加固Windows Server 2003 IIS 服务器(2)
Web 站点权限: 授予的权限:
读
用户可查看目录或文件的内容和属性。在默认情况下,该权限为选中状态。
写用户可更改目录或文件的内容和属性。
脚本源访问
用户可以访问源文件。如果启用“读”权限,则可以读取源文件;如果启用“写”权限,则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限,也不启用“写”权限,则此选项将不可用。
要点:启用“脚本源访问”时,用户可以查看敏感信息,例如用户名和密码。他们还可以更改 IIS 服务器上运行的源代码,从而严重影响服务器的安全性和性能。
目录浏览
用户可以查看文件列表和集合。
日志访问
每次访问 Web 站点都会创建日志条目。
索引此资源
允许使用索引服务索引资源。这样便可以对资源执行搜索。
执行
以下选项确定用户运行脚本的级别:
“无” — 不允许在服务器上运行脚本和可执行文件。
“仅限于脚本” — 仅允许在服务器上运行脚本。
“脚本和可执行文件” — 允许在服务器上运行脚本和可执行文件。
配置 IIS 日志
本指南建议在指南定义的三种环境下均启用 IIS 服务器上的 IIS 日志。
可以为每个站点或应用程序创建单独的日志。IIS 可以记录 Microsoft Windows? 操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS 日志可被用来了解那些内容最受欢迎,确定信息瓶颈,或者用作协助攻击事件调查的资源。
IIS 管理器管理单元可以用来配置日志文件格式、日志计划以及将被记录的确切信息。为限制日志的大小,应当对所记录信息的内容进行仔细规划。
当 IIS 日志被启用时,IIS 使用 W3C 扩展日志文件格式来创建日常操作记录,并存储到在 IIS 管理器中为站点指定的目录中。为改善服务器性能,日志文件应当存储到系统卷以外的条带集或条带集/镜像磁盘卷上。
而且,您还可以使用完整的全局命名约定 (UNC) 路径将日志文件写到网络上以便远程共享。远程日志让管理员能够建立集中的日志文件存储和备份。但是,通过网络对日志文件进行写操作可能会对服务器性能带来负面影响。
IIS 日志可以配置为使用其它几种 ASCII 或开放数据库连接 (ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存储到 SQL 数据库中。但是,应该注意,当启用 ODBC 日志时,IIS 将禁用内核模式缓存。因此,执行 ODBC 日志会降低服务器的总体性能。
存放数以百计的站点的 IIS 服务器通过启用集中的二进制日志来改善日志性能。集中化的二进制日志允许 IIS 服务器将所有 Web 站点的活动信息写到一个日志文件上。这样,通过减少需要逐一存储和分析的日志文件的数量,大大地提高了 IIS 日志记录过程的可管理性和可伸缩性。有关集中化二进制日志的更多信息,请参阅 Microsoft TechNet 主题“Centralized Binary Logging”,其网址为:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)。
当 IIS 日志按默认设置存储在 IIS 服务器中时,只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时,HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。该错误指出文件夹或文件的所有者不在“Local Administrators”组中,并且这个站点的日志将暂时失效,直到其所有者被添加到“Local Administrators”组中,或者现有的文件夹或文件被删除。
向用户权限分配手动添加唯一的安全组
大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些帐户和安全组不能被包括在模板内,因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。
警告:下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限,您必须在本地登录以更正该错误。
此外,根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议,内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时,请确信指定的是经过重命名的账户。
成员服务器默认值 旧客户端 企业客户端 高安全性
拒绝通过网络访问该计算机
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
警告:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
保护众所周知帐户的安全
Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称,可以方便您的操作人员监视对该帐户的攻击企图。
要保护 IIS 服务器中众所周知帐户的安全,请执行以下步骤:
1. 重命名 Administrator 和 Guest 帐户,并且将每个域和服务器上的密码更改为长而复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问权限,就能够访问所有其它具有相同帐户名和密码的服务器。
3. 更改默认的帐户描述,以防止帐户被轻易识别。
4. 将这些更改记录到一个安全的位置。
注意:可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置,因为您必须为您的环境选择一个唯一的名字。“帐户:重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。
保护服务帐户的安全
除非绝对必须,否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。
用 IPSec 过滤器阻断端口
Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。
服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像
one point Client
所有
所有
所有
ME
MOM 服务器
允许
是
Terminal Services
TCP
所有
3389
所有
ME
允许
是
Domain Member
所有
所有
所有
ME
域控制器
允许
是
Domain Member
所有
所有
所有
ME
域控制器 2
允许
是
HTTP Server
TCP
所有
80
所有
ME
允许
是
HTTPS Server
TCP
所有
443
所有
ME
允许
是
All Inbound Traffic
所有
所有
所有
所有
ME
禁止
是
在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址,这些端口已经足够。如果需要提供更多的功能,则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理,但是这可能大大降低服务器的安全性。
由于在域成员和域控制器之间有大量的交互,尤其是 RPC 和身份验证通信,在 IIS 服务器和全部域控制器之间,您应该允许所有的通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理
本文作者:
«
»