拒絕通過網(wǎng)絡(luò)訪問該計算機
表8.1: 設(shè)置
| 成員服務(wù)器缺省值 |
舊有客戶機 |
企業(yè)客戶機 |
高安全性 |
| SUPPORT_388945a0 |
匿名登錄;內(nèi)置管理員帳戶; Support_388945a0;Guest����;所有非操作系統(tǒng)服務(wù)帳戶 |
匿名登錄��;內(nèi)置管理員帳戶�; Support_388945a0;Guest��;所有非操作系統(tǒng)服務(wù)帳戶 |
匿名登錄���;內(nèi)置管理員帳戶��; Support_388945a0����;Guest�;所有非操作系統(tǒng)服務(wù)帳戶 |
注意: 安全性模板中不包括匿名登錄、內(nèi)置管理員�����、Support_388945a0�����、Guest以及所有非操作系統(tǒng)服務(wù)帳戶����。對于組織中的每個域,這些帳戶和組擁有唯一的安全標(biāo)識(SID)���。因此��,您必須手動添加它們����。
“拒絕通過網(wǎng)絡(luò)訪問該計算機”設(shè)置決定了哪些用戶不能通過網(wǎng)絡(luò)訪問該計算機。該設(shè)置將拒絕很多網(wǎng)絡(luò)協(xié)議���,包括服務(wù)器信息塊(SMB)協(xié)議����,網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)(NetBIOS)��,通用Internet文件系統(tǒng)(CIFS)���,超文本傳輸協(xié)議(HTTP)���,以及 COM+ 等。當(dāng)用戶帳戶同時適用兩種策略時��,該設(shè)置將覆蓋“允許通過網(wǎng)絡(luò)訪問該計算機”設(shè)置�����。通過給其它組配置該用戶權(quán)限�����,您可以限制用戶在您的環(huán)境中執(zhí)行管理員任務(wù)的能力。
在第三章“創(chuàng)建成員服務(wù)器基線”中���,本指南推薦將Guests 組包含在被分配了該權(quán)限的用戶和組列表中�,以提供最大可能的安全性����。但是�,用于匿名訪問IIS的IUSR 帳戶被默認(rèn)為Guest 組的成員。本指南推薦從增量式IIS組策略中清除 Guests 組��,以確保必要時可配置對IIS服務(wù)器的匿名訪問��。因此�����,在本指南所定義的全部三種環(huán)境下�����,我們針對IIS服務(wù)器將“拒絕通過網(wǎng)絡(luò)訪問該計算機”設(shè)置配置為包括:匿名登錄�����、內(nèi)置管理員、Support_388945a0����、Guest以及所有非操作系統(tǒng)服務(wù)帳戶。
安全選項
在本指南所的定義的三種環(huán)境中�, IIS服務(wù)器的安全選項通過MSBP來配置。要了解更多關(guān)于MSBP的信息����,請參看第三章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置保證了所有的相關(guān)安全選項能夠跨IIS服務(wù)器實現(xiàn)統(tǒng)一配置�����。
事件日志設(shè)置
在本指南所的定義的三種環(huán)境中�,IIS服務(wù)器的事件日志設(shè)置通過MSBP來配置。要了解更多關(guān)于MSBP的信息��,請參看第三章“創(chuàng)建成員服務(wù)器基線”�。MSBP設(shè)置確保了在企業(yè)IIS服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。
系統(tǒng)服務(wù)
為了讓IIS向Microsoft Windows Server™ 2003 添加 Web 服務(wù)器功能���,必須啟用以下三種服務(wù)�����。增量式IIS組策略確保了這些服務(wù)被配置為自動啟動����。
注意:MSBP禁用了幾種其它的IIS相關(guān)服務(wù)。FTP�����、SMTP和NNTP就是被MSBP禁用的服務(wù)的例子��。如果想要在本指南所定義的任何一種環(huán)境下的IIS服務(wù)器上啟用這些服務(wù)�,必須更改增量式IIS組策略����。
HTTP SSL
表 8.2: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機 |
企業(yè)客戶機 |
高安全性 |
| HTTPFilter |
手動 |
自動 |
自動 |
自動 |
“HTTP SSL”服務(wù)使得IIS能夠?qū)崿F(xiàn)安全套接字層(SSL)功能。SSL是建立加密通信渠道的一種開放標(biāo)準(zhǔn)����,以防止諸如信用卡號等關(guān)鍵信息被中途截獲。首先�,它使得在World Wide Web上進行電子金融事務(wù)成為可能,當(dāng)然也可用它來實現(xiàn)其它Internet服務(wù)����。
如果HTTP SSL服務(wù)終止�,IIS將無法完成SSL功能�。禁用該服務(wù)將導(dǎo)致所有明確依賴該它的服務(wù)不能實現(xiàn)。您可以使用組策略來保證和設(shè)置服務(wù)的啟動模式�,只允許服務(wù)器管理員訪問這些設(shè)置,因此可以防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)�����。組策略還可防止管理員無意中禁用該服務(wù)�����。因此���,在本指南所定義的全部三種環(huán)境下�����,我們針對IIS服務(wù)器的需要將HTTP SSL設(shè)置配置為“自動”��。
IIS管理服務(wù)
表8.3: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機 |
企業(yè)客戶機 |
高安全性 |
| IISADMIN |
未安裝 |
自動 |
自動 |
自動 |
“IIS管理服務(wù)”允許對IIS組件進行管理�����,例如文件傳輸協(xié)議(FTP)���、應(yīng)用程序池�����、站點�、Web服務(wù)擴展����,以及網(wǎng)絡(luò)新聞傳輸協(xié)議(NNTP)和簡單郵件傳輸協(xié)議(SMTP)的虛擬服務(wù)器。
IIS管理服務(wù)必須運行�����,以便讓IIS服務(wù)器能夠提供Web�、FTP��、NNTP以及SMTP服務(wù)��。如果這些服務(wù)不可用�����,IIS將無法配置,并且對站點服務(wù)的請求將不會成功�����。您可以使用組策略來保證和設(shè)置服務(wù)的啟動模式��,只允許服務(wù)器管理員對它進行單獨訪問�����,因此可防止未授權(quán)或惡意用戶配置或操作該服務(wù)����。組策略還可防止管理員無意中禁用該服務(wù)。因此����,在本指南所定義的全部三種環(huán)境下,我們針對IIS服務(wù)器的需要將“IIS管理服務(wù)”設(shè)置配置為“自動”�����。
World Wide Web發(fā)布服務(wù)
表8.4: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機 |
企業(yè)客戶機 |
高安全性 |
| W3SVC |
未安裝 |
自動 |
自動 |
自動 |
World Wide Web發(fā)布服務(wù)通過IIS管理單元提供網(wǎng)絡(luò)連通性和網(wǎng)站管理����。
World Wide Web發(fā)布服務(wù)必須得到運行���,以便讓IIS服務(wù)器通過IIS Manager提供網(wǎng)絡(luò)連通性和管理。您可以使用組策略來保證和設(shè)置服務(wù)的啟動模式�,只允許服務(wù)器管理員訪問改設(shè)置,以防止未經(jīng)授權(quán)或惡意用戶配置或操作該服務(wù)���。組策略還可防止管理員無意中禁用該服務(wù)���。因此,在本指南所定義的全部三種環(huán)境下�����,我們針對IIS服務(wù)器的需要將“World Wide Web發(fā)布服務(wù)”設(shè)置配置為“自動”�����。
其它安全設(shè)置
在安裝完Windows Server 2003和IIS之后���,IIS在缺省情況下只能提供靜態(tài)的網(wǎng)站內(nèi)容。如果站點和應(yīng)用程序包含動態(tài)內(nèi)容�����,或者需要一個或多個附加IIS組件,每個附加IIS特性必須逐一單獨啟用����。但是,在該過程中必須注意:您需要確保在您的環(huán)境中將每個IIS服務(wù)器的受攻擊面積降至最小�����。如果您的組織只包含靜態(tài)內(nèi)容而無需其它IIS組件����,這時,缺省的IIS配置已經(jīng)可以將您的環(huán)境中的IIS服務(wù)器的攻擊表面降至最小����。
通過MSBP應(yīng)用的安全性設(shè)置為IIS服務(wù)器提供了大量的增強安全性。然而����,您還需要考慮其它一些附加事項。這些步驟不能通過組策略完成��,而必須在所有IIS服務(wù)器上手動執(zhí)行��。
只安裝必需的IIS組件
除了World Wide Web發(fā)布服務(wù)之外�,IIS6.0還包括其它的組件和服務(wù)���,例如FTP和SMTP服務(wù)。您可以通過雙擊“控制面板”上的“添加/刪除程序”來啟動Windows Components Wizard Application Server���,以安裝和啟用IIS組件和服務(wù)���。在安裝完IIS之后,網(wǎng)站和應(yīng)用程序所需要的全部IIS組件和服務(wù)必須得到啟用���。
安裝Internet信息服務(wù)(IIS)6.0:
1. 在“控制面板”上��,雙擊“添加/刪除程序”�。
2. 單擊“添加/刪除Windows組件”按鈕���,啟動Windows組件向?qū)А?/P>
3. 在“組件”列表中���,單擊“應(yīng)用程序服務(wù)器”,然后單擊“詳細(xì)”��。
4. 在“應(yīng)用程序服務(wù)器”對話框中�����,在“應(yīng)用程序服務(wù)器子組件”下���,單擊“Internet信息服務(wù)(IIS)”�,然后單擊“詳細(xì)”�����。
5. 在Internet信息服務(wù)(IIS)對話框的Internet信息服務(wù)(IIS)子組件列表中�����,完成以下工作之一:
- 要增加其它組件�,請選中想要安裝組件旁邊的復(fù)選框。
- 要刪除已安裝的組件�,請清除想要刪除組件旁邊的復(fù)選框。
6. 單擊“確定”返回到Windows組件向?qū)А?/P>
7. 單擊“下一步”��,然后單擊“完成”�����。
只有站點和應(yīng)用程序所必需的那些基礎(chǔ)IIS組件和服務(wù)應(yīng)當(dāng)被啟用�。啟用不必要的組件和服務(wù)只會增加IIS服務(wù)器受攻擊的表面積。
下面的插圖和表格顯示了IIS組件的位置和建議設(shè)置。
“應(yīng)用程序服務(wù)器”對話框中的子組件如下圖所示:
圖8.1
應(yīng)用程序服務(wù)器子組件
下表簡要描述了應(yīng)用程序服務(wù)器的子組件�����,并且對何時啟用它們提供了建議���。
表8.5: 應(yīng)用程序服務(wù)器子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| 應(yīng)用程序服務(wù)器控制臺 |
禁用 |
提供一個Microsoft 管理控制臺(MMC)����,以便管理所有的Web應(yīng)用程序服務(wù)器組件����。該組件在專用IIS服務(wù)器中不是必需的,因為您還可以使用IIS Server Manager���。 |
| ASP.NET |
禁用 |
提供了對ASP.NET應(yīng)用程序的支持���。當(dāng)IIS服務(wù)器運行ASP.NET應(yīng)用程序時啟用該組件。 |
| 啟用網(wǎng)絡(luò)COM+訪問 |
啟用 |
允許IIS服務(wù)器作為存儲用于分布式應(yīng)用程序的COM+ 組件的主機����。該組件是FTP、BITS服務(wù)器擴展����、World Wide Web服務(wù)以及IIS Manager等所必需的��。 |
| 啟用網(wǎng)絡(luò)DTC訪問 |
禁用 |
允許IIS服務(wù)器作為存儲通過分布式事務(wù)協(xié)調(diào)器(Distributed Transaction Coordinator,DTC)來參與網(wǎng)絡(luò)事務(wù)的應(yīng)用軟件的主機���。除非運行于IIS服務(wù)器的應(yīng)用軟件需要�����,否則應(yīng)該禁用該組件����。 |
| Internet信息服務(wù)(IIS) |
啟用 |
提供基本的Web和FTP服務(wù)����。該組件是專用IIS服務(wù)器所必需的。 |
| 消息隊列 |
禁用 |
注意:如果該組件未啟用���,則所有的子組件將禁用����。 |
“Internet信息服務(wù)(IIS)”對話框中的子組件如下圖所示:
圖8.2
IIS子組件
下表簡要地描述了IIS子組件����,并且對何時啟用它們提供了建議��。
表8.6: IIS子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| 后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展 |
啟用 |
BITS是一種由Windows Update和Automatic Update使用的后臺文件傳輸機制��。當(dāng)使用Windows升級或自動升級自動地將服務(wù)包和熱修補應(yīng)用于IIS服務(wù)器時�����,該組件是必需的�。 |
| 公共文件 |
啟用 |
IIS需要這些文件�����,而且它們在IIS服務(wù)器中應(yīng)當(dāng)總是被啟用的���。 |
| 文件傳輸協(xié)議(FTP)服務(wù) |
禁用 |
使得IIS服務(wù)器能夠提供FTP服務(wù)�����。該服務(wù)不是專用的IIS服務(wù)器所必需的�����。 |
| FrontPage 2002服務(wù)器擴展 |
禁用 |
為管理和發(fā)布網(wǎng)站提供FrontPage支持���。當(dāng)沒有網(wǎng)站使用FrontPage擴展時���,請禁用本組件。 |
| Internet 信息服務(wù)管理器 |
啟用 |
IIS的管理界面���。 |
| Internet打印 |
禁用 |
提供基于Web的打印機管理,并且使得打印機能夠通過HTTP得到共享����。該組件不是專用的IIS服務(wù)器所必需的。 |
| NNTP服務(wù) |
禁用 |
在Internet上分發(fā)���、查詢�����、獲得以及發(fā)表Usenet新聞文章�����。該組件不是專用的IIS服務(wù)器所必需的��。 |
| SMTP服務(wù) |
禁用 |
支持電子郵件的傳輸����。該組件非專用IIS服務(wù)器所必須。 |
| World Wide Web 服務(wù) |
啟用 |
提供Web服務(wù)���,向客戶提供靜態(tài)和動態(tài)內(nèi)容�����。該組件是專用的IIS服務(wù)器所必需的�。 |
“消息隊列”對話框中的子組件如下圖所示:
圖8.3
消息隊列子組件
下表簡要地描述了消息隊列子組件����,并且對何時啟用它們提供了建議。
表8.7: 消息隊列子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| Active Directory集成 |
禁用 |
當(dāng)IIS服務(wù)器屬于一個域時����,提供與Microsoft Active Directory® 的集成。當(dāng)運行于IIS 的站點和應(yīng)用軟件使用了Microsoft 消息隊列(MSMQ)時�����,該組件是必須啟用的組件��。 |
| 公共文件 |
禁用 |
MSMQ所必需的組件�����。當(dāng)運行于IIS服務(wù)器的站點和應(yīng)用軟件使用了MSMQ時,該組件是必須啟用的組件����。 |
| 下級客戶支持 |
禁用 |
為下游客戶提供對Active Directory的訪問以及站點識別。當(dāng)運行于IIS服務(wù)器的站點和應(yīng)用軟件使用了MSMQ時��,該組件是必需的�����。 |
| MSMQ HTTP支持 |
禁用 |
提供了HTTP傳輸中收發(fā)消息的服務(wù)��。當(dāng)運行于IIS服務(wù)器的站點和應(yīng)用軟件使用了MSMQ時��,該組件是必需的����。 |
| 路由支持 |
禁用 |
為MSMQ提供存儲轉(zhuǎn)發(fā)消息以及高效路由服務(wù)���。當(dāng)運行于IIS服務(wù)器的站點和應(yīng)用軟件使用了MSMQ時�,該組件是必需的���。 |
“ 后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展”對話框中的子組件如下圖所示:
圖8.4
后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展子組件
下表簡要地描述了后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展子組件�,并且對何時啟用它們提供了建議。
表8.8: 后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| BITS管理控制臺管理單元 |
啟用 |
為管理BITS安裝一個MMC 管理單元�。當(dāng)Internet服務(wù)器應(yīng)用程序編程接口(ISAPI)的BITS服務(wù)器擴展被啟用時,應(yīng)啟用該組件���。 |
| BITS服務(wù)器擴展ISAPI |
啟用 |
安裝BITS ISAPI����,以便讓IIS服務(wù)器能夠使用BITS傳輸數(shù)據(jù)��。當(dāng)使用Windows Update或Automatic Update自動地將服務(wù)包和熱修補應(yīng)用于IIS服務(wù)器時����,該組件是必需的。如果Windows Update或Automatic 未被使用時��,應(yīng)禁用該組件�。 |
“World Wide Web服務(wù)”對話框中的子組件如下圖所示:
圖8.5
World Wide Web服務(wù)子組件
下表簡要地描述了World Wide Web服務(wù)子組件,并且對何時啟用它們提供了建議��。
表8.9: World Wide Web服務(wù)子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| Active Server Pages |
禁用 |
提供了對ASP的支持���。當(dāng)IIS服務(wù)器中沒有站點或應(yīng)用軟件使用ASP時���,請禁用該組件�,或者利用Web服務(wù)擴展禁用它��。要了解更多信息����,請參看本章“僅啟用必需的Web服務(wù)擴展”部分。 |
| Internet數(shù)據(jù)連接器 |
禁用 |
支持以.idc為擴展名的文件所提供的動態(tài)內(nèi)容����。當(dāng)IIS服務(wù)器上沒有運行使用該Web服務(wù)擴展的站點或應(yīng)用軟件時,請禁用該組件�,或者用Web服務(wù)擴展禁用它。要了解更多信息�,請參看本章“僅啟用必需的Web服務(wù)擴展”部分����。 |
(繼續(xù))
| 遠(yuǎn)程管理(HTML) |
禁用 |
為管理IIS提供一個HTML界面。使用IIS Manager 可以提供更方便的管理�,并且減少IIS服務(wù)器的攻擊表面。該特性在專用的IIS服務(wù)器中不是必需的��。 |
| 遠(yuǎn)程桌面Web連接 |
禁用 |
包括Microsoft ActiveX® 控件和示例頁面�����,以便存儲終端服務(wù)客戶連接。使用IIS Manager 提供了更方便的管理�����,并且減少IIS服務(wù)器的攻擊表面��。該特性在專用IIS服務(wù)器中不是必需的����。 |
| 服務(wù)器端包含 |
禁用 |
提供了對.shtm、.shtml和 .stm文件的支持���。當(dāng)運行于IIS服務(wù)器上的站點或應(yīng)用軟件沒有使用包含該擴展名的文件時�,請禁用該組件�����。 |
| WebDAV |
禁用 |
WebDAV 擴展了HTTP/1.1協(xié)議�,以允許客戶發(fā)布、鎖定和管理網(wǎng)站中的資源���。請在專用的IIS服務(wù)器中禁用該功能����,或者用Web服務(wù)擴展禁用它。要了解更多信息���,請參看本章“僅啟用必需的Web服務(wù)擴展”部分��。 |
| World Wide Web服務(wù) |
啟用 |
提供Web服務(wù)�����,向客戶提供靜態(tài)或動態(tài)內(nèi)容�,該組件在專用IIS服務(wù)器中是必需的�。 |
僅啟用必需的Web服務(wù)擴展
許多運行于IIS服務(wù)器上的網(wǎng)站和應(yīng)用程序具有超出靜態(tài)頁面范疇的擴展功能,包括生成動態(tài)內(nèi)容的能力����。通過IIS服務(wù)器提供的特性來產(chǎn)生或擴展的任何動態(tài)內(nèi)容,都是通過使用Web服務(wù)擴展來實現(xiàn)的���。
IIS6.0 中的增強安全特性允許用戶單獨啟用或禁用Web服務(wù)擴展。在一次新的安裝之后��,IIS服務(wù)器將只能傳送靜態(tài)內(nèi)容�����?赏ㄟ^IIS Manager中的Web Service Extensions節(jié)點來啟用動態(tài)內(nèi)容能力�。這些擴展包括ASP.NET、SSI���、WebDAV����、以及FrontPage Server Extensions��。
啟用所有的Web服務(wù)擴展可確保與現(xiàn)有應(yīng)用軟件的最大可能的兼容性��。但是���,這可能帶來一些安全性風(fēng)險��,因為當(dāng)所有的擴展被啟用時�,同時也啟用了您的環(huán)境下IIS服務(wù)器所不需要的功能���,這樣IIS的攻擊表面積就會增加�。
為了盡可能減少IIS服務(wù)器的攻擊表面,在本指南所定義的三種環(huán)境下����,只有必需的Web服務(wù)擴展才應(yīng)該在IIS服務(wù)器上被啟用。
僅僅啟用在您的IIS服務(wù)器環(huán)境下運行的站點和應(yīng)用軟件所必需的Web服務(wù)擴展���,通過最大限度精簡服務(wù)器的功能���,可以減少每個IIS服務(wù)器的攻擊表面,從而增強了安全性�。
下表列舉了預(yù)先定義的Web服務(wù)擴展,并且提供了何時啟用它們的詳細(xì)指導(dǎo)�����。
表8.10: 啟用Web服務(wù)擴展
| Web服務(wù)擴展 |
啟用時機 |
| Active Server Pages |
一個或多個運行于IIS服務(wù)器上的站點或應(yīng)用軟件包含ASP內(nèi)容����。 |
| ASP.NET v1.1.4322 |
一個或多個運行于IIS服務(wù)器上的站點或應(yīng)用軟件包含ASP.NET內(nèi)容。 |
| FrontPage服務(wù)器擴展2002 |
一個或多個運行于IIS服務(wù)器上的站點或應(yīng)用軟件使用了FrontPage Extensions�。 |
| Internet數(shù)據(jù)連接器(IDC) |
一個或多個運行于IIS服務(wù)器上的站點或應(yīng)用軟件使用IDC來顯示數(shù)據(jù)庫信息(該內(nèi)容包含.idc和.idx文件) |
| 服務(wù)器端包含(SSI) |
一個或多個運行于IIS服務(wù)器上的站點或應(yīng)用軟件使用SSI命令來指導(dǎo)IIS服務(wù)器向不同的網(wǎng)頁中插入可復(fù)用的內(nèi)容(例如,導(dǎo)航條��、頁頭或頁腳) |
| Web Distributed Authoring and Versioning(WebDav) |
WebDAV是客戶在IIS服務(wù)器上透明地發(fā)布和管理站點資源所必需的��。 |
在專用磁盤卷中放置內(nèi)容
IIS會將默認(rèn)Web站點的文件存儲到<systemroot>\inetpub\wwwroot�,其中<systemroot>是安裝了Windows Server 2003的驅(qū)動器。
在本指南所定義的三種環(huán)境下���,應(yīng)該將構(gòu)成Web站點和應(yīng)用程序的所有文件和文件夾放置到IIS服務(wù)器的專用磁盤卷中���。將這些文件和文件夾放置到IIS服務(wù)器的一個專用磁盤卷——不包括操作系統(tǒng)所在的磁盤卷——有助于防止針對目錄的遍歷攻擊。目錄遍歷攻擊是指攻擊者對位于IIS服務(wù)器目錄結(jié)構(gòu)之外的一個文件發(fā)送請求�����。
例如��,cmd.exe位于<systemroot>\System32文件夾中����。攻擊者可以請求訪問以下位置:
..\..\Windows\system\cmd.exe,企圖調(diào)用該命令�����。
如果站點內(nèi)容位于一個單獨的磁盤卷��,這種類型的目錄遍歷攻擊將無法成功�,原因有二�����。首先�,cmd.exe的權(quán)限已經(jīng)作為Windows Server 2003基礎(chǔ)結(jié)構(gòu)的一部分進行了重設(shè)�����,從而將對它的訪問限制在很有限的用戶群中�。其次,完成該修改之后�,cmd.exe不再與站點根目錄處于同一磁盤卷,而目前沒有任何已知的方法可通過使用這種攻擊來訪問位于不同驅(qū)動器上的命令�����。
除了安全性問題之外��,將站點和應(yīng)用軟件文件和文件夾放置在一個專用的磁盤卷中使得諸如備份和恢復(fù)這樣的管理操作變得更加容易����。而且,將這種類型的內(nèi)容放在一個分開的專用物理驅(qū)動器中有助于減少系統(tǒng)分區(qū)中的磁盤爭用現(xiàn)象�,并且改善磁盤的整體訪問性能。
設(shè)置NTFS訪問權(quán)限
Windows Server 2003檢查NTFS文件系統(tǒng)權(quán)限��,以決定用戶或進程對特定文件或文件夾的訪問類型。
您應(yīng)該分配相應(yīng)的NTFS權(quán)限��,以便在本指南定義的三種環(huán)境下����,允許或拒絕特定用戶對IIS服務(wù)器上站點的訪問����。
NTFS訪問權(quán)限應(yīng)當(dāng)與Web訪問權(quán)限協(xié)同使用,而不是取代Web權(quán)限����。NTFS權(quán)限只影響那些已經(jīng)被允許或被拒絕訪問站點和應(yīng)用程序內(nèi)容的帳戶。Web權(quán)限則影響所有訪問站點或應(yīng)用程序的用戶�����。如果站點權(quán)限與NTFS權(quán)限在某個文件夾或目錄上發(fā)生沖突�,限制性更強的設(shè)置將生效。
對于不允許匿名訪問的站點和應(yīng)用程序����,匿名帳戶訪問將被明確拒絕。當(dāng)沒有經(jīng)過身份驗證的用戶訪問系統(tǒng)資源時���,就是所謂的匿名訪問�����。匿名帳戶包括內(nèi)置的Guest 帳戶����,Guests 組,以及IIS Anonymous 帳戶����。此外,除了IIS管理員之外��,對其它任何用戶都應(yīng)該清除所有的寫權(quán)限���。
下表提供了關(guān)于NTFS權(quán)限的一些建議�,這些權(quán)限將應(yīng)用在IIS服務(wù)器上不同的文件類型之上��。不同的文件類型可以被組織在不同的文件夾中�����,以簡化應(yīng)用NTFS權(quán)限的過程 。
表8.11: NTFS 權(quán)限
| 文件類型 |
推薦的NTFS權(quán)限 |
| CGI文件(.exe, .dll, .cmd, .pl) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 腳本文件(.asp) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 包含文件(.inc, .shtm, .shtml) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 靜態(tài)內(nèi)容(.txt, .gif, .jpg, .htm, .html) |
Everyone(只讀)
Administrators(完全控制)
System(完全控制) |
設(shè)置 IIS 站點權(quán)限
IIS 檢查站點許可權(quán)限����,以確定能夠在站點上執(zhí)行的操作類型,例如允許訪問腳本源代碼或允許瀏覽文件夾�����。您應(yīng)該為站點分配權(quán)限�,以便進一步保證IIS服務(wù)器上的站點在本指南定義的三種環(huán)境下的安全性����。
站點許可權(quán)限可以與NTFS權(quán)限協(xié)同使用。它們可配置給特定的站點��、文件夾和文件����。與NTFS權(quán)限不同,站點權(quán)限影響試圖訪問IIS服務(wù)器站點的每個人�。站點許可權(quán)限可以通過使用IIS Manager管理單元得到應(yīng)用。
下表列舉了IIS6.0支持的站點權(quán)限��,并且提供了簡要描述��,解釋如何為站點分配給定的許可權(quán)限。
表8.12: IIS 6.0站點權(quán)限
| 站點許可: |
授予的許可 |
| 讀(Read) |
用戶可查看文件夾或文件的屬性�����。該許可缺省為選中狀態(tài)����。 |
| 寫(Write) |
用戶可改變文件夾或文件的屬性。 |
| 腳本源代碼訪問 |
用戶可以訪問源文件�����。如果讀(Read)權(quán)限被啟用�����,則可以讀取源文件���;如果寫(Write)權(quán)限被啟用��,則可以改變腳本源代碼���。“腳本源訪問”允許用戶查看腳本的源代碼�。如果讀和寫都未啟用,這些選項將不可用。重要:當(dāng)“腳本源代碼訪問”被啟用時�,用戶將可以查看敏感信息,例如用戶名和密碼����。他們還可以改變運行于IIS服務(wù)器上的源代碼,從而嚴(yán)重影響服務(wù)器的安全和性能����。 |
| 目錄瀏覽 |
用戶可查看文件列表和集合。 |
| 日志訪問 |
每次訪問網(wǎng)站都創(chuàng)建一個日志項目����。 |
| 索引該資源 |
允許索引服務(wù)��,以索引資源�。這允許用戶對資源進行搜索。 |
| 執(zhí)行 |
下面的選項確定用戶運行腳本的級別:
- None(無) —不允許在服務(wù)器上執(zhí)行腳本和可執(zhí)行程序���。
- Scripts only(僅腳本) — 只允許在服務(wù)器上執(zhí)行腳本�。
- Scripts and Executables(腳本和可執(zhí)行文件) —允許在服務(wù)器上執(zhí)行腳本和可執(zhí)行文件�����。
|
配置IIS日志
本指南建議在指南定義的三種環(huán)境下均啟用IIS服務(wù)器上的IIS日志。
可以為每個站點或應(yīng)用程序創(chuàng)建單獨的日志��。IIS可以記錄Microsoft Windows提供的事件日志或性能監(jiān)視特性所記錄信息范圍之外的信息����。IIS日志可記錄諸如誰訪問過站點,訪客瀏覽過哪些內(nèi)容�、以及最后一次訪問的時間等信息。IIS日志可被用來了解那些內(nèi)容最受歡迎��,確定信息瓶頸����,或者幫助用戶對攻擊事件展開調(diào)查。
IIS Manager管理單元可以用來配置日志文件格式����、日志日程,以及將被記錄的確切信息��。為限制日志的大小��,應(yīng)當(dāng)對所記錄信息的內(nèi)容進行仔細(xì)規(guī)劃��。
當(dāng)IIS日志被啟用時�,IIS使用W3C擴展日志文件格式(W3C Extended Log File Format)來創(chuàng)建日常操作記錄��,并存儲到在IIS Manager 中為站點指定的目錄中����。為改善服務(wù)器性能���,日志文件應(yīng)當(dāng)存儲到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤卷上���。
而且,您還可以使用 UNC 路徑將日志文件寫到網(wǎng)絡(luò)上以便遠(yuǎn)程共享�。遠(yuǎn)程日志使得管理員能夠建立集中的日志文件存儲和備份。但是�,通過網(wǎng)絡(luò)讀寫日志文件可能會對服務(wù)器性能帶來負(fù)面影響。
IIS日志可以配置為使用其它幾種 ASCII 或開放數(shù)據(jù)庫連接(ODBC)文件格式��。ODBC日志使得IIS能夠?qū)⒉僮餍畔⒋鎯Φ絊QL數(shù)據(jù)庫中����。但是��,必須指出的是��,當(dāng)ODBC日志被啟用時��,IIS禁用了內(nèi)核模式緩存。因此��,執(zhí)行ODBC日志會降低服務(wù)器的總體性能���。
包括了數(shù)以百計站點的 IIS 服務(wù)器可通過啟用集中的二進制日志來改善日志性能��。集中化的二進制日志允許IIS服務(wù)器將所有站點的活動信息寫到一個日志文件上�����。這樣����,通過減少需要逐一存儲和分析的日志文件的數(shù)量��,大大地提高了IIS日志記錄過程的可管理性和可測量性�����。要了解關(guān)于集中二進制日志的更多信息�,請參看Microsoft TechNet主題“集中化的二進制日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server
/log_binary.asp
當(dāng)IIS日志按缺省設(shè)置存儲在IIS服務(wù)器中時,只有管理員有權(quán)訪問它們�。如果日志文件的文件夾或文件的所有者不在 Local Administrators 組中時,HTTP.sys —— IIS 6.0的內(nèi)核模式驅(qū)動程序——將向NT事件日志發(fā)布一個錯誤��。該錯誤指出文件夾或文件的所有者不在Local Administrators 組中,并且這個站點的日志將暫時失效����,直到其所有者被添加到Local Administrators 組中,或者現(xiàn)有的文件夾或文件被刪除�����。
向用戶權(quán)限分配手動增加唯一的安全組
大多數(shù)通過DCBP應(yīng)用的用戶權(quán)限分配都已經(jīng)在本指南附帶的安全性模板中進行了適當(dāng)?shù)闹付��。但是�����,有些帳戶和安全組不能被包括在模板內(nèi)��,因為它們的安全標(biāo)識對于單個的Windows 2003域是特定的�。下面給出了必須手動配置的用戶權(quán)限分配。
警告:下表包含了內(nèi)置的Administrator帳戶�。注意不要將Administrator帳戶和內(nèi)置的Administrators安全組相混淆。如果Administrators安全組添加了以下任何一個拒絕訪問的用戶權(quán)限��,您必須在本地登錄并且更正該錯誤��。
此外����,根據(jù)第三章“創(chuàng)建成員服務(wù)器基線”,內(nèi)置的Administrator賬戶可能已經(jīng)被重命名�。當(dāng)添加Administrator賬戶時,請確信添加的是經(jīng)過了重命名的賬戶�。
表 8.13:手動添加用戶權(quán)限分配
| 默認(rèn)的成員服務(wù)器 |
舊有客戶機 |
企業(yè)客戶機 |
高安全性 |
| 拒絕通過網(wǎng)絡(luò)訪問該計算機 |
Administrator; Support_388945a0�;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
Administrator����; Support_388945a0;Guest�����;所有非操作系統(tǒng)服務(wù)帳戶 |
Administrator�; Support_388945a0;Guest��;所有非操作系統(tǒng)服務(wù)帳戶 |
警告:所有非操作系統(tǒng)服務(wù)賬戶包括整個企業(yè)范圍內(nèi)用于特定應(yīng)用程序的服務(wù)賬戶�����。這不包括操作系統(tǒng)使用的內(nèi)置帳戶——本地系統(tǒng)���,本地服務(wù)或網(wǎng)絡(luò)服務(wù)帳戶��。
保護眾所周知帳戶的安全
Windows Server 2003有很多內(nèi)置的帳戶�,它們不能被刪除,但可以重命名�。Windows 2003中最常見的兩個帳戶是Guest 和 Administrator。
在成員服務(wù)器和域控制器中����,Guest帳戶缺省時被禁用。不應(yīng)改變該設(shè)置�����。內(nèi)置的Administrator帳戶應(yīng)被重命名��,而且其描述也應(yīng)被更改���,以防止攻擊者通過該帳戶破壞遠(yuǎn)程服務(wù)器��。
許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來破壞一臺服務(wù)器����。在近幾年來,進行上述重命名配置的意義已經(jīng)大大降低了�,因為出現(xiàn)了很多新的攻擊工具����,這些工具企圖通過指定內(nèi)置 Administrator 賬戶的安全標(biāo)識(SID)來確定該帳戶的真實姓名,從而侵占服務(wù)器�����。SID是唯一能確定網(wǎng)絡(luò)中每個用戶��、組����、計算機帳戶以及登錄會話的值。改變內(nèi)置帳戶的SID是不可能的���。將本地管理員帳戶改變?yōu)橐粋特別的名稱�,可以方便您的操作人員監(jiān)視對該帳戶的攻擊企圖����。
保護IIS服務(wù)器中眾所周知帳戶的安全:
1. 重命名Administrator和Guest帳戶,并且將每個域和服務(wù)器上的密碼更改為長而復(fù)雜的值�。
2. 在每個服務(wù)器上使用不同的名稱和密碼。如果在所有的域和服務(wù)器上使用相同的帳戶名和密碼,攻擊者只須獲得對一臺成員服務(wù)器的訪問����,就能夠訪問所有其它具有相同帳戶名和密碼的服務(wù)器。
3. 修改缺省的帳戶描述�����,以防止帳戶被輕易識別��。
4. 將這些變化記錄一個安全的位置���。
注意:內(nèi)置的管理員帳戶可通過組策略重命名��。本指南提供的任何安全性模板中都沒有配置該設(shè)置����,因為您必須為您的環(huán)境選擇一個獨一無二的名字��。在本指南定義的三種環(huán)境下�����,“帳戶:重命名管理員帳戶” 設(shè)置可用來重命名管理員帳戶�。該設(shè)置是組策略的安全選項設(shè)置的一部分�����。
保護服務(wù)帳戶的安全
除非絕對必須����,否則不要讓服務(wù)運行在域帳戶的安全上下文中���。如果服務(wù)器的物理安全受到破壞,域賬戶密碼可以很容易通過轉(zhuǎn)儲本地安全性授權(quán)(LSA)秘文而獲得���。
用IPSec過濾器阻斷端口
Internet 協(xié)議安全性(IPSec)過濾器可為增強服務(wù)器所需要的安全級別提供有效的方法��。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項����,以便進一步減少服務(wù)器的攻擊表面����。
要了解關(guān)于IPSec過濾器使用的更多信息,請參看“威脅與對策:Windows Server 2003和Windows XP中的安全性設(shè)置 ”的第11章 “其它成員服務(wù)器的強化程序” �,。
下表列舉了在本指南定義的高級安全性環(huán)境下��,可在IIS服務(wù)器上創(chuàng)建的IPSec過濾器。
表8.14: IIS服務(wù)器IPSec網(wǎng)絡(luò)流量圖
| 服務(wù)器 |
協(xié)議 |
源端口 |
目的端口 |
源地址 |
目的地址 |
動作 |
Mirror鏡像 |
| 單點客戶 |
所有 |
所有 |
所有 |
ME |
MOM服務(wù)器 |
允許 |
是 |
| 終端服務(wù) |
TCP |
所有 |
3389 |
所有 |
ME |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 2 |
允許 |
是 |
| HTTP 服務(wù)器 |
TCP |
所有 |
80 |
ANY |
ME |
允許 |
是 |
| HTTPS 服務(wù)器 |
TCP |
所有 |
443 |
所有 |
ME |
允許 |
是 |
| 所有進入的通信 |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
在實施上表所列舉的規(guī)則時���,應(yīng)當(dāng)對其進行鏡像處理�����。這樣可以保證任何進入服務(wù)器的網(wǎng)絡(luò)流量也可以返回到源服務(wù)器����。
上表介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開的基本端口���。如果服務(wù)器使用靜態(tài)的IP地址�,這些端口已經(jīng)足夠����。如果需要提供更多的功能,則可能需要打開更多的端口��。打開更多的端口將使得您的環(huán)境下的IIS服務(wù)器更容易管理����,但是這可能大大降低服務(wù)器的安全性。
由于在域成員和域控制器之間有大量的交互��,尤其是RPC和身份驗證通信,在IIS服務(wù)器和全部域控制器之間�,您應(yīng)該允許所有的通信。通信還可以被進一步限制��,但是大多數(shù)環(huán)境都需要為有效保護服務(wù)器而創(chuàng)建更多的過濾器����。這將使得執(zhí)行和管理IPSec策略非常困難。您應(yīng)該為每一個將與IIS服務(wù)器進行交互的域控制器創(chuàng)建類似的規(guī)則�。為了提高IIS服務(wù)器的可靠性和可用性,您需要為環(huán)境中的所有域控制器添加更多規(guī)則�。
正如上表所示�����,如果環(huán)境中運行了Microsoft Operations Manager(MOM)����,那么在執(zhí)行IPSec過濾器的服務(wù)器和MOM服務(wù)器之間,應(yīng)該允許傳輸所有的網(wǎng)絡(luò)通信�����。這是必須的�,因為在MOM服務(wù)器和OnePoint 客戶端——向MOM控制臺提供報告的客戶應(yīng)用程序——之間存在大量的交互過程�����。其它管理軟件可能也具有類似的需求�����。如果希望獲得更高級別的安全性����,可將OnePoint 客戶端的過濾動作配置就IPSec與MOM服務(wù)器進行協(xié)商�。
該IPSec策略將有效地阻止通過任意一個高端口的通信,因此它不允許遠(yuǎn)程過程調(diào)用(RPC)通信���。這可能使得服務(wù)器的管理很困難���。由于已經(jīng)關(guān)閉了許多端口,您可以啟用終端服務(wù)�����。以便管理員可以進行遠(yuǎn)程管理��。
上面的網(wǎng)絡(luò)通信圖假設(shè)環(huán)境中包含啟用了Active Directory的DNS服務(wù)器�����。如果使用獨立的DNS服務(wù)器,可能還需要建立更多規(guī)則�����。
IPSec策略的執(zhí)行將不會對服務(wù)器的性能帶來明顯影響�����。但是��,在執(zhí)行這些過濾器之前必須進行測試��,以核實服務(wù)器保持了必要的功能和性能�����。您可能還需要添加一些附加規(guī)則以支持其它應(yīng)用程序��。
本指南包括一個.cmd文件�,它簡化了依照指南要求為域控制器創(chuàng)建IPSec過濾器的過程�����。PacketFilters-IIS.cmd文件使用NETSH命令來創(chuàng)建適當(dāng)?shù)倪^濾器。應(yīng)當(dāng)修改該.cmd文件�,在其中包含您所在環(huán)境中域控制器的IP地址。腳本中包含兩個占位符��,這是為將被增加的兩個域控制器IP地址預(yù)留的�����。如果需要����,還可以添加其它更多的域控制器。這些域控制器的IP地址列表應(yīng)當(dāng)是最新的���。
如果環(huán)境中有MOM�����,應(yīng)當(dāng)在腳本中指定相應(yīng)的MOM服務(wù)器 IP 地址���。該腳本不創(chuàng)建永久的過濾器。因此��,直到IPSec Policy Agent啟動時��,服務(wù)器才會得到保護。要了解關(guān)于建立永久過濾器或創(chuàng)建更高級IPSec過濾器腳本的信息��,請參看本指南姐妹篇“ 威脅與對策:Windows Server 2003和Windows XP中的安全性設(shè)置 ”的第11章“其它成員服務(wù)器的強化程序”�。最后,該腳本不會分發(fā)其創(chuàng)建的IPSec策略����。IP安全性策略管理單元可被用來檢查所創(chuàng)建的IPSec過濾器,并且分發(fā)IPSec策略以便讓其生效�。
總結(jié)
本章解釋了在本指南指定的三種環(huán)境下,為保護IIS服務(wù)器的安全所應(yīng)采取的強化設(shè)置�。我們討論的大多數(shù)設(shè)置通過組策略進行配置和應(yīng)用�?梢詫⒛軌驗镸SBP提供有益補充的組策略對象(GPO)鏈接到包含IIS服務(wù)器的相應(yīng)組織單位(OU),以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性�����。
本章討論的有些設(shè)置不能通過組策略得到應(yīng)用�����。對于這種情況�,本章介紹了有關(guān)手動配置這些設(shè)置的詳細(xì)信息�。此外��,我們還詳細(xì)介紹了創(chuàng)建和應(yīng)用能夠控制IIS服務(wù)器間網(wǎng)絡(luò)通信類型的IPSec過濾器的具體過程�。
更多信息
以下提供了與Windows Server 2003環(huán)境下的IIS服務(wù)器密切相關(guān)的最新信息資源����。
有關(guān)在IIS 5.0中啟用日志的信息,請參看“教學(xué):在IIS 5.0中啟用日志”: http://support.microsoft.com/default.aspx?scid=313437.
有關(guān)本主題的更多信息�,請參看“啟用日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_enablelogging.asp.
有關(guān)日志站點行為的信息,請參看“記錄站點操作”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_aboutlogging.asp
有關(guān)擴展日志的信息����,請參看“定制W3C擴展日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_customw3c.asp
有關(guān)集中化二進制日志的信息,請參看“集中化的二進制日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_binary.asp
有關(guān)遠(yuǎn)程日志的信息����,請參看“遠(yuǎn)程日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_remote.asp.
有關(guān)安全日志(審核)的創(chuàng)建、查看以及理解的更多信息�����,請訪問安全性方面的Microsoft TechNet站點:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
sec_security.asp.
有關(guān)IIS6.0 的其它信息�,請訪問技術(shù)站點:http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/
iiswelcome.asp.
有關(guān)IPSec過濾的更多信息,請參看“教學(xué):使用Windows 2000中的IPSec IP過濾器列表”: http://support.microsoft.com/default.aspx?scid=313190.
