破解IIS 6.0默認設置安全性的終極秘籍

因此，IIS 6.0被完全的重新設計，以實現默認安全和設計安全。本文主要講述了IIS 6.0在默認設置和設計上安全性的改變是如何使其成為關鍵web應用的平臺。

由于Web服務器被越來越多的駭客和蠕蟲制造者作為首要攻擊目標，IIS便也成為了Microsoft可信賴計算計劃中首要關注的內容。因此，IIS 6.0被完全的重新設計，以實現默認安全和設計安全。本文主要講述了IIS 6.0在默認設置和設計上安全性的改變是如何使其成為關鍵web應用的平臺。

默認安全

過去，包括像微軟這樣的企業

，都在他們的web服務器上安裝一系列的默認示例腳本，文件處理和最小文件授權，以提高管理員管理的靈活性和可用性。但是，這些默認設置都增加了IIS的被攻擊面，或者成為了攻擊IIS的基礎。因此，IIS 6.0被設計成了一個比早期產品更安全的平臺。最顯而易見的變化是IIS 6.0并沒有被Windows Server 2003默認安裝，而是需要管理員顯式的安裝這個組件。其他的變化包括：

默認只安裝靜態HTTP服務器

IIS 6.0的默認安裝被設置為僅安裝靜態HTML頁面顯示所需的組件，而不允許動態內容。下表比較了IIS 5.0和IIS 6.0的默認安裝設置：

默認不安裝應用范例

IIS 6.0中不再包括任何類似showcode.asp或codebrws.asp等的范例腳本或應用。這些程序原被設計來方便程序員快速察看和調試數據庫的連接代碼，但是由于showcode.asp和codebrws.asp沒有正確的進行輸入檢查，以確定所訪問的文件是否位于站點根目錄下。這就允許攻擊者繞過它去讀取系統中的任何一個文件(包括敏感信息和本應不可見的配置文件)，參考以下鏈接以獲取該漏洞的更多的細節：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增強的文件訪問控制

匿名帳號不再具有web服務器根目錄的寫權限。另外，FTP用戶也被相互隔離在他們自己的根目錄中。這些限制有效的避免了用戶向服務器文件系統的其他部分上傳一些有害程序。例如攻擊者可以向/scripts目錄上傳一些有害的可執行代碼，并遠程執行這些代碼，從而攻擊web站點。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]