熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

Win2K Internet服務器安全構建指南

2022-06-13   來源: 安全防毒 

  WinK操作系統的一個主要特色就是將IIS融入其內核之中並提供一些用來配置和維護軟件的向導工具使構建一個Internet網站輕松易得但是如果要創建一個安全可靠的Internet網站實現地面部分-WinK操作系統和空中部分-IIS的雙重安全還需要更加全面和深入的工作本文就對這些穩固工作中的空中部分-IIS進行討論旨在幫助管理員一步步地實施網站安全構建工作
  一TCP/IP方面要重點考慮的安全配置信息
  WinK提供了三種方式對進站連接進行訪問控制以下分別介紹
  TCP/IP安全配置
  WinK中的TCP/IP安全配置與Windows NT 中的執行方式完全相同配置方法非常基本也非常簡單根本原則就是全部允許或只允許
   
  全部允許表示放行來自所有端口的通訊數據只允許表示除了特別列出端口外的通訊數據都拒絕TCP/IP篩選雖然簡單但過濾總比沒有過濾好建議管理員不要漏掉這個防線
  對路由和遠程訪問服務(Routing and Remote Access ServiceRRAS)形式的進站連接設置訪問控制列表
  路由和遠程訪問服務(RRAS)能夠配置出更加靈活復雜的信息包過濾器盡管過濾方式是靜態的但它的過濾細節卻很多包括信息包方向IP地址各種協議類型
   
  IPSec Policy Filters(IP安全策略過濾器)
  IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)強制執行是WinK操作系統的新生功能它彌補了傳統TCP/IP設計上的隨意信任重大安全漏洞可以實現更仔細更精確的TCP/IP安全可以說IPSec是一個基於通訊分析的策略它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合然後據此允許或拒絕通訊的傳輸這些規則叫做過濾器列表管理員可以圍繞各種不同的安全認證協議來設計它們協議包括
  ● Internet密鑰交換協議(Internet Key Exchange ProtocolIKE): 一種使VPN節點之間達成安全通信的協議其功能強大設計靈活
  ● 認證IP數據包(Authentication HeaderAH)也就是將數據包中的數據和一個變化的數字簽字結合起來使得接收者能夠確認數據發送者的身份以及確認數據在傳輸過程中沒有被纂改過
  ● Encapsulation Security Payload (ESP)指使用硬件對數據包中的數據進行加密使象Sniffer類的網絡監聽軟件無法得到任何有用信息
  二配置安全的IIS
  單獨設置IIS服務器
  如果可能IIS應該安裝在一個單獨的服務器上就是說這個服務器不是任何域中的成員不必與域控制器建立Netlogon信道從而降低通過服務器之間連接而建立起來的空用戶連接所帶來的安全風險而且由於系統之間不傳遞認證通訊信息也就降低了登錄口令被截獲的可能
  禁止不需要的服務
  另外如果僅僅是單純的Web 服務器那麼最好禁止掉以下不需要的服務
   
  合理設置Web根文件夾
  同前面論述的將操作系統與應用程序單獨存放在不同的分區或磁盤驅動器一樣現在又要使用到隔離技術了建議將Web根文件夾wwwroot定位在操作系統分區以外的地方甚至是另外的物理磁盤驅動器上而且當設置Web站點的虛擬目錄或重定向文件夾時也要保證這些目錄不會被重定向到操作系統的啟動分區因為有些攻擊能夠危及訪問文件夾所在分區上的其它文件夾
  還有一種安全處理方式就是把Web根文件夾設置到另一個服務器上使IIS服務器成為一個只緩沖請求應答請求的系統而且經過這樣處理後整個服務器基本上是一個通用型的其上沒有存儲任何內容即使站點遭到攻擊而癱瘓也可以從磁帶或其它備份中快速簡單地恢復服務器
  為重要系統文件改頭換面
  操作系統中有許多非常重要的文件它們就象雙刃劍既可以讓管理員方便地執行維護工作又可能被攻擊者利用進行破壞活動為此建議對這些文件進行刪除重命名或者為其設置NTFS權限目的就是使攻擊者再也找不到熟悉的面孔這些文件包括
   
  刪除危險的IIS組件
  默認安裝後的有些IIS組件可能會造成安全威脅應該從系統中去掉所謂多一個組件不如少一個組件以下是一些黑名單參考請管理員酌情考慮
  ● Internet服務管理器(HTML)這是基於Web 的IIS服務器管理頁面一般情況下不應通過Web進行管理建議卸載它
  ● 樣本頁面和腳本這些樣本中有些是專門為顯示IIS的強大功能設計的但同樣可被用來從Internet上執行應用程序和浏覽服務器這不是好事情建議刪除
  ● WinK資源工具箱 或IIS資源工具箱這些由專家編寫的軟件大概是現在最好的黑客工具了其中有許多項目可以被攻擊者利用從服務器上提取信息進行破壞
  ● SMTP和NNTP如果不打算使用服務器轉發郵件和提供新聞組服務就刪除這些項目吧否則別因為它們的漏洞帶來新的不安全
  ● Internet打印Internet打印是WinK中的一個新特性它提供了通過Internet將打印作業題交給打印機的方式但是由於網絡上的打印機是通過一個Web頁面進行訪問並管理的所以也就使系統增加了許多受到利用的可能
  改寫注冊表降低被攻擊風險
  DDoS攻擊現在很流行例如SYN使用巨量畸形TCP信息包向服務器發出請求最終導致服務器不能正常工作改寫注冊表信息雖然不能完全制止這類攻擊但是可以降低其風險所以建議搜索並實施相關攻擊的注冊表改寫對策降低SYN攻擊的注冊表改寫對策是將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為
  簡化IIS中的驗證方法
  WinK和IIS緊密結合的一點就體現在它們共享了驗證的功能和方法這包括匿名訪問基本驗證(密碼用明文送出)Windows域服務器的簡要驗證集成Windows驗證等等
  
  對於大多數Web站點來說有匿名訪問或基本認證就足夠了或者干脆只保留匿名訪問形式在有些地方最簡單的往往是最有效的!
  為IIS中的文件分類設置權限
  除了在操作系統級別為IIS的文件設置必要的權限外還要在IIS管理器中為它們設置權限以期做到雙保險一般而言對一個文件夾永遠也不應同時設置寫和執行權限以防止攻擊者向站點上傳並執行惡意代碼還有目錄浏覽功能也應禁止預防攻擊者把站點上的文件夾浏覽個遍最後找到不忠的壞分子一個好的設置策略是為Web 站點上不同類型的文件都建立目錄然後給它們分配適當權限例如
  ● Scripts目錄包含站點的所有腳本文件如cgivbsasp等等為這個文件夾設置純腳本執行許可權限
  ● BIN目錄包含站點上的二禁止執行文件應該為這個文件夾設置腳本和可執行程序 執行許可權限
  ● Static目錄包括所有靜態文件如HTM 或HTML為這個文件夾設置讀權限
  全力保護IIS metabase
  IIS Metabase保存著包括口令在內的幾乎IIS配置各個方面的內容而且這些信息都以明文形式存儲因此保護它至關重要建議采取如下措施
  ● 把HTTP和FTP根文件夾從%systemroot%下移走
  ● 慎重考慮重新命名Metabase和移動Metabase位置
  ● 安全設置確定Metabase位置的注冊表關鍵字
  ● 審核所有試圖訪問並編輯Metabase的失敗日志
  ● 刪除文件%systemroot%\system\inetserv\Iissyncexe
  ● 為Metabase文件設置以下權限Administrators/完全控制System/完全控制
  完成IIS配置後對Metabase 進行備份這時會創建文件夾%systemroot%\system\inetserv\MetaBack備份文件就存儲在其中對於這個地方要采取如下措施進行保護
  ● 審核對\MetaBack文件夾的所有失敗訪問嘗試
  ● 為\MetaBack文件夾設置如下權限Administrators/完全控制System/完全控制
  最後要保護能夠編輯Metabase的工具步驟是
  ● 移走文件夾\Inetpub\Adminscripts這裡包含著IIS的所有管理腳本
  ● 將\program file文件下的Metaeditexe 和Metautildll移到%systemroot%\system\Inetserv文件夾下並調整相應的開始菜單快捷方式
  ● 審核對\Adminscripts文件夾的所有失敗訪問嘗試
  ● 對執行VBS文件的%systemroot%\system\csriptexe設置權限為Administrators/完全控制
  ● 對\Adminscripts文件夾設置權限Administrators/完全控制
  三建立審核例行程序和備份策略
  完成了以上這些任務後可以說服務器就是一個准Internet 服務器之所以說是因為還需要以下兩個重要的補充方案
  建立審核例行程序
  在站點對外開放前我們必須為這個服務器配置一個審核程序以及時全面地確定服務器是否正受到攻擊或威脅日志文件就象一個站點的耳朵千萬不要讓它成為擺設每天都要安排一定的時間來查看日志檢查是否有異常活動發生而且可以使用一些商業工具方便地及時地或定時地收集和整理相關日志信息以期更有效地檢查它們
  以下是必須重點關注的事件
  ● 失敗的登錄
  ● 失敗的文件和對象訪問
  ● 失敗的用戶權力使用
  ● 失敗的安全策略修改
  ● 失敗的用戶和組策略修改
  以下是需要關注的事件
  ● 所有對
From:http://tw.wingwit.com/Article/Security/201312/30096.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.