加固Windows Server 2003 IIS 服務(wù)器
概述
本模塊集中說(shuō)明在您的環(huán)境中強(qiáng)化 IIS 服務(wù)器所需的指導(dǎo)和步驟。為了向組織的公司 Intranet 中的 Web 服務(wù)器和應(yīng)用程序提供全面的安全保護(hù),應(yīng)該保護(hù)每個(gè) Microsoft Internet 信息服務(wù) (IIS) 服務(wù)器以及在這些服務(wù)器運(yùn)行的每個(gè) Web 站點(diǎn)和應(yīng)用程序不受可與它們連接的客戶(hù)端計(jì)算機(jī)的侵害。此外,還應(yīng)該保護(hù)在這些所有 IIS 服務(wù)器上運(yùn)行的 Web 站點(diǎn)和應(yīng)用程序不受在公司 Intranet 中其他 IIS 服務(wù)器上運(yùn)行的 Web 站點(diǎn)和應(yīng)用程序的侵害。
為了在抵制惡意用戶(hù)和攻擊者的過(guò)程中占據(jù)主動(dòng),默認(rèn)情況下,IIS 不安裝在 Windows Server 2003 系列產(chǎn)品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如,默認(rèn)情況下,IIS 最初僅提供靜態(tài)內(nèi)容。諸如 Active Server Pages (ASP)、ASP.NET、服務(wù)器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發(fā)布及 Microsoft FrontPage? Server Extensions 等功能僅在管理員啟用它們后才起作用。可以通過(guò) Internet 信息服務(wù)管理器(IIS 管理器)中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)啟用這些功能和服務(wù)。
IIS 管理器具有圖形化的用戶(hù)界面 (GUI),可用來(lái)方便地對(duì) IIS 進(jìn)行管理。它包括用于文件和目錄管理的資源,能夠?qū)?yīng)用程序池進(jìn)行配置,并且具有安全性、性能、以及可靠性方面的諸多特性。
本章接下來(lái)的部分詳細(xì)介紹了各種安全性強(qiáng)化設(shè)置,執(zhí)行這些設(shè)置可增強(qiáng)公司 Intranet 中存放 HTML 內(nèi)容的 IIS 服務(wù)器的安全性。但是,為確保 IIS 服務(wù)器始終處于安全狀態(tài),還應(yīng)執(zhí)行安全監(jiān)控、檢測(cè)和響應(yīng)等步驟。
審核策略設(shè)置
在本指南定義的三種環(huán)境下,IIS 服務(wù)器的審核策略設(shè)置通過(guò) MSBP 來(lái)配置。有關(guān) MSBP 的詳細(xì)信息,請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置可確保所有相關(guān)的安全審核信息都記錄在所有的 IIS 服務(wù)器上。
用戶(hù)權(quán)限分配
本指南中定義的三種環(huán)境中的 IIS 服務(wù)器的大多數(shù)用戶(hù)權(quán)限分配都是通過(guò) MSBP 配置的。有關(guān) MSBP 的詳細(xì)信息,請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。在下一節(jié)中闡述 MSBP 與 Incremental IIS Group Policy(增量式 IIS 組策略)之間的差別。
拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)
表 1:設(shè)置
成員服務(wù)器默認(rèn)值 舊客戶(hù)端 企業(yè)客戶(hù)端 高安全性
SUPPORT_388945a0
匿名登錄;內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
匿名登錄;內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
匿名登錄;內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
注意:安全模板中不包含匿名登錄、內(nèi)置管理員帳戶(hù)、Support_388945a0、Guest 和所有非操作系統(tǒng)服務(wù)帳戶(hù)。對(duì)于組織中的每個(gè)域,這些帳戶(hù)和組擁有唯一的安全標(biāo)識(shí) (SID)。因此,必須手動(dòng)添加它們。
“拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)”設(shè)置決定了哪些用戶(hù)不能通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)。。這些設(shè)置將拒絕大量的網(wǎng)絡(luò)協(xié)議,包括服務(wù)器消息塊 (SMB) 協(xié)議、網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS)、通用 Internet 文件系統(tǒng) (CIFS)、超文本傳輸協(xié)議 (HTTP) 和組件對(duì)象模型 (COM+)。當(dāng)用戶(hù)帳戶(hù)同時(shí)適用兩種策略時(shí),該設(shè)置將覆蓋“允許通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)”設(shè)置。通過(guò)給其它組配置該用戶(hù)權(quán)限,您可以限制用戶(hù)在您的環(huán)境中執(zhí)行委托管理任務(wù)的能力。
在模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)中,本指南建議將 Guests 組包含在被分配了該權(quán)限的用戶(hù)和組列表中,以提供最大可能的安全性。但是,用于匿名訪問(wèn) IIS 的 IUSR 帳戶(hù)被默認(rèn)為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組,以確保必要時(shí)可配置對(duì) IIS 服務(wù)器的匿名訪問(wèn)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì) IIS 服務(wù)器將“拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)”設(shè)置配置為包括:匿名登錄、內(nèi)置管理員、Support_388945a0、Guest 以及所有非操作系統(tǒng)服務(wù)帳戶(hù)。
安全選項(xiàng)
在本指南所的定義的三種環(huán)境中,IIS 服務(wù)器的安全選項(xiàng)通過(guò) MSBP 來(lái)配置。有關(guān) MSBP 的詳細(xì)信息,請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP設(shè)置確保了在企業(yè)IIS服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。
事件日志設(shè)置
在本指南中定義的三種環(huán)境中,IIS 服務(wù)器的事件日志設(shè)置通過(guò) MSBP 來(lái)配置。有關(guān) MSBP 的詳細(xì)信息,請(qǐng)參閱模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)。MSBP 設(shè)置確保了在企業(yè) IIS 服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。
系統(tǒng)服務(wù)
為了讓 IIS 向 Windows Server 2003 中添加 Web 服務(wù)器功能,則必須啟用以下三種服務(wù)。增量式 IIS 組策略確保了這些服務(wù)被配置為自動(dòng)啟動(dòng)。
注意:MSBP 禁用了幾種其它的 IIS 相關(guān)服務(wù)。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服務(wù)。如果想要在本指南所定義的任何一種環(huán)境下的 IIS 服務(wù)器上啟用這些服務(wù),必須更改增量式 IIS 組策略。
HTTP SSL
表 2:設(shè)置
服務(wù)名 成員服務(wù)器默認(rèn)值 舊客戶(hù)端 企業(yè)客戶(hù)端 高安全性
HTTPFilter
手動(dòng)
自動(dòng)
自動(dòng)
自動(dòng)
HTTP SSL 服務(wù)可讓 IIS 執(zhí)行安全套接字層 (SSL) 功能。SSL是建立加密通信渠道的一種開(kāi)放標(biāo)準(zhǔn),以防止諸如信用卡號(hào)等關(guān)鍵信息被中途截獲。首先,它使得在萬(wàn)維網(wǎng)上進(jìn)行安全的電子金融事務(wù)成為可能,當(dāng)然也可用它來(lái)實(shí)現(xiàn)其它 Internet 服務(wù)。
如果 HTTP SSL 服務(wù)停止,IIS 將無(wú)法執(zhí)行 SSL 功能。禁用此服務(wù)將導(dǎo)致任何明確依賴(lài)它的服務(wù)都無(wú)法實(shí)現(xiàn)。您可以使用組策略來(lái)保護(hù)和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員訪問(wèn)這些設(shè)置,從而防止未經(jīng)授權(quán)或惡意的用戶(hù)配置或操作該服務(wù)。組策略還可以防止管理員無(wú)意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,針對(duì) IIS 服務(wù)器的需要將“HTTP SSL”設(shè)置配置為“自動(dòng)”。
IIS Admin 服務(wù)
表 3:設(shè)置
服務(wù)名 成員服務(wù)器默認(rèn)值 舊客戶(hù)端 企業(yè)客戶(hù)端 高安全性
IISADMIN
沒(méi)有安裝
自動(dòng)
自動(dòng)
自動(dòng)
“IIS Admin 服務(wù)”允許對(duì) IIS 組件進(jìn)行管理,例如文件傳輸協(xié)議 (FTP)、應(yīng)用程序池、Web 站點(diǎn)、Web 服務(wù)擴(kuò)展,以及網(wǎng)絡(luò)新聞傳輸協(xié)議 (NNTP) 和簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 的虛擬服務(wù)器。
“IIS Admin 服務(wù)”必須運(yùn)行,以便讓 IIS 服務(wù)器能夠提供 Web、FTP、NNTP 以及 SMTP 服務(wù)。如果禁用此服務(wù),則無(wú)法配置 IIS,并且對(duì)站點(diǎn)服務(wù)的請(qǐng)求將不會(huì)成功。您可以使用組策略來(lái)保護(hù)和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員訪問(wèn)這些設(shè)置,從而防止未經(jīng)授權(quán)或惡意的用戶(hù)配置或操作該服務(wù)。組策略還可以防止管理員無(wú)意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì) IIS 服務(wù)器的需要將“IIS Admin 服務(wù)”設(shè)置配置為“自動(dòng)”。
萬(wàn)維網(wǎng)發(fā)布服務(wù)
表 4:設(shè)置
服務(wù)名 成員服務(wù)器默認(rèn)值 舊客戶(hù)端 企業(yè)客戶(hù)端 高安全性
W3SVC
沒(méi)有安裝
自動(dòng)
自動(dòng)
自動(dòng)
“萬(wàn)維網(wǎng)發(fā)布服務(wù)”通過(guò) IIS 管理單元提供網(wǎng)絡(luò)連通性和網(wǎng)站管理。
“萬(wàn)維網(wǎng)發(fā)布服務(wù)”必須運(yùn)行,以便讓 IIS 服務(wù)器通過(guò) IIS 管理器提供網(wǎng)絡(luò)連通性和管理。您可以使用組策略來(lái)保護(hù)和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員訪問(wèn)這些設(shè)置,從而防止未經(jīng)授權(quán)或惡意的用戶(hù)配置或操作該服務(wù)。組策略還可以防止管理員無(wú)意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì) IIS 服務(wù)器的需要將“萬(wàn)維網(wǎng)發(fā)布服務(wù)”設(shè)置配置為“自動(dòng)”。
其他安全設(shè)置
安裝 Windows Server 2003 和 IIS 之后,默認(rèn)情況下,IIS 僅傳輸靜態(tài) Web 內(nèi)容。當(dāng) Web 站點(diǎn)和應(yīng)用程序包含動(dòng)態(tài)內(nèi)容,或者需要一個(gè)或多個(gè)附加 IIS 組件時(shí),每個(gè)附加 IIS 功能必須逐一單獨(dú)啟用。但是,在該過(guò)程中必須謹(jǐn)慎,以確保在您的環(huán)境中將每個(gè) IIS 服務(wù)器的受攻擊面降至最小。如果您的組織的 Web 站點(diǎn)只包含靜態(tài)內(nèi)容而無(wú)需其它任何 IIS 組件,這時(shí),默認(rèn)的 IIS 配置足以將您的環(huán)境中的 IIS 服務(wù)器的受攻擊面降至最小。
通過(guò) MSBP 應(yīng)用的安全設(shè)置為 IIS 服務(wù)器提供大量的增強(qiáng)安全性。不過(guò),還是應(yīng)該考慮一些其他的注意事項(xiàng)和步驟。這些步驟不能通過(guò)組策略完成,而應(yīng)該在所有的 IIS 服務(wù)器上手動(dòng)執(zhí)行。
僅安裝必要的 IIS 組件
除“萬(wàn)維網(wǎng)發(fā)布服務(wù)”之外,IIS6.0 還包括其它的組件和服務(wù),例如 FTP 和 SMTP 服務(wù)。您可以通過(guò)雙擊“控制面板”上的“添加/刪除程序”來(lái)啟動(dòng) Windows 組件向?qū)?yīng)用程序服務(wù)器,以安裝和啟用 IIS 組件和服務(wù)。安裝 IIS 之后,必須啟用 Web 站點(diǎn)和應(yīng)用程序所需的所有必要的 IIS 組件和服務(wù)。
您應(yīng)該僅啟用 Web 站點(diǎn)和應(yīng)用程序所需的必要 IIS 組件和服務(wù)。啟用不必要的組件和服務(wù)會(huì)增加 IIS 服務(wù)器的受攻擊面。
有關(guān) IIS 組件位置和建議設(shè)置的指導(dǎo),請(qǐng)參閱如何識(shí)別 Windows Server 2003 中的 IIS 6.0 組件。
僅啟用必要的 Web 服務(wù)擴(kuò)展
許多運(yùn)行于 IIS 服務(wù)器上的網(wǎng)站和應(yīng)用程序具有超出靜態(tài)頁(yè)面范疇的擴(kuò)展功能,包括生成動(dòng)態(tài)內(nèi)容的能力。通過(guò) IIS 服務(wù)器提供的功能來(lái)產(chǎn)生或擴(kuò)展的任何動(dòng)態(tài)內(nèi)容,都是通過(guò)使用 Web 服務(wù)擴(kuò)展來(lái)實(shí)現(xiàn)的。
IIS 6.0 中增強(qiáng)的安全功能允許用戶(hù)單獨(dú)啟用或禁用 Web 服務(wù)擴(kuò)展。在一次新的安裝之后,IIS 服務(wù)器將只傳輸靜態(tài)內(nèi)容。可通過(guò) IIS 管理器中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)來(lái)啟用動(dòng)態(tài)內(nèi)容功能。這些擴(kuò)展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。
啟用所有的 Web 服務(wù)擴(kuò)展可確保與現(xiàn)有應(yīng)用軟件的最大可能的兼容性。但是,這可能帶來(lái)一些安全性風(fēng)險(xiǎn),因?yàn)楫?dāng)所有的擴(kuò)展被啟用時(shí),同時(shí)也啟用了您的環(huán)境下 IIS 服務(wù)器所不需要的功能,這樣 IIS 的受攻擊面就會(huì)增加。
為了盡可能減少 IIS 服務(wù)器的受攻擊面,在本指南所定義的三種環(huán)境下,只應(yīng)該在 IIS 服務(wù)器上啟用必要的的 Web 服務(wù)擴(kuò)展。
僅啟用在您的 IIS 服務(wù)器環(huán)境下運(yùn)行的站點(diǎn)和應(yīng)用軟件所必需的 Web 服務(wù)擴(kuò)展,通過(guò)最大限度精簡(jiǎn)服務(wù)器的功能,可以減少每個(gè) IIS 服務(wù)器的受攻擊面,從而增強(qiáng)了安全性。
有關(guān) Web 服務(wù)擴(kuò)展的指導(dǎo),請(qǐng)參閱如何識(shí)別 Windows Server 2003 中的 IIS 6.0 組件。
在專(zhuān)用磁盤(pán)卷中放置內(nèi)容
IIS 會(huì)將默認(rèn) Web 站點(diǎn)的文件存儲(chǔ)到 inetpubwwwroot,其中 是安裝 Windows Server 2003 操作系統(tǒng)的驅(qū)動(dòng)器。
在本指南所定義的三種環(huán)境下,應(yīng)該將構(gòu)成 Web 站點(diǎn)和應(yīng)用程序的所有文件和文件夾放置到 IIS 服務(wù)器的專(zhuān)用磁盤(pán)卷中。將這些文件和文件夾放置到 IIS 服務(wù)器的一個(gè)專(zhuān)用磁盤(pán)卷 — 不包含操作系統(tǒng)的磁盤(pán)卷 — 有助于防止目錄遍歷攻擊。目錄遍歷攻擊是指攻擊者對(duì)位于 IIS 服務(wù)器目錄結(jié)構(gòu)之外的一個(gè)文件發(fā)送請(qǐng)求。
例如,cmd.exe 位于于 System32 文件夾中。攻擊者可能請(qǐng)求訪問(wèn)以下位置:
....Windowssystemcmd.exe,企圖調(diào)用命令提示
如果 Web 站點(diǎn)內(nèi)容位于一個(gè)單獨(dú)的磁盤(pán)卷上,這種類(lèi)型的目錄遍歷攻擊將無(wú)法成功,原因有二。首先,cmd.exe 的權(quán)限已經(jīng)作為 Windows Server 2003 基礎(chǔ)結(jié)構(gòu)的一部分進(jìn)行了重設(shè),從而將對(duì)它的訪問(wèn)限制在很有限的用戶(hù)群中。其次,完成該更改之后,cmd.exe 不再與 Web 根目錄處于同一磁盤(pán)卷,而目前沒(méi)有任何已知的方法可通過(guò)使用這種攻擊來(lái)訪問(wèn)位于不同驅(qū)動(dòng)器上的命令。
除了安全性考慮之外,將站點(diǎn)和應(yīng)用程序文件和文件夾放置在一個(gè)專(zhuān)用的磁盤(pán)卷中使諸如備份和恢復(fù)這樣的管理任務(wù)變得更加容易。而且,將這種類(lèi)型的內(nèi)容放在一個(gè)分開(kāi)的專(zhuān)用物理驅(qū)動(dòng)器中有助于減少系統(tǒng)分區(qū)中的磁盤(pán)爭(zhēng)用現(xiàn)象,并且改善磁盤(pán)的整體訪問(wèn)性能。
設(shè)置 NTFS 權(quán)限
Windows Server 2003 將檢查 NTFS 文件系統(tǒng)的權(quán)限,以確定用戶(hù)或進(jìn)程對(duì)特定文件或文件夾具有的訪問(wèn)權(quán)限類(lèi)型。
您應(yīng)該分配相應(yīng)的 NTFS 權(quán)限,以便在本指南定義的三種環(huán)境下,允許或拒絕特定用戶(hù)對(duì) IIS 服務(wù)器上站點(diǎn)的訪問(wèn)。
NTFS 訪問(wèn)權(quán)限應(yīng)當(dāng)與 Web 訪問(wèn)權(quán)限協(xié)同使用,而不是取代 Web 權(quán)限。NTFS 權(quán)限只影響那些已經(jīng)被允許或被拒絕訪問(wèn)站點(diǎn)和應(yīng)用程序內(nèi)容的帳戶(hù)。Web 權(quán)限則影響所有訪問(wèn)站點(diǎn)或應(yīng)用程序的用戶(hù)。如果站點(diǎn)權(quán)限與 NTFS 權(quán)限在某個(gè)文件夾或目錄上發(fā)生沖突,限制性更強(qiáng)的設(shè)置將生效。
對(duì)于不允許匿名訪問(wèn)的站點(diǎn)和應(yīng)用程序,匿名帳戶(hù)訪問(wèn)將被明確拒絕。當(dāng)沒(méi)有經(jīng)過(guò)身份驗(yàn)證的用戶(hù)訪問(wèn)系統(tǒng)資源時(shí),就是匿名訪問(wèn)。匿名帳戶(hù)包括內(nèi)置“Guest”帳戶(hù)、“Guests”組和“IIS Anonymous”帳戶(hù)。此外,除了 IIS 管理員之外,對(duì)其它任何用戶(hù)都應(yīng)該清除所有的寫(xiě)權(quán)限。
下表提供了關(guān)于 NTFS 權(quán)限的一些建議,這些權(quán)限將應(yīng)用于 IIS 服務(wù)器上不同的文件類(lèi)型。不同的文件類(lèi)型可以被組織在不同的文件夾中,以簡(jiǎn)化應(yīng)用 NTFS 權(quán)限的過(guò)程。
表 5:NTFS 權(quán)限
文件類(lèi)型 建議的 NTFS 權(quán)限
CGI 文件(.exe、.dll、.cmd、.pl)
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制)
腳本文件 (.asp)
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制)
包含文件(.inc、.shtm、.shtml)
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制)
靜態(tài)內(nèi)容(.txt、.gif、.jpg、.htm、.html)
Everyone(只讀)
Administrators(完全控制)
System(完全控制)
設(shè)置 IIS Web 站點(diǎn)權(quán)限
IIS 將檢查 Web 站點(diǎn)權(quán)限,以確定在 Web 站點(diǎn)中可能發(fā)生的操作類(lèi)型,例如允許腳本源訪問(wèn)或允許文件夾瀏覽。您應(yīng)該為 Web 站點(diǎn)分配權(quán)限,以便進(jìn)一步保證 IIS 服務(wù)器上的站點(diǎn)在本指南定義的三種環(huán)境下的安全性。
Web 站點(diǎn)權(quán)限可與 NTFS 權(quán)限結(jié)合使用。它們可配置給特定的站點(diǎn)、文件夾和文件。與 NTFS 權(quán)限不同,Web 站點(diǎn)權(quán)限影響試圖訪問(wèn) IIS 服務(wù)器站點(diǎn)的每個(gè)人。Web 站點(diǎn)權(quán)限可以通過(guò)使用 IIS 管理器管理單元得到應(yīng)用。
下表列舉了 IIS 6.0 支持的 Web 站點(diǎn)權(quán)限,并且提供了簡(jiǎn)要描述,解釋如何為 Web 站點(diǎn)分配給定的權(quán)限。
表 6:IIS 6.0 Web 站點(diǎn)權(quán)限
Web 站點(diǎn)權(quán)限: 授予的權(quán)限:
讀
用戶(hù)可查看目錄或文件的內(nèi)容和屬性。在默認(rèn)情況下,該權(quán)限為選中狀態(tài)。
寫(xiě)用戶(hù)可更改目錄或文件的內(nèi)容和屬性。
腳本源訪問(wèn)
用戶(hù)可以訪問(wèn)源文件。如果啟用“讀”權(quán)限,則可以讀取源文件;如果啟用“寫(xiě)”權(quán)限,則可以更改腳本源代碼。腳本源訪問(wèn)包括腳本的源代碼。如果既不啟用“讀”權(quán)限,也不啟用“寫(xiě)”權(quán)限,則此選項(xiàng)將不可用。
要點(diǎn):?jiǎn)⒂谩澳_本源訪問(wèn)”時(shí),用戶(hù)可以查看敏感信息,例如用戶(hù)名和密碼。他們還可以更改 IIS 服務(wù)器上運(yùn)行的源代碼,從而嚴(yán)重影響服務(wù)器的安全性和性能。
目錄瀏覽
用戶(hù)可以查看文件列表和集合。
日志訪問(wèn)
每次訪問(wèn) Web 站點(diǎn)都會(huì)創(chuàng)建日志條目。
索引此資源
允許使用索引服務(wù)索引資源。這樣便可以對(duì)資源執(zhí)行搜索。
執(zhí)行
以下選項(xiàng)確定用戶(hù)運(yùn)行腳本的級(jí)別:
“無(wú)” — 不允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件。
“僅限于腳本” — 僅允許在服務(wù)器上運(yùn)行腳本。
“腳本和可執(zhí)行文件” — 允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件。
配置 IIS 日志
本指南建議在指南定義的三種環(huán)境下均啟用 IIS 服務(wù)器上的 IIS 日志。
可以為每個(gè)站點(diǎn)或應(yīng)用程序創(chuàng)建單獨(dú)的日志。IIS 可以記錄 Microsoft Windows? 操作系統(tǒng)提供的事件日志或性能監(jiān)視功能所記錄信息范圍之外的信息。IIS 日志可記錄諸如誰(shuí)訪問(wèn)過(guò)站點(diǎn)、訪客瀏覽過(guò)哪些內(nèi)容、以及最后一次訪問(wèn)的時(shí)間等信息。IIS 日志可被用來(lái)了解那些內(nèi)容最受歡迎,確定信息瓶頸,或者用作協(xié)助攻擊事件調(diào)查的資源。
IIS 管理器管理單元可以用來(lái)配置日志文件格式、日志計(jì)劃以及將被記錄的確切信息。為限制日志的大小,應(yīng)當(dāng)對(duì)所記錄信息的內(nèi)容進(jìn)行仔細(xì)規(guī)劃。
當(dāng) IIS 日志被啟用時(shí),IIS 使用 W3C 擴(kuò)展日志文件格式來(lái)創(chuàng)建日常操作記錄,并存儲(chǔ)到在 IIS 管理器中為站點(diǎn)指定的目錄中。為改善服務(wù)器性能,日志文件應(yīng)當(dāng)存儲(chǔ)到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤(pán)卷上。
而且,您還可以使用完整的全局命名約定 (UNC) 路徑將日志文件寫(xiě)到網(wǎng)絡(luò)上以便遠(yuǎn)程共享。遠(yuǎn)程日志讓管理員能夠建立集中的日志文件存儲(chǔ)和備份。但是,通過(guò)網(wǎng)絡(luò)對(duì)日志文件進(jìn)行寫(xiě)操作可能會(huì)對(duì)服務(wù)器性能帶來(lái)負(fù)面影響。
IIS 日志可以配置為使用其它幾種 ASCII 或開(kāi)放數(shù)據(jù)庫(kù)連接 (ODBC) 文件格式。ODBC 日志讓 IIS 能夠?qū)⒒顒?dòng)信息存儲(chǔ)到 SQL 數(shù)據(jù)庫(kù)中。但是,應(yīng)該注意,當(dāng)啟用 ODBC 日志時(shí),IIS 將禁用內(nèi)核模式緩存。因此,執(zhí)行 ODBC 日志會(huì)降低服務(wù)器的總體性能。
存放數(shù)以百計(jì)的站點(diǎn)的 IIS 服務(wù)器通過(guò)啟用集中的二進(jìn)制日志來(lái)改善日志性能。集中化的二進(jìn)制日志允許 IIS 服務(wù)器將所有 Web 站點(diǎn)的活動(dòng)信息寫(xiě)到一個(gè)日志文件上。這樣,通過(guò)減少需要逐一存儲(chǔ)和分析的日志文件的數(shù)量,大大地提高了 IIS 日志記錄過(guò)程的可管理性和可伸縮性。有關(guān)集中化二進(jìn)制日志的更多信息,請(qǐng)參閱 Microsoft TechNet 主題“Centralized Binary Logging”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)。
當(dāng) IIS 日志按默認(rèn)設(shè)置存儲(chǔ)在 IIS 服務(wù)器中時(shí),只有服務(wù)器管理員有權(quán)訪問(wèn)它們。如果日志文件的文件夾或文件的所有者不在“Local Administrators”組中時(shí),HTTP.sys — IIS 6.0 的內(nèi)核模式驅(qū)動(dòng)程序 — 將向 NT 事件日志發(fā)布一個(gè)錯(cuò)誤。該錯(cuò)誤指出文件夾或文件的所有者不在“Local Administrators”組中,并且這個(gè)站點(diǎn)的日志將暫時(shí)失效,直到其所有者被添加到“Local Administrators”組中,或者現(xiàn)有的文件夾或文件被刪除。
向用戶(hù)權(quán)限分配手動(dòng)添加唯一的安全組
大多數(shù)通過(guò) MSBP 應(yīng)用的用戶(hù)權(quán)限分配都已經(jīng)在本指南附帶的安全性模板中進(jìn)行了適當(dāng)?shù)闹付ā5牵行⿴?hù)和安全組不能被包括在模板內(nèi),因?yàn)樗鼈兊陌踩珮?biāo)識(shí)符 (SID) 對(duì)于單個(gè)的 Windows 2003 域是特定的。下面給出了必須手動(dòng)配置的用戶(hù)權(quán)限分配。
警告:下表包含了內(nèi)置的 Administrator 帳戶(hù)。注意不要將 Administrator 帳戶(hù)和內(nèi)置的 Administrators 安全組相混淆。如果 Administrators 安全組添加了以下任何一個(gè)拒絕訪問(wèn)的用戶(hù)權(quán)限,您必須在本地登錄以更正該錯(cuò)誤。
此外,根據(jù)模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)中描述的某些建議,內(nèi)置的 Administrator 賬戶(hù)可能已經(jīng)被重命名。當(dāng)添加 Administrator 賬戶(hù)時(shí),請(qǐng)確信指定的是經(jīng)過(guò)重命名的賬戶(hù)。
表 7:手動(dòng)添加的用戶(hù)權(quán)限分配
成員服務(wù)器默認(rèn)值 舊客戶(hù)端 企業(yè)客戶(hù)端 高安全性
拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)
內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
內(nèi)置管理員帳戶(hù);Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶(hù)
警告:所有非操作系統(tǒng)服務(wù)賬戶(hù)包括整個(gè)企業(yè)范圍內(nèi)用于特定應(yīng)用程序的服務(wù)賬戶(hù)。這不包括操作系統(tǒng)使用的內(nèi)置帳戶(hù) LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
保護(hù)眾所周知帳戶(hù)的安全
Windows Server 2003 具備大量的內(nèi)置用戶(hù)帳戶(hù),這些帳戶(hù)不能刪除,但可以重命名。Windows 2003 中最常見(jiàn)的兩個(gè)帳戶(hù)是 Guest 和 Administrator。
默認(rèn)情況下,Guest 帳戶(hù)在成員服務(wù)器和域控制器上被禁用。不應(yīng)更改此設(shè)置。內(nèi)置的 Administrator 帳戶(hù)應(yīng)被重命名,而且其描述也應(yīng)被更改,以防止攻擊者通過(guò)該帳戶(hù)破壞遠(yuǎn)程服務(wù)器。
許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶(hù)來(lái)破壞一臺(tái)服務(wù)器。在近幾年來(lái),進(jìn)行上述重命名配置的意義已經(jīng)大大降低了,因?yàn)槌霈F(xiàn)了很多新的攻擊工具,這些工具企圖通過(guò)指定內(nèi)置 Administrator 賬戶(hù)的安全標(biāo)識(shí) (SID) 來(lái)確定該帳戶(hù)的真實(shí)姓名,從而侵占服務(wù)器。SID 是唯一能確定網(wǎng)絡(luò)中每個(gè)用戶(hù)、組、計(jì)算機(jī)帳戶(hù)以及登錄會(huì)話(huà)的值。改變內(nèi)置帳戶(hù)的 SID 是不可能的。將本地管理員帳戶(hù)改變?yōu)橐粋(gè)特別的名稱(chēng),可以方便您的操作人員監(jiān)視對(duì)該帳戶(hù)的攻擊企圖。
要保護(hù) IIS 服務(wù)器中眾所周知帳戶(hù)的安全,請(qǐng)執(zhí)行以下步驟:
1. 重命名 Administrator 和 Guest 帳戶(hù),并且將每個(gè)域和服務(wù)器上的密碼更改為長(zhǎng)而復(fù)雜的值。
2. 在每個(gè)服務(wù)器上使用不同的名稱(chēng)和密碼。如果在所有的域和服務(wù)器上使用相同的帳戶(hù)名和密碼,攻擊者只須獲得對(duì)一臺(tái)成員服務(wù)器的訪問(wèn)權(quán)限,就能夠訪問(wèn)所有其它具有相同帳戶(hù)名和密碼的服務(wù)器。
3. 更改默認(rèn)的帳戶(hù)描述,以防止帳戶(hù)被輕易識(shí)別。
4. 將這些更改記錄到一個(gè)安全的位置。
注意:可以通過(guò)組策略重命名內(nèi)置的管理員帳戶(hù)。本指南提供的任何安全性模板中都沒(méi)有配置該設(shè)置,因?yàn)槟仨殲槟沫h(huán)境選擇一個(gè)唯一的名字。“帳戶(hù):重命名管理員帳戶(hù)”設(shè)置可用來(lái)重命名本指南所定義的三種環(huán)境中的管理員帳戶(hù)。該設(shè)置是組策略的安全選項(xiàng)設(shè)置的一部分。
保護(hù)服務(wù)帳戶(hù)的安全
除非絕對(duì)必須,否則不要讓服務(wù)運(yùn)行在域帳戶(hù)的安全上下文中。如果服務(wù)器的物理安全受到破壞,域賬戶(hù)密碼可以很容易通過(guò)轉(zhuǎn)儲(chǔ)本地安全性授權(quán) (LSA) 秘文而獲得。
用 IPSec 過(guò)濾器阻斷端口
Internet 協(xié)議安全性 (IPSec) 過(guò)濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項(xiàng),以便進(jìn)一步減少服務(wù)器的受攻擊面。
有關(guān)使用 IPSec 過(guò)濾器的詳細(xì)信息,請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程。
下表列出在本指南定義的高級(jí)安全性環(huán)境下可在 IIS 服務(wù)器上創(chuàng)建的所有 IPSec 過(guò)濾器。
表 8:IIS 服務(wù)器 IPSec 網(wǎng)絡(luò)通信圖
服務(wù) 協(xié)議 源端口 目標(biāo)端口 源地址 目標(biāo)地址 操作 鏡像
one point Client
所有
所有
所有
ME
MOM 服務(wù)器
允許
是
Terminal Services
TCP
所有
3389
所有
ME
允許
是
Domain Member
所有
所有
所有
ME
域控制器
允許
是
Domain Member
所有
所有
所有
ME
域控制器 2
允許
是
HTTP Server
TCP
所有
80
所有
ME
允許
是
HTTPS Server
TCP
所有
443
所有
ME
允許
是
All Inbound Traffic
所有
所有
所有
所有
ME
禁止
是
在實(shí)施上表所列舉的規(guī)則時(shí),應(yīng)當(dāng)對(duì)它們都進(jìn)行鏡像處理。這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。
上表介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開(kāi)的基本端口。如果服務(wù)器使用靜態(tài)的 IP 地址,這些端口已經(jīng)足夠。如果需要提供更多的功能,則可能需要打開(kāi)更多的端口。打開(kāi)更多的端口將使得您的環(huán)境下的 IIS 服務(wù)器更容易管理,但是這可能大大降低服務(wù)器的安全性。
由于在域成員和域控制器之間有大量的交互,尤其是 RPC 和身份驗(yàn)證通信,在 IIS 服務(wù)器和全部域控制器之間,您應(yīng)該允許所有的通信。通信還可以被進(jìn)一步限制,但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過(guò)濾器。這將使得執(zhí)行和管理 IPSec 策略非常困難。您應(yīng)該為每一個(gè)將與 IIS 服務(wù)器進(jìn)行交互的域控制器創(chuàng)建類(lèi)似的規(guī)則。為了提高 IIS 服務(wù)器的可靠性和可用性,您需要為環(huán)境中的所有域控制器添加更多規(guī)則。
正如上表所示,如果環(huán)境中運(yùn)行了 Microsoft 操作管理器 (MOM),那么在執(zhí)行 IPSec 過(guò)濾器的服務(wù)器和 MOM 服務(wù)器之間,應(yīng)該允許傳輸所有的網(wǎng)絡(luò)通信。這是必須的,因?yàn)樵?MOM 服務(wù)器和 OnePoint 客戶(hù)端(向 MOM 控制臺(tái)提供報(bào)告的客戶(hù)端應(yīng)用程序)之間存在大量的交互過(guò)程。其它管理軟件可能也具有類(lèi)似的需求。如果需要更高級(jí)別的安全性,則可以配置 OnePoint 客戶(hù)端的過(guò)濾操作,從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。
該IPSec 策略將有效地阻止通過(guò)任意一個(gè)高端口的通信,因此它不允許遠(yuǎn)程過(guò)程調(diào)用 (RPC) 通信。這可能會(huì)使得服務(wù)器的管理非常困難。由于已經(jīng)關(guān)閉了許多端口,您可以啟用終端服務(wù)。這樣一來(lái),管理員便可以執(zhí)行遠(yuǎn)程管理。
上面的網(wǎng)絡(luò)通信圖假設(shè)環(huán)境中包含啟用了 Active Directory 的 DNS 服務(wù)器。如果使用獨(dú)立的 DNS 服務(wù)器,則可能需要其他規(guī)則。
IPSec 策略的執(zhí)行應(yīng)該不會(huì)對(duì)服務(wù)器的性能有明顯影響。但是,在執(zhí)行這些過(guò)濾器之前必須進(jìn)行測(cè)試,以核實(shí)服務(wù)器保持了必要的功能和性能。您可能還需要添加一些附加規(guī)則以支持其它應(yīng)用程序。
本指南包括一個(gè) .cmd 文件,它簡(jiǎn)化了依照指南要求為域控制器創(chuàng)建 IPSec 過(guò)濾器的過(guò)程。PacketFilters-IIS.cmd 文件使用 NETSH 命令創(chuàng)建適當(dāng)?shù)倪^(guò)濾器。必須修改此 .cmd 文件,以使其包含您所在環(huán)境中域控制器的 IP 地址。腳本中包含兩個(gè)占位符,用于要添加的兩個(gè)域控制器。如需要,可以添加其他的域控制器。這些域控制器的 IP 地址列表應(yīng)當(dāng)是最新的。
如果環(huán)境中有 MOM,應(yīng)當(dāng)在腳本中指定相應(yīng)的 MOM 服務(wù)器 IP 地址。此腳本不會(huì)創(chuàng)建永久的過(guò)濾器。因此,直到 IPSec 策略代理啟動(dòng)時(shí),服務(wù)器才會(huì)得到保護(hù)。有關(guān)構(gòu)建永久的過(guò)濾器或創(chuàng)建高級(jí) IPSec 過(guò)濾器腳本的詳細(xì)信息,請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程。最后,此腳本被配置為不分發(fā)其創(chuàng)建的 IPSec 策略。IP 安全性策略管理單元可被用來(lái)檢查所創(chuàng)建的 IPSec 過(guò)濾器,并且分發(fā) IPSec 策略以便讓其生效。
小結(jié)
本章解釋了在本指南指定的三種環(huán)境下,為保護(hù) IIS 服務(wù)器的安全所應(yīng)采取的強(qiáng)化設(shè)置。我們討論的大多數(shù)設(shè)置通過(guò)組策略進(jìn)行配置和應(yīng)用。可以將能夠?yàn)?MSBP 提供有益補(bǔ)充的組策略對(duì)象 (GPO) 鏈接到包含 IIS 服務(wù)器的相應(yīng)組織單位 (OU),以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。
本章討論的有些設(shè)置不能通過(guò)組策略得到應(yīng)用。對(duì)于這種情況,本章介紹了有關(guān)手動(dòng)配置這些設(shè)置的詳細(xì)信息。此外,我們還詳細(xì)介紹了創(chuàng)建和應(yīng)用能夠控制 IIS 服務(wù)器間網(wǎng)絡(luò)通信類(lèi)型的 IPSec 過(guò)濾器的具體過(guò)程。
更多信息
以下提供了與 Windows Server 2003 環(huán)境下的 IIS 服務(wù)器密切相關(guān)的最新信息資源。
有關(guān)此主題的詳細(xì)信息,請(qǐng)參閱“Enable Logging”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_enablelogging.asp(英文)。
有關(guān)記錄站點(diǎn)活動(dòng)的信息,請(qǐng)參閱“Logging Site Activity”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_aboutlogging.asp(英文)。
有關(guān)擴(kuò)展日志的信息,請(qǐng)參閱“Customizing W3C Extended Logging”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_customw3c.asp(英文)。
有關(guān)集中化二進(jìn)制日志的信息,請(qǐng)參閱“Centralized Binary Logging”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)。
有關(guān)遠(yuǎn)程日志的信息,請(qǐng)參閱“Remote Logging”,其網(wǎng)址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_remote.asp(英文)。
有關(guān)生成、查看或了解安全日志(審計(jì))的信息,請(qǐng)?jiān)L問(wèn)安全性方面的 Microsoft TechNet 站點(diǎn):http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sec_security.asp(英文)。
有關(guān) IIS 6.0 的其他信息,請(qǐng)?jiān)L問(wèn) TechNet: www.microsoft.com/iis(英文)。
有關(guān) IPSec 過(guò)濾操作的詳細(xì)信息,請(qǐng)參閱“How To:Use IPSec IP Filter Lists in Windows 2000”,其網(wǎng)址為:http://support.microsoft.com/default.aspx?scid=313190(英文)。
關(guān)鍵字:Server、IIS、服務(wù)器、應(yīng)用程序
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶(hù)
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶(hù)的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無(wú)AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解