本文檔列舉出一些建議和最佳做法,以保證 Web 上運(yùn)行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服務(wù)器的安全���。這些設(shè)置側(cè)重于安全性而不是性能方面��。因此認(rèn)真閱讀以下的建議并運(yùn)用它們來獲得適用于自己企業(yè)的設(shè)置是很重要的。
注意 本文檔是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”���,Microsoft Press�����,ISBN: 0735609950 改編而來。
那些熟悉 Internet Information Server 4 清單的客戶將注意到本列表要遠(yuǎn)短于 Internet Information Server 4 的清單����。這是因?yàn)橐韵聝牲c(diǎn)原因:
- 許多 Windows 2000 系統(tǒng)范圍的設(shè)置可以通過提供的安全模板 (hisecweb,inf) 進(jìn)行配置;所以不需要手動(dòng)配置注冊表設(shè)置���。
- 在 Windows 2000 和 IIS 5 的默認(rèn)狀態(tài)下���,將禁用 Microsoft Windows NT 4 和 Internet Information Server 4 上的某些低安全級別的默認(rèn)設(shè)置。
本文檔的其余部分分為以下幾個(gè)部分:
- 一般性安全考慮事項(xiàng)
- Windows 2000 安全考慮事項(xiàng)
- IIS 5 安全考慮事項(xiàng)
本部分內(nèi)容講述一般性安全問題����。
閱讀您企業(yè)的安全策略
擁有安全策略是十分重要的�����。對以下問題��,您需要有現(xiàn)成的答案:
- 如何對入侵作出反應(yīng)���?
- 備份存儲(chǔ)在何處?
- 允許誰訪問服務(wù)器�?
在 SANS Institute、Baseline Software, Inc. 和 Practical Unix & Internet Security (O'Reilly Books, 1996) 中可以找到有關(guān)策略信息的比較好資源����。
預(yù)訂 Microsoft 安全通知服務(wù)
您可以在 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 上預(yù)定 Microsoft 安全通知服務(wù),使自己能夠及時(shí)知道有關(guān) Microsoft 安全問題和修補(bǔ)程序的信息��。您將通過電子郵件獲得有關(guān)安全問題的自動(dòng)通知��。
您還應(yīng)當(dāng)考慮在桌面上放置 Microsoft 安全顧問程序的快捷方式���。要完成此操作����,請執(zhí)行下列步驟:
- 打開 Internet Explorer����。
- 導(dǎo)航到 http://www.microsoft.com/technet/security/bulletin/notify.asp��。
- 從“收藏”菜單中選擇“添加到收藏夾”�。
- 選中“允許脫機(jī)使用”復(fù)選框�����。
- 單擊“自定義”���。
- 在“脫機(jī)收藏夾向?qū)А敝袉螕簟跋乱徊健薄?
- 選中“是”選項(xiàng)按鈕并指定下載與該頁鏈接的 2 層網(wǎng)頁�。
- 單擊“下一步”���。
- 選中“創(chuàng)建新的計(jì)劃”選項(xiàng)按鈕,然后單擊“下一步”�����。
- 接受默認(rèn)設(shè)置����,再單擊“下一步”。
- 單擊“完成”�����。
- 單擊“確定”。
- 從“收藏”菜單中選中“整理收藏夾”��。
- 在“整理收藏夾”對話框中選擇“Microsoft TechNet Security”快捷方式�����。
- 單擊“屬性”�����。
- 單擊“Microsoft TechNet Security 屬性”對話框的“下載”選項(xiàng)卡��。
- 取消選中“跟蹤本頁 Web 站點(diǎn)之外的鏈接”復(fù)選框��。
- 單擊“確定”��,然后單擊“關(guān)閉”�����。
現(xiàn)在您可以將 Microsoft TechNet Security 快捷方式從“收藏”菜單拖到桌面上���。如果有新的安全消息�����,圖標(biāo)上將出現(xiàn)一個(gè)小紅標(biāo)記�����。
要點(diǎn) 如果出現(xiàn)了新的安全問題����,您必須非常重視它們。這一點(diǎn)再怎么強(qiáng)調(diào)也不為過����。
| Windows 2000 安全考慮事項(xiàng) |
|
本部分內(nèi)容專門講述有關(guān) Windows 2000 的安全問題。
檢查�����、更新及部署提供的 Hisecweb.inf 安全模板
我們已經(jīng)包括了名為 Hisecweb.inf 的安全模板�����,作為適用于大多數(shù)安全網(wǎng)站的基準(zhǔn)��。該模板配置了基本的 Windows 2000 系統(tǒng)范圍策略����。
Hisecweb.inf 可以從如下地址下載:
http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe
執(zhí)行下列步驟來使用模板:
- 將模板復(fù)制到 %windir%\security\templates 目錄。
- 打開“安全模板”工具�,并查看設(shè)置。
- 打開“安全配置和分析”工具�,并加載模板。
- 右鍵單擊“安全配置和分析”工具����,并從上下文菜單中選擇“立即分析計(jì)算機(jī)”。
- 等待工作完成���。
- 檢查查找結(jié)果并按需要更新模板�����。
- 如果您對模板滿意���,請右鍵單擊“安全配置和分析”工具,并從上下文菜單中選擇“立即配置計(jì)算機(jī)”�。
配置 IPSec 策略
您應(yīng)當(dāng)認(rèn)真考慮在每一個(gè) Web 服務(wù)器上設(shè)置 Internet 協(xié)議安全性 (IPSec) 包篩選器策略。如果您的防火墻被攻破��,該策略將提供額外的安全級別。多級別安全技術(shù)通常被認(rèn)為是很好的做法��。
一般而言���,除了那些您明顯希望支持的協(xié)議與希望打開的端口以外����,應(yīng)當(dāng)阻止其他所有 TCP/IP 協(xié)議����。您可以使用 IPSec 管理工具或 IPSecPol 命令行工具來部署 IPSec 策略。
保護(hù) Telnet 服務(wù)器安全
如果您打算使用包含在 Windows 2000 中的 Telnet 服務(wù)器�,您應(yīng)當(dāng)考慮限制能夠訪問該服務(wù)的用戶。要完成此操作��,請執(zhí)行下列步驟:
- 打開“本地用戶和組”工具��。
- 右鍵單擊“組”節(jié)點(diǎn)�����,并從上下文菜單中選擇“新建組”�����。
- 在“組名”框中輸入 TelnetClients���。
- 單擊“添加”以添加對該計(jì)算機(jī)有 telnet 訪問權(quán)限的用戶����。
- 單擊“創(chuàng)建”���,再單擊“關(guān)閉”����。
當(dāng)存在 TelnetClients 組時(shí)�,Telnet 服務(wù)將僅允許那些在組中定義的用戶訪問服務(wù)器。
本部分內(nèi)容專門講述有關(guān) Internet Information Services 5 的安全問題����。
為虛擬目錄設(shè)置適當(dāng)?shù)?ACL
雖然此步驟從某種程度上來說取決于應(yīng)用程序,但一些主要規(guī)則仍然適用���,如表 F-1 所示�。
文件類型
|
訪問控制列表
|
CGI (.exe, .dll, .cmd, .pl)
|
Everyone (X)
Administrators(完全控制)
System(完全控制)
|
腳本文件 (.asp)
|
Everyone (X)
Administrators(完全控制)
System(完全控制)
|
包含文件 (.inc, .shtm, .shtml)
|
Everyone (X)
Administrators(完全控制)
System(完全控制)
|
靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html)
|
Everyone (R)
Administrators(完全控制)
System(完全控制)
|
推薦使用的各文件類型的默認(rèn) ACL
與為每一個(gè)文件單獨(dú)設(shè)置 ACL 相比�,更好的辦法是為每一種文件類型創(chuàng)建新的目錄,在這些目錄上設(shè)置 ACL����,并允許 ACL 繼承到文件���。例如,目錄結(jié)構(gòu)可能如下所示:
- c:\inetpub\wwwroot\myserver\static (.html)
- c:\inetpub\wwwroot\myserver\include (.inc)
- c:\inetpub\wwwroot\myserver\script (.asp)
- c:\inetpub\wwwroot\myserver\executable (.dll)
- c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)
此外��,有兩個(gè)目錄需要特別注意:
- c:\inetpub\ftproot (FTP server)
- c:\inetpub\mailroot (SMTP server)
這兩個(gè)目錄上的 ACL 都是“Everyone(完全控制)”�����,應(yīng)當(dāng)根據(jù)您的功能級別覆蓋為更加嚴(yán)格的設(shè)置��。如果要支持“Everyone(寫入)”��,請將該文件夾放置到與 IIS 服務(wù)器不同的卷中��,或者使用 Windows 2000 磁盤空間配額來限制可以寫入這些目錄的數(shù)據(jù)量�。
設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL
請確保 IIS 生成的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是:
- Administrators(完全控制)
- System(完全控制)
- Everyone (RWC)
這有助于防止惡意用戶刪除文件以掩飾他們的蹤跡。
啟用日志記錄
當(dāng)您希望確定服務(wù)器是否正受到攻擊時(shí)�����,日志記錄是非常重要的�����。應(yīng)當(dāng)通過下列步驟使用 W3C 擴(kuò)展日志記錄格式:
- 加載 Internet Information Services 工具。
- 右鍵單擊懷疑有問題的站點(diǎn)�����,然后從上下文菜單中選擇“屬性”��。
- 單擊“網(wǎng)站”選項(xiàng)卡��。
- 選中“啟用日志”復(fù)選框���。
- 從“活動(dòng)日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。
- 單擊“屬性”�����。
- 單擊“擴(kuò)展屬性”選項(xiàng)卡�,然后設(shè)置下列屬性:
- 客戶端 IP 地址
- 用戶名
- 方法
- URI 資源
- HTTP 狀態(tài)
- Win32 狀態(tài)
- 用戶代理
- 服務(wù)器 IP 地址
- 服務(wù)器端口
僅當(dāng)您將多個(gè) Web 服務(wù)器設(shè)置在同一計(jì)算機(jī)上時(shí),后兩個(gè)屬性才有用���。Win32 Status 屬性非常適合于調(diào)試�����。當(dāng)您檢查日志時(shí)�����,請注意錯(cuò)誤 5���,即被拒絕的訪問�。您可以通過在命令行中輸入 net helpmsg err (其中 err 代表您感興趣的錯(cuò)誤號碼)來找出其他 Win32 錯(cuò)誤是什么含義��。
設(shè)置 IP 地址/DNS 地址限制
這并非要設(shè)置的普通選項(xiàng)����,但是如果希望限制某些用戶訪問您的網(wǎng)站,這將是一個(gè)有用的選項(xiàng)���。請注意如果您輸入域名系統(tǒng) (DNS) 名稱��,那么 IIS 將必須執(zhí)行 DNS 檢查����,這將很費(fèi)時(shí)間���。
驗(yàn)證可執(zhí)行內(nèi)容的可信度
要了解可執(zhí)行內(nèi)容是否可信是很難的��。有一個(gè)小測試是用 DumpBin 工具來查看可執(zhí)行內(nèi)容是否調(diào)用了某些 API�。許多 Win32 開發(fā)工具都含有 DumpBin。例如����,如果您希望查看名為 MyISAPI.dll 的文件是否調(diào)用 RevertToSelf,請使用下列語法:
dumpbin /imports MyISAPI.dll | find "RevertToSelf"
如果屏幕上未出現(xiàn)結(jié)果����,MyISAPI.dll 將不直接調(diào)用 RevertToSelf����。它將可能通過 LoadLibrary 來調(diào)用該 API,在此情況下您也可以使用相似的命令來進(jìn)行查找�����。
在 IIS 服務(wù)器上更新根目錄的 CA 證書
該過程包括兩個(gè)步驟:第一步:添加所有信任的新根目錄證書頒發(fā)機(jī)構(gòu) (CA) 證書—尤其是任何通過使用 Microsoft Certificate Services 2.0 創(chuàng)建的新根目錄 CA 證書����。第二步:刪除所有不信任的根目錄 CA 證書。請注意如果您不知道發(fā)布根目錄證書的公司名稱�,那么就不應(yīng)當(dāng)信任他們!
所有 IIS 使用的根目錄 CA 證書都存放在計(jì)算機(jī)的機(jī)器存儲(chǔ)中�。可以通過下列步驟來訪問該機(jī)器存儲(chǔ):
- 打開 Microsoft Management Console (MMC)����。
- 從“控制臺(tái)”菜單中選擇“添加/刪除管理單元”�,然后單擊“添加”���。
- 選擇“證書”并單擊“添加”�。
- 單擊“計(jì)算機(jī)帳戶”選項(xiàng)按鈕�。
- 單擊“下一步”。
- 選中所指機(jī)器���。
- 單擊“完成”�。
- 單擊“關(guān)閉”�����,再單擊“確定”��。
- 展開證書節(jié)點(diǎn)�。
- 擴(kuò)展信任的根目錄證書頒發(fā)機(jī)構(gòu)。
- 選擇證書�����。
右窗格將顯示當(dāng)前信任的全部根目錄 CA 證書�����。如果需要,可以刪除多個(gè)證書���。
注意: 不要?jiǎng)h除 Microsoft 或 VeriSign 根目錄�����。操作系統(tǒng)會(huì)大量使用它們����。
禁用或刪除所有示例應(yīng)用程序
示例僅僅是示例�;默認(rèn)情況下并不安裝它們����,并且永遠(yuǎn)不應(yīng)在產(chǎn)品服務(wù)器上安裝。請注意����,某些示例是安裝的,使它們只能通過 http://localhost 或 127.0.0.1 進(jìn)行訪問�,即使這樣也應(yīng)將其刪除。
F-2 表列舉了某些示例的默認(rèn)位置�。
示例
|
虛擬目錄
|
位置
|
IIS 示例
|
\IISSamples
|
c:\inetpub\iissamples
|
IIS 文檔
|
\IISHelp
|
c:\winnt\help\iishelp
|
數(shù)據(jù)訪問
|
\MSADC
|
c:\program files\common files\system\msadc
|
包含在 Internet Information Server 5 中的示例文件����。
禁用或刪除不需要的 COM 組件
某些 COM 組件對于多數(shù)應(yīng)用程序都是不需要的�����,應(yīng)當(dāng)將其刪除���。尤其需要考慮禁用“文件系統(tǒng)對象”組件���,但請注意這樣也會(huì)刪除 Dictionary 對象。請注意某些程序可能需要您禁用的組件��。例如:Site Server 3.0 使用“文件系統(tǒng)對象”����。下列命令將禁用“文件系統(tǒng)對象”:
regsvr32 scrrun.dll /u
刪除 IISADMPWD 虛擬目錄
該目錄允許您重新設(shè)置 Windows NT 和 Windows 2000 密碼。這主要是為 Intranet 方案設(shè)計(jì)的�,并且不作為 IIS 5 的一部分來安裝,但是在 IIS 4 服務(wù)器升級到 IIS 5 時(shí)將不會(huì)被刪除�����。如果您不使用 Intranet 或者您將服務(wù)器連接到網(wǎng)站上,則應(yīng)當(dāng)將其刪除��。有關(guān)此功能的詳細(xì)信息��,請參考 Microsoft Knowledge Base 文章 Q184619�����。
刪除不使用的腳本映射
IIS 預(yù)配置為支持常見的文件擴(kuò)展名���,如 .asp 和 .shtm 文件����。當(dāng) IIS 接收到針對其中某一類型文件的請求時(shí)�����,該調(diào)用由 DLL 進(jìn)行處理����。如果您不會(huì)用到其中某些擴(kuò)展名或功能����,請按照如下步驟進(jìn)行刪除:
- 打開 Internet 服務(wù)管理器。
- 右鍵單擊 Web 服務(wù)器,并從上下文菜單中選擇“屬性”����。
- 主屬性
- 選擇“WWW 服務(wù)”|“編輯”|“HomeDirectory”|“配置”
刪除下列引用:
如果您不使用...
|
請刪除項(xiàng)目:
|
基于網(wǎng)站的密碼重置
|
.htr
|
Internet 數(shù)據(jù)庫連接器(所有 IIS 5 網(wǎng)站應(yīng)當(dāng)使用 ADO 或相似技術(shù))
|
.idc
|
服務(wù)器端包含程序
|
.stm, .shtm 和 .shtml
|
Internet 打印
|
.printer
|
索引服務(wù)器
|
.htw, .ida and .idq
|
注意: “Internet 打印”可以通過組策略和 Internet 服務(wù)管理器來配置。如果組策略設(shè)置和 Internet 管理器設(shè)置有沖突���,那么組策略設(shè)置優(yōu)先���。如果您通過 Internet 服務(wù)管理器刪除“Internet 打印”,請務(wù)必驗(yàn)證不能通過本地或域的組策略重新啟用它�。(默認(rèn)組策略既不啟用也不禁用“Internet 打印”)。請?jiān)?MMC 組策略管理單元中�,選擇“計(jì)算機(jī)配置”|“管理模板”|“打印”|“基于 Web 的打印”。
注意: 除非出于危急任務(wù)的原因要使用 .htr 功能�����,否則應(yīng)當(dāng)刪除 .htr 擴(kuò)展名��。
檢查 ASP 代碼中的 <FORM> 和查詢字符串輸入
許多站點(diǎn)使用從用戶那得到的輸入來直接調(diào)用其他代碼或創(chuàng)建 SQL 聲明���。換句話說���,它們將該輸入當(dāng)作有效的�����、格式良好的�����、無惡意的輸入���。但為了安全起見,卻不應(yīng)當(dāng)這樣����。因?yàn)閷?shí)際工作中存在很多這樣的攻擊,其中用戶輸入被錯(cuò)誤的當(dāng)作有效輸入�����,使用戶能夠獲得服務(wù)器的訪問權(quán)限或者產(chǎn)生損害��。您應(yīng)當(dāng)在將其傳送給另一個(gè)過程或方法調(diào)用(它們可能會(huì)使用外部資源�,比如文件系統(tǒng)或數(shù)據(jù)庫)前����,檢查每個(gè) <FORM> 輸入和查詢字串。
您可以使用 JScript V5 和 VBScript V5 常規(guī)表達(dá)式功能來執(zhí)行文本檢查。下列示例代碼將去掉那些只包含無效字符(不是 0-9a-zA-Z 或 _ 的字符)的字符串:
Set reg = New RegExp
reg.Pattern = "\W+" ' One or more characters which
' are NOT 0-9a-zA-Z or '_'
strUnTainted = reg.Replace(strTainted, "")
下列示例將去掉 | 運(yùn)算符后的所有文本:
Set reg = New RegExp
reg.Pattern = "^(.+)\|(.+)" ' Any character from the start of
' the string to a | character.
strUnTainted = reg.Replace(strTainted, "$1")
同樣���,使用“腳本文件系統(tǒng)對象”打開或創(chuàng)建文件時(shí)請小心�����。如果文件名是基于用戶輸入�����,那么用戶可能企圖打開一系列端口或打印機(jī)��。下列 JScript 代碼會(huì)去掉無效文件名:
var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");
版本 5 腳本引擎中的模式語法與 Perl 5.0 中的相同��。請參考位于 http://msdn.microsoft.com/scripting/default.htm 的 V5 腳本引擎文檔獲取詳細(xì)信息����,有關(guān)范例請?jiān)L問 http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp���。
禁用父路徑
父路徑允許您在調(diào)用諸如 MapPath 等功能時(shí)使用“..”�。默認(rèn)狀態(tài)下����,該選項(xiàng)是啟用的�����,您應(yīng)當(dāng)禁用它�����。按照以下步驟禁用該選項(xiàng):
- 右鍵單擊網(wǎng)站的根目錄���,然后從上下文菜單中選擇“屬性”。
- 單擊“主目錄”選項(xiàng)卡���。
- 單擊“配置”�����。
- 單擊“App 選項(xiàng)”選項(xiàng)卡����。
- 取消選中“啟用父路徑”復(fù)選框�����。
在“內(nèi)容 – 位置”中禁用 IP 地址
“內(nèi)容 – 位置”首部會(huì)暴露通常隱藏在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后的內(nèi)部 IP 地址��。
