当前位置:错新网文章中心服务器Web服务器 → Windows Server 2003 安全性指南介绍 强化IIS服务器

Windows Server 2003 安全性指南介绍 强化IIS服务器

减小字体 增大字体 作者:admin  来源:www.hack50.com  发布时间:2012-1-22 7:29:14

概述

本章讨论在您的环境中强化IIS服务器所需要的指导和程序。要想为组织内部网中的Web服务器和应用软件提供全面的安全性,每一台Microsoft® Internet Information Services (IIS)服务器以及在这些服务器上运行的每一个站点和应用软件都应当受到保护,以免受到与之相连的客户机的攻击。另外,运行在IIS服务器上的这些网站和应用软件还应当免受公司内部Intranet中运行于其它IIS服务器上的网站和应用软件的攻击。

为了在抵制恶意用户和攻击者的过程中占据主动,在安装Microsoft Windows® Server™ 2003时,缺省情况下,Windows Server 2003家族在安装时不会安装IIS。IIS最初以高度安全的“锁定”模式安装。例如,默认情况下,IIS最初将只处理静态内容。除非管理员启用它们,否则诸如Active Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)发布、以及Microsoft FrontPage® Server Extensions等特性将无法工作。这些特性可以通过Internet Information Services Manger (IIS Manager)中的Web Service Extensions节点来启用。

IIS Manager 具有图形化的用户界面(GUI),可用来方便地对IIS进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。

本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司Intranet中存放HTML内容的IIS服务器的安全性。但是,要想确保IIS服务器的彻底安全,您还应当运行安全监视、检测和响应等程序。

审核策略设置

在本指南定义的三种环境下,IIS服务器的审核策略设置通过MSBP来配置。要了解有关MSBP的更多信息,请参看第三章“创建成员服务器基线”。MSBP设置可确保所有的相关安全性审核信息均被记录在IIS服务器上。

用户权限分配

在本指南所的定义的三种环境中,大多数IIS服务器的用户权限分配通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。下面阐述MSBP与Incremental IIS Group Policy(增量式IIS组策略)之间的差别。

拒绝通过网络访问该计算机

表8.1: 设置

成员服务器缺省值

旧有客户机

企业客户机

高安全性

SUPPORT_388945a0

匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户

匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户

匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户

注意: 安全性模板中不包括匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识(SID)。因此,您必须手动添加它们。

拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。该设置将拒绝很多网络协议,包括服务器信息块(SMB)协议,网络基本输入/输出系统(NetBIOS),通用Internet文件系统(CIFS),超文本传输协议(HTTP),以及 COM+ 等。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行管理员任务的能力。

在第三章“创建成员服务器基线”中,本指南推荐将Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问IIS的IUSR 帐户被默认为Guest 组的成员。本指南推荐从增量式IIS组策略中清除 Guests 组,以确保必要时可配置对IIS服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0Guest以及所有非操作系统服务帐户

安全选项

在本指南所的定义的三种环境中, IIS服务器的安全选项通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置保证了所有的相关安全选项能够跨IIS服务器实现统一配置。

事件日志设置

在本指南所的定义的三种环境中,IIS服务器的事件日志设置通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。

系统服务

为了让IIS向Microsoft Windows Server™ 2003 添加 Web 服务器功能,必须启用以下三种服务。增量式IIS组策略确保了这些服务被配置为自动启动。

注意:MSBP禁用了几种其它的IIS相关服务。FTP、SMTP和NNTP就是被MSBP禁用的服务的例子。如果想要在本指南所定义的任何一种环境下的IIS服务器上启用这些服务,必须更改增量式IIS组策略。

HTTP SSL

表 8.2: 设置

服务名称默认的成员服务器

旧有客户机

企业客户机

高安全性

HTTPFilter手动

自动

自动

自动

HTTP SSL”服务使得IIS能够实现安全套接字层(SSL)功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在World Wide Web上进行电子金融事务成为可能,当然也可用它来实现其它Internet服务。

如果HTTP SSL服务终止,IIS将无法完成SSL功能。禁用该服务将导致所有明确依赖该它的服务不能实现。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问这些设置,因此可以防止未经授权或恶意的用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将HTTP SSL设置配置为“自动”。

IIS管理服务

表8.3: 设置

服务名称默认的成员服务器

旧有客户机

企业客户机

高安全性

IISADMIN未安装

自动

自动

自动

IIS管理服务”允许对IIS组件进行管理,例如文件传输协议(FTP)、应用程序池、站点、Web服务扩展,以及网络新闻传输协议(NNTP)和简单邮件传输协议(SMTP)的虚拟服务器

IIS管理服务必须运行,以便让IIS服务器能够提供Web、FTP、NNTP以及SMTP服务。如果这些服务不可用,IIS将无法配置,并且对站点服务的请求将不会成功。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员对它进行单独访问,因此可防止未授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“IIS管理服务”设置配置为“自动”。

World Wide Web发布服务

表8.4: 设置

服务名称默认的成员服务器

旧有客户机

企业客户机

高安全性

W3SVC未安装

自动

自动

自动

World Wide Web发布服务通过IIS管理单元提供网络连通性和网站管理。

World Wide Web发布服务必须得到运行,以便让IIS服务器通过IIS Manager提供网络连通性和管理。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问改设置,以防止未经授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“World Wide Web发布服务”设置配置为“自动”。

其它安全设置

在安装完Windows Server 2003和IIS之后,IIS在缺省情况下只能提供静态的网站内容。如果站点和应用程序包含动态内容,或者需要一个或多个附加IIS组件,每个附加IIS特性必须逐一单独启用。但是,在该过程中必须注意:您需要确保在您的环境中将每个IIS服务器的受攻击面积降至最小。如果您的组织只包含静态内容而无需其它IIS组件,这时,缺省的IIS配置已经可以将您的环境中的IIS服务器的攻击表面降至最小。

通过MSBP应用的安全性设置为IIS服务器提供了大量的增强安全性。然而,您还需要考虑其它一些附加事项。这些步骤不能通过组策略完成,而必须在所有IIS服务器上手动执行。

只安装必需的IIS组件

除了World Wide Web发布服务之外,IIS6.0还包括其它的组件和服务,例如FTP和SMTP服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动Windows Components Wizard Application Server,以安装和启用IIS组件和服务。在安装完IIS之后,网站和应用程序所需要的全部IIS组件和服务必须得到启用。

安装Internet信息服务(IIS)6.0:

1.   在“控制面板”上,双击“添加/删除程序”。

2.   单击“添加/删除Windows组件”按钮,启动Windows组件向导。

3.   在“组件”列表中,单击“应用程序服务器”,然后单击“详细”。

4.   在“应用程序服务器”对话框中,在“应用程序服务器子组件”下,单击“Internet信息服务(IIS”,然后单击“详细”。

5. 在Internet信息服务(IIS)对话框的Internet信息服务(IIS)子组件列表中,完成以下工作之一:

  •   要增加其它组件,请选中想要安装组件旁边的复选框。
  •   要删除已安装的组件,请清除想要删除组件旁边的复选框。

6. 单击“确定”返回到Windows组件向导。

7. 单击“下一步”,然后单击“完成”。

只有站点和应用程序所必需的那些基础IIS组件和服务应当被启用。启用不必要的组件和服务只会增加IIS服务器受攻击的表面积。

下面的插图和表格显示了IIS组件的位置和建议设置。

应用程序服务器”对话框中的子组件如下图所示:

图8.1

应用程序服务器子组件

下表简要描述了应用程序服务器的子组件,并且对何时启用它们提供了建议。

表8.5: 应用程序服务器子组件

UI中的组件名称设置设置逻辑
应用程序服务器控制台禁用提供一个Microsoft 管理控制台(MMC),以便管理所有的Web应用程序服务器组件。该组件在专用IIS服务器中不是必需的,因为您还可以使用IIS Server Manager。
ASP.NET禁用提供了对ASP.NET应用程序的支持。当IIS服务器运行ASP.NET应用程序时启用该组件。
启用网络COM+访问启用允许IIS服务器作为存储用于分布式应用程序的COM+ 组件的主机。该组件是FTP、BITS服务器扩展、World Wide Web服务以及IIS Manager等所必需的。
启用网络DTC访问禁用允许IIS服务器作为存储通过分布式事务协调器(Distributed Transaction Coordinator,DTC)来参与网络事务的应用软件的主机。除非运行于IIS服务器的应用软件需要,否则应该禁用该组件。
Internet信息服务(IIS)启用提供基本的Web和FTP服务。该组件是专用IIS服务器所必需的。
消息队列禁用注意:如果该组件未启用,则所有的子组件将禁用。

Internet信息服务(IIS”对话框中的子组件如下图所示:


本文引用网址:

在下列搜索引擎中搜索“Windows Server 2003 安全性指南介绍 强化IIS服务器”的相关信息:

谷歌搜索 百度搜索 雅虎搜索 搜狗搜索 搜搜搜索 必应搜索 有道搜索
你可能还喜欢以下文章
  • 1王婷不雅视频 王婷全裸艳照 王...
  • 2段红是谁?段红不雅照全套网络...
  • 3雨后小故事1qq表情 姐弟雨后洗...
  • 4qq表情雨后的故事3 姐姐给弟弟...
  • 5杭州大学校花小薇自拍门qvod 小...
  • 1说说"电视棒"为什么卖得这么火...
  • 2如何搭建第一个网站?做网站有...
  • 3未注册双拼域名查询 未注册双拼...
  • 4pr值迅速升高的简单方法
  • 5Apache、php、mysql在win2003下...
  • 1中国女大学生的淫靡生活
  • 2港媒曝23岁女主播公园野战qvod...
  • 3嫩白少妇与猛男户外疯狂车震遭...
  • 4日本AV六级试卷 (附标准答案)
  • 5实拍低俗下流的娱乐节目现场高...
  • 1LAMP:配置Linux Apache Web服务...
  • 2常见的DDoS黑客攻击技术方法
  • 3加密无痕Win7系统让U盘成为个人...
  • 424日预警:将感染电脑变成FTP服...
  • 5IIS服务器的备份和移植技巧
  • 赞助商广告

    图片文章导读