Windows IIS WEB服务器配置安全规范(下)

与为每一个文件单独设置 ACL 相比，更好的办法是为每一种文件类型创建新的目录，在这些目录上设置 ACL，并允许 ACL 继承到文件。例如，目录结构可能如下所示:

　　c:inetpubwwwrootmyserverstatic (.html)

　　c:inetpubwwwrootmyserverinclude (.inc)

　　c:inetpubwwwrootmyserverscript (.asp)

　　c:inetpubwwwrootmyserverexecutable (.dll)

　　c:inetpubwwwrootmyserverimages (.gif, .jpeg)

　　此外，有两个目录需要特别注意:

　　c:inetpubftproot (FTP server)

　　c:inetpubmailroot (SMTP server)

　　这两个目录上的 ACL 都是“Everyone(完全控制)”，应当根据您的功能级别覆盖为更加严格的设置。如果要支持“Everyone(写入)”，请将该文件夹放置到与 IIS 服务器不同的卷中，或者使用 Windows 2000 磁盘空间配额来限制可以写入这些目录的数据量。

　　设置适当的 IIS 日志文件 ACL

　　请确保 IIS 生成的日志文件 (%systemroot%system32LogFiles) 上的 ACL 是:

　　Administrators(完全控制)

　　System(完全控制)

　　Everyone (RWC)

　　这有助于防止恶意用户删除文件以掩饰他们的踪迹。

启用日志记录

　　当您希望确定服务器是否正受到攻击时，日志记录是非常重要的。应当通过下列步骤使用 W3C 扩展日志记录格式:

　　加载 Internet Information Services 工具。

　　右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性”。

　　单击“网站”选项卡。

　　选中“启用日志”复选框。

　　从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。

　　单击“属性”。

　　单击“扩展属性”选项卡，然后设置下列属性:

　　客户端 IP 地址

　　用户名

　　方法

　　URI 资源

　　HTTP 状态

　　Win32 状态

　　用户代理

　　服务器 IP 地址

　　服务器端口

　　仅当您将多个 Web 服务器设置在同一计算机上时，后两个属性才有用。Win32 Status 属性非常适合于调试。当您检查日志时，请注意错误 5，即被拒绝的访问。您可以通过在命令行中输入 net helpmsg err (其中 err 代表您感兴趣的错误号码)来找出其他 Win32 错误是什么含义。

　　设置 IP 地址/DNS 地址限制

　　这并非要设置的普通选项，但是如果希望限制某些用户访问您的网站，这将是一个有用的选项。请注意如果您输入域名系统 (DNS) 名称，那么 IIS 将必须执行 DNS 检查，这将很费时间。

　　验证可执行内容的可信度

　　要了解可执行内容是否可信是很难的。有一个小测试是用 DumpBin 工具来查看可执行内容是否调用了某些 API。许多 Win32 开发工具都含有 DumpBin。例如，如果您希望查看名为 MyISAPI.dll 的文件是否调用 RevertToSelf，请使用下列语法:

　　dumpbin /imports MyISAPI.dll | find "RevertToSelf"

　　如果屏幕上未出现结果，MyISAPI.dll 将不直接调用 RevertToSelf。它将可能通过 LoadLibrary 来调用该 API，在此情况下您也可以使用相似的命令来进行查找。

　　在 IIS 服务器上更新根目录的 CA 证书

　　该过程包括两个步骤:第一步:添加所有信任的新根目录证书颁发机构 (CA) 证书—尤其是任何通过使用 Microsoft Certificate Services 2.0 创建的新根目录 CA 证书。第二步:删除所有不信任的根目录 CA 证书。请注意如果您不知道发布根目录证书的公司名称，那么就不应当信任他们!

　　所有 IIS 使用的根目录 CA 证书都存放在计算机的机器存储中。可以通过下列步骤来访问该机器存储:

　　打开 Microsoft Management Console (MMC)。

　　从“控制台”菜单中选择“添加/删除管理单元”，然后单击“添加”。

　　选择“证书”并单击“添加”。

　　单击“计算机帐户”选项按钮。

　　单击“下一步”。

　　选中所指机器。

　　单击“完成”。

　　单击“关闭”，再单击“确定”。

　　展开证书节点。

　　扩展信任的根目录证书颁发机构。

　　选择证书。

　　右窗格将显示当前信任的全部根目录 CA 证书。如果需要，可以删除多个证书。

　　注意: 不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。