IIS安全

如何保护您的IISServer的安全我们将讨论…现在应立即采取的安全手段未来要作的事情基础知识这次讲座假设您已经具备下列基本知识IISadministrationWindowsAdministrationLevel200议程如何保护IIS如何保护Windows使用安全利器病毒IIS被“红色代码”利用的漏洞IIS有一些ISAPI扩展.dlls提供一些扩展功能微软IIS在缺省安装情况下带了一个索引服务器(IndexServer,在Windows2000下名为IndexService)。缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展——idq.dll来处理和解释病毒IIS被“红色代码”利用的漏洞漏洞:idq.dll在一段处理URL输入代码中存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。一个攻击者与有这样的idq.dll存在的server建立web会话，通过此会话发出缓冲区溢出攻击，并在webserver上执行代码。而更为严重的是idq.dll是以SYSTEM身份运行的，可利用此漏洞取得系统管理员权限保护IIS安全手把手教你设置IIS安全保护在虚拟目录上设置合适的访问权限列表在IISlog上设置合适的访问权限列表启动日志记录（W3CExtendedLog）移除iisadmpwd虚拟目录移除不再使用的脚本映射设置合适的验证机制安装尽量少的internet服务禁掉RDS保护IIS安全推荐的虚拟目录安全性设置FileTypeAccessControllistCGI(.exe,.dll,.cmd,.pl)Everyone(X)Administrators(FullControl)System(FullControl)Scripts(.asp)Everyone(X)Administrators(FullControl)System(FullControl)Includefiles(.inc,.shtm,.shtml)Everyone(X)Administrators(FullControl)System(FullControl)StaticContent(.txt,.gif,.jpg,.html)Everyone(R)Administrators(FullControl)System(FullControl)按文件类型建立目录结构设置文件夹而不是文件的安全性如果你设置了ftp或smtp服务在如下的目录中，你要设置它们更严的访问权限:C:\inetpub\ftprootC:\inetpub\mailroot保护IIS安全虚拟目录设置推荐做法保护IIS安全不必要的映射如果你不使用…移去Web-basedPasswords.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,shtmlInternetPrinting.printerIndexServer.htw,.ida,idq保护IIS安全移走示例内容SampleVirtualDirectoryLocationOnsystemIISSamples\IISSamplesc:\inetpub\iissamplesIISDocumentation\IISHelpc:\winnt\help\iishelpDataAccess\MSADCC:\programfiles\commonfiles\system\MsadcDemonstration1手把手教你保护IIS在虚拟目录上设置合适的访问权限列表启动日志记录移除不再使用的脚本映射议程如何保护IIS如何保护Windows使用安全利器保护Windows安全安全检查列表所有磁盘分区都是NTFS的管理员账号必须有一个复杂的密码禁止不需要的服务删除和禁止不必要的账号移除不必要的文件共享在文件、共享和注册表上设置访问权限列表设置严格的安全策略安装最新的servicepack和补丁安装防病毒软件Demonstration2SecuringWindows2000在注册表上设置访问权限列表加密LSA安全模板和模板编辑器议程如何保护IIS如何保护Windows使用安全利器使用安全利器IISLockdown向导用向导界面完成安全检查完成IIS4.0和IIS5.0的配置完全免费，自由下载（从）快速模式高级模式通俗易懂的帮助/Downloads/Release.asp?ReleaseID=32362使用安全利器URLScan显示所有发给服务器的访问请求基于规则的过滤完全免费，自由下载（从）对绝大多数攻击都有防护作用/Downloads/Release.asp?ReleaseID=32571使用安全利器Hfnetchk检查计算机的补丁情况命令提示符界面的工具可以检查同一个网络中所有的机器检查范围WindowsNT4.0/2000SQL7.0/2000所有系统服务IE5.01和其他版本通过Q303215下载使用安全利器CriticalUpdateNotificationtool3.0连接到微软升级站点发送升级信息Windows2000内置使用安全利器MicrosoftPersonalSecurityAdvisor基于web方式扫描你的系统以发现安全漏洞易读的报告安全利器IISLockdownWizardURLScanhfnetchk谈论安全今天如何做起发送mail到microsoft_security-subscribe-request@announce.microsoft.com安装和运行升级通知工具订阅或登陆下载Securitytoolkit讲座总结检视一遍安全清单应用最新的补丁经常检查你的网络安全性更多的信息…TechNetWebsiteatSecuritySiteNotificationemail微软出版社为IT专业人士准备TofindthelatestITProfessionalrelatedtitlesvisit培训为IT专业人士准备的培训资源ImplementingandSupportingIIS5.0Course2295Available:NowTolocateatrainingproviderforthiscourse,pleaseaccessmcspreferral.microsoft.com/default.aspMicrosoftCertifiedTechnicalEducationCenters(CTECs)areMicrosoft’spremierpartnersfortrainingservicesApplyingIIS4.0TechnologiesCourse953Available:Now培训为IT专业人士准备的培训资源DesigningasecureWindows2000networkCourse2150Available:NowTolocateatrainingproviderforthiscourse,pleaseaccessmcspreferral.microsoft.com/default.aspMicrosoftCertifiedTechnicalEducationCenters(CTECs)areMicrosoft’spremierpartnersfortrainingservicesSecuringWindowsNTServerCourse1202AvailableNow如何能访问到Technet?VisitTechNetOnlineatRegisterfortheTechNetFlashJointheTechNetOnlineforumatBecomeanTechNetSubscriberattechnetbuynow.one.microsoft.comAttendMoreTechNetEvents成为一个微软认证工程师什么是MCSE?已具备较高专业技术水平，能够分析商业需求，并使用微软2000系统平台和微软服务器软件来设计并实现商务解决方案的基础架构的微软认证资格。如何成为一个Windows2000MCSE?Pass4CoreExamsPass1DesignExamPass2Electivesfromacomprehensivelist在哪里得到更多的信息?Formoreinformationaboutcertificationrequirements,exams,andtrainingoptions,visit