IIS 6.0默认设置和设计上安全性的改变概述(2)

　　文/天极网

　　 第1页:IIS 6.0默认设置和设计上安全性的改变概述 第2页:IIS 6.0默认设置和设计上安全性的改变概述(2)

　改善的数据有效性

　　IIS 6.0设计上的一个主要新特性是工作在内核模式的HTTP驱动--HTTP.sys。它不仅提高了web服务器的性能和可伸缩性，而且极大程度的加强了服务器的安全性。HTTP.sys作为web服务器的门户，首先解析用户对web服务器的请求，然后指派一个合适的用户级工作进程来处理请求。工作进程被限制在用户模式以避免它访问未授权的系统核心资源。从而极大的限制了攻击者对服务器保护资源的访问。

　　IIS 6.0通过在内核模式的驱动中整合一系列的安全机制，以提升其设计上固有的安全性。这些机制包括避免潜在的缓冲溢出，改善的日志机制以辅助事件响应进程和检查用户有效性请求的先进URL解析机制。

　　为了第一时间的避免潜在的缓冲区和内存溢出漏洞的利用，微软通过在HTTP.sys中进行特殊的URL解析设置以实现IIS 6.0安全设计中的深度防御原则。这些设置还可以通过修改注册表中特定的键值来进一步优化。下表提供了主要注册表键值的位置（均在以下路径HKLM\System\CurrentControlSet\Services\HTTP\Parameters）：

　　增强的日志机制

　　一个全面的日志是检测或响应一个安全事故的基础要求。微软也意识到了在HTTP.sys中进行全面的、可靠的日志机制的重要性。HTTP.sys在将请求指派给特定的工作进程之前就进行日志记录。这样可以保证，即使工作进程中断了，也会保留一个错误日志。日志由发生错误的时间戳、来源目的IP和端口、协议版本、HTTP动作、URL地址、协议状态、站点ID和HTTP.sys的原因解释等条目构成。原因解释能够提供详细的错误产生原因的信息，如由于超时导致的错误，或由于工作进程的异常终止而引发的应用程序池强行切断连接而导致的错误。

　　以下连接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp
?url=/technet/prodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp

　快速失败保护

　　除了修改注册表，IIS 6.0的管理员还可以通过服务器设置，来使那些在一段时间内反复失败的进程关闭或者重新运行。这个附加的保护措施是为了防止应用程序因为受到攻击而不断地出错。这个特性就叫做快速失败保护。

　　快速失败保护可以按照以下步骤在Internet信息服务管理工具中配置：

　　1. 在Internet信息服务（IIS）管理器中，展开本地计算机。

　　2. 展开应用程序池。

　　3. 在要设定快速失败保护的应用程序池上单击鼠标右键。

　　4. 选择属性。

　　5. 选择运行状况选项卡，勾选启用快速失败保护。

　　6. 在失败数中，填写可以忍受的工作进程失败次数（在结束这个进程之前）。 7. 在时间段中，填写累计工作进程失败次数统计的时间。

　　应用程序隔离

　　在早期版本的IIS中（5.0和以前的版本），由于将web应用程序隔离在独立的单元将会导致严重的性能下降，因此没有实现应用程序隔离。通常一个web应用程序的失败会影响同一服务器上其他应用程序。然而，IIS 6.0在处理请求时，通过将应用程序隔离成一个个叫做应用程序池的孤立单元这种设计上的改变，成倍的提高了性能。每个应用程序池中通常由一个或多个工作进程。这样就允许确定错误的位置，防止一个工作进程影响其他工作进程。这种机制也提高了服务器以及其上应用的可靠性。

　　坚持最小特权原则

　　IIS 6.0坚持一个基本安全原则--最小特权原则。也就是说，HTTP.sys中所有代码都是以Local System权限执行的，而所有的工作进程，都是以Network Service的权限执行的。Network Service是Windows 2003中新内置的一个被严格限制的账号。另外，IIS 6.0只允许管理员执行命令行工具，从而避免命令行工具的恶意使用。这些设计上的改变，都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改变、一些简单配置的更改（包括取消匿名用户向web服务器的根目录写入权限，和将FTP用户的访问隔离在他们各自的主目录中）都极大地提高了IIS 6.0的安全性。

　　IIS 6.0是微软公司在帮助客户提高安全性上迈出的正确一步。它为Web应用提供了一个可靠的安全的平台。这些安全性的提高应归功于IIS 6.0默认的安全设置，在设计过程中就对安全性的着重考虑，以及增强的监视与日志功能。但是管理员不应该认为仅通过简单的迁移到新平台就可以获得全面的安全。正确的做法是应该进行多层面的安全设置，从而获得更全面的安全性。这也与针对Code Red和Nimda病毒威胁而进行的深度安全防御原则是一致的。

　　出处: 中国计算机安全网
　　责任编辑: 原野

[上一页]  [1]  [2]