IIS Web服務器易忽視的六大基本安全風險
對Web服務器的攻擊可以說是層次不窮。即使防范措施做的最好,但是一不小心仍然會被黑客惦記。不過根據筆者的經驗,其實大部分攻擊都是可以防止的。而之所以還有這么多的網站被黑,主要的原因在于管理員忽視了一些基本的安全選項。
一、不要使用缺省的WEB站點
在IIS Web服務器安裝部署完成之后,系統會建立一個默認的Web站點。有些用戶就會直接使用這個站點進行網站的開發。這是一個非常不理智的做法,可能會帶來很大的安全隱患。因為很多攻擊都是針對默認的Web站點所展開的。
如在默認的Web站點中,有一個inetpub文件夾。有些攻擊者喜歡在這個文件夾中放置一些黑客工具,如竊取密碼、Dos攻擊等等。從而使得他們可以遠程遙控這些工具,造成服務器的癱瘓。由于默認的站點與文件夾的相關配置信息基本上是相同的,這就方便了攻擊者對服務器進行工具。連信息搜集這一個步驟都可以省了。一些通過IP地址與服務掃描的黑客工具,其使用的就是默認站點這個空子。
防范措施:
其實這一個風險還是很容易避免的。最簡單的方法就是在建立網站的時候,不要使用這個默認的站點。而且需要將這個站點禁用掉。其實這個方法是一個最基本的安全措施。如在路由器等網絡設備上,出于安全需要,也要求管理員禁用掉默認的用戶名。這是同樣的道理。然后也不要使用原有的文件夾。用戶可以將真實的Web站點指向一個特定的位置。如果要進一步提高安全性的話,還可以對這個文件夾設置NTFS權限等措施。可見要預防這個安全風險是輕而易舉的事情。但是現實中,可能用戶就是覺得其小,而沒有引起足夠的重視。從而給攻擊者有機可乘。
二、嚴格控制服務器的寫訪問權限
在一些內容比較多、結構比較復雜的Web服務器,往往多個用戶都對服務器具有寫入的權限。如sina網站,有專門人員負責新聞板塊,有專門人員負責博客,有專門人員負責論壇等等。由于有眾多的用戶對網站服務器具有寫入的權限,就可能會帶來一定的安全隱患。如某個用戶的密碼泄露的話,就會乘機對服務器進行破壞。其實雖然他們都具有對服務器的寫入權限,但是他們的分工是不同的。每個人都有自己的領域。
再如一個大學校園的校園網,一個Web服務器實際上可能擁有多個網站,多個管理員。如各個學院有自己的網站等等。此時管理員都有對服務器修改的權限。權限控制不嚴格的話,那么服務器上的文件夾就可能會處于非常危險的境地。
防范措施:
這個防范措施也比較簡單,其基本的原理就是給與用戶最小的權限。如可以根據網站板塊的不同,將相關的內容放置到對應的文件夾中。然后每個特定的用戶只能夠訪問自己負責內容的文件夾。如此的話,即使某個管理員用戶的密碼泄露了,那么其影響的也只是一個文件夾。而不會對其他用戶的文件夾產生不利影響。
其次就是最好不要講Web服務器同其他的應用服務放置在一起。特別對于企業來說,可能為了節省成本,喜歡將Web服務器與文件服務器等部署在同一個服務器上。這是一種非常危險的方式。因為對于文件服務器來說,可能每個用戶都具有往服務器上寫入的權限。而這就會給木馬、病毒等提供機會。從而也會影響到Web服務器的安全。
總之管理員需要嚴格限制Web服務器的寫入權限。在分配用戶權限的時候,如果要給用戶寫的權限,那么最好能夠結合NTFS權限管理,只提供用戶特定文件夾的寫入權限。其次就是最好將Web服務器同文件服務器等分開,爭取只有少量的用戶具有對服務器寫入的權限。
三、不定時的檢查服務器上的 bat與exe文件
大部分攻擊者都系統使用bat或者exe文件來進行攻擊。如有些攻擊者會利用操作系統的任務管理器。讓系統每天或者每隔一段固定的時間調用某個程序。這些程序就是以bat或者exe結尾的,或則是以reg文件結尾的。這些文件具有非常大的破壞性。如黑客可以利用這些文件更改注冊表、建立隱形帳戶、發送文件給黑客等等。
防范措施:
有時候即使管理員采用了病毒防火墻等措施,或者每天對服務器進行殺毒,也很難找到這些文件。此時管理員可以采用一個比較原始的方法,就是通過擴展名來搜索這些文件。然后查看是否有可疑的。筆者的做法是,Web服務器部署完成之后,先利用擴展名exe、bat、reg等作為查找條件,查找相關的文件。然后將文件名存放到一個表格中。以后每天或者每周再查找一次,然后跟原有的表格進行對比,看看是否增加了一些文件。如果有增加的話,那么這些增加的文件就可能是問題文件。用戶可以使用記事本(注意千萬不能夠直接雙擊打開)這些文件,看看其代碼。或者直接將這些文件刪除掉,免除后患。
四、對于IIS目錄采用嚴格的訪問策略
IIS目錄是Web服務器中很重要的一個目錄。其相當于人的大腦,控制著Web服務器的運行。為此在規劃Web服務器安全的時候,要對此進行特別的關注。不過在實際工作中,這個目錄卻沒有引起用戶的足夠高的關注。他們有些甚至直接使用系統的默認設置,也沒有進行后續的追蹤。這都有可能成為以后網站被黑、服務器癱瘓的起因。
防范措施:
對于IIS目錄的安全,筆者認為至少需要做到兩點。一是需要對IP地址、子網、域名等加以限制。如根據追蹤發現某個不知名的IP地址經常ping Web服務器,此時就需要及時的將這個IP地址拉入黑名單,禁止其訪問IIS目錄。二是需要做好追蹤、分析工作。管理員可以使用一些軟件來記錄用戶對IIS目錄的訪問。如是否有用戶試圖越權訪問其沒有權限的目錄等等。限制與事后追蹤,對于IIS目錄的安全來說,是兩把保護傘,一把都不能夠缺。
五、做好服務器的升級工作
如果在服務器上只部署了一個Web服務,那么筆者建議在第一時間對操作系統與IIS服務器進行升級。通過給系統與服務打補丁,是提高Web服務器安全的最好方法之一。畢竟現在很多的黑客其攻擊都是停留在對現有漏洞的攻擊。如果將這些已經發現的漏洞補上,那么遭受到攻擊的可能性就會小許多。
不過在升級的過程中需要注意。如果在Web服務器上還有第三方的服務或者非微軟的產品,那么在升級之前需要先進行測試。判斷操作系統與IIS服務最新的補丁是否跟現有的其他服務與產品相互沖突。雖然這個沖突的幾率還是比較少的,但是這個測試的工作不可缺。
六、禁用不需要的服務
IIS服務器部署完成之后,其可能還會同時裝有其他的應用服務。如FTP、SMTP等等。這些服務都帶有比較大的安全隱患。如FTP本身就是被設計滿足簡單的讀寫訪問。如果你在Web服務器上采取了比較嚴格的安全措施。但是在FTP服務上沒有。則攻擊者就可以先利用FTP服務器下載一些黑客的工具。然后再借助這些工具從內部發起對Web服務器的攻擊。此時攻擊成功率就會高許多。
所以如果某些服務不需要的話,需要在第一時間禁用它。寧可以后有需要的時候i,再花時間打開。每個服務都好像房間的門。如果將不需要的門堵死,那么安全工作就會好做許多。因為需要關注的“門”的數量大大減少了。
以上這六點雖然不怎么起眼,但是確是大家在日常工作中經常容易忽視的地方。從小處著眼,能夠讓你的Web服務器在安全方面前進一大步。
【編輯推薦】
