拒絕通過網絡訪問該計算機
表8.1: 設置
| 成員服務器缺省值 |
舊有客戶機 |
企業客戶機 |
高安全性 |
| SUPPORT_388945a0 |
匿名登錄;內置管理員帳戶; Support_388945a0;Guest;所有非操作系統服務帳戶 |
匿名登錄;內置管理員帳戶; Support_388945a0;Guest;所有非操作系統服務帳戶 |
匿名登錄;內置管理員帳戶; Support_388945a0;Guest;所有非操作系統服務帳戶 |
注意: 安全性模板中不包括匿名登錄、內置管理員、Support_388945a0、Guest以及所有非操作系統服務帳戶。對于組織中的每個域,這些帳戶和組擁有唯一的安全標識(SID)。因此,您必須手動添加它們。
“拒絕通過網絡訪問該計算機”設置決定了哪些用戶不能通過網絡訪問該計算機。該設置將拒絕很多網絡協議,包括服務器信息塊(SMB)協議,網絡基本輸入/輸出系統(NetBIOS),通用Internet文件系統(CIFS),超文本傳輸協議(HTTP),以及 COM+ 等。當用戶帳戶同時適用兩種策略時,該設置將覆蓋“允許通過網絡訪問該計算機”設置。通過給其它組配置該用戶權限,您可以限制用戶在您的環境中執行管理員任務的能力。
在第三章“創建成員服務器基線”中,本指南推薦將Guests 組包含在被分配了該權限的用戶和組列表中,以提供最大可能的安全性。但是,用于匿名訪問IIS的IUSR 帳戶被默認為Guest 組的成員。本指南推薦從增量式IIS組策略中清除 Guests 組,以確保必要時可配置對IIS服務器的匿名訪問。因此,在本指南所定義的全部三種環境下,我們針對IIS服務器將“拒絕通過網絡訪問該計算機”設置配置為包括:匿名登錄、內置管理員、Support_388945a0、Guest以及所有非操作系統服務帳戶。
安全選項
在本指南所的定義的三種環境中, IIS服務器的安全選項通過MSBP來配置。要了解更多關于MSBP的信息,請參看第三章“創建成員服務器基線”。MSBP設置保證了所有的相關安全選項能夠跨IIS服務器實現統一配置。
事件日志設置
在本指南所的定義的三種環境中,IIS服務器的事件日志設置通過MSBP來配置。要了解更多關于MSBP的信息,請參看第三章“創建成員服務器基線”。MSBP設置確保了在企業IIS服務器中統一配置正確的事件日志設置。
系統服務
為了讓IIS向Microsoft Windows Server™ 2003 添加 Web 服務器功能,必須啟用以下三種服務。增量式IIS組策略確保了這些服務被配置為自動啟動。
注意:MSBP禁用了幾種其它的IIS相關服務。FTP、SMTP和NNTP就是被MSBP禁用的服務的例子。如果想要在本指南所定義的任何一種環境下的IIS服務器上啟用這些服務,必須更改增量式IIS組策略。
HTTP SSL
表 8.2: 設置
| 服務名稱 |
默認的成員服務器 |
舊有客戶機 |
企業客戶機 |
高安全性 |
| HTTPFilter |
手動 |
自動 |
自動 |
自動 |
“HTTP SSL”服務使得IIS能夠實現安全套接字層(SSL)功能。SSL是建立加密通信渠道的一種開放標準,以防止諸如信用卡號等關鍵信息被中途截獲。首先,它使得在World Wide Web上進行電子金融事務成為可能,當然也可用它來實現其它Internet服務。
如果HTTP SSL服務終止,IIS將無法完成SSL功能。禁用該服務將導致所有明確依賴該它的服務不能實現。您可以使用組策略來保證和設置服務的啟動模式,只允許服務器管理員訪問這些設置,因此可以防止未經授權或惡意的用戶配置或操作該服務。組策略還可防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,我們針對IIS服務器的需要將HTTP SSL設置配置為“自動”。
IIS管理服務
表8.3: 設置
| 服務名稱 |
默認的成員服務器 |
舊有客戶機 |
企業客戶機 |
高安全性 |
| IISADMIN |
未安裝 |
自動 |
自動 |
自動 |
“IIS管理服務”允許對IIS組件進行管理,例如文件傳輸協議(FTP)、應用程序池、站點、Web服務擴展,以及網絡新聞傳輸協議(NNTP)和簡單郵件傳輸協議(SMTP)的虛擬服務器。
IIS管理服務必須運行,以便讓IIS服務器能夠提供Web、FTP、NNTP以及SMTP服務。如果這些服務不可用,IIS將無法配置,并且對站點服務的請求將不會成功。您可以使用組策略來保證和設置服務的啟動模式,只允許服務器管理員對它進行單獨訪問,因此可防止未授權或惡意用戶配置或操作該服務。組策略還可防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,我們針對IIS服務器的需要將“IIS管理服務”設置配置為“自動”。
World Wide Web發布服務
表8.4: 設置
| 服務名稱 |
默認的成員服務器 |
舊有客戶機 |
企業客戶機 |
高安全性 |
| W3SVC |
未安裝 |
自動 |
自動 |
自動 |
World Wide Web發布服務通過IIS管理單元提供網絡連通性和網站管理。
World Wide Web發布服務必須得到運行,以便讓IIS服務器通過IIS Manager提供網絡連通性和管理。您可以使用組策略來保證和設置服務的啟動模式,只允許服務器管理員訪問改設置,以防止未經授權或惡意用戶配置或操作該服務。組策略還可防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,我們針對IIS服務器的需要將“World Wide Web發布服務”設置配置為“自動”。
其它安全設置
在安裝完Windows Server 2003和IIS之后,IIS在缺省情況下只能提供靜態的網站內容。如果站點和應用程序包含動態內容,或者需要一個或多個附加IIS組件,每個附加IIS特性必須逐一單獨啟用。但是,在該過程中必須注意:您需要確保在您的環境中將每個IIS服務器的受攻擊面積降至最小。如果您的組織只包含靜態內容而無需其它IIS組件,這時,缺省的IIS配置已經可以將您的環境中的IIS服務器的攻擊表面降至最小。
通過MSBP應用的安全性設置為IIS服務器提供了大量的增強安全性。然而,您還需要考慮其它一些附加事項。這些步驟不能通過組策略完成,而必須在所有IIS服務器上手動執行。
只安裝必需的IIS組件
除了World Wide Web發布服務之外,IIS6.0還包括其它的組件和服務,例如FTP和SMTP服務。您可以通過雙擊“控制面板”上的“添加/刪除程序”來啟動Windows Components Wizard Application Server,以安裝和啟用IIS組件和服務。在安裝完IIS之后,網站和應用程序所需要的全部IIS組件和服務必須得到啟用。
安裝Internet信息服務(IIS)6.0:
1. 在“控制面板”上,雙擊“添加/刪除程序”。
2. 單擊“添加/刪除Windows組件”按鈕,啟動Windows組件向導。
3. 在“組件”列表中,單擊“應用程序服務器”,然后單擊“詳細”。
4. 在“應用程序服務器”對話框中,在“應用程序服務器子組件”下,單擊“Internet信息服務(IIS)”,然后單擊“詳細”。
5. 在Internet信息服務(IIS)對話框的Internet信息服務(IIS)子組件列表中,完成以下工作之一:
- 要增加其它組件,請選中想要安裝組件旁邊的復選框。
- 要刪除已安裝的組件,請清除想要刪除組件旁邊的復選框。
6. 單擊“確定”返回到Windows組件向導。
7. 單擊“下一步”,然后單擊“完成”。
只有站點和應用程序所必需的那些基礎IIS組件和服務應當被啟用。啟用不必要的組件和服務只會增加IIS服務器受攻擊的表面積。
下面的插圖和表格顯示了IIS組件的位置和建議設置。
“應用程序服務器”對話框中的子組件如下圖所示:
圖8.1
應用程序服務器子組件
下表簡要描述了應用程序服務器的子組件,并且對何時啟用它們提供了建議。
表8.5: 應用程序服務器子組件
| UI中的組件名稱 |
設置 |
設置邏輯 |
| 應用程序服務器控制臺 |
禁用 |
提供一個Microsoft 管理控制臺(MMC),以便管理所有的Web應用程序服務器組件。該組件在專用IIS服務器中不是必需的,因為您還可以使用IIS Server Manager。 |
| ASP.NET |
禁用 |
提供了對ASP.NET應用程序的支持。當IIS服務器運行ASP.NET應用程序時啟用該組件。 |
| 啟用網絡COM+訪問 |
啟用 |
允許IIS服務器作為存儲用于分布式應用程序的COM+ 組件的主機。該組件是FTP、BITS服務器擴展、World Wide Web服務以及IIS Manager等所必需的。 |
| 啟用網絡DTC訪問 |
禁用 |
允許IIS服務器作為存儲通過分布式事務協調器(Distributed Transaction Coordinator,DTC)來參與網絡事務的應用軟件的主機。除非運行于IIS服務器的應用軟件需要,否則應該禁用該組件。 |
| Internet信息服務(IIS) |
啟用 |
提供基本的Web和FTP服務。該組件是專用IIS服務器所必需的。 |
| 消息隊列 |
禁用 |
注意:如果該組件未啟用,則所有的子組件將禁用。 |
“Internet信息服務(IIS)”對話框中的子組件如下圖所示:
圖8.2
IIS子組件
下表簡要地描述了IIS子組件,并且對何時啟用它們提供了建議。
表8.6: IIS子組件
| UI中的組件名稱 |
設置 |
設置邏輯 |
| 后臺智能傳輸服務(BITS)服務器擴展 |
啟用 |
BITS是一種由Windows Update和Automatic Update使用的后臺文件傳輸機制。當使用Windows升級或自動升級自動地將服務包和熱修補應用于IIS服務器時,該組件是必需的。 |
| 公共文件 |
啟用 |
IIS需要這些文件,而且它們在IIS服務器中應當總是被啟用的。 |
| 文件傳輸協議(FTP)服務 |
禁用 |
使得IIS服務器能夠提供FTP服務。該服務不是專用的IIS服務器所必需的。 |
| FrontPage 2002服務器擴展 |
禁用 |
為管理和發布網站提供FrontPage支持。當沒有網站使用FrontPage擴展時,請禁用本組件。 |
| Internet 信息服務管理器 |
啟用 |
IIS的管理界面。 |
| Internet打印 |
禁用 |
提供基于Web的打印機管理,并且使得打印機能夠通過HTTP得到共享。該組件不是專用的IIS服務器所必需的。 |
| NNTP服務 |
禁用 |
在Internet上分發、查詢、獲得以及發表Usenet新聞文章。該組件不是專用的IIS服務器所必需的。 |
| SMTP服務 |
禁用 |
支持電子郵件的傳輸。該組件非專用IIS服務器所必須。 |
| World Wide Web 服務 |
啟用 |
提供Web服務,向客戶提供靜態和動態內容。該組件是專用的IIS服務器所必需的。 |
“消息隊列”對話框中的子組件如下圖所示:
圖8.3
消息隊列子組件
下表簡要地描述了消息隊列子組件,并且對何時啟用它們提供了建議。
表8.7: 消息隊列子組件
| UI中的組件名稱 |
設置 |
設置邏輯 |
| Active Directory集成 |
禁用 |
當IIS服務器屬于一個域時,提供與Microsoft Active Directory® 的集成。當運行于IIS 的站點和應用軟件使用了Microsoft 消息隊列(MSMQ)時,該組件是必須啟用的組件。 |
| 公共文件 |
禁用 |
MSMQ所必需的組件。當運行于IIS服務器的站點和應用軟件使用了MSMQ時,該組件是必須啟用的組件。 |
| 下級客戶支持 |
禁用 |
為下游客戶提供對Active Directory的訪問以及站點識別。當運行于IIS服務器的站點和應用軟件使用了MSMQ時,該組件是必需的。 |
| MSMQ HTTP支持 |
禁用 |
提供了HTTP傳輸中收發消息的服務。當運行于IIS服務器的站點和應用軟件使用了MSMQ時,該組件是必需的。 |
| 路由支持 |
禁用 |
為MSMQ提供存儲轉發消息以及高效路由服務。當運行于IIS服務器的站點和應用軟件使用了MSMQ時,該組件是必需的。 |
“ 后臺智能傳輸服務(BITS)服務器擴展”對話框中的子組件如下圖所示:
圖8.4
后臺智能傳輸服務(BITS)服務器擴展子組件
下表簡要地描述了后臺智能傳輸服務(BITS)服務器擴展子組件,并且對何時啟用它們提供了建議。
表8.8: 后臺智能傳輸服務(BITS)服務器擴展子組件
| UI中的組件名稱 |
設置 |
設置邏輯 |
| BITS管理控制臺管理單元 |
啟用 |
為管理BITS安裝一個MMC 管理單元。當Internet服務器應用程序編程接口(ISAPI)的BITS服務器擴展被啟用時,應啟用該組件。 |
| BITS服務器擴展ISAPI |
啟用 |
安裝BITS ISAPI,以便讓IIS服務器能夠使用BITS傳輸數據。當使用Windows Update或Automatic Update自動地將服務包和熱修補應用于IIS服務器時,該組件是必需的。如果Windows Update或Automatic 未被使用時,應禁用該組件。 |
“World Wide Web服務”對話框中的子組件如下圖所示:
圖8.5
World Wide Web服務子組件
下表簡要地描述了World Wide Web服務子組件,并且對何時啟用它們提供了建議。
表8.9: World Wide Web服務子組件
| UI中的組件名稱 |
設置 |
設置邏輯 |
| Active Server Pages |
禁用 |
提供了對ASP的支持。當IIS服務器中沒有站點或應用軟件使用ASP時,請禁用該組件,或者利用Web服務擴展禁用它。要了解更多信息,請參看本章“僅啟用必需的Web服務擴展”部分。 |
| Internet數據連接器 |
禁用 |
支持以.idc為擴展名的文件所提供的動態內容。當IIS服務器上沒有運行使用該Web服務擴展的站點或應用軟件時,請禁用該組件,或者用Web服務擴展禁用它。要了解更多信息,請參看本章“僅啟用必需的Web服務擴展”部分。 |
(繼續)
| 遠程管理(HTML) |
禁用 |
為管理IIS提供一個HTML界面。使用IIS Manager 可以提供更方便的管理,并且減少IIS服務器的攻擊表面。該特性在專用的IIS服務器中不是必需的。 |
| 遠程桌面Web連接 |
禁用 |
包括Microsoft ActiveX® 控件和示例頁面,以便存儲終端服務客戶連接。使用IIS Manager 提供了更方便的管理,并且減少IIS服務器的攻擊表面。該特性在專用IIS服務器中不是必需的。 |
| 服務器端包含 |
禁用 |
提供了對.shtm、.shtml和 .stm文件的支持。當運行于IIS服務器上的站點或應用軟件沒有使用包含該擴展名的文件時,請禁用該組件。 |
| WebDAV |
禁用 |
WebDAV 擴展了HTTP/1.1協議,以允許客戶發布、鎖定和管理網站中的資源。請在專用的IIS服務器中禁用該功能,或者用Web服務擴展禁用它。要了解更多信息,請參看本章“僅啟用必需的Web服務擴展”部分。 |
| World Wide Web服務 |
啟用 |
提供Web服務,向客戶提供靜態或動態內容,該組件在專用IIS服務器中是必需的。 |
僅啟用必需的Web服務擴展
許多運行于IIS服務器上的網站和應用程序具有超出靜態頁面范疇的擴展功能,包括生成動態內容的能力。通過IIS服務器提供的特性來產生或擴展的任何動態內容,都是通過使用Web服務擴展來實現的。
IIS6.0 中的增強安全特性允許用戶單獨啟用或禁用Web服務擴展。在一次新的安裝之后,IIS服務器將只能傳送靜態內容。可通過IIS Manager中的Web Service Extensions節點來啟用動態內容能力。這些擴展包括ASP.NET、SSI、WebDAV、以及FrontPage Server Extensions。
啟用所有的Web服務擴展可確保與現有應用軟件的最大可能的兼容性。但是,這可能帶來一些安全性風險,因為當所有的擴展被啟用時,同時也啟用了您的環境下IIS服務器所不需要的功能,這樣IIS的攻擊表面積就會增加。
為了盡可能減少IIS服務器的攻擊表面,在本指南所定義的三種環境下,只有必需的Web服務擴展才應該在IIS服務器上被啟用。
僅僅啟用在您的IIS服務器環境下運行的站點和應用軟件所必需的Web服務擴展,通過最大限度精簡服務器的功能,可以減少每個IIS服務器的攻擊表面,從而增強了安全性。
下表列舉了預先定義的Web服務擴展,并且提供了何時啟用它們的詳細指導。
表8.10: 啟用Web服務擴展
| Web服務擴展 |
啟用時機 |
| Active Server Pages |
一個或多個運行于IIS服務器上的站點或應用軟件包含ASP內容。 |
| ASP.NET v1.1.4322 |
一個或多個運行于IIS服務器上的站點或應用軟件包含ASP.NET內容。 |
| FrontPage服務器擴展2002 |
一個或多個運行于IIS服務器上的站點或應用軟件使用了FrontPage Extensions。 |
| Internet數據連接器(IDC) |
一個或多個運行于IIS服務器上的站點或應用軟件使用IDC來顯示數據庫信息(該內容包含.idc和.idx文件) |
| 服務器端包含(SSI) |
一個或多個運行于IIS服務器上的站點或應用軟件使用SSI命令來指導IIS服務器向不同的網頁中插入可復用的內容(例如,導航條、頁頭或頁腳) |
| Web Distributed Authoring and Versioning(WebDav) |
WebDAV是客戶在IIS服務器上透明地發布和管理站點資源所必需的。 |
在專用磁盤卷中放置內容
IIS會將默認Web站點的文件存儲到<systemroot>\inetpub\wwwroot,其中<systemroot>是安裝了Windows Server 2003的驅動器。
在本指南所定義的三種環境下,應該將構成Web站點和應用程序的所有文件和文件夾放置到IIS服務器的專用磁盤卷中。將這些文件和文件夾放置到IIS服務器的一個專用磁盤卷——不包括操作系統所在的磁盤卷——有助于防止針對目錄的遍歷攻擊。目錄遍歷攻擊是指攻擊者對位于IIS服務器目錄結構之外的一個文件發送請求。
例如,cmd.exe位于<systemroot>\System32文件夾中。攻擊者可以請求訪問以下位置:
..\..\Windows\system\cmd.exe,企圖調用該命令。
如果站點內容位于一個單獨的磁盤卷,這種類型的目錄遍歷攻擊將無法成功,原因有二。首先,cmd.exe的權限已經作為Windows Server 2003基礎結構的一部分進行了重設,從而將對它的訪問限制在很有限的用戶群中。其次,完成該修改之后,cmd.exe不再與站點根目錄處于同一磁盤卷,而目前沒有任何已知的方法可通過使用這種攻擊來訪問位于不同驅動器上的命令。
除了安全性問題之外,將站點和應用軟件文件和文件夾放置在一個專用的磁盤卷中使得諸如備份和恢復這樣的管理操作變得更加容易。而且,將這種類型的內容放在一個分開的專用物理驅動器中有助于減少系統分區中的磁盤爭用現象,并且改善磁盤的整體訪問性能。
設置NTFS訪問權限
Windows Server 2003檢查NTFS文件系統權限,以決定用戶或進程對特定文件或文件夾的訪問類型。
您應該分配相應的NTFS權限,以便在本指南定義的三種環境下,允許或拒絕特定用戶對IIS服務器上站點的訪問。
NTFS訪問權限應當與Web訪問權限協同使用,而不是取代Web權限。NTFS權限只影響那些已經被允許或被拒絕訪問站點和應用程序內容的帳戶。Web權限則影響所有訪問站點或應用程序的用戶。如果站點權限與NTFS權限在某個文件夾或目錄上發生沖突,限制性更強的設置將生效。
對于不允許匿名訪問的站點和應用程序,匿名帳戶訪問將被明確拒絕。當沒有經過身份驗證的用戶訪問系統資源時,就是所謂的匿名訪問。匿名帳戶包括內置的Guest 帳戶,Guests 組,以及IIS Anonymous 帳戶。此外,除了IIS管理員之外,對其它任何用戶都應該清除所有的寫權限。
下表提供了關于NTFS權限的一些建議,這些權限將應用在IIS服務器上不同的文件類型之上。不同的文件類型可以被組織在不同的文件夾中,以簡化應用NTFS權限的過程 。
表8.11: NTFS 權限
| 文件類型 |
推薦的NTFS權限 |
| CGI文件(.exe, .dll, .cmd, .pl) |
Everyone(執行)
Administrators(完全控制)
System(完全控制) |
| 腳本文件(.asp) |
Everyone(執行)
Administrators(完全控制)
System(完全控制) |
| 包含文件(.inc, .shtm, .shtml) |
Everyone(執行)
Administrators(完全控制)
System(完全控制) |
| 靜態內容(.txt, .gif, .jpg, .htm, .html) |
Everyone(只讀)
Administrators(完全控制)
System(完全控制) |
設置 IIS 站點權限
IIS 檢查站點許可權限,以確定能夠在站點上執行的操作類型,例如允許訪問腳本源代碼或允許瀏覽文件夾。您應該為站點分配權限,以便進一步保證IIS服務器上的站點在本指南定義的三種環境下的安全性。
站點許可權限可以與NTFS權限協同使用。它們可配置給特定的站點、文件夾和文件。與NTFS權限不同,站點權限影響試圖訪問IIS服務器站點的每個人。站點許可權限可以通過使用IIS Manager管理單元得到應用。
下表列舉了IIS6.0支持的站點權限,并且提供了簡要描述,解釋如何為站點分配給定的許可權限。
表8.12: IIS 6.0站點權限
| 站點許可: |
授予的許可 |
| 讀(Read) |
用戶可查看文件夾或文件的屬性。該許可缺省為選中狀態。 |
| 寫(Write) |
用戶可改變文件夾或文件的屬性。 |
| 腳本源代碼訪問 |
用戶可以訪問源文件。如果讀(Read)權限被啟用,則可以讀取源文件;如果寫(Write)權限被啟用,則可以改變腳本源代碼。“腳本源訪問”允許用戶查看腳本的源代碼。如果讀和寫都未啟用,這些選項將不可用。重要:當“腳本源代碼訪問”被啟用時,用戶將可以查看敏感信息,例如用戶名和密碼。他們還可以改變運行于IIS服務器上的源代碼,從而嚴重影響服務器的安全和性能。 |
| 目錄瀏覽 |
用戶可查看文件列表和集合。 |
| 日志訪問 |
每次訪問網站都創建一個日志項目。 |
| 索引該資源 |
允許索引服務,以索引資源。這允許用戶對資源進行搜索。 |
| 執行 |
下面的選項確定用戶運行腳本的級別:
- None(無) —不允許在服務器上執行腳本和可執行程序。
- Scripts only(僅腳本) — 只允許在服務器上執行腳本。
- Scripts and Executables(腳本和可執行文件) —允許在服務器上執行腳本和可執行文件。
|
配置IIS日志
本指南建議在指南定義的三種環境下均啟用IIS服務器上的IIS日志。
可以為每個站點或應用程序創建單獨的日志。IIS可以記錄Microsoft Windows提供的事件日志或性能監視特性所記錄信息范圍之外的信息。IIS日志可記錄諸如誰訪問過站點,訪客瀏覽過哪些內容、以及最后一次訪問的時間等信息。IIS日志可被用來了解那些內容最受歡迎,確定信息瓶頸,或者幫助用戶對攻擊事件展開調查。
IIS Manager管理單元可以用來配置日志文件格式、日志日程,以及將被記錄的確切信息。為限制日志的大小,應當對所記錄信息的內容進行仔細規劃。
當IIS日志被啟用時,IIS使用W3C擴展日志文件格式(W3C Extended Log File Format)來創建日常操作記錄,并存儲到在IIS Manager 中為站點指定的目錄中。為改善服務器性能,日志文件應當存儲到系統卷以外的條帶集或條帶集/鏡像磁盤卷上。
而且,您還可以使用 UNC 路徑將日志文件寫到網絡上以便遠程共享。遠程日志使得管理員能夠建立集中的日志文件存儲和備份。但是,通過網絡讀寫日志文件可能會對服務器性能帶來負面影響。
IIS日志可以配置為使用其它幾種 ASCII 或開放數據庫連接(ODBC)文件格式。ODBC日志使得IIS能夠將操作信息存儲到SQL數據庫中。但是,必須指出的是,當ODBC日志被啟用時,IIS禁用了內核模式緩存。因此,執行ODBC日志會降低服務器的總體性能。
包括了數以百計站點的 IIS 服務器可通過啟用集中的二進制日志來改善日志性能。集中化的二進制日志允許IIS服務器將所有站點的活動信息寫到一個日志文件上。這樣,通過減少需要逐一存儲和分析的日志文件的數量,大大地提高了IIS日志記錄過程的可管理性和可測量性。要了解關于集中二進制日志的更多信息,請參看Microsoft TechNet主題“集中化的二進制日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server
/log_binary.asp
當IIS日志按缺省設置存儲在IIS服務器中時,只有管理員有權訪問它們。如果日志文件的文件夾或文件的所有者不在 Local Administrators 組中時,HTTP.sys —— IIS 6.0的內核模式驅動程序——將向NT事件日志發布一個錯誤。該錯誤指出文件夾或文件的所有者不在Local Administrators 組中,并且這個站點的日志將暫時失效,直到其所有者被添加到Local Administrators 組中,或者現有的文件夾或文件被刪除。
向用戶權限分配手動增加唯一的安全組
大多數通過DCBP應用的用戶權限分配都已經在本指南附帶的安全性模板中進行了適當的指定。但是,有些帳戶和安全組不能被包括在模板內,因為它們的安全標識對于單個的Windows 2003域是特定的。下面給出了必須手動配置的用戶權限分配。
警告:下表包含了內置的Administrator帳戶。注意不要將Administrator帳戶和內置的Administrators安全組相混淆。如果Administrators安全組添加了以下任何一個拒絕訪問的用戶權限,您必須在本地登錄并且更正該錯誤。
此外,根據第三章“創建成員服務器基線”,內置的Administrator賬戶可能已經被重命名。當添加Administrator賬戶時,請確信添加的是經過了重命名的賬戶。
表 8.13:手動添加用戶權限分配
| 默認的成員服務器 |
舊有客戶機 |
企業客戶機 |
高安全性 |
| 拒絕通過網絡訪問該計算機 |
Administrator; Support_388945a0;Guest;所有非操作系統服務帳戶 |
Administrator; Support_388945a0;Guest;所有非操作系統服務帳戶 |
Administrator; Support_388945a0;Guest;所有非操作系統服務帳戶 |
警告:所有非操作系統服務賬戶包括整個企業范圍內用于特定應用程序的服務賬戶。這不包括操作系統使用的內置帳戶——本地系統,本地服務或網絡服務帳戶。
保護眾所周知帳戶的安全
Windows Server 2003有很多內置的帳戶,它們不能被刪除,但可以重命名。Windows 2003中最常見的兩個帳戶是Guest 和 Administrator。
在成員服務器和域控制器中,Guest帳戶缺省時被禁用。不應改變該設置。內置的Administrator帳戶應被重命名,而且其描述也應被更改,以防止攻擊者通過該帳戶破壞遠程服務器。
許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。在近幾年來,進行上述重命名配置的意義已經大大降低了,因為出現了很多新的攻擊工具,這些工具企圖通過指定內置 Administrator 賬戶的安全標識(SID)來確定該帳戶的真實姓名,從而侵占服務器。SID是唯一能確定網絡中每個用戶、組、計算機帳戶以及登錄會話的值。改變內置帳戶的SID是不可能的。將本地管理員帳戶改變為一個特別的名稱,可以方便您的操作人員監視對該帳戶的攻擊企圖。
保護IIS服務器中眾所周知帳戶的安全:
1. 重命名Administrator和Guest帳戶,并且將每個域和服務器上的密碼更改為長而復雜的值。
2. 在每個服務器上使用不同的名稱和密碼。如果在所有的域和服務器上使用相同的帳戶名和密碼,攻擊者只須獲得對一臺成員服務器的訪問,就能夠訪問所有其它具有相同帳戶名和密碼的服務器。
3. 修改缺省的帳戶描述,以防止帳戶被輕易識別。
4. 將這些變化記錄一個安全的位置。
注意:內置的管理員帳戶可通過組策略重命名。本指南提供的任何安全性模板中都沒有配置該設置,因為您必須為您的環境選擇一個獨一無二的名字。在本指南定義的三種環境下,“帳戶:重命名管理員帳戶” 設置可用來重命名管理員帳戶。該設置是組策略的安全選項設置的一部分。
保護服務帳戶的安全
除非絕對必須,否則不要讓服務運行在域帳戶的安全上下文中。如果服務器的物理安全受到破壞,域賬戶密碼可以很容易通過轉儲本地安全性授權(LSA)秘文而獲得。
用IPSec過濾器阻斷端口
Internet 協議安全性(IPSec)過濾器可為增強服務器所需要的安全級別提供有效的方法。本指南推薦在指南中定義的高安全性環境中使用該選項,以便進一步減少服務器的攻擊表面。
要了解關于IPSec過濾器使用的更多信息,請參看“威脅與對策:Windows Server 2003和Windows XP中的安全性設置 ”的第11章 “其它成員服務器的強化程序” ,。
下表列舉了在本指南定義的高級安全性環境下,可在IIS服務器上創建的IPSec過濾器。
表8.14: IIS服務器IPSec網絡流量圖
| 服務器 |
協議 |
源端口 |
目的端口 |
源地址 |
目的地址 |
動作 |
Mirror鏡像 |
| 單點客戶 |
所有 |
所有 |
所有 |
ME |
MOM服務器 |
允許 |
是 |
| 終端服務 |
TCP |
所有 |
3389 |
所有 |
ME |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 2 |
允許 |
是 |
| HTTP 服務器 |
TCP |
所有 |
80 |
ANY |
ME |
允許 |
是 |
| HTTPS 服務器 |
TCP |
所有 |
443 |
所有 |
ME |
允許 |
是 |
| 所有進入的通信 |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
在實施上表所列舉的規則時,應當對其進行鏡像處理。這樣可以保證任何進入服務器的網絡流量也可以返回到源服務器。
上表介紹了服務器要想完成特定角色的功能所應該打開的基本端口。如果服務器使用靜態的IP地址,這些端口已經足夠。如果需要提供更多的功能,則可能需要打開更多的端口。打開更多的端口將使得您的環境下的IIS服務器更容易管理,但是這可能大大降低服務器的安全性。
由于在域成員和域控制器之間有大量的交互,尤其是RPC和身份驗證通信,在IIS服務器和全部域控制器之間,您應該允許所有的通信。通信還可以被進一步限制,但是大多數環境都需要為有效保護服務器而創建更多的過濾器。這將使得執行和管理IPSec策略非常困難。您應該為每一個將與IIS服務器進行交互的域控制器創建類似的規則。為了提高IIS服務器的可靠性和可用性,您需要為環境中的所有域控制器添加更多規則。
正如上表所示,如果環境中運行了Microsoft Operations Manager(MOM),那么在執行IPSec過濾器的服務器和MOM服務器之間,應該允許傳輸所有的網絡通信。這是必須的,因為在MOM服務器和OnePoint 客戶端——向MOM控制臺提供報告的客戶應用程序——之間存在大量的交互過程。其它管理軟件可能也具有類似的需求。如果希望獲得更高級別的安全性,可將OnePoint 客戶端的過濾動作配置就IPSec與MOM服務器進行協商。
該IPSec策略將有效地阻止通過任意一個高端口的通信,因此它不允許遠程過程調用(RPC)通信。這可能使得服務器的管理很困難。由于已經關閉了許多端口,您可以啟用終端服務。以便管理員可以進行遠程管理。
上面的網絡通信圖假設環境中包含啟用了Active Directory的DNS服務器。如果使用獨立的DNS服務器,可能還需要建立更多規則。
IPSec策略的執行將不會對服務器的性能帶來明顯影響。但是,在執行這些過濾器之前必須進行測試,以核實服務器保持了必要的功能和性能。您可能還需要添加一些附加規則以支持其它應用程序。
本指南包括一個.cmd文件,它簡化了依照指南要求為域控制器創建IPSec過濾器的過程。PacketFilters-IIS.cmd文件使用NETSH命令來創建適當的過濾器。應當修改該.cmd文件,在其中包含您所在環境中域控制器的IP地址。腳本中包含兩個占位符,這是為將被增加的兩個域控制器IP地址預留的。如果需要,還可以添加其它更多的域控制器。這些域控制器的IP地址列表應當是最新的。
如果環境中有MOM,應當在腳本中指定相應的MOM服務器 IP 地址。該腳本不創建永久的過濾器。因此,直到IPSec Policy Agent啟動時,服務器才會得到保護。要了解關于建立永久過濾器或創建更高級IPSec過濾器腳本的信息,請參看本指南姐妹篇“ 威脅與對策:Windows Server 2003和Windows XP中的安全性設置 ”的第11章“其它成員服務器的強化程序”。最后,該腳本不會分發其創建的IPSec策略。IP安全性策略管理單元可被用來檢查所創建的IPSec過濾器,并且分發IPSec策略以便讓其生效。
總結
本章解釋了在本指南指定的三種環境下,為保護IIS服務器的安全所應采取的強化設置。我們討論的大多數設置通過組策略進行配置和應用。可以將能夠為MSBP提供有益補充的組策略對象(GPO)鏈接到包含IIS服務器的相應組織單位(OU),以便為這些服務器提供的服務賦予更多的安全性。
本章討論的有些設置不能通過組策略得到應用。對于這種情況,本章介紹了有關手動配置這些設置的詳細信息。此外,我們還詳細介紹了創建和應用能夠控制IIS服務器間網絡通信類型的IPSec過濾器的具體過程。
更多信息
以下提供了與Windows Server 2003環境下的IIS服務器密切相關的最新信息資源。
有關在IIS 5.0中啟用日志的信息,請參看“教學:在IIS 5.0中啟用日志”: http://support.microsoft.com/default.aspx?scid=313437.
有關本主題的更多信息,請參看“啟用日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_enablelogging.asp.
有關日志站點行為的信息,請參看“記錄站點操作”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_aboutlogging.asp
有關擴展日志的信息,請參看“定制W3C擴展日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_customw3c.asp
有關集中化二進制日志的信息,請參看“集中化的二進制日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_binary.asp
有關遠程日志的信息,請參看“遠程日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_remote.asp.
有關安全日志(審核)的創建、查看以及理解的更多信息,請訪問安全性方面的Microsoft TechNet站點:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
sec_security.asp.
有關IIS6.0 的其它信息,請訪問技術站點:http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/
iiswelcome.asp.
有關IPSec過濾的更多信息,請參看“教學:使用Windows 2000中的IPSec IP過濾器列表”: http://support.microsoft.com/default.aspx?scid=313190.
