IIS默認(rèn)安裝的漏洞及補(bǔ)救方法

自從有了IIS，做WEB一些都變得容易了很多，但是其安全性卻不容忽視的。感覺(jué)WINDOWS的東西進(jìn)行默認(rèn)安裝都有極大的安全問(wèn)題。而且現(xiàn)在有很多的攻擊都是基于WEB的，保護(hù)好WEB服務(wù)器是非常有必要的。

ASP、FSO組件威協(xié)服務(wù)器

FSO(FileSystemObject)是微軟ASP的一個(gè)對(duì)文件操作的控件，該控件可以對(duì)服務(wù)器進(jìn)行讀取、新建、修改、刪除目錄以及文件的操作。是ASP編程中非常有用的一個(gè)控件。但是因?yàn)闄?quán)限控制的問(wèn)題，很多網(wǎng)站空間服務(wù)器的FSO反而成為這臺(tái)服務(wù)器的一個(gè)公開(kāi)的后門(mén)，因?yàn)榭蛻?hù)可以在自己的ASP網(wǎng)頁(yè)里面直接就對(duì)該控件編程，從而控制該服務(wù)器甚至刪除服務(wù)器上的文件。那么如何讓客戶(hù)在自己的網(wǎng)站空間中任意使用FSO卻又沒(méi)有辦法危害系統(tǒng)或者妨礙其他客戶(hù)網(wǎng)站的正常運(yùn)行呢，我們只要對(duì)網(wǎng)站空間的不同用戶(hù)設(shè)置相應(yīng)的權(quán)限即可辦到，前提是硬盤(pán)必須使用NTFS格式。 在服務(wù)器上打開(kāi)資源管理器，用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤(pán)分區(qū)，選擇“屬性”->“安全”，這時(shí)我們可以看到對(duì)此盤(pán)的完全控制權(quán)限默認(rèn)是“Everyone”。點(diǎn)擊“添加”，將“Administrators”、“Backup Operators”、“PowerUsers”、“Users”等幾個(gè)組添加進(jìn)去，并給予“完全控制”或相應(yīng)的權(quán)限，然后將“Everyone”組從列表中刪除。注意，不要給“Guests”組、IUSR_機(jī)器名”這幾個(gè)帳號(hào)任何權(quán)限，因?yàn)楫?dāng) ASP 執(zhí)行時(shí)，是以“IUSR_機(jī)器名”的權(quán)限訪問(wèn)硬盤(pán)的，這里沒(méi)給該用戶(hù)帳號(hào)權(quán)限，ASP 也就不能讀寫(xiě)硬盤(pán)上的文件了。 

下面要做的就是給每個(gè)網(wǎng)站空間用戶(hù)設(shè)置一個(gè)單獨(dú)的用戶(hù)帳號(hào)，然后再給每個(gè)帳號(hào)分配一個(gè)允許其完全控制的目錄。

我們以新建一個(gè)網(wǎng)站空間名為hello為例，對(duì)應(yīng)的WEB目錄文件名為：F:\WWW\HELLO為例。

打開(kāi)“計(jì)算機(jī)管理”→“本地用戶(hù)和組”→“用戶(hù)”，然后添加一個(gè)新用戶(hù)IUSR_HELLO，并對(duì)其他選項(xiàng)進(jìn)行相應(yīng)的設(shè)置（最好選擇不允許用戶(hù)修改密碼）。新建的IUSR_HELLO默認(rèn)為USER組，我們把他加為GUEST組中。打開(kāi)“Internet信息服務(wù)”，設(shè)置IUSR_HELLO對(duì)應(yīng)的網(wǎng)站空間。把IUSR_HELLO的主目錄設(shè)置為F:\WWW\HELLO，并將IUSR_HELLO對(duì)應(yīng)的WEB匿名使帳號(hào)設(shè)置為IUSR_HELLO。然后切換到F:\WWW\HELLO目錄，對(duì)該目錄設(shè)置訪問(wèn)權(quán)限，將ADMINISTRATOR和IUSR_HELLO設(shè)置為完全訪問(wèn)（當(dāng)然可以根據(jù)不同要求加入其他的用戶(hù)），刪除一些沒(méi)有必要的用戶(hù)名，將最將下的“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”前面的對(duì)號(hào)去掉：經(jīng)此設(shè)置后，“IUSR_HELLO”網(wǎng)站空間的用戶(hù)，在使用 ASP 的 FileSystemObject 組件時(shí)只能訪問(wèn)自身的目錄：F:\www\hello 下的內(nèi)容。當(dāng)試圖訪問(wèn)其他內(nèi)容時(shí)，會(huì)出現(xiàn)諸如“沒(méi)有權(quán)限”、“硬盤(pán)未準(zhǔn)備好”、“500 服務(wù)器內(nèi)部錯(cuò)誤”等出錯(cuò)提示了。 

當(dāng)然，我們也可以禁止FSO功能。 

1、修改注冊(cè)表，將FileSystemObject改成一個(gè)任意的名字，只有知道該名字的用戶(hù)才可以創(chuàng)建該對(duì)象， [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]@="Scripting.FileSystemObject"

2、運(yùn)行Regsvr32 scrrun.dll /u，所有用戶(hù)無(wú)法創(chuàng)建FileSystemObject。 

3、運(yùn)行cacls%systemroot%\system32\scrrun.dll/dguests，匿名用戶(hù)（包括IUSR_Machinename用戶(hù)）無(wú)法使用FileSystemObject，我們可以對(duì)ASP文件或者腳本文件設(shè)置NTFS權(quán)限，通過(guò)驗(yàn)證的非Guests組用戶(hù)可以使用FileSystemObject。