IIS Insider – 2003 年 4 月
有关 Internet 信息服务的 5 个热点问题及其解答
是什么导致 IUSR 密码过期?
问:我在 IIS 5 服务器上遇到一个问题,我无法对这些服务器进行匿名访问。事件日志中指出 IUSR 密码已经过期。是什么导致 IUSR 密码过期?难道是因为默认情况下它被配置为在一定时间后过期?
答:默认情况下,匿名用户帐户的属性配置为“密码永不过期"和“用户不能更改密码"。单机服务器和域控制器都是如此。因此,除非对该帐户的某些设置进行了更改,否则密码不会过期。如果通过安全策略对该服务器强制实施了密码过期设置,那么有可能会发生这种情况。这很可能是管理员因为没有意识到这样设计的特殊目的,而创建了新的匿名用户帐户,或是对该帐户设置了有效期。(曾经有安全管理员告诉过我,IIS 不需要 IWAM 帐户,可以将它删除。)另外也可能是由于运行了强制实施密码策略的安全脚本,这导致重新设置包括匿名用户在内的所有用户的帐户策略。为了确定是什么操作导致这些被更改,您可能需要启用对帐户管理和策略更改的审核。
多个域只返回一个 Web 站点(使用了主机头)
问:我们运行的是 IIS 5.0 和 Windows 2000 Advanced Server。我们的多个域名共用同一个 IP 地址,而且使用了主机头,在为这些域名提供 Web 站点时,IIS 仅向 IE 或任何其他 Web 浏览器,为所有域返回一个 Web 站点,根本不考虑正在使用的主机头。DNS 的设置没有问题,因为对于任何有疑问的域名,我们可以 ping 通,并且返回正确的 IP 地址。这些 Web 站点的属性被设置为使用全部未分配的 IP 地址,端口号为 80,且使用主机头。每个站点的主目录路径都是唯一的。为什么所有这些虚拟 Web 站点只返回一个 Web 站点?
答:当我遇到那些配置似乎都正确但仍然运行不正常的问题时,我会先停下来,从全局入手予以解决。问题通常有以下两类:配置错误或服务器问题。这时应尽最大努力确定所遇到的问题属于哪一类,而且应该尽快这样做。
首先应查看这个具有特定功能(主机头)的应用程序(IIS)的历史记录。实践证明,主机头和 IIS 5 配合使用是非常强大而且极为可靠的。我所遇到的绝大部分问题都是配置问题。因此,在对某些更为可疑之处(例如,原数据库受损)进行评估之前,我会先集中精力解决配置不当问题。
当然,根据您所描述的这种症状,似乎是因为同时使用 SSL 和主机头所导致的。当要使用主机头来识别站点时,您不能在基于主机头的 Web 站点上使用 SSL。
如果未使用 SSL,那么接下来我会删除所有 Web 站点的“全部未分配"设置,并用正确的 IP 地址关联它们。这将排除 DNS IP 地址指向其他地址的可能性,因为如果是这样的话,没有 Web 站点会响应。一般说来,我不会将 IP 地址设置为“全部未分配",因为这可能会导致 Web 站点会根据其他 Web 站点的配置情况启动或停止响应。最好是明确指定站点要使用的地址。
当所有 Web 站点都配置为使用主机头后,在您使用这个 IP 地址时,没有站点会进行响应。相反,您会收到这样一条消息:“这个地址上没配置 Web 站点"(No web site configured at this address)。因此,接下来应该尝试检查是否存在这种情况,即启动 Internet Explorer,然后通过 IP 地址而不是 FQDN 来访问 Web 服务器。(也就是说,不要使用 http://服务器名,而是使用 http://<IIS 的 IP 地址>)如果有 Web 站点响应,那么仔细检查该站点的配置(因为仅提供 IP 地址时,它是不应该响应的)。
IIS 用户界面出现这种问题通常都是由于这种不当配置引起的。
在按如上所示方式进行配置后,Web 站点将会对这个 IP 地址进行响应,主机头不再起作用。出现这种情况是因为,当您首次打开“高级多 Web 站点配置"窗口(Web 站点属性,Web 站点,高级)时,只有“添加"按钮处于启用状态。这时不要单击“添加"按钮,而是选择现有的(全部未分配) 80项,然后单击“编辑"。确认所有 Web 站点的“高级 Web 站点标识"选项卡都已正确配置。
如果站点的数量很多,那么下一步的尝试可能不太可行。如果可以的话,除保留一个 Web 站点,停止其他所有站点,然后尝试通过名称和 IP 地址访问那个站点。正常情况下,采用 IP 地址应该无法访问,而采用名称则可以。如果确实如此,那么停止刚测试的那个站点,启动另一个并测试它。不断重复此过程,直至确认每一个都正常工作。如果发现某一个站点能对 IP 地址进行响应,那么这个站点要么是工作不正常,要么是配置不当。
如果所有站点的配置都正确,它仍无法正常工作,那么我们转为检查系统,确认系统是否有问题。如果是这样的话,那将很不幸,因为这通常需要采取比较复杂的措施。
您可以尝试以下一种或两种方法:
| • | 用 MetaEdit 2.2 浏览元数据库,并查找是否有元数据库严重受损。 |
| • | 删除,然后重新创建任何操作不正常的站点。 |
如果这些方法都不能解决问题,那么请与 Microsoft 产品支持服务部联系。
如果 IIS 服务器被成功地攻击了,应该采取哪些措施?
问:我最近发现,我的 IIS 被人成功地攻击了。我在周日下午设置了系统审核,发现曾有人在周一凌晨一点成功地登录了我的计算机。我发现黑客对我系统上的某些用户进行了一些修改。
Guest 登录被激活了。Guest 和 IUSR 帐户被添加到了 Administrators 组中,而且还对用户权限做了一些其他修改,启用了远程注册表服务。我修复了所有这些问题,并且在服务器上设置了审核,至今没有发现可疑行为。黑客仍可能获取访问这个系统的特权吗?
答:很遗憾地得知您遭此不幸,但是我认为,您以及任何曾遭受过这种程度攻击的人最好重新格式化驱动器,然后重新进行所有设置。您所采取的修复策略存在两大问题。
首先,您假定您已经找出了攻击者对您的系统所做的所有修改(但这几乎是不可能的,除非您已经对记录所有文件以及网络活动的日志进行了地毯式搜查)。攻击者可能会在您的系统上安装特洛伊木马病毒,键盘记录器,或是管理控制台,而您根本没有注意到这些。最近的有些攻击程序中包含了内核模式驱动程序,它们看起来属于操作系统的一部分(即使是训练有素的人也很难发现这一点)。
其次,即使您已经修复好一切,攻击者也可能已经获取了权限信息,例如用户名和密码。他们可能在文件结构中创建了一个授予他们完全控制权限的位置,而且这个位置可能隐藏得很深,他们可以用他们创建的名称或是破译的密码登录系统。
您应该立即检查任何其他连接至该 IIS 服务器的计算机。域控制器以及其他与此 IIS 服务器通信的服务器(例如 SQL、Exchange 和 IIS 等服务器)都是首要检查目标。如果攻击者拥有了这台 IIS 服务器的特权,那么他们可能会开始深入破坏整个网络。
很显然,这些措施所耗费的时间和费用都是很大的。为此,我敦促公司和管理员积累必要的技能和技术,来尽可能降低成功攻击的可能性。另外,应该对系统进行监控,一旦出现问题尽快通知管理员。
一种快速地实施高度安全性的方法是使用 Microsoft 的 Internet Security and Acceleration(ISA)服务器,并将 Web 服务器“发布"到 ISA 服务器。如此配置之后,ISA 服务器就可以充当防火墙,防止 IIS 服务器遭受攻击,同时为客户端提供必要的内容。这样,攻击者就没有直接访问 IIS 服务器的权限。要了解详细信息,请参考 Internet Server and Acceleration 服务器产品指南,网址为:http://www.microsoft.com/isaserver/evaluation/productguide.asp
当然,即使安装了 ISA 服务器或是其他坚固的防火墙服务器,仍需要采取必要措施有效地保证 Web 服务器的安全。有关这个主题的良好建议非常多,例如可以参考下面资料:
| • | |
| • | |
| • |
将您的问题提交给 IIS Insider。挑选出的问题会连同答案一起刊登在下一期的 IIS Insider 专栏中。
要获取 IIS Insider专栏所有的问题与解答,请单击此处。
我们代表 Microsoft 公司衷心希望本文章中的信息能对您有所帮助,但是应由您自己承担使用本文所带来的风险。本文中的所有信息都“按原样"提供,对于其准确性、完整性、特殊用途的适用性、所有权和不侵权原则,并没有任何明示或暗示的保证;本著作提及的任何第三方产品和信息,Microsoft 公司都并未参与创作,也不向您推荐、支持或作出任何保证。对使用该信息而造成的任何损失,不管是直接的、间接的、特别的,还是偶然的或必然的,即使已经警告过可能会有这种损失,Microsoft 公司将不承担任何责任。