我们网络的漏洞扫描发现了以下响应:
“此站点上的 IIS 存在问题。SMB 服务对 Everyone 的权限不安全:IIS 管理服务 (IISADMIN) :DC、WD、WOhttp://oursite.com“
我一直在查看服务,并阅读有关 Windows SMB(服务器消息块)的资料,但仍然无法真正检测出问题所在。有没有人对 SMB 服务或 Windows 权限有更多了解,可以给我指明正确的方向?
我查看了服务,有一个“IIS Admin”服务,并且我检查了可执行文件(C:\windows\system32\inetsrv\inetinfo.exe)的权限,但它没有列出任何异常:
C:\Inetpub\wwwroot\FM>cacls C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe BUILTIN\Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
我还检查了本地安全设置:
Microsoft network client: Digitally sign communications (always) Disabled
Microsoft network client: Digitally sign communications (if server agrees) Enabled
Microsoft network server: Digitally sign communications (always) Disabled
Microsoft network server: Digitally sign communications (if server agrees) Disabled
非常感谢任何帮助或指导!
答案1
我已经有一段时间没有在 2003 服务器上工作了,但扫描(对我来说听起来像是 Nessus 扫描)可能发现了最佳实践问题。您可以在此处查看:保护每个磁盘卷的根文件夹(IIS 6.0)并检查是否是该问题。
具体来说:
在全新安装 Microsoft® Windows® Server 2003 后,特殊组 Everyone 对系统卷的根目录(即安装 Windows Server 2003 的磁盘卷)具有读取和执行权限。
在系统卷根目录下创建的任何文件夹都会自动继承分配给系统卷根目录的权限。这意味着 Everyone 组将对在系统卷根目录下直接创建的任何新文件夹拥有读取和执行权限。为防止意外的安全漏洞,请删除分配给专用 Web 服务器上特殊组“Everyone”的权限。
修复方法:
通过删除权限来保护系统卷的根目录
- 打开附件,然后单击 Windows 资源管理器。
- 在 Windows 资源管理器中,找到系统卷的根目录。
- 右键单击系统卷的根目录,单击“属性”,然后单击“安全”选项卡。
- 在“组或用户名”列表框中,单击“Everyone”,然后单击“删除”。
- 单击“确定”。
不过,我认为扫描应该已经告诉您该如何解决问题。您仍然需要小心,因为 Everyone 组的 IIS 管理服务具有某些特殊权限:http://support.microsoft.com/kb/903072
答案2
使用“sc sdshow iisadmin”命令,我能够看到“每个人”在“自由支配”权限中拥有“访问”权限:
C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S:(AU;
FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
我只是通过以下方式重置权限来删除“WD”条目:
C:\Inetpub\wwwroot\FM>sc sdset iisadmin D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[SC] SetServiceObjectSecurity SUCCESS
然后确认:
C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
我重启了服务,并检查了所有网站,一切似乎都运行正常。我必须等待另一次扫描才能确定,因为扫描公司没有提供比我在问题中报告的更多详细信息。无论如何,从可自由选择中删除“所有人”条目似乎是个好主意。
我做了很多研究,并记录下来。我在这里写了以下内容:http://bit.ly/18dYVYi对于任何感兴趣的人。