牛晓晨

（西安邮电大学 计算机学院，陕西 西安 710121）

IIS7 是Windows Server 2008 中的一个支持HTTP 发布服务的Web 服务器， 它是网站架设的基础平台。 ASP 是Active Server Page 的缩写，意为“动态服务器页面”，是一种基于IIS 平台的动态网站开发技术，而Asp.net 是Asp 的一个升级。它们都是微软公司的技术， 因此使用它们开发出来的网站数目众多。本文从权限设置的角度来谈一下如何防范黑客对这两类网站的入侵。

1 漏洞产生原因与入侵防范方法设计

为了充分利用资源，一台服务器上往往装有多个网站。 这些网站有的是管理员自己开发的，代码的安全性跟管理员的开发水平密切相关；有的是购买商业软件，安全性较好，补丁也更新的快；有的则是网上下载的破解免费版，网站代码的安全性较差，甚至有的里面直接被植入了后门。 由于站点源码来源的复杂和开发者水平的参差不齐，要从外部预防所有可能出现的源码漏洞是不可能的，只能从内部考虑：如果黑客渗透进来了，木马被植入了网站，要怎么做才能最大化降低其破坏力？

通过权限设置可以将影响降到最低。 操作系统权限指的是不同账户对文件、文件夹和注册表等的访问能力。 IIS7 默认的匿名账户是IUSR， 这是一个具有Users 组权限的内建帐号，默认情况下服务器上所有网站的启动用户身份均是IUSR。 因此当某一网站被入侵后，由于Users 组权限的作用，黑客实际上已取得了全部网站和硬盘文件的访问权。 因此通过对不同的网站设置不同的启动账户，并对相应文件和文件夹的读取和执行权限进行设置，可以阻止黑客的进一步破坏。

2 方法实现

2.1 新建账户与指定网站启动账户

每个网站对应新建一个启动账户， 因后期需要对这些账户统一进行权限设置操作，如对注册表访问权限设置，所以还需要新建用户组IIS_guests 将这些账号加进来。

在IIS 管理器中添加网站，在弹出的选项卡中点击传递身份验证下的“连接为”按钮，选择特定用户，点击设置按钮，输入建好的用户名和密码，点确定。 建站后系统为每一个站点自动建立一个应用程序池，应用程序池的运行身份为刚才指定的账户，每个应用程序池对应一个IIS 工作进程（w3wp.exe），有多少个网站在任务管理器里就会显示有多少个进程，进程用户名显示为应用程序池名。 对于Asp 站点，到此就完成了网站启动账户的指定。 对于Asp.net 站点还需要进行如下操作：

（1）若Asp.net 的开发非.Net4.0 框架，需将应用程序池的托管模式由默认的“集成”改为“经典”。 （2）将网站的IIS 设置项中的“身份认证”选项卡里的“ASP.NET 模拟”项设为启动。（3）给予启动账户对“C:WindowsMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files”目录的读写权限。

2.2 文件与文件夹权限设置

2.1 节新建账户都属于authenticated users，而authenticated users 属于Users 组，因此就算把新建用户从Users 组删除，其仍具有Users 组的权限。 为了阻止黑客入侵网站后对服务器文件的访问，我们要对磁盘文件和文件夹做如下权限设置：

（1） 删除所有盘符的根权限中的Users 组和everyone 权限。因为指定的网站启动用户均默认具备了Users 组的权限，不这样做，黑客渗透入某一网站后将会看的服务器上所以盘符下的文件。 （2）删除网站文件存放目录的Users 组权限，同时添加其启动账户的读权限。 这使得只有该网站的启动账户才能访问该网站的文件。 （3）对于access 数据库文件和可上传文件的文件夹添加启动账户的写权限。 （4）如果有ftp 上传要求，需新建ftp 管理账户，并添加该账户对网站根目录的读写权限。

2.3 限制脚本执行与注册表访问权限

基本上每个网站都有上传文件和图片的功能， 而黑客往往通过上传漏洞将木马传到服务器上。 由2.2 节的权限设置可知，除上传目录外，其它目录均不可写，黑客只能将木马写入到上传目录里，所以需要关闭此目录的脚步执行功能。 关闭方法如下：在IIS 管理器里，选中某一网站上传文件夹，双击其“处理程序映射”功能选项，接着选择右侧操作子栏里的“编辑功能权限”选项，将“脚本”选项去掉，这样上传目录里的脚本就无法运行了。

远程桌面是远程管理服务器的利器， 通过修改默认的3389 端口可防止其被黑客利用，但是木马脚本可通过读取注册表来获得真实的连接端口。 因此需要在注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]项的权限中设置IIS_guests 组权限为拒绝读取。

3 实验测试

将海阳顶端网asp 木马和WebAdmin 2.0 Asp.net 木马放入网站进行测试，结果如下：木马只能读取入侵网站所在目录中的文件，只能修改本站点的上传目录文件和access 数据库文件，植入上传目录中的木马无法运行，远程桌面的端口信息无法获取。

4 结论

本文分析了Asp 与Asp.Net 网站脚本漏洞产生原因，给出一种基于权限设置的入侵防范方法，并进行了讲解与测试。 实验表明该方法有效地保护了服务器资源不被窃取，阻止了黑客的进一步入侵。

[1]Microsoft.MSDN Library [EB/OL].2013.http://msdn.microsoft.com/library/