破解IIS 6.0默認設(shè)置安全性的終極秘籍

因此，IIS 6.0被完全的重新設(shè)計，以實現(xiàn)默認安全和設(shè)計安全。本文主要講述了IIS 6.0在默認設(shè)置和設(shè)計上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺。

由于Web服務(wù)器被越來越多的駭客和蠕蟲制造者作為首要攻擊目標，IIS便也成為了Microsoft可信賴計算計劃中首要關(guān)注的內(nèi)容。因此，IIS 6.0被完全的重新設(shè)計，以實現(xiàn)默認安全和設(shè)計安全。本文主要講述了IIS 6.0在默認設(shè)置和設(shè)計上安全性的改變是如何使其成為關(guān)鍵web應(yīng)用的平臺。

默認安全

過去，包括像微軟這樣的企業(yè)

，都在他們的web服務(wù)器上安裝一系列的默認示例腳本，文件處理和最小文件授權(quán)，以提高管理員管理的靈活性和可用性。但是，這些默認設(shè)置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎(chǔ)。因此，IIS 6.0被設(shè)計成了一個比早期產(chǎn)品更安全的平臺。最顯而易見的變化是IIS 6.0并沒有被Windows Server 2003默認安裝，而是需要管理員顯式的安裝這個組件。其他的變化包括：

默認只安裝靜態(tài)HTTP服務(wù)器

IIS 6.0的默認安裝被設(shè)置為僅安裝靜態(tài)HTML頁面顯示所需的組件，而不允許動態(tài)內(nèi)容。下表比較了IIS 5.0和IIS 6.0的默認安裝設(shè)置：

默認不安裝應(yīng)用范例

IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應(yīng)用。這些程序原被設(shè)計來方便程序員快速察看和調(diào)試數(shù)據(jù)庫的連接代碼，但是由于showcode.asp和codebrws.asp沒有正確的進行輸入檢查，以確定所訪問的文件是否位于站點根目錄下。這就允許攻擊者繞過它去讀取系統(tǒng)中的任何一個文件(包括敏感信息和本應(yīng)不可見的配置文件)，參考以下鏈接以獲取該漏洞的更多的細節(jié)：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增強的文件訪問控制

匿名帳號不再具有web服務(wù)器根目錄的寫權(quán)限。另外，F(xiàn)TP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務(wù)器文件系統(tǒng)的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執(zhí)行代碼，并遠程執(zhí)行這些代碼，從而攻擊web站點。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]