服务器终极安全设置与优化指南[12]

1）Remove sample web files，删除web例子文件；建议删除，因为一般我们不需要在服务器上阅读这些文件，而且，这些文件可能让攻击者利用来阅读部分网页源程序代码（包括ASP）； 

2）Remove the Scripts vitual directory，删除脚本虚拟目录；建议删除； 

3）Remove the MSDAC virtual directory，删除MSDAC虚拟目录，建议删除； 

4）Disable Distribauted Authoring and Versioning(WebDAV)，删除WEBDAV，WebDav主要允许管理者远程编写和修改页面，一般我们不会用到，建议删除，删除的好处是可以避免IIS5的一个WebDav漏洞，该漏洞可能导致服务器停止。 

5）Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe)，防止匿名用户运行可执行文件，比如cmd.exe和tftp.exe；建议选择此项，因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能； 

6）Set file permissions to prevent the IIS anouymous user from writing to content directories，防止匿名用户对目录具有写权限，这个不要解释，建议选择； 

设置以上选项以后，按【下一步】按钮，出现以下界面（图五）： 


图五 

要求确认是否接受以上设置，选择【是】，出现以下界面（图六）开始对系统执行设置： 


图六 

在以上界面中，我们可以看到对IIS的详细设置情况。设置完成以后，建议重新启动IIS。 

二、URLScan Tool――过滤非法URL访问 

仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞： 

１、特别长的URL，比如红色代码攻击网站的URL就是这样： 

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u 
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u 
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200； 

２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到网页（ASP）源代码； 

３、URL中含有可执行文件名，最常见的就是有cmd.exe； 

既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌于国门之外的效果，这款工具有以下特点和功能： 

１、基本功能：过滤非法URL请求； 

２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果； 

３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则； 

（一）、软件的下载与安装 

URLScan可以在微软的网站上下载，地址如下： 

http://download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe 

和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件： 

urlscan.dll：动态连接库文件； 
urlscan.inf：安装信息文件； 
urlscan.txt：软件说明文件； 
urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。 

（二）、软件的配置