Win
K操作系統的一個主要特色就是將IIS融入其內核之中
並提供一些用來配置和維護軟件的向導工具
使構建一個Internet網站輕松易得
但是
如果要創建一個安全可靠的Internet網站
實現
地面部分
-Win
K操作系統和
空中部分
-IIS的雙重安全
還需要更加全面和深入的工作
本文就對這些穩固工作中的空中部分-IIS進行討論
旨在幫助管理員一步步地實施網站安全構建工作
一
TCP/IP方面要重點考慮的安全配置信息
Win
K提供了三種方式對進站連接進行訪問控制
以下分別介紹
TCP/IP安全配置
Win
K中的TCP/IP安全配置與Windows NT
中的執行方式完全相同
配置方法非常基本也非常簡單
根本原則就是
全部允許或只允許
全部允許
表示放行來自所有端口的通訊數據
只允許
表示除了特別列出端口外的通訊數據都拒絕
TCP/IP篩選雖然簡單
但過濾總比沒有過濾好
建議管理員不要漏掉這個防線
對路由和遠程訪問服務(Routing and Remote Access Service
RRAS)形式的進站連接設置訪問控制列表
路由和遠程訪問服務(RRAS)能夠配置出更加靈活復雜的信息包過濾器
盡管過濾方式是靜態的
但它的過濾細節卻很多
包括信息包方向
IP地址
各種協議類型
IPSec Policy Filters(IP安全策略過濾器)
IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)強制執行
是Win
K操作系統的新生功能
它彌補了傳統TCP/IP設計上的
隨意信任
重大安全漏洞
可以實現更仔細更精確的TCP/IP安全
可以說
IPSec是一個基於通訊分析的策略
它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合
然後據此允許或拒絕通訊的傳輸
這些規則叫做過濾器列表
管理員可以圍繞各種不同的安全認證協議來設計它們
協議包括
● Internet密鑰交換協議(Internet Key Exchange Protocol
IKE): 一種使VPN節點之間達成安全通信的協議
其功能強大
設計靈活
● 認證IP數據包(Authentication Header
AH)
也就是將數據包中的數據和一個變化的數字簽字結合起來
使得接收者能夠確認數據發送者的身份以及確認數據在傳輸過程中沒有被纂改過
● Encapsulation Security Payload (ESP)
指使用硬件對數據包中的數據進行加密
使象Sniffer類的網絡監聽軟件無法得到任何有用信息
二
配置安全的IIS
單獨設置IIS服務器
如果可能
IIS應該安裝在一個單獨的服務器上
就是說
這個服務器不是任何域中的成員
不必與域控制器建立Netlogon信道
從而降低通過服務器之間連接而建立起來的空用戶連接所帶來的安全風險
而且
由於系統之間不傳遞認證通訊信息
也就降低了登錄口令被截獲的可能
禁止不需要的服務
另外
如果僅僅是單純的Web 服務器
那麼最好禁止掉以下不需要的服務
合理設置Web根文件夾
同前面論述的將操作系統與應用程序單獨存放在不同的分區或磁盤驅動器一樣
現在又要使用到隔離技術了
建議將Web根文件夾wwwroot定位在操作系統分區以外的地方甚至是另外的物理磁盤驅動器上
而且
當設置Web站點的虛擬目錄或重定向文件夾時
也要保證這些目錄不會被重定向到操作系統的啟動分區
因為有些攻擊能夠危及訪問文件夾所在分區上的其它文件夾
還有一種安全處理方式就是把Web根文件夾設置到另一個服務器上
使IIS服務器成為一個只緩沖請求
應答請求的系統
而且
經過這樣處理後
整個服務器基本上是一個通用型的
其上沒有存儲任何內容
即使站點遭到攻擊而癱瘓
也可以從磁帶或其它備份中快速簡單地恢復服務器
為重要系統文件改頭換面
操作系統中有許多非常重要的文件
它們就象
雙刃劍
既可以讓管理員方便地執行維護工作
又可能被攻擊者利用進行破壞活動
為此
建議對這些文件進行刪除
重命名或者為其設置NTFS權限
目的就是使攻擊者再也找不到熟悉的面孔
這些文件包括
刪除危險的IIS組件
默認安裝後的有些IIS組件可能會造成安全威脅
應該從系統中去掉
所謂
多一個組件
不如少一個組件
以下是一些
黑名單
參考
請管理員酌情考慮
● Internet服務管理器(HTML)
這是基於Web 的IIS服務器管理頁面
一般情況下不應通過Web進行管理
建議卸載它
● 樣本頁面和腳本
這些樣本中有些是專門為顯示IIS的強大功能設計的
但同樣可被用來從Internet上執行應用程序和浏覽服務器
這不是好事情
建議刪除
● Win
K資源工具箱 或IIS資源工具箱
這些由專家編寫的軟件大概是現在最好的黑客工具了
其中有許多項目可以被攻擊者利用從服務器上提取信息
進行破壞
● SMTP和NNTP
如果不打算使用服務器轉發郵件和提供新聞組服務
就刪除這些項目吧
否則
別因為它們的漏洞帶來新的不安全
● Internet打印
Internet打印是Win
K中的一個新特性
它提供了通過Internet將打印作業題交給打印機的方式
但是由於網絡上的打印機是通過一個Web頁面進行訪問並管理的
所以也就使系統增加了許多受到利用的可能
改寫注冊表降低被攻擊風險
DDoS攻擊現在很流行
例如SYN使用巨量畸形TCP信息包向服務器發出請求
最終導致服務器不能正常工作
改寫注冊表信息雖然不能完全制止這類攻擊
但是可以降低其風險
所以
建議搜索並實施相關攻擊的注冊表改寫對策
降低SYN攻擊的注冊表改寫對策是
將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為
簡化IIS
中的驗證方法
Win
K和IIS
緊密結合的一點就體現在它們共享了驗證的功能和方法
這包括
匿名訪問
基本驗證(密碼用明文送出)
Windows域服務器的簡要驗證
集成Windows驗證等等
對於大多數Web站點來說
有匿名訪問或基本認證就足夠了
或者干脆只保留匿名訪問形式
在有些地方
最簡單的往往是最有效的!
為IIS
中的文件分類設置權限
除了在操作系統級別為IIS
的文件設置必要的權限外
還要在IIS管理器中為它們設置權限
以期做到雙保險
一般而言
對一個文件夾永遠也不應同時設置寫和執行權限
以防止攻擊者向站點上傳並執行惡意代碼
還有目錄浏覽功能也應禁止
預防攻擊者把站點上的文件夾浏覽個遍最後找到
不忠的壞分子
一個好的設置策略是
為Web 站點上不同類型的文件都建立目錄
然後給它們分配適當權限
例如
● Scripts目錄
包含站點的所有腳本文件
如cgi
vbs
asp等等
為這個文件夾設置
純腳本
執行許可權限
● BIN目錄
包含站點上的二禁止執行文件
應該為這個文件夾設置
腳本和可執行程序
執行許可權限
● Static目錄
包括所有靜態文件
如HTM 或HTML
為這個文件夾設置
讀權限
全力保護IIS metabase
IIS Metabase保存著包括口令在內的幾乎IIS配置各個方面的內容
而且這些信息都以明文形式存儲
因此保護它至關重要
建議采取如下措施
● 把HTTP和FTP根文件夾從%systemroot%下移走
● 慎重考慮重新命名Metabase和移動Metabase位置
● 安全設置確定Metabase位置的注冊表關鍵字
● 審核所有試圖訪問並編輯Metabase的失敗日志
● 刪除文件%systemroot%\system
\inetserv\Iissync
exe
● 為Metabase文件設置以下權限
Administrators/完全控制
System/完全控制
完成IIS配置後對Metabase 進行備份
這時會創建文件夾%systemroot%\system
\inetserv\MetaBack
備份文件就存儲在其中
對於這個地方
要采取如下措施進行保護
● 審核對\MetaBack文件夾的所有失敗訪問嘗試
● 為\MetaBack文件夾設置如下權限
Administrators/完全控制
System/完全控制
最後
要保護能夠編輯Metabase的工具
步驟是
● 移走文件夾\Inetpub\Adminscripts
這裡包含著IIS的所有管理腳本
● 將
\program file
文件下的Metaedit
exe 和Metautil
dll移到%systemroot%\system
\Inetserv文件夾下
並調整相應的開始菜單快捷方式
● 審核對\Adminscripts文件夾的所有失敗訪問嘗試
● 對執行
VBS文件的%systemroot%\system
\csript
exe設置權限為
Administrators/完全控制
● 對\Adminscripts文件夾設置權限
Administrators/完全控制
三
建立審核例行程序和備份策略
完成了以上這些任務後
可以說服務器就是一個
准Internet 服務器
了
之所以說
准
是因為還需要以下兩個重要的補充方案
建立審核例行程序
在站點對外開放前
我們必須為這個服務器配置一個審核程序
以及時全面地確定服務器是否正受到攻擊或威脅
日志文件就象一個站點的耳朵
千萬不要讓它成為擺設
每天都要安排一定的時間來查看日志
檢查是否有異常活動發生
而且
可以使用一些商業工具方便地
及時地或定時地收集和整理相關日志信息
以期更有效地檢查它們
以下是必須重點關注的事件
● 失敗的登錄
● 失敗的文件和對象訪問
● 失敗的用戶權力使用
● 失敗的安全策略修改
● 失敗的用戶和組策略修改
以下是需要關注的事件
● 所有對
From:http://tw.wingwit.com/Article/Security/201312/30096.html
