你的Windows 2000 /Internet Information Server (IIS) 5.0 Web 網站已經架設起來,准備開始運作時,卻發現它被安全漏洞所困擾著。安全性方面的漏洞當然可以彌補,但那要看你如何去應對。如果懷有惡意的駭客還沒有找到那些看不見的裂縫,這並不意味著你可以高枕無憂。他們可能只是還沒有發現到你的網站而已。
那麼,這套最先進的操作系統和網絡服務器軟件怎麼可以如此的不完善呢?事實不是這樣的。原來有很多安全缺口歸因於 Microsoft 在 IIS 中所提供的功能。如果適切的注意到這些屬性,它們將允許客制化(customization)的運用,在執行上更具彈性。但是當它們被忽略、誤解或不正確的使用時,它們就會成為受攻擊的弱點。
這些弱點所造成的影響可以是非常重大的。其中一個能使入侵者完全存取存放在網上的檔案文件系統。另一個使入侵者能夠看到 Active Server Pages(ASP)的原始碼。還有一個允許入侵者在網絡服務器上執行操作系統命令。
也許這看起來像是 IIS 的問題,這並不意味著其它的網絡服務器能夠提供比 IIS 更嚴謹的安全性。Robichaux & Associates 安全顧問暨 Microsoft Technet 的專欄作家 Paul Robichaux 就表示,Windows 2000 系列的網絡服務器並不比其它服務器容易受到攻擊,幾乎所有的服務器都有各自的安全漏洞。
盛名所累成眾矢之的
CarnegIE-Mellon University 的CERT Coordination Center 是一個致力於提高網絡安全、也是網上安全問題的極具指針性的一個網站。這個網站所報導的,是困擾著所有網絡服務器和相關產品的安全漏洞議題。
諷刺的是,知名度可能是促使 IIS 5.0 比apache 等其它服務器更容易暴露安全漏洞的原因。看起來,IIS 作為微軟的網絡旗艦產品,它的知名度足以吸引許多駭客的注意力。
所以壞消息就是,如果你只是簡單地執行 IIS,被駭客盯上的機率會比較大。好消息是,只要充分了解 IIS 並采取適當的保護措施,便可以有效阻止駭客的入侵。但 Robichaux 警告說,修補安全漏洞不像按下一個標有「安全的網站」的按鈕那麼的簡單,保護你的網站可是需要新的技巧和工具。