACL。这允许我们可以根据文件类型对特殊用户授予相应类型的权限。

如果想获取关于robots.txt文件方面的更多信息,请访问下面URL:

为IIS日志文件和授权登录设置适当的ACL

 Method

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchAdvancedDataFactory

 

.aspx

 Server Port

1.应该在应用程序设计阶段之前就启动安全性的计划阶段,而且应当考虑应用程序安全性的所有方面。

    安全漏洞和病毒问题并不只涉及到IIS用户。事实上,第一个有记载的Internet蠕虫在1987年就被发布了,它主要是针对Unix系统,并且利用了缓冲区溢出问题。根据CERT Coordination Center(计算机应急处理协调中心)的2001年度报告:BIND(Berkeley Internet Name Domain)的多个漏洞都是其中最严重的安全漏洞。包括OpenLinux2.3、RedHat Linux、True64 UNIX、AIX 5L、HP-UX 1li、SGI、SUN Solaris、FREEBSD、NetBSD、OpenBSD在内的大多数操作系统受到了它的影响。然而IIS没有受到影响,这是因为Microsoft的DNS的实现方式并不基于BIND。根据CERT Coordination Center报告,第二严重的安全漏洞是sadmind/IIS 蠕虫,它会影响IIS和Sun Solaris系统。

10.需要打开哪些端口?例如:如果打算实现FTP服务,那么我们就必须打开21端口

网络幼虫、爬虫、蠕虫可以访问并向全世界发布IIS日志文件,而且其他的程序会试图索引整个WEB。我们不想向全世界发布日志文件,因此应该使用robots.txt来保护日志文件不被索引程序索引。这会阻止网络爬虫检索该文件并将其放到它们的搜索引擎内容中。因此如果有人搜寻日志文件,我们的日志文件将不会出现在搜索结果中。

可以有很多种不同的方法来管理ACL,但是对于特殊用户访问特定目录,最直接的一个管理方法是简单地访问特定目录的“属性”对话框,选择“共享”选项卡,并且单击“权限”按钮,打开当前目录的权限设置对话框进行用户和权限设置。

 

.ascx

2.安全性的实现阶段要实现安全性----包括开发应用程序和设置服务器或应用环境中的安全性设置----如创建用户帐户和角色、删除或禁用非法帐户等

要按照以下几个基本步骤保护IIS,并且禁用您不打算使用的功能,包括:

IIS Lockdown Wizard官方下载地址:

.html

3.1 设置Access Control List

3.4 禁用不用的COM组件

在安装并设置UrlScan应用程序后,可能发现不能从VS.NET调试ASP.NET应用程序。在下面链接中可以找到解决办法:

    安全漏洞也涉及到Open Source产品。已有大量的安全表明黑客一直在设法及更新型开放代码系统的安全,其中包括Apache Software Foundation的一个公用服务器。

    一般认为典型的Windows Web应用程序的基础结构由许多组件组成,包括一个路由器、防火墙、负载平衡与群集技术、操作系统以及IIS。

.gif

11.如果设置IIS目录和文件?要创建和禁止哪些用户帐户

 用匿名用户权限运行系统命令如Cmd.exe和Tftp.exe的能力

 

最近,和朋友们在聊及ASP.NET程序的安全性没有JAVA高,IIS(Internet Infomartion Server)的存在很多漏洞(以及新型蠕虫,例如Code Red 和Nimda),安全得不到保障。针对IIS的安全性查了些资料,发现IIS的安全性曾被普遍关注。权威人士以及Microsoft公司的竞争对手花了大量精力仔细检查并批评了IIS安全功能。Gartner调查公司甚至更进一步建议被Code Red和Nimda攻击过的公司应完全放弃使用IIS。

.exe

 

    IIS吸引了众多注意力,因为它是继Apache网站服务器之后被最广泛使用的Web服务器之一,所以Microsoft的产品理所当然地要接受大量的安全性检查。

一、安全性和服务器的基础结构

UseAllowExtensions=1

  单击“主目录”选项卡并且选择“配置”按钮。

如果想在存放IIS的地方包括Telnet服务,那么就应当考虑限制能访问Telnet服务的用户。我们可以通过创建一个名为TelnetClients的新Windows组来保护Telnet服务,然后在该组中增加适当的Windows用户帐户。当TelnetClients组存在时,Telnet服务将只允许那些在组中被定义的用户使用该服务。

如果在第一个界面中启用了View template settings选项,那么将看到如下图所示的Internet Services界面。

注意:

4.可以将安全性的监视阶段看作是一个展示和支持的阶段,负责支持已经被实现了的安全性,并且监视对安全性有损害的任何可能的攻击或入侵。

 HTTP Status

IIS Lockdown Wizard官方介绍:

.com

向导的第二个界面使我们能够定制正在使用的脚本映射类型。注意:在该界面上,我们必须选择想要禁用的那些内容。

5.3 脚本映射

 System (Full Control)

6.IIS服务器要支持SMTP服务吗

父路径浏览允许您在调用MapPath功能时使用".."浏览系统文件。默认状态下,该选项是被允许的。您应当禁用它,因为它能让黑客访问那些我们不想让他们访问的目录。可以按照以下步骤禁用该选项:

六、保护Telnet

.jpg

 User Agent

 

1.服务器将以何种形式存在:是Internet Web应用程序还是内部网Web应用程序

我们应在计划阶段甚至应在安装操作系统和IIS之前就启动IIS的安全性。在安装、设置操作系统和IIS之前,我们应该自问一下将如何使用服务器。例如我们应该问以下这类问题:

3.2 禁用父路径浏览

 Win32 Status

Microsoft 提供了一个名为IIS Lockdown Wizard的免费工具,通过它可以轻松设置IIS并使其得到最大程度的保护。IIS Lockdown Wizard能自动操作我们已经讨论过了的许多设置点。例如:如果正确使用该项向导,它能删除IIS文件映射中不想要的文件,例如文件扩展为.idc,itr,.printer等文件。该向导也包括一个名为UrlScan的工具,它是个ISAPI筛选器,能屏蔽和分析IIS接收到所有HTTP请求。当请求中有一个受限制的字符,或一个受限制的字符串时,IIS就会拒绝该HTTP请求。

5.4 附加安全设置

我们应该试着允许用户只能访问他们需要那些资源,而不能再访问其他更多的资源。针对特殊文件类型的权限设置。

四、Microsoft Data Access Component 的安全性

如果想要拒绝使用URL中的某个扩展名,如.com,.exe,.bat,cmd,那么可以使用下列设置:

说明:

3.3 删除IIS示例

禁用或者删除所有的示例应用程序

UseAllowExtensions=0

    大多数的IIS安全漏洞可以被合适的服务包和补丁程序修补好。本文我们将研究如何使用IIS易受攻击的风险最小化,以及如何使用ASP.NET的设置选项使其安全性最大化。

[AllowVerbs]

3.支持何种身份验证:匿名用户还是验证用户

像应用程序开发一样,安全性包含许多阶段,如计划、实现、测试和监控:

5.IIS服务器要担当FTP和NNTP主机吗

 

HEAD POST

 

如果您在服务器上不打算使用任何选项,那么最好禁用它们。

 向Web站点或虚拟目录写内容的能力

 

4.要支持SSL(Secure Socket Layer,安全套接字层)吗

[options] UseAllowVerbs=1

文件类型

Access Control List(访问控制列表)

诸如.asp、.aspx、.ascx等脚本文件类型。 Internet Guest Account(Execute) Everyone(Execute) System(Full Control) Administrators(Full Control)
包括文件(.inc、.shtm以及.shtml) Internet Guest Account(Read only) Everyone(Read only) System(Full Control) Administrators(Full Control)
静态文件(.htm、.html、.gif、.jpg、.jpeg、.txt、.doc、.pdf等) Internet Guest Account(Read only) Everyone(Read only) System(Full Control) Administrators(Full Control)
可执行的CGI类型文件(.cgi、.dll、.cmd以及.pl) Internet Guest Account(Execute) Everyone(Execute) System(Full Control) Administrators(Full Control)

  单击“选项”选项卡,取消"启用父路径"复选框。

例如:如果我们只允许使用HTTP的HEAD和POST方法,那么我们应当将UseAllowVerbs设置为1并且AllowVerbs部分指定允许的HTTP方法(HEAD和POST):

为了保证MDAC组件的安全,我们应该考虑遵循下列步骤:  

 

[AllowExtensions]

5.5 UrlScan

    同其他事情一样,没有百分之百安全的系统或应用程序。安全性是一个过程,而非终极目标,要求我们不懈地努力。

 

12.需要在IIS服务器上安装WebDev 和 Microsoft FrontPage扩展吗

.jpeg

.

 URI Stem

7.允许用户在Web服务器上创建、修改和删除文件吗

在典型的ASP中,许多人不愿意在包括文件中放任何代码,这是因为用户可以直接向包含文件提出请求,获得对代码的访问权限。

 

[options]

9.需要安装哪些服务?例如需要在服务器上安装FTP服务吗

[DenyExtensions]

.bat

  这些日志项会提供所有发向IIS请求的消息。IIS日志文件可能会受到攻击。或者黑客甚至可能试图删除IIS日志文件以便隐藏他们一起在搞的破坏。因此通过正确设置ACL来保护IIS日志是非常重要的。需要确保在%systemroot%system32LogFiles产生的IIS日志文件拥有下列ACL:这将阻止黑客删除IIS日志文件和掩盖他们的行踪。

    利用下列两行命令,可以使用robots.txt 文件关闭所有的索引。

     其中的每一个组件都在保护服务器基础结构的安全方面起到相应的作用。例如:在网络通信到达web服务器以前,防火墙会过滤诸如端口、包和协议的网络通信量。假定我们的Web站点打算使用HTTP和HTTPS,并且已经堵住了除80和443以外的所有端口。虽然我们可能在防火墙内关上除80和443以外的所有端口,而且这样做会大大地增加其安全性,但是站点仍然不一定是安全的。设置每一个组件并使其安全性最大化,这一点很重要。

**3.6 安装防毒软件**

根据不同服务器服务,选用不同的模板。

一旦我们提供了这些问题的答案,我们就能开始确定如何设置服务器。例如:如果我们知道在服务器上不打算使用NNTP(网络新闻传输协议)、FTP和SMTP服务,那么就可以删除或者停止这些服务,这样就将会减少攻击的可能性。

在服务器上安装防毒软件并且每天更新它以保护IIS服务器,这是必须的。许多防毒软件,像Norton、卡巴斯基都允许通过Internet自动更新。另外建议装一个像360安全卫士这样的软件,对防护也比较有好处。

 

    用日志来记录IIS收到的HTTP请求是一个很好的设置选项,因为日志记录使我们能验证服务器在任意给定的时间正在做什么事情,包括我们设置好的安全方案正在如何运转。

当安装IIS时,随之会提供一些可用来示范安装和应用该技术的示例应用程序。建议删除产品服务器上的这些IIS示例的做法是非常明智的。这些示例使服务器易于受到攻击,因为黑客将知道存放它们的位置并且知道怎样利用它们发动一次攻击。

本文由js333发布于计算机互联网,转载请注明出处:Lockdown实践实用并不难【金沙js333娱乐场】,摘自

关键词:

上一篇:没有了

下一篇:没有了