IIS中間件安全技術概述

1、IIS中間件安全技術概述技術創(chuàng)新 變革未來4.1.2 IIS IIS 服務器的安全設置 IIS 服務器常見漏洞 IIS 服務器的安全設置 IIs是Internet Information Services的縮寫，意為互聯網信息服務，它的功能是提供信息服務，如架設 http、ftp 服務器等,是由微軟公司提供的基于運行Microsoft Windows的互聯網基本服務 IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 了解利用賬號控制 web 目錄的訪問權限，防止跨目錄訪問 了解為每個站點設置單獨的應用程序池和單獨的用戶的方法 了解取消上傳目錄的可執(zhí)行腳本的權限的方法 IIS 服

2、務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 IIS的身份驗證概述 匿名身份驗證 基本身份驗證 摘要式身份驗證 windows集成身份驗證 IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 系統默認只啟用了匿名身份驗證，另外三種需要通過添加角色服務的方式來添加 IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 另外身份驗證的順序為：匿名身份驗證windows驗證摘要式身份驗證基本身份驗證可以這么理解，如果同時開啟匿名身份驗證和基本身份驗證，客戶端就會先利用匿名身份驗證，所以基本身份驗證即無效！IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行

3、控制 匿名身份驗證即用戶訪問站點時，不需要提供身份認證信息，即可正常訪問站點?。ǚ斩薎IS設置允許匿名訪問后，收到客戶端的資源請求后，不需要經過身份驗證，直接把請求的資源返回給客戶端）GET /iisstart.htm HTTP/1.1Accept: */*Accept-Language: zh-cnUA-CPU: x86Accept-Encoding: gzip, deflateIf-Modified-Since: Fri, 21 Feb 2003 12:15:52 GMTIf-None-Match: 0ce1f9a2d9c21:d87User-Agent: Mozilla/4.0 (co

4、mpatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)Host: Connection: Keep-AliveHTTP/1.1 200 OKContent-Length: 1193Content-Type: text/htmlLast-Modified: Fri, 21 Feb 2003 12:15:52 GMTAccept-Ranges: bytesETag: 0ce1f9a2d9c21:d8bServer: Microsoft-IIS/6

5、.0MicrosoftOfficeWebServer: 5.0_PubX-Powered-By: ASP.NETDate: Mon, 12 Nov 2007 07:29:40 GMT IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 基本身份驗證 若網站啟用了基本身份驗證，訪問站點時，會要求用戶輸入密碼！在網站后臺等目錄常用使用此身份驗證，需先將匿名身份驗證禁用！ IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 基本身份驗證 先禁用匿名身份驗證，然后再啟用基本身份驗證，我們可以然后在點右邊的編輯！默認域：可以添加域賬戶，或將其留空。 將依據此域對登錄到您的站點

6、時未提供域的用戶進行身份驗證。領域：隨便輸入，將被顯示到登錄界面上. IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 基本身份驗證 首頁訪問正常無需賬戶密碼 打開后臺地址，需要輸入本地用戶組賬戶IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 摘要式身份驗證摘要式身份驗證如基本身份驗證一樣需要輸入賬戶密碼，但是比基本身份認證更安全，基本身份驗證在網絡上傳輸不加密的 Base64 編碼的密碼，而摘要式身份驗證用戶密碼使用MD5加密！使用摘要式身份驗證必須具備下面三個條件：瀏覽器支持HTTP 1.1 IE5以上都支持IIS服務器必須是Windows 域控制器成員服

7、務器或者域控制器用戶登錄招呼必須是域控制器賬戶，而且是同IIS服務器用以域或者信任域！所以說摘要式身份驗證是使用 Windows 域控制器對請求訪問 Web 服務器內容的用戶進行身份驗證。 IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 Windows 集成身份驗證如果您希望客戶端使用 NTLM 或 Kerberos 協議進行身份驗證，則應使用 Windows 身份驗證。Windows 身份驗證同時包括 NTLM 和 Kerberos v5 身份驗證，它最適用于 Intranet 環(huán)境，其原因如下：客戶端計算機和 Web 服務器位于同一個域中。管理員可以確保所有客戶端瀏覽器均

8、為 Internet Explorer 2.0 或更高版本。不需要不受 NTLM 支持的 HTTP 代理連接。Kerberos v5 需要連接到 Active Directory，這在 Internet 環(huán)境中不可行 IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 身份驗證總結 在一些需要身份驗證的地方，Windows 集成身份驗證和摘要式身份驗證，因為使用條件限制，在個人網站中運用很少，所以我們更多的使用的是基本身份驗證！IIS 服務器的安全設置了解身份驗證功能，能夠對訪問用戶進行控制 了解利用賬號控制 web 目錄的訪問權限，防止跨目錄訪問 了解為每個站點設置單獨的應用程

9、序池和單獨的用戶的方法 了解取消上傳目錄的可執(zhí)行腳本的權限的方法 IIS 服務器的安全設置了解為每個站點設置單獨的應用程序池和單獨的用戶的方法 要新建應用程序池，在IIS管理控制臺中右擊應用程序池文件夾，指向新建，選擇應用程序池IIS 服務器的安全設置了解為每個站點設置單獨的應用程序池和單獨的用戶的方法 然后在彈出的添加新應用程序池對話框，在應用程序池ID欄輸入應用程序池名，然后選擇使用默認設置還是繼承現有的應用程序池設置，再點擊確定即可；分配Web站點到應用程序池中在IIS管理控制臺中展開網站文件夾，右擊對應的網站，然后選擇屬性，在彈出的網站屬性對話框上，點擊主目錄標簽，然后在應用程序池欄選

10、擇不同的應用程序池即可，默認情況下所有網站所使用的應用程序均名為默認應用程序，如果要想此網站使用不同的應用程序名，則在應用程序名欄修改即可，例如在此我就修改為winsvr，這主要是便于查看，然后點擊確定即可IIS 服務器的安全設置了解取消上傳目錄的可執(zhí)行腳本的權限的方法 Windows下的IIS6.0取消服務器主機空間目錄腳本的執(zhí)行權限打開IIS中站點，在站點uploads目錄、data目錄以及靜態(tài)html生成目錄點擊右鍵，菜單中選擇“屬性”，在目錄屬性面板選擇執(zhí)行權限為“無”即可IIS 服務器的安全設置了解取消上傳目錄的可執(zhí)行腳本的權限的方法 IIS7取消服務器主機空間目錄腳本的執(zhí)行權限II

11、S7中的步驟第一步呢，我們在IIS的左側選中該目錄，切換到功能視圖第二步呢，打開“處理程序映射”功能第三步呢，打開右側的“編輯功能權限”，將“腳本”這一項取消掉即可IIS7也類似于IIS6.0，選擇站點對應的目錄，data、uploads及靜態(tài)html文件目錄，雙擊功能視圖面板中的“處理程序映射IIS 服務器的安全設置了解取消上傳目錄的可執(zhí)行腳本的權限的方法 IIS7取消服務器主機空間目錄腳本的執(zhí)行權限在“編輯功能權限”中，我們直接去除腳本的執(zhí)行權限即可IIS 服務器的安全設置了解取消上傳目錄的可執(zhí)行腳本的權限的方法 IIS7取消服務器主機空間目錄腳本的執(zhí)行權限若想讓指定目錄只有讀取權限，只要

12、在目錄中放置一個名為 “web.config“，內容為 這樣，在訪問該目錄下的 asp、php等可執(zhí)行文件時，IIS7就會輸出如下錯誤提示 HTTP 錯誤 401.3 - Unauthorized由于 Web 服務器上此資源的訪問控制列表(ACL)配置或加密設置，您無權查看此目錄或頁面IIS 服務器的安全設置啟用或禁用日志記錄，配置日志的記錄選項 IIS啟用日志功能安全基線要求項1、參考配置操作打開IIS管理工具，右擊要管理的站點，選擇“屬性”。在“Web Site”選擇“啟用日志記錄”，從下拉菜單中選擇“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志記錄時間與服務器時間

13、不統一的問題，所以應盡量采用IIS日志格式。IIS 服務器的安全設置啟用或禁用日志記錄，配置日志的記錄選項 IIS記錄安全事件安全基線要求項1、參考配置操作（1）進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中配置相應 “審核對象訪問”、“審核目錄服務器訪問”、“審核系統事件”、“審核帳號管理”、“審核過程追蹤”選項。（2）運行IIS管理器-“Internet信息服務”-“應用相關站點”屬性-“網站”-“屬性”-啟動日志記錄“高級”，選擇“時間”、“日期”、“擴展屬性”IIS 服務器的常見漏洞 掌握 IIS6，IIS7 的文件名解析漏洞 掌握 IIS6 寫權限的利用 掌握

14、IIS6 存在的短文件名漏洞 IIS 服務器的常見漏洞 掌握 IIS6，IIS7 的文件名解析漏洞 IIS 6.0解析利用方法有兩種1.目錄解析/xx.asp/xx.jpg在網站下建立文件夾的名字為 .asp、.asa 的文件夾，其目錄內的任何擴展名的文件都被IIS當作asp文件來解析并執(zhí)行。 例如創(chuàng)建目錄 wooyun.asp，那么 /wooyun.asp/1.jpg 將被當作asp文件來執(zhí)行。假設黑闊可以控制上傳文件夾路徑,就可以不管你上傳后你的圖片改不改名都能拿shell了。2.文件解析wooyun.asp;.jpg 在IIS6.0下，分號后面的不被解析，也就是說 wooyun.asp;

15、.jpg 會被服務器看成是wooyun.asp還有IIS6.0 默認的可執(zhí)行文件除了asp還包含這三種/wooyun.asa/wooyun.cer/wooyun.cdxIIS 服務器的常見漏洞 掌握 IIS6 存在的短文件名漏洞 1)利用“”字符猜解暴露短文件/文件夾名。2).Net Framework的拒絕服務攻擊。Windows 還以 8.3 格式生成與 MS-DOS 兼容的（短）文件名，以允許基于 MS-DOS 或 16 位 Windows的程序訪問這些文件。在cmd下輸入“dir /x”即可看到短文件名的效果。通配符“*” 和 “?”發(fā)送一個請求到iis,當IIS接收到一個文件路徑中包含“”的請求時，它的反應是不同的。基于這個特點，可以根據http的響應區(qū)分一個可用或者不可用的文件。如下圖所示不同IIS版本返回信息的不同IIS 服務器的常見漏洞 掌握 IIS6 存在的短文件名漏洞 短文件名漏洞解決辦法1.關閉NTFS 8.3文件格式的支持。該功能默認是開啟的，對于大多數用戶來說無需開啟。如果是虛擬主機空間用戶，請聯系空間提供商進行修復。修改方法：1）修改注冊列表HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable