量使產品可用,功能更強大,曾經是微軟的基本設計理念,但是現在事情發生了變化。遭受了網絡安全學者和網絡破壞者兩年的攻擊後,微軟在進入英特網服務領域時,做出了一項英明的決定。現在,他們必須停下來想辦法限制用戶的訪問權限。 因為有許多Windows 2000 和NT4用戶在遭受網絡攻擊後才知道自己已在不知不覺中運行了IIS,所以微軟在IIS6的默認配置中做出了明智的調整。用戶即使安裝了Windows .Net Server後,IIS6甚至都可能未被安裝,是否安裝IIS6取決於用戶序列號。即使安裝了IIS6,它也不會自動激活。激活後,它的默認配置也會令它處於鎖定狀態,並不能真正使用。用戶必須激活其中的一些特性才能真正啟用它。除了這些,IIS6還借鑒了防火牆的一些新特性,例如,過濾掉潛在攻擊請求。如果微軟宣稱的這些IIS6新特性都能真正實現,那麼這個新的Web服務器版本將會在主機環境和其他純Web應用環境中大受歡迎。 也許你會說,哈,每個人都知道IIS的安全性有多差。但實際上,我認為大約在去年,新的針對IIS的有效攻擊手段幾乎已經消失,這是微軟不斷發布新工具和補丁的結果。現在,維護IIS系統的安全比以往容易多了,IIS6將繼續保持這一特色。盡管最近公布的一些安全漏洞大都發布了相應補丁,但人們仍對這些漏洞的危害頗有誇大之辭。 IIS6帶有一個“工作者進程”,或稱為後台任務,它負責檢測嘗試緩沖區溢出的攻擊行為(緩沖區溢出是一種基於Web的主要攻擊方式)。當然,這樣做不可能阻止所有緩沖區溢出嘗試,但它能阻止其中的大部分主要攻擊方式。工作者進程監測緩沖區溢出行為,殺死所有受到攻擊的進程。 IIS6還對匿名用戶認證方式作了重要修改。默認的登錄方式從INTERACTIVE改為 NETWORK_CLEARTEXT,用戶因此不再需要交互登錄。這意味著今後的域控制器同時也可作為Web服務器,並擁有了更高的安全保障。 IIS6並沒有加入所有的Web安全措施。Windows .Net Server在TCP/IP堆棧層增加了端口過濾(實際上分為TCP, IP和 UDP過濾)。毫無疑問,防火牆在這方面可以工作得更好,但.Net Server在一個新的級別上為網絡提供了安全防護,這對來自於防火牆內部系統的攻擊來說意義更大。與目前的防火牆相比,它還增加了更多的帶外安全防護。 在確定自己是否需要IIS服務之前,用戶應該禁止此服務。Windows NT4和Windows 2000中的IIS目前還不能提供禁止服務功能,但微軟已經為IIS versions 4 和IIS versions 5提供了IIS Lockdown工具。該工具能引導用戶鎖定IIS中的許多服務和有問題的應用,使用戶環境接近於IIS6默認安裝時所處的狀態。 許多有經驗的IIS用戶和開發人員可能已經發現Lockdown工具的一個明顯缺陷,最近有一些報導說,雖然Lockdown工具可以讓用戶自己尋找、挑選指定的服務組件,但對它的誤操作可能會導致IIS丟失一些必需的功能組件。這種情形肯定也會在對IIS6的操作過程中出現。默認情況下,用戶在舊版IIS中禁止的服務將不能在升級版中被激活。 毫無疑問,有許多應用需要根據IIS6的要求重新編寫,,重新配置,重新審議。在英特網繁榮時期的最初幾年,微軟發表了許多應該如何利用Web服務器的觀念,這些觀念現在看來都是不明智的,例如,使用Office應用把工作直接保存到Web服務器上。在未來的Web應用版本中,用戶仍可以這麼做,但管理員就不得不花費大量精力維護站點安全。微軟正在致力於禁止這些功能,使管理員維護服務器安全的工作變得更簡單。 用戶安裝Lockdown工具的同時,還安裝了另一個非常有價值的工具: URLScan。它能阻塞向服務器發起的某些特殊類型的請求(技術上是一種ISAPI過濾),例如嘗試運行.EXE文件,超長URL,或者是非ASCII字符的URL。URLScan的真正發行版本將是Internet Services Manager工具的一部分。在Linux 和 BSD中,用戶可以通過配置文件控制URLScan。URLScan還記錄被阻塞請求日志,這樣用戶就可以察看攻擊的源頭。大家都知道,這類請求可以是來自網絡上已經受到了攻擊的系統,也可以是來自於某個遠程訪問用戶,日志文件能讓用戶很快區分這些源頭。IIS6綜合了許多這類功能。 微軟將重點轉向Web服務器的安全性,這確實令人鼓舞。當然,管理良好的服務器永遠比管理薄弱的服務器有更好的安全性,在這一點上IIS與其它Web服務器沒有兩樣。不過,IIS6中新的安全特性確實將有效提高Web安全防護能力。
