针对IIS的漏洞：两大工具打造安全网站

　　自从红色代码（Code red）病毒在网上传播并且造成巨大损失以后，专门针对微软服务器的病毒就已经在一个月之内出现三例：红色代码二（Code Blue 2）、蓝色代码（Code Blue）和9月18日出现的病毒尼姆达（Nimda）。这几例病毒不但在短时间内传播全球，且每一种病毒均不同程度引起业界惊呼，称其为最危险的病毒！
　　
　　这些病毒之所以传播广泛，主要利用了微软最新出现的几个漏洞，各病毒利用漏洞情况如下：
　　

　
　　仔细观察以上病毒对应的漏洞，在惊叹病毒厉害的同时，系统管理员们有必要反省：其实以上漏洞通告均早已经出现，现在正在传播的尼姆达病毒利用的Unicode漏洞，正是今年“五一”中美黑客大战时黑客们广泛使用的一种漏洞，微软针对这些漏洞的补丁包也早已经推出。之所以在这些病毒出现以后还有那么多计算机中招，很大责任就是NT、Win2000的管理员们没有及时加上应该有的补丁和没有仔细关注这两个系统的安全设置有关。当大家一次又一次的骂微软服务器的脆弱的时候，应该去微软的网站看看，看看自己应该担负的责任。
　　
　　也就是针对这一点，微软意识到需要采取必要措施帮助管理员们来设置服务器的安全属性，因此，在红色代码传播以后，微软在2001年8月23日推出了一款傻瓜式的IIS安全设置工具：IIS Lock Tool；同时，在尼姆达病毒传播以前的几天（2001年9月11日），微软推出了一款过滤网站访问不合法请求的工具：URL Scan。这两款工具均是针对IIS的漏洞设计的，系统管理员使用以上两款工具，可以有效设置IIS安全属性，避免被类似红色代码病毒和一些黑客的攻击。
　　
　　一、IIS Lock Tool，快速设置IIS安全属性
　　IIS Lock Tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助管理员们设置IIS安全性的工具。
　　
　　（一）、IIS Lock Tool具有以下功能和特点
　　
　　１、最基本功能，帮助管理员设置IIS安全性；
　　
　　２、此工具可以在IIS4和IIS5上使用；
　　
　　３、即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞；
　　
　　４、帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务；
　　
　　５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各种属性，设置得当，对IIS系统任何功能均没有影响。
　　
　　（二）、IIS Lock Tool的使用
　　
　　１、软件下载和安装
　　
　　IIS Lock Tool在微软网站下载，下载地址：
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
　　
　　安装很简单，需要注意的是，安装以后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，需要安装者在安装目录寻找运行该程序。
　　
　　２、软件的使用
　　
　　在以下的介绍中，我们将详细介绍每一步设置的意义和推荐设置，之所以详细介绍，是为了我们明白这些设置到底意味着什么，同时，和我们原来的安全设置相对照，避免出现设置完成以后，系统出现障碍。
　　
　　运行该软件，首先出现以下界面（图一）：
　　　
　　以上界面介绍了IIS Lock Tool的一些基本情况和使用时需要注意的地方：1）使用时应该选择针对本网站最少的服务，去掉不必要的服务；2）设置完成以后，建议对网站进行彻底检查，以确定设置对本网站是否合适；
　　
　　在以上界面，点击【下一步】按钮，出现以下界面（图二）：
　　　
　　以上界面选择快捷模式还是高级模式来运行软件，在这里，软件介绍了两者模式的区别：
　　
　　快捷模式：此设置模式关闭了IIS的一些高级服务属性，其中包括动态网页属性（ASP）；所以，我们需要再重复一遍，选择快捷模式只适合提供静态页面的网站，当然，这种模式是相对最安全的。
　　
　　高级模式：此模式运行安装者自定义各种属性，同时允许高级属性的运行。
　　
　　快捷模式设置我们不必介绍，点击【下一步】按钮就可以设置完成。我们选择【Advanced Lockdown】（高级设置），点击【下一步】按钮，出现以下界面（图三）：
　　　
　　以上界面帮助管理员设置各种脚本映射，我们来看每一种影射应该怎样设置：
　　
　　1）Disable support Active Server Pages(ASP)，选择这种设置将使IIS不支持ASP功能；可以根据网站具体情况选择，一般不选择此项，因为网站一般要求运行ASP程序；
　　
　　2）Disable support Index Server Web Interface(.idq,.htw,.ida)，选择这一项将不支持索引服务，具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务，然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点，它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索，也就可以取消网站的这个功能，取消的好处是：1）减轻系统负担；2）有效防止利用索引服务漏洞的病毒和黑客，因为索引服务器漏洞可能使攻击者控制网站服务器，同时，暴露网页文件在服务器上的物理位置（利用.ida、.idq）。因此，我们一般建议在这一项前面打勾，也就是取消索引服务；
　　
　　3）Disable support for Server Side Includes（.shtml,.shtm,.stm），取消服务器端包含；先来看看什么叫服务器端包含，SSI就是HTML文件中，可以通过注释行调用的命令或指针。SSI 具有强大的功能，只要使用一条简单的SSI 命令就可以实现整个网站的内容更新，动态显示时间和日期，以及执行shell和CGI脚本程序等复杂的功能。一般而言，我们没有用到这个功能，所以，建