IIS安全配置研究

摘 要:本文選取了一種Web數據庫系統的服務器端應用技術(IIS)進行了分析，望提高Web數據庫系統的安全性，使得IIS成為一個相對穩定、比較安全的服務器平臺，能夠為我們提供安全的服務。

關鍵詞:IIS服務器功能和用途安全設置

中圖分類號:TP319文獻標識碼:A文章編號:1674-098X(2011)05(b)-0023-01

1 IIS的安裝

在Windows XP操作系統上安裝IIS是很方便的。準備一張Windows XP操作系統安裝盤，放入光驅之后自動跳出菜單，選擇安裝可選的Windows組件選項，在可選組件中把Internet信息服務(IIS)勾選上，之后按下一步，自動安裝。出現提示插入光盤時候選擇光盤文件目錄下面的I386這個目錄，確定之后就可以繼續安裝，順利完成了。

安裝時注意盡量避免把IIS軟件安裝在系統分區上，否則如果IIS設置不合理會使系統文件遭受非法訪問。

2 改變日志目錄

IIS服務器一共有3種日志文件格式，分別是Microsoft IIS日志文件格式、NCSA公用日志文件格式和W3C擴展日志文件格式。默認情況是W3C擴展日志文件格式，它是最詳細的格式。默認情況下，日志保存路徑是%systemroot%\\system32\\Logfiles，我們可以改變這個目錄的地址讓它指向另外一個服務器。入侵者會采用刪除系統日志記錄的方式來隱藏他們入侵的痕跡。我們要確保IIS生成的日志文件(%systemroot%\\system32\\LogFiles)上的ACL是:Administrators(完全控制)、System(完全控制)、Everyone(RWC)，這有助于防止惡意用戶刪除文件以掩飾他們的蹤跡。如果黑客控制了Web服務器，這個目錄下的日志很快會被找到，對它們進行修改或者刪除。把日志存儲目錄放在另外一個位置，就增強了日志的安全性。

3 IIS的元素據轉移

IIS維護包含所有設置值的數據庫稱為元數據庫。它的文件名是metaBase.bin，存儲位置是%systemroot%\\system32\\inetsrv。元數據庫中的配置屬性不正確可能會導致問題，包括一個Web站點或FTP站點的失敗。如果發生錯誤，Web站點或FTP站點的配置可能被損壞。所以只有我們無法在界面進行設置的時候才對元數據庫直接進行操作，而且每當直接編輯元數據庫時必須要格外小心。同時，如果黑客和入侵者破壞或者替換元數據庫中的數據可能會對服務器安全產生威脅，我們可以選擇轉移元數據庫，同時還需要修改注冊表。

4 訪問權限設置

站點文件可以在操作系統內直接進行設置，也可以在IIS服務器進行設置。一般而言，對一個文件夾永遠也不應同時設置寫和執行權限，以防止攻擊者向站點上傳并執行惡意代碼。另外目錄瀏覽功能也應禁止，防止黑客瀏覽整個目錄，尋找漏洞進行攻擊。一個好的設置策略是:為Web站點上不同類型的文件都建立目錄，然后給它們分配適當權限。

根據程序的需要，我們可以做如下的設置:靜態文件文件夾，包括所有靜態文件，如HTM或HTML，給予允許讀取、拒絕寫的權限。ASP腳本文件夾，包含站點的所有腳本文件，如cgi、15vbs、asp等，給予允許執行、拒絕寫和讀取的權限。可執行程序和二進制執行文件，給予允許執行、拒絕寫和拒絕讀取的權限。

5 應用程序映射設置

Web應用程序可以使用多種編程和腳本語言來開發。因此，IIS使用網站上請求資源的文件擴展名來確定運行哪個Internet服務器API(ISAPI)或通用網關接口(CGI)程序處理請求。例如，以.aspx擴展名結尾的請求將導致Web服務器調用ASP.NET程序(aspnet_isapi.dll)來處理請求。從映射列表中我們可以發現很多個文件擴展名的映射，大多數都是不熟悉的。除了.asp的這個程序映射，其他的文件在網站上都很少用到。文件擴展名與ISAPI或CGI程序的關聯稱為“應用程序映射”。在這些程序映射中，.htr、.idq/ida、.printer等多個程序映射都已經被發現存在緩存溢出問題，入侵者可以利用這些程序映射中存在的緩存溢出獲得系統的權限。

如果我們不需要某種文件擴展名結尾的文件執行，那么就應該刪除它。不只是在這里適用這條“不需要便刪除”的原則，在別的地方也同樣適用。越復雜，就越容易出錯。刪除方法是:在“Internet信息服務”中，右擊網站目錄，選擇“屬性”，在網站目錄屬性對話框的“主目錄”標簽中，點擊“配置”按鈕，彈出“應用程序配置”對話框，在“應用程序映射”界面，刪除無用的程序映射。

6 IP地址限制

IIS提供了IP限制的機制，你可以通過配置來設置特定的地址、地址范圍或者允許/拒絕的DNS名稱。而如果客戶端在被你阻止的IP范圍內，或者不在你允許的范圍內，則會出現錯誤提示。設置IIS的IP地址控制的方法是:進入IIS的屬性/安全性/IP地址和域名限制。如果要限制某些IP地址的訪問，需要選擇授權訪問，點添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。如果未經允許或者權限不夠的用戶強行登錄網站會出現禁止訪問的錯誤消息HTTP Error 403:403.6 Forbidden:IP address rejected。不過Windows XP Professional版本的操作系統不支持該功能。

7 Session超時設置

IIS如果開放Session功能的話，訪問Web應用程序的用戶都會創建一個會話屬于自己。這個會話有一個等待響應時間。超過這個時間未對網站進行操作就屬于訪問超時或者響應超時。用戶得重新進行登錄，服務器重新創建一個Session給用戶。一般IIS設置的默認時間是20分鐘。針對某個具體的Web應用程序來說需要設置的時間長短不同。20分鐘有時足以讓黑客侵入系統，所以可以適當根據需要把超時時間縮短。可以采用特殊技術實現用戶透明登錄。這里

可以采用Session和Cookies同時工作的方法讓用戶覺得自己既沒有超時又保證了服務器的安全。

8 其他相關設置

還有一些其他的相關設置，如刪除不必要的虛擬目錄、刪除危險的IIS組件、取消匿名訪問、為操作系統打補丁、升級IIS軟件等。

這樣，IIS就成為了一個相對穩定、比較安全的服務器平臺，能夠為我們提供安全的服務。