ISAPI扩展负责处理如活动服务器页(ASP)、.NET网络服务和基于网络的打印共享等功能。然而,很多这些扩展功能都是不必要的,特别是在你使用IIS 5.0以前版本的时候。这个问题是许多这种扩展(过滤器)都存在可以利用的安全漏洞。臭名昭著的“红色代码”就是利用这些扩展功能的一种恶意程序的例子。你可以仅仅启用网络服务器和应用程序需要的那些ISAPI扩展,严格限制能够与各种扩展功能一起使用的HTTP选项。
在IIS中设置ISAPI选项
大多数IIS安装都包括一些简单的应用程序和旨在展示这个网络服务器功能的脚本。它们在设计上并不是很好的考虑了安全,特别是在5.0版本之前。这样,人们利用这些程序的安全漏洞就可以覆盖服务器上的文件或者远程阅览,甚至远程访问敏感的服务器信息,如系统设置和指向可执行程序的路径。在设置任何IIS服务器投入正式使用之前,你至少应该删除“/InetPub/iissamples”目录,删除、移动“/InetPub/AdminScripts”管理员脚本目录或限制对它的访问。微软的IIS安全工具IIS Lockdo页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
