IIS中間件安全技術(shù)概述

1、IIS中間件安全技術(shù)概述技術(shù)創(chuàng)新 變革未來4.1.2 IIS IIS 服務(wù)器的安全設(shè)置 IIS 服務(wù)器常見漏洞 IIS 服務(wù)器的安全設(shè)置 IIs是Internet Information Services的縮寫，意為互聯(lián)網(wǎng)信息服務(wù)，它的功能是提供信息服務(wù)，如架設(shè) http、ftp 服務(wù)器等,是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù) IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 了解利用賬號控制 web 目錄的訪問權(quán)限，防止跨目錄訪問 了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法 了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 IIS 服

2、務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 IIS的身份驗(yàn)證概述 匿名身份驗(yàn)證 基本身份驗(yàn)證 摘要式身份驗(yàn)證 windows集成身份驗(yàn)證 IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 系統(tǒng)默認(rèn)只啟用了匿名身份驗(yàn)證，另外三種需要通過添加角色服務(wù)的方式來添加 IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 另外身份驗(yàn)證的順序?yàn)椋耗涿矸蒡?yàn)證windows驗(yàn)證摘要式身份驗(yàn)證基本身份驗(yàn)證可以這么理解，如果同時(shí)開啟匿名身份驗(yàn)證和基本身份驗(yàn)證，客戶端就會先利用匿名身份驗(yàn)證，所以基本身份驗(yàn)證即無效！IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行

3、控制 匿名身份驗(yàn)證即用戶訪問站點(diǎn)時(shí)，不需要提供身份認(rèn)證信息，即可正常訪問站點(diǎn)！（服務(wù)端IIS設(shè)置允許匿名訪問后，收到客戶端的資源請求后，不需要經(jīng)過身份驗(yàn)證，直接把請求的資源返回給客戶端）GET /iisstart.htm HTTP/1.1Accept: */*Accept-Language: zh-cnUA-CPU: x86Accept-Encoding: gzip, deflateIf-Modified-Since: Fri, 21 Feb 2003 12:15:52 GMTIf-None-Match: 0ce1f9a2d9c21:d87User-Agent: Mozilla/4.0 (co

4、mpatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)Host: Connection: Keep-AliveHTTP/1.1 200 OKContent-Length: 1193Content-Type: text/htmlLast-Modified: Fri, 21 Feb 2003 12:15:52 GMTAccept-Ranges: bytesETag: 0ce1f9a2d9c21:d8bServer: Microsoft-IIS/6

5、.0MicrosoftOfficeWebServer: 5.0_PubX-Powered-By: ASP.NETDate: Mon, 12 Nov 2007 07:29:40 GMT IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 基本身份驗(yàn)證 若網(wǎng)站啟用了基本身份驗(yàn)證，訪問站點(diǎn)時(shí)，會要求用戶輸入密碼！在網(wǎng)站后臺等目錄常用使用此身份驗(yàn)證，需先將匿名身份驗(yàn)證禁用！ IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 基本身份驗(yàn)證 先禁用匿名身份驗(yàn)證，然后再啟用基本身份驗(yàn)證，我們可以然后在點(diǎn)右邊的編輯！默認(rèn)域：可以添加域賬戶，或?qū)⑵淞艨铡?將依據(jù)此域?qū)Φ卿浀侥恼军c(diǎn)

6、時(shí)未提供域的用戶進(jìn)行身份驗(yàn)證。領(lǐng)域：隨便輸入，將被顯示到登錄界面上. IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 基本身份驗(yàn)證 首頁訪問正常無需賬戶密碼 打開后臺地址，需要輸入本地用戶組賬戶IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 摘要式身份驗(yàn)證摘要式身份驗(yàn)證如基本身份驗(yàn)證一樣需要輸入賬戶密碼，但是比基本身份認(rèn)證更安全，基本身份驗(yàn)證在網(wǎng)絡(luò)上傳輸不加密的 Base64 編碼的密碼，而摘要式身份驗(yàn)證用戶密碼使用MD5加密！使用摘要式身份驗(yàn)證必須具備下面三個(gè)條件：瀏覽器支持HTTP 1.1 IE5以上都支持IIS服務(wù)器必須是Windows 域控制器成員服

7、務(wù)器或者域控制器用戶登錄招呼必須是域控制器賬戶，而且是同IIS服務(wù)器用以域或者信任域！所以說摘要式身份驗(yàn)證是使用 Windows 域控制器對請求訪問 Web 服務(wù)器內(nèi)容的用戶進(jìn)行身份驗(yàn)證。 IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 Windows 集成身份驗(yàn)證如果您希望客戶端使用 NTLM 或 Kerberos 協(xié)議進(jìn)行身份驗(yàn)證，則應(yīng)使用 Windows 身份驗(yàn)證。Windows 身份驗(yàn)證同時(shí)包括 NTLM 和 Kerberos v5 身份驗(yàn)證，它最適用于 Intranet 環(huán)境，其原因如下：客戶端計(jì)算機(jī)和 Web 服務(wù)器位于同一個(gè)域中。管理員可以確保所有客戶端瀏覽器均

8、為 Internet Explorer 2.0 或更高版本。不需要不受 NTLM 支持的 HTTP 代理連接。Kerberos v5 需要連接到 Active Directory，這在 Internet 環(huán)境中不可行 IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 身份驗(yàn)證總結(jié) 在一些需要身份驗(yàn)證的地方，Windows 集成身份驗(yàn)證和摘要式身份驗(yàn)證，因?yàn)槭褂脳l件限制，在個(gè)人網(wǎng)站中運(yùn)用很少，所以我們更多的使用的是基本身份驗(yàn)證！IIS 服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制 了解利用賬號控制 web 目錄的訪問權(quán)限，防止跨目錄訪問 了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程

9、序池和單獨(dú)的用戶的方法 了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 IIS 服務(wù)器的安全設(shè)置了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法 要新建應(yīng)用程序池，在IIS管理控制臺中右擊應(yīng)用程序池文件夾，指向新建，選擇應(yīng)用程序池IIS 服務(wù)器的安全設(shè)置了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法 然后在彈出的添加新應(yīng)用程序池對話框，在應(yīng)用程序池ID欄輸入應(yīng)用程序池名，然后選擇使用默認(rèn)設(shè)置還是繼承現(xiàn)有的應(yīng)用程序池設(shè)置，再點(diǎn)擊確定即可；分配Web站點(diǎn)到應(yīng)用程序池中在IIS管理控制臺中展開網(wǎng)站文件夾，右擊對應(yīng)的網(wǎng)站，然后選擇屬性，在彈出的網(wǎng)站屬性對話框上，點(diǎn)擊主目錄標(biāo)簽，然后在應(yīng)用程序池欄選

10、擇不同的應(yīng)用程序池即可，默認(rèn)情況下所有網(wǎng)站所使用的應(yīng)用程序均名為默認(rèn)應(yīng)用程序，如果要想此網(wǎng)站使用不同的應(yīng)用程序名，則在應(yīng)用程序名欄修改即可，例如在此我就修改為winsvr，這主要是便于查看，然后點(diǎn)擊確定即可IIS 服務(wù)器的安全設(shè)置了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 Windows下的IIS6.0取消服務(wù)器主機(jī)空間目錄腳本的執(zhí)行權(quán)限打開IIS中站點(diǎn)，在站點(diǎn)uploads目錄、data目錄以及靜態(tài)html生成目錄點(diǎn)擊右鍵，菜單中選擇“屬性”，在目錄屬性面板選擇執(zhí)行權(quán)限為“無”即可IIS 服務(wù)器的安全設(shè)置了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 IIS7取消服務(wù)器主機(jī)空間目錄腳本的執(zhí)行權(quán)限II

11、S7中的步驟第一步呢，我們在IIS的左側(cè)選中該目錄，切換到功能視圖第二步呢，打開“處理程序映射”功能第三步呢，打開右側(cè)的“編輯功能權(quán)限”，將“腳本”這一項(xiàng)取消掉即可IIS7也類似于IIS6.0，選擇站點(diǎn)對應(yīng)的目錄，data、uploads及靜態(tài)html文件目錄，雙擊功能視圖面板中的“處理程序映射IIS 服務(wù)器的安全設(shè)置了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 IIS7取消服務(wù)器主機(jī)空間目錄腳本的執(zhí)行權(quán)限在“編輯功能權(quán)限”中，我們直接去除腳本的執(zhí)行權(quán)限即可IIS 服務(wù)器的安全設(shè)置了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法 IIS7取消服務(wù)器主機(jī)空間目錄腳本的執(zhí)行權(quán)限若想讓指定目錄只有讀取權(quán)限，只要

12、在目錄中放置一個(gè)名為 “web.config“，內(nèi)容為 這樣，在訪問該目錄下的 asp、php等可執(zhí)行文件時(shí)，IIS7就會輸出如下錯(cuò)誤提示 HTTP 錯(cuò)誤 401.3 - Unauthorized由于 Web 服務(wù)器上此資源的訪問控制列表(ACL)配置或加密設(shè)置，您無權(quán)查看此目錄或頁面IIS 服務(wù)器的安全設(shè)置啟用或禁用日志記錄，配置日志的記錄選項(xiàng) IIS啟用日志功能安全基線要求項(xiàng)1、參考配置操作打開IIS管理工具，右擊要管理的站點(diǎn)，選擇“屬性”。在“Web Site”選擇“啟用日志記錄”，從下拉菜單中選擇“Microsotf IIS日志文件格式”。“W3C”日志格式存在日志記錄時(shí)間與服務(wù)器時(shí)間

13、不統(tǒng)一的問題，所以應(yīng)盡量采用IIS日志格式。IIS 服務(wù)器的安全設(shè)置啟用或禁用日志記錄，配置日志的記錄選項(xiàng) IIS記錄安全事件安全基線要求項(xiàng)1、參考配置操作（1）進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中配置相應(yīng) “審核對象訪問”、“審核目錄服務(wù)器訪問”、“審核系統(tǒng)事件”、“審核帳號管理”、“審核過程追蹤”選項(xiàng)。（2）運(yùn)行IIS管理器-“Internet信息服務(wù)”-“應(yīng)用相關(guān)站點(diǎn)”屬性-“網(wǎng)站”-“屬性”-啟動日志記錄“高級”，選擇“時(shí)間”、“日期”、“擴(kuò)展屬性”IIS 服務(wù)器的常見漏洞 掌握 IIS6，IIS7 的文件名解析漏洞 掌握 IIS6 寫權(quán)限的利用 掌握

14、IIS6 存在的短文件名漏洞 IIS 服務(wù)器的常見漏洞 掌握 IIS6，IIS7 的文件名解析漏洞 IIS 6.0解析利用方法有兩種1.目錄解析/xx.asp/xx.jpg在網(wǎng)站下建立文件夾的名字為 .asp、.asa 的文件夾，其目錄內(nèi)的任何擴(kuò)展名的文件都被IIS當(dāng)作asp文件來解析并執(zhí)行。 例如創(chuàng)建目錄 wooyun.asp，那么 /wooyun.asp/1.jpg 將被當(dāng)作asp文件來執(zhí)行。假設(shè)黑闊可以控制上傳文件夾路徑,就可以不管你上傳后你的圖片改不改名都能拿shell了。2.文件解析wooyun.asp;.jpg 在IIS6.0下，分號后面的不被解析，也就是說 wooyun.asp;

15、.jpg 會被服務(wù)器看成是wooyun.asp還有IIS6.0 默認(rèn)的可執(zhí)行文件除了asp還包含這三種/wooyun.asa/wooyun.cer/wooyun.cdxIIS 服務(wù)器的常見漏洞 掌握 IIS6 存在的短文件名漏洞 1)利用“”字符猜解暴露短文件/文件夾名。2).Net Framework的拒絕服務(wù)攻擊。Windows 還以 8.3 格式生成與 MS-DOS 兼容的（短）文件名，以允許基于 MS-DOS 或 16 位 Windows的程序訪問這些文件。在cmd下輸入“dir /x”即可看到短文件名的效果。通配符“*” 和 “?”發(fā)送一個(gè)請求到iis,當(dāng)IIS接收到一個(gè)文件路徑中包含“”的請求時(shí)，它的反應(yīng)是不同的。基于這個(gè)特點(diǎn)，可以根據(jù)http的響應(yīng)區(qū)分一個(gè)可用或者不可用的文件。如下圖所示不同IIS版本返回信息的不同IIS 服務(wù)器的常見漏洞 掌握 IIS6 存在的短文件名漏洞 短文件名漏洞解決辦法1.關(guān)閉NTFS 8.3文件格式的支持。該功能默認(rèn)是開啟的，對于大多數(shù)用戶來說無需開啟。如果是虛擬主機(jī)空間用戶，請聯(lián)系空間提供商進(jìn)行修復(fù)。修改方法：1）修改注冊列表HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable