Win2000操作系統的一個主要特色就是將IIS融入其內核之中����,并提供一些用來配置和維護軟件的向導工具��,使構建一個Internet網站輕松易得�。但是���,如果要創建一個安全可靠的Internet網站����,實現“地面部分”-Win2000操作系統和“空中部分”-IIS的雙重安全,還需要更加全面和深入的工作���。本文就對這些穩固工作中的空中部分-IIS進行討論,旨在幫助管理員一步步地實施網站安全構建工作��。
一�����、TCP/IP方面要重點考慮的安全配置信息
Win2000提供了三種方式對進站連接進行訪問控制�,以下分別介紹��。
1��、TCP/IP安全配置 Win2000中的TCP/IP安全配置與Windows NT 4.0中的執行方式完全相同��,配置方法非��;疽卜浅:唵危驹瓌t就是“全部允許或只允許”����, “全部允許”表示放行來自所有端口的通訊數據���,“只允許”表示除了特別列出端口外的通訊數據都拒絕����。TCP/IP篩選雖然簡單�,但過濾總比沒有過濾好,建議管理員不要漏掉這個防線。
2��、對路由和遠程訪問服務(Routing and Remote Access Service,RRAS)形式的進站連接設置訪問控制列表 路由和遠程訪問服務(RRAS)能夠配置出更加靈活復雜的信息包過濾器��,盡管過濾方式是靜態的����,但它的過濾細節卻很多,包括信息包方向����、IP地址��、各種協議類型。 3���、IPSec Policy Filters(IP安全策略過濾器) IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)強制執行,是Win2000操作系統的新生功能���。它彌補了傳統TCP/IP設計上的“隨意信任”重大安全漏洞,可以實現更仔細更精確的TCP/IP安全����?梢哉f,IPSec是一個基于通訊分析的策略��,它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合�,然后據此允許或拒絕通訊的傳輸。這些規則叫做過濾器列表,管理員可以圍繞各種不同的安全認證協議來設計它們����,協議包括: 1 Internet密鑰交換協議(Internet Key Exchange Protocol�����,IKE): 一種使VPN節點之間達成安全通信的協議,其功能強大、設計靈活�����。 2 認證IP數據包(Authentication Header,AH):也就是將數據包中的數據和一個變化的數字簽字結合起來����,使得接收者能夠確認數據發送者的身份以及確認數據在傳輸過程中沒有被纂改過。 3 Encapsulation Security Payload (ESP):指使用硬件對數據包中的數據進行加密,使象Sniffer類的網絡監聽軟件無法得到任何有用信息����。
3.配置安全的IIS
1��、單獨設置IIS服務器
如果可能,IIS應該安裝在一個單獨的服務器上。就是說�����,這個服務器不是任何域中的成員���,不必與域控制器建立Netlogon信道���,從而降低通過服務器之間連接而建立起來的空用戶連接所帶來的安全風險��。而且,由于系統之間不傳遞認證通訊信息�,也就降低了登錄口令被截獲的可能���。
2��、禁止不需要的服務 另外,如果僅僅是單純的Web 服務器�,那么最好禁止掉以下不需要的服務: ALERTER CLIPBOOK SERVER COMPUTER BROWSER DHCP CLIENT MESSENGER NETLOGON NETWORK DDE NET DDE DSDM NETWORK MONITOR AGENT SIMPLE TCP/IP SERVICES SPOOLER NETBIOS INTERFACE TCP/IP NETBIOS HELPER NWLINK NETBIOS
3��、合理設置Web根文件夾 同前面論述的將操作系統與應用程序單獨存放在不同的分區或磁盤驅動器一樣,現在又要使用到隔離技術了�。建議將Web根文件夾wwwroot定位在操作系統分區以外的地方甚至是另外的物理磁盤驅動器上��。而且,當設置Web站點的虛擬目錄或重定向文件夾時�����,也要保證這些目錄不會被重定向到操作系統的啟動分區�,因為有些攻擊能夠危及訪問文件夾所在分區上的其它文件夾。還有一種安全處理方式就是把Web根文件夾設置到另一個服務器上�,使IIS服務器成為一個只緩沖請求�、應答請求的系統����。而且�,經過這樣處理后�����,整個服務器基本上是一個通用型的��,其上沒有存儲任何內容,即使站點遭到攻擊而癱瘓,也可以從磁帶或其它備份中快速簡單地恢復服務器。
4、為重要系統文件改頭換面 操作系統中有許多非常重要的文件�����,它們就象“雙刃劍”�����,既可以讓管理員方便地執行維護工作,又可能被攻擊者利用進行破壞活動�。為此����,建議對這些文件進行刪除��、重命名或者為其設置NTFS權限�����,目的就是使攻擊者再也找不到熟悉的面孔。這些文件包括: XCOPY.EXE at.exe regedit.exe cacls.exe regedt32.exe edlin.exe rsh.exe finger.exe runas.exe ftp.exe net.exe tracert.exe netsh.exe tskill.exe poledit.exe cmd.exe regini.exe cscript.exe regsrv32.exe tftp.exe netstat.exe issync.exe runonce.exe telnet.exe debug.exe rexec.exe wscript.exe
5��、刪除危險的IIS組件 默認安裝后的有些IIS組件可能會造成安全威脅�,應該從系統中去掉,所謂“多一個組件����,不如少一個組件”����。以下是一些“黑名單”參考��,請管理員酌情考慮:
Internet服務管理器(HTML):這是基于Web 的IIS服務器管理頁面����,一般情況下不應通過Web進行管理�,建議卸載它。
樣本頁面和腳本:這些樣本中有些是專門為顯示IIS的強大功能設計的��,但同樣可被用來從Internet上執行應用程序和瀏覽服務器��,這不是好事情����,建議刪除����。
Win2000資源工具箱 或IIS資源工具箱:這些由專家編寫的軟件大概是現在最好的黑客工具了��,其中有許多項目可以被攻擊者利用從服務器上提取信息��、進行破壞。
SMTP和NNTP:如果不打算使用服務器轉發郵件和提供新聞組服務,就刪除這些項目吧。否則�,別因為它們的漏洞帶來新的不安全�����。 @ Internet打印:Internet打印是Win2000中的一個新特性,它提供了通過Internet將打印作業題交給打印機的方式。但是由于網絡上的打印機是通過一個Web頁面進行訪問并管理的�,所以也就使系統增加了許多受到利用的可能�。
6����、改寫注冊表降低被攻擊風險
DDoS攻擊現在很流行,例如SYN使用巨量畸形TCP信息包向服務器發出請求�����,最終導致服務器不能正常工作��。改寫注冊表信息雖然不能完全制止這類攻擊��,但是可以降低其風險�����,所以,建議搜索并實施相關攻擊的注冊表改寫對策�����。降低SYN攻擊的注冊表改寫對策是:將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為2��。
7、簡化IIS5中的驗證方法
Win2000和IIS5緊密結合的一點就體現在它們共享了驗證的功能和方法,這包括:匿名訪問、基本驗證(密碼用明文送出)����、Windows域服務器的簡要驗證��、集成Windows驗證等等。對于大多數Web站點來說,有匿名訪問或基本認證就足夠了,或者干脆只保留匿名訪問形式����。在有些地方�����,最簡單的往往是最有效的!
8、為IIS5中的文件分類設置權限
除了在操作系統級別為IIS5的文件設置必要的權限外�����,還要在IIS管理器中為它們設置權限���,以期做到雙保險��。一般而言����,對一個文件夾永遠也不應同時設置寫和執行權限�,以防止攻擊者向站點上傳并執行惡意代碼。還有目錄瀏覽功能也應禁止,預防攻擊者把站點上的文件夾瀏覽個遍最后找到“不忠的壞分子”����。一個好的設置策略是:為Web 站點上不同類型的文件都建立目錄���,然后給它們分配適當權限。例如:
Scripts目錄:包含站點的所有腳本文件���,如cgi、vbs����、asp等等���,為這個文件夾設置“純腳本”執行許可權限�。
BIN目錄:包含站點上的二禁止執行文件�����,應該為這個文件夾設置“腳本和可執行程序” 執行許可權限�。
Static目錄:包括所有靜態文件����,如HTM 或HTML,為這個文件夾設置“讀權限”
9�、全力保護IIS
metabase IIS Metabase保存著包括口令在內的幾乎IIS配置各個方面的內容����,而且這些信息都以明文形式存儲��,因此保護它至關重要���。建議采取如下措施:
把HTTP和FTP根文件夾從%systemroot%下移走
慎重考慮重新命名Metabase和移動Metabase位置
安全設置確定Metabase位置的注冊表關鍵字
審核所有試圖訪問并編輯Metabase的失敗日志
刪除文件%systemroot%\system32\inetserv\Iissync.exe
為Metabase文件設置以下權限:Administrators/完全控制�����,System/完全控制完成IIS配置后對Metabase 進行備份����,這時會創建文件夾%systemroot%\system32\inetserv\MetaBack���,備份文件就存儲在其中��。對于這個地方,要采取如下措施進行保護:
審核對\MetaBack文件夾的所有失敗訪問嘗試
為\MetaBack文件夾設置如下權限:Administrators/完全控制���,System/完全控制最后,要保護能夠編輯Metabase的工具����,步驟是:
移走文件夾\Inetpub\Adminscripts�����,這里包含著IIS的所有管理腳本
將"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夾下,并調整相應的開始菜單快捷方式�����。
審核對\Adminscripts文件夾的所有失敗訪問嘗試
對執行.VBS文件的%systemroot%\system32\csript.exe設置權限為“Administrators/完全控制”����。
對\Adminscripts文件夾設置權限“Administrators/完全控制”。
不要在服務器上面安裝FRONPAGE等系列的軟件����。�����。。這樣也可能是黑客的入侵口���!
關掉自己不需要的服務和映射...[建議最好把不用的映射DEL掉] 還有就是注意建立審核例行程序和備份策略和數據保護對存儲在服務器上暴露于Internet的數據進行保護也很重要����。除了設置相應權限外,建立一個正式的備份策略,定期進行磁帶備份非常必要的�。對于以上兩點都需要明確目標��������?梢园褌浞莘謨煞荨1備份在SERVER外“光盤。磁帶。或者局域網中的其他COMPUTER硬盤中�����。 2備份在SERVER其他盤中��,把權限設置為adminstrators�。
