IIS

  • 格式:pdf
  • 大小:374.96 KB
  • 文档页数:5

墨一 

璜。 读者若看完本文仍有很大兴趣的话,可以阅读本文 作者所介绍的四篇文章,从而对建立IlS Web网站时会 罐科的缝项的设置意义有更清楚的认识。 web服务器是您的网络上最容易成为入侵者目标的 系统。确保Microsoft IIS系统的安全是系统管理员的首 要目标之一。Microsoft提供了多种文件与工具来帮助管 理员,其中有些资源是供开发者而不是供管理员使用 的,但是在Web服务器的世界中,开发与管理的界限往 往很模糊。很多滥用的情形是来自应用程序代码的弱点 而非设置,因此Web网站的安全对于开发者与管理员的 责任是一样重大的。即使您将Web网站的开发工作外 包,也需要知道与开发有关的重要的安全性问题,才能 够保护您的IIS系统,以免被侵入。 阅读所有信息 要怎样才能保障您的web服务器的安全呢?如果要 为这个范围广泛的问题寻求解答,Microsoft最近重新设 计的WebSite Security网页(http://www.microsoft.com/ technet/security/web.asp)是一个很好的起点。对于IIS 的安全问题,这个Web网站提供了很多宝贵而且最近才 一 I I S安全新知 利用这些文件与工具战胜入侵者 作 ̄/Randy Franklin Smith译者/马敏导读者/杨明豪 

更新过的文件。下列文件特别有帮助: “Security Checklist for Microsoft Internet Informa— tion Server”。这份文件中有很多Windows NT与IIS的 设置诀窍,是Web服务器的安全所不可或缺的。这份文 件是确保服务器安全、并提升至现行安全修补级别的好 起点,读过这份文件之后,我建议您订阅“Microsoft Security Notification Service”(Microsoft安全通知服务), 以便在安全问题与产品上不落人后。 “Designing and Planning Windows NT External Security”。Microsoft Consulting Services这份很实际 的文件是以好几家公司的最佳做法为基础的。虽然已经 有点过时(它针对的是NT 4.0 Service Pack 4一SP4)【注释 1】,有关非军事区(demilitarized zone,DMZ)[注释2】操 作的讨论,尤其是如何设置NT与IIS,以便在DMZ内 执行的部分,还是很珍贵的。这份内容丰富的文件还涉 及其他区域,例如安全策略【注释3】、事件的响应【注释 4】、灾难恢复【注释5】、防火墙操作、PPTP[注释6】与 Microsoft Proxy Server[注释7】的使用等等。 ‘‘Untangling Web Security:Getting the Most from IIS ●I. l' ‰ ≤ 维普资讯 http://www.cqvip.com NT Service Pack 4,是微软针对Windows NT下 一版推出前所推出的修正服务第4版的意思,它通常包 含7对系统功能、程序代码或DLL的更新,使NT持续 具备量新的功能、执行得更顾畅。此外,Service Pack 内也会含有一些先前没有的新软件工具,其在安装 Service Pack时就会问用户要不要安装这个新的功能。 非军事区(DMZ)能提供量佳安全性的服务器位置。 在一个对嘲络安全性很重视的企业,可能会利用防火墙 将企业内部一些区域定义为“军事区”(Inte rnet上的用 户不可以对内进行任何访问),此外会在外部定义安全性 很高的区域“非军事区”,以放置Ma_I服务器或Web 服务器等。着想对这些服务器有更进一步的保护,通常 也都会在这些服务器上设置针对这些服务器的防火墙, 以保护企业对外的一些重要服务器。 安全策略:一个企业对自基的嘲络访问制定出一套 规则,以规范员工使甩网络的行为,我们就称这种规范 为安全策略。如不准一些应用程序(如后门程序、FTP等) 连进来、上班时不可以看股市、信件大小不可超过1 M8 等。 当检查到有外来的人或企业内部的人员违反安全策 略,可能会造成该企业有形或无形的伤害,其管理人员 或危机处理主机所要做的晌应就叫做】.|件的晌应。 如防火墙检查到有人对这台计算机做DoS(中断服务) 攻击,则该防火墙可能会将该连接(攻击端和该计算机的 连接)切断,并且记录下该攻击者的来源lP和所有事件记 最,以量快速度通知系统管理者(通过电子邮件、寻呼 机或短信息等1。 Security”。如果您是IIS安全的新手,我建议您阅读这 篇IIS 4.0安全的导论。这份文件描述几项基本的安全功 能,并教您如何最佳化配置。 “Implementing a Secure Site with ASP”。这篇文 章讨论的是与开发者有关的IIS安全性。虽然没有教您如 何编写安全可靠的“动态服务器网页”(Active Server Pages,ASP)的程序代码,却从安全的立场解释IIS、 NT、ASP以及Microsoft SQL Server如何交互运行。这 一 这里的灾难是指,当有恶意入侵者,戏是因为应用 软件的漏洞造成计算机不能正常运行,如当机戏中囊滕 务,则会有一个自动的机制在该台计算机中使计算机曩 新开机后可以以量快的速度恢复计算机未被入侵之翦的状 态 其中一个大家量常碰到的倒子就是。当WindOws 在不正常的情形下关机,Windows会自动检测计算梳状 态,若计算机当机之前在甩Word编辑数据,Windows 会自动帮你把之前编辑的文件口q出(Word自动帮体存的文 件),以使当机所发生的损寄降烈量低。 PPTP(Point-to-Point Tunnel ̄g骖 嘲)点对点麓j 道传输协议和大家熟知的PPP(Point—to-Point Protoco1) 都是WindoWS用来支持拨号服务的协议。 PPTP是个人用户和Internet联络的一种协议 其曾 先会和I S P业者利甩拨号网络戏专自爱建立连接 然后会 利用编码过的“隧道”将数据通过internet传邀翳 P 服务器后,就可以和Inte rRet上其他的人安全沟通。 Microsoft Proxy Server座由徽敬舟f童嘲豹 代 理”功能,其涵盖的功能包含大家所熟知盼缓 功能・ 此外还有封包过滤的功能,与传统封包过滓《在iIP屡过滤 封包)的不同处是其可以针对不同的应用程序,甚至应用 程序内的指令细节进行控制。 篇文章还说明YIIS 4.0的验证方法如何在多层式Web应 用程序中运行,并协助您识别最适合您需要的选项。 “万一”您需要其他帮助呢?【注释8】 除了有用的文件之外,Web Site Security网页还提 供如图1所示的IIS安全性“What If”工具。“What If”可以协助您浏览在设置Web服务器时可能遭遇的所 有选项与难题。这个以web为基础的简单工具会要求您 :j● 维普资讯 http://www.cqvip.com 指定浏览器的类型与版本、客户端的OS、Web服务器 的版本、验证的方法,以及您的使用环境是Internet还 是企业内部网络。然后工具便会很快找出不能用的浏览 器、服务器以及技术的组合,这可帮您避免会造成浪费 的开发工作。 进行设置【注释9】 所有必要的IIS安全设置变更工作都可能令人望而生 畏,图2所示的新的Microsoft Windows 2000 Internet Server Security ConfigurationI具企图将IIS 5.0服务器的 设置工作自动化(您可以到下列网站下载这个免费工具 http:Hwww.microsoft.com/technet/security/tools.asp.)。 如果要使用该工具,请从安装目录\tool\dataentry 打开default.htm。该工具是一个自动解压缩的可执行文 件、Web网页以及COM对象的集合。有两个目录(即 dataentry与engine)对应于工具的两个步骤的任务。在第 一个步骤中,您要用DataEntry组件选取要用于Web网 圈1:I IS安全的“What If”工具 站上的功能。工具会停用您没有选取的功能,所以您选 取的功能越少,该工具就越能够紧密地保护您的服务 器。选取您要的功能之后,按一下图3中显示的【Create Template(建立模板)】,该工具就会建立一个文字文件模 板用来存储您的选择数据。 要预先警告的是:请勿在没有彻底了解这个工具如 何运行的情况下,就下载和使用Windows 2000 Internet Server Security Configuration Tool。这个工具含有一些 bug,会将您的网站锁定,使用户无法进入,或者是暴 露您服务器上的某些弱点。为了帮您避免这些问题,让 我们来逐一查看图3中的安全模板,看看这个工具到底 是如何停用各项功能的。 远程管理功能。Windows Networking远程管理员访 问能够让您以远程方式查看及使用“事件查看器”与 “Microsoft管理控制台”(MMC)之类的工具去管理系 统。为了限制这项功能,共享程序会在系统的本机IP安 全(IPSec)策略中阻断TCP连接端口139。为了防止来自 管理Web网站的远程管理,工具会阻断TCP连接端口 6583(或者您为网站定制的任何连接端口)。请注意,工 具不是停用远程管理功能,而只是阻断可以使用的TCP 连接端口,以防止远程访问。 专门化的服务器使用。FTP、S M TP、网络新闻 圈2:Windows 2000 Intemet Server Security Configuration TA 

● 维普资讯 http://www.cqvip.com 传输协议(Network News Transfer Protocol,NNTP)以及 Telnet是常见的Web服务器攻击点。为了让系统停止使 用这些协议,该工具不但会阻断相关的TCP连接端口 (即供FTP使用的连接端口20与21、供SMTP使用的连 接端口25、供NNTP使用的连接端口ll9,以及供Telnet 使用的连接端口23),还会停用对应的系统服务。该工 具还会阻断SSLTCP端口443的访问。除了供Web访问 使用的TCP连接端口80之外,工具会阻断其他的所有 连接端口。 非静态文件与ASP的服务。Inte rnet打印、服务 器端包含(SSI)、通过Web变更密码以及Microsoft Index Server都可能造成安全上的漏洞。这些有弱点的功能都 采用IIS指令文件对应,所以为了要终止这些功能,该 工具会删除它们。 Web范例。IIS包含Web应用范例,里面有攻击者所要 寻找的弱点。理论上,该工具可以让您停用这些应用程 序,然而我却发现除错输出中有一个信息表示: “Settings samples is currently NYI 99 9查过程序代码之 后,我发现NYI代表“not yet implemented”,纳入这 个还不能使用的模板选项,又没有清楚地表明这个选项不 能使用的状态,Microsoft让客户得到一个安全的假象。 我建议您参考“Security Checklist for Micro'soft NetBIOS是个人计算机闻要通过网络沟通的“网络 糠务集合”。这些腿务乃是基于N BT通讯协议来发展 其中NBT是针对№tBIoS的藏务要如何在TCP/IP的协议 上做沟通的一种通讯协议。 Internet Information Server”上的说明,将这个应用程 序删除。 在该工具的第二个处理步骤中,Engine组件会利用 模板设置服务器。如果要从命令行执行Engine,以确保 本机系统的安全,请键/ ̄iisconfig.cmd—f<iistemplate txt> 其中的iistemplate.txt就是您在DataEntry步骤中建 立的文本文件。如果您不是从含有这个文字文件的目录