服务器安全设置(十四)

4）Disable for Internet Data Connector(.idc)，取消Internet数据库连接；先看Internet数据库连接的作用，它允许HTML页面和后台数据库建立连接，实现动态页面。需要注意的是，IIS4和IIS5中基本已经不使用idc，所以，建议在此项打勾，取消idc；

5）Disable support for Internet Printing (.printer)，取消Internet打印；这一功能我们一般没有使用，建议取消；取消的好处是可以避免.printer远程缓存溢出漏洞，这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器，并以系统管理员(system)身份执行任意命令；

6）Disable support for .HTR Scripting（.htr），取消htr映射；攻击者通过htr构造特殊的URL请求，可能导致网站部分文件源代码暴露（包括ASP），建议在此项前面打勾，取消映射；

理解以上各项设置以后，我们可以根据本网站情况来决定取舍，一般网站除了ASP要求保留以外，其他均可以取消，也就是全消第一项前面的勾，其他全部打勾，按【下一步】按钮，出现以下界面。
 

以上界面设置可以让管理员选择一些IIS默认安装文件的保留与否，我们来看怎样选择：

1）Remove sample web files，删除web例子文件；建议删除，因为一般我们不需要在服务器上阅读这些文件，而且，这些文件可能让攻击者利用来阅读部分网页源程序代码（包括ASP）；

2）Remove the Scripts vitual directory，删除脚本虚拟目录；建议删除；

3）Remove the MSDAC virtual directory，删除MSDAC虚拟目录，建议删除；

4）Disable Distribauted Authoring and Versioning(WebDAV)，删除WEBDAV，WebDav主要允许管理者远程编写和修改页面，一般我们不会用到，建议删除，删除的好处是可以避免IIS5的一个WebDav漏洞，该漏洞可能导致服务器停止。

5）Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe)，防止匿名用户运行可执行文件，比如cmd.exe和tftp.exe；建议选择此项，因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能；

6）Set file permissions to prevent the IIS anouymous user from writing to content directories，防止匿名用户对目录具有写权限，这个不要解释，建议选择；

设置以上选项以后，按【下一步】按钮，出现以下界面。

要求确认是否接受以上设置，选择【是】，出现界面后，开始对系统执行设置：

在以上界面中，我们可以看到对IIS的详细设置情况。设置完成以后，建议重新启动IIS。