第21卷第4期2003年8月青海大学学报(自然科学版)JournalofQinghaiUniversityVol.21No.4Aug.2003IIS服务器的安全隐患及对策郝阜平(青海大学,青海西宁810016)摘要:通过对IIS服务器安全隐患的分析,探讨了降低WindowsNTΠ2000操作系统的安全风险及提高其安全性的方法。关键词:WEB服务器;WindowsNTΠ2000;IIS;安全隐患中图分类号:TP309文献标识码:C文章编号:1006-8996(2003)04-0061-031WEB服务器安全状况分析作为向INTERNET上提供WWW服务的WEB服务器来说,提供一个相对安全的环境需要多种因素的配合,包括网络安全(防火墙、IDS、ACL等)、操作系统和WEB服务器软件自身在安全方面的设置、加密技术、物理上的安全因素、人员及管理制度的完善等等,从目前互联网的安全情况来看,基于WindowsNTΠ2000的系统比基于UNIXΠLinux的系统更易受到攻击,而实际上基于UNIXΠLinux的ApacheWEB服务器比基于Microsoft方案的IIS服务器所占的市场份额要大,尽管WindowsNTΠ2000并不是使用最多的WEB服务器平台,但却被频繁的攻击。另一方面,虽然Unix和NT按照可信计算机评价标准均为C2级,但是WindowsNTΠ2000的网络操作系统从第一版到现在不到十年时间,还存在一些安全隐患,而Unix已经过了几十年的完善,再则WindowsNTΠ2000自带的IIS试图提供比Apache更多的功能,但却带来了许多问题,导致没有及时进行系统更新和补丁的NTΠ2000系统更易受到攻击。本文对服务器和操作系统本身的设置方面的问题及对策进行分析,即如何通过操作系统和服务器软件自身的安全优化来提高WEB服务器的抗攻击的能力以尽可能减少因为黑客攻击带来的损失。2主要隐患及对策分析Windows2000包含许多被大多数管理员接受的默认设置和选项,这些默认值被黑客用来渗透系统。一般情况下很多默认设置是可以改变的,这些改变可以提供显著的安全收益。常见的默认设置有默认文件位置、默认网络协议及端口、默认共享、服务器消息块(ServerMessageBlock,SMB)连接性、默认账户等。2.1更改Windows2000的默认设置初始安装Windows2000,系统被默认安装在主盘的WINNT目录下。使用一个不同的目录对于合法的用户不会引起任何问题,但是当黑客企图通过一个中间系统(WEB服务器)远程访问文件时,给黑客攻击造成困难。作为NTΠ2000系统的WEB发布的根目录,默认位置为系统文件所在分区,例如C:\interpub\wwwroot,安全的方法是将发布根目录换至其他分区及目录,并删除IIS默认安装的虚拟目录(如Scripts),虚拟目录中的例子脚本往往为黑客和病毒所利用。同样更改Windows默认安装的帐户名Administrator可以阻止增加黑客攻击系统的难度。Windows2000为管理目的自动地建立默认的共享,包括C|S、DS|和其他系统中的根卷。ADMINS|是目录\SYSTEMROOT的一个共享,将Windows安装到C:\时,如果接受默认设置,它将是C:\WINNT。共享会造成不必要的风险。要删除默认共享,“”可以通过计算机管理工具或通过停“止Server”服务,最好卸载Microsoft的网络和文件共享服务组件。WindowsNTΠ2000会自动启动139端口,通过139端口入侵收稿日期:2003-05-19作者简介:郝阜平(1971—),男,山西忻州人,讲师。62青海大学学报第21卷是常见的网络攻击手段,通常139端口开启是由于NetBIOS网络协议的使用。NetBIOS即网络基本输入输出系统,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。[1]局域网内部使用NetBIOS协议可以很方便地实现消息通信,但在Internet上,则相当于一个后门程序,攻击者通过NetBIOS漏洞发起攻击。通过139端口入侵,攻击者首先需要使用扫描工具查找网络上存在139端口漏洞的主机地址,SuperScan是典型的端口扫描工具之一。如果查获一台存在139端口漏洞的主机,可以在命令行方式下使用“nbtstat-a[IP地址]”获得用户信息和攻击主机名称及工作组,实现与攻击目标资源共享。使用Netview和Netuse命令显示计算机列表和共享资源,使用nbtstat-r和nbtstat-c命令查看用户名和IP地址。防止通过139端口的攻击,WindowsNT用户可以取消NetBIOS与TCPΠIP协议的绑定,打开“控制面板”,双击“网络”图标,在“NetBIOS接口”中选择“WINS客户(TCPΠIP)”为“禁用”,并重新启动计算机即可...