禁用 FTP、SMTP 和 NNTP,除非需要它们
ftp、smtp 和 NNTP 都是不安全协议的例子,容易被人滥用。如果您不需要它们,就不要运行它们。如果您目前正在运行它们,应该尝试寻找安全的替代方案。如果您必须运行它们,应该对其进行保护。
注IIS Lockdown 提供了禁用 FTP、SMTP 和 NNTP 的选项。
要消除 FTP 利用的可能性,应该在不需要使用的情况下禁用 FTP 服务。如果启用了 FTP,而且存在出站连接,攻击者就能够使用 FTP 从攻击者的远程系统向 Web 服务器上传文件和工具。工具和文件传输到 Web 服务器上之后,攻击者就可以攻击 Web 服务器或者其他相连接的系统了。
如果您使用 FTP 协议,则用来访问 FTP 站点的用户名和密码和所传输的数据都没有编码或者加密。IIS 不支持 SSL 用于 FTP。如果安全的通信非常重要,而且您使用 FTP 作为传输协议(而不是 SSL 上的 WWW 分布式创作和版本控制 (WebDAV)),可以考虑通过加密信道使用 FTP,例如使用点到点隧道协议 (PPTP) 或者 Internet 协议安全 (IPSec) 保护的虚拟专用网 (VPN)。
禁用 ASP.NET 状态服务,除非需要
.net Framework 安装 ASP.NET 状态服务 (aspnet_state.exe),为 ASP.NET Web 应用程序和 Web 服务管理进程外用户会话状态。默认情况下,该服务配置为手工启动,并以最低特权本地 ASPNET 帐号运行。如果应用程序都不需要通过使用这个服务存储状态,那么就禁用它。有关保护 ASP.NET 会话状态的更多信息,请参阅“保护 ASP.NET 应用程序的安全”单元中的“会话状态”部分。
返回页首通过防止使用不必要的协议,可以减少受攻击的可能。 .NET Framework 通过 Machine.config 文件中的设置,提供了对协议的细粒度控制。例如,您可以控制 Web 服务是否能够使用 HTTP GET、POST 或者 SOAP。有关在 Machine.config 中配置协议的更多信息,请参阅“第 16 步: Machine.config”。
在此步骤中,应该: | |
禁用或者保护 WebDav。 | |
加固 TCP/IP 堆栈。 | |
禁用 NetBIOS 和 SMB 。 |
禁用或保护 WebDAV
iis 支持 WebDAV 协议,该协议是 HTTP 1.1 的一个标准扩展,用于协作内容发布。如果没有使用,在产品服务器上禁用这个协议。
注IISLockdown 提供了一个选项,可以删除对 WebDAV 的支持。
从安全的角度来看,webdav 比 FTP 更优越,但是需要保护 WebDAV。有关更多信息,请参阅 Microsoft 知识库文章 323470,“如何:创建安全的 WebDAV 发布目录”。
如果您不需要 WebDAV,请参阅 Microsoft 知识库文章 241520,“如何:在 IIS 5.0 中禁用 WebDAV”。
加固 TCP/IP 堆栈
windows 2000 支持对配置 TCP/IP 实现的许多参数的细粒度控制。有些默认的设置是配置用来提供服务器可用性和其他特定功能的。
有关如何 加固 TCP/IP 堆栈的信息,请参阅本指导“如何……”部分中的“如何加固 TCP/IP 堆栈”。
禁用 NetBIOS 和 SMB
禁用所有不必要的协议,包括 NetBIOS 和 SMB。Web 服务器在其面对 Internet 的网卡 (NIC) 中不需要 NetBIOS 或者 SMB。禁用这些协议以防范主机枚举威胁。
注SMB 协议可以通过空会话向未经身份验证的用户返回有关计算机的丰富信息。您可以通过按“第 9 步:注册表”中所述来设置 RestrictAnonymous 注册表项,以阻塞空会话。
禁用 NetBIOS
netbios 使用以下端口:
tcp 和用户数据报协议 (UDP) 端口 137(NetBIOS 名称服务) | |
tcp 和 UDP 端口 138(NetBIOS 数据报服务) | |
tcp 和UDP 端口 139(NetBIOS 会话服务) |
禁用 NetBIOS 对于防止 SMB 通信是不够的,因为
