IIS默認(rèn)安裝的漏洞及補(bǔ)救方法

自從有了IIS，做WEB一些都變得容易了很多，但是其安全性卻不容忽視的。感覺WINDOWS的東西進(jìn)行默認(rèn)安裝都有極大的安全問題。而且現(xiàn)在有很多的攻擊都是基于WEB的，保護(hù)好WEB服務(wù)器是非常有必要的。

ASP、FSO組件威協(xié)服務(wù)器

FSO(FileSystemObject)是微軟ASP的一個對文件操作的控件，該控件可以對服務(wù)器進(jìn)行讀取、新建、修改、刪除目錄以及文件的操作。是ASP編程中非常有用的一個控件。但是因為權(quán)限控制的問題，很多網(wǎng)站空間服務(wù)器的FSO反而成為這臺服務(wù)器的一個公開的后門，因為客戶可以在自己的ASP網(wǎng)頁里面直接就對該控件編程，從而控制該服務(wù)器甚至刪除服務(wù)器上的文件。那么如何讓客戶在自己的網(wǎng)站空間中任意使用FSO卻又沒有辦法危害系統(tǒng)或者妨礙其他客戶網(wǎng)站的正常運行呢，我們只要對網(wǎng)站空間的不同用戶設(shè)置相應(yīng)的權(quán)限即可辦到，前提是硬盤必須使用NTFS格式。 在服務(wù)器上打開資源管理器，用鼠標(biāo)右鍵點擊各個硬盤分區(qū)，選擇“屬性”->“安全”，這時我們可以看到對此盤的完全控制權(quán)限默認(rèn)是“Everyone”。點擊“添加”，將“Administrators”、“Backup Operators”、“PowerUsers”、“Users”等幾個組添加進(jìn)去，并給予“完全控制”或相應(yīng)的權(quán)限，然后將“Everyone”組從列表中刪除。注意，不要給“Guests”組、IUSR_機(jī)器名”這幾個帳號任何權(quán)限，因為當(dāng) ASP 執(zhí)行時，是以“IUSR_機(jī)器名”的權(quán)限訪問硬盤的，這里沒給該用戶帳號權(quán)限，ASP 也就不能讀寫硬盤上的文件了。 

下面要做的就是給每個網(wǎng)站空間用戶設(shè)置一個單獨的用戶帳號，然后再給每個帳號分配一個允許其完全控制的目錄。

我們以新建一個網(wǎng)站空間名為hello為例，對應(yīng)的WEB目錄文件名為：F:\WWW\HELLO為例。

打開“計算機(jī)管理”→“本地用戶和組”→“用戶”，然后添加一個新用戶IUSR_HELLO，并對其他選項進(jìn)行相應(yīng)的設(shè)置（最好選擇不允許用戶修改密碼）。新建的IUSR_HELLO默認(rèn)為USER組，我們把他加為GUEST組中。打開“Internet信息服務(wù)”，設(shè)置IUSR_HELLO對應(yīng)的網(wǎng)站空間。把IUSR_HELLO的主目錄設(shè)置為F:\WWW\HELLO，并將IUSR_HELLO對應(yīng)的WEB匿名使帳號設(shè)置為IUSR_HELLO。然后切換到F:\WWW\HELLO目錄，對該目錄設(shè)置訪問權(quán)限，將ADMINISTRATOR和IUSR_HELLO設(shè)置為完全訪問（當(dāng)然可以根據(jù)不同要求加入其他的用戶），刪除一些沒有必要的用戶名，將最將下的“允許將來自父系的可繼承權(quán)限傳播給該對象”前面的對號去掉：經(jīng)此設(shè)置后，“IUSR_HELLO”網(wǎng)站空間的用戶，在使用 ASP 的 FileSystemObject 組件時只能訪問自身的目錄：F:\www\hello 下的內(nèi)容。當(dāng)試圖訪問其他內(nèi)容時，會出現(xiàn)諸如“沒有權(quán)限”、“硬盤未準(zhǔn)備好”、“500 服務(wù)器內(nèi)部錯誤”等出錯提示了。 

當(dāng)然，我們也可以禁止FSO功能。 

1、修改注冊表，將FileSystemObject改成一個任意的名字，只有知道該名字的用戶才可以創(chuàng)建該對象， [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]@="Scripting.FileSystemObject"

2、運行Regsvr32 scrrun.dll /u，所有用戶無法創(chuàng)建FileSystemObject。 

3、運行cacls%systemroot%\system32\scrrun.dll/dguests，匿名用戶（包括IUSR_Machinename用戶）無法使用FileSystemObject，我們可以對ASP文件或者腳本文件設(shè)置NTFS權(quán)限，通過驗證的非Guests組用戶可以使用FileSystemObject。