学习了很多IIS 服务器的知识,我们今天就学习为了尽可能减少 IIS 服务器的受攻击面,在您所处的环境下,只应该在 IIS 服务器上启用必要的的 Web 服务扩展。
仅启用在您的 IIS 服务器环境下运行的站点和应用软件所必需的 Web 服务扩展,通过最大限度精简服务器的功能,可以减少每个 IIS 服务器的受攻击面,从而增强了安全性。
有关 Web 服务扩展的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。
在专用磁盘卷中放置内容
IIS 会将默认 Web 站点的文件存储到 inetpubwwwroot,其中 是安装 Windows Server 2003 操作系统的驱动器。
在本指南所定义的三种环境下,应该将构成 Web 站点和应用程序的所有文件和文件夹放置到 IIS 服务器的专用磁盘卷中。
将这些文件和文件夹放置到 IIS 服务器的一个专用磁盘卷 — 不包含操作系统的磁盘卷 — 有助于防止目录遍历攻击。目录遍历攻击是指攻击者对位于 IIS 服务器目录结构之外的一个文件发送请求。
例如,cmd.exe 位于于 System32 文件夹中。攻击者可能请求访问以下位置:
....Windowssystemcmd.exe,企图调用命令提示
如果 Web 站点内容位于一个单独的磁盘卷上,这种类型的目录遍历攻击将无法成功,原因有二。首先,cmd.exe 的权限已经作为 Windows Server 2003 基础结构的一部分进行了重设,从而将对它的访问限制在很有限的用户群中。
其次,完成该更改之后,cmd.exe 不再与IIS 服务器 Web 根目录处于同一磁盘卷,而目前没有任何已知的方法可通过使用这种攻击来访问位于不同驱动器上的命令。
除了安全性考虑之外,将站点和应用程序文件和文件夹放置在一个专用的磁盘卷中使诸如备份和恢复这样的管理任务变得更加容易。而且,将这种类型的内容放在一个分开的专用物理驱动器中有助于减少系统分区中的磁盘争用现象,并且改善磁盘的整体访问性能。 IIS 服务器的知识,我们就先讲解到这里。 |
