WindowsIISWEB服务器配置安全规范

WindowsIISWEB服务器配置安全规范本文档列举出一些建议和最佳做法，以保证Web上运行MicrosoftWindows2000和InternetInformationServices(IIS)5的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。注意本文档是由“DesigningSecureWeb-BasedApplicationsforMicrosoftWindows2000”，MicrosoftPress，ISBN:0735609950改编而来。那些熟悉InternetInformationServer4清单的客户将注意到本列表要远短于InternetInformationServer4的清单。这是因为以下两点原因:许多Windows2000系统范围的设置可以通过提供的安全模板(hisecweb,inf)进行配置;所以不需要手动配置注册表设置。在Windows2000和IIS5的默认状态下，将禁用MicrosoftWindowsNT4和InternetInformationServer4上的某些低安全级别的默认设置。本文档的其余部分分为以下几个部分:一般性安全考虑事项Windows2000安全考虑事项IIS5安全考虑事项一般性安全考虑事项本部分内容讲述一般性安全问题。阅读您企业的安全策略拥有安全策略是十分重要的。对以下问题，您需要有现成的答案:如何对入侵作出反应?备份存储在何处?允许谁访问服务器?在SANSInstitute、BaselineSoftware,Inc.和PracticalUnix&InternetSecurity(O’ReillyBooks,1996)中可以找到有关策略信息的比较好资源。预订Microsoft安全通知服务您可以在上预定Microsoft安全通知服务，使自己能够及时知道有关Microsoft安全问题和修补程序的信息。您将通过电子邮件获得有关安全问题的自动通知。您还应当考虑在桌面上放置Microsoft安全顾问程序的快捷方式。要完成此操作，请执行下列步骤:打开InternetExplorer。导航到。从“收藏”菜单中选择“添加到收藏夹”。选中“允许脱机使用”复选框。单击“自定义”。在“脱机收藏夹向导”中单击“下一步”。选中“是”选项按钮并指定下载与该页链接的2层网页。单击“下一步”。选中“创建新的计划”选项按钮，然后单击“下一步”。接受默认设置，再单击“下一步”。单击“完成”。单击“确定”。从“收藏”菜单中选中“整理收藏夹”。在“整理收藏夹”对话框中选择“MicrosoftTechNetSecurity”快捷方式。单击“属性”。单击“MicrosoftTechNetSecurity属性”对话框的“下载”选项卡。取消选中“跟踪本页Web站点之外的链接”复选框。单击“确定”，然后单击“关闭”。现在您可以将MicrosoftTechNetSecurity快捷方式从“收藏”菜单拖到桌面上。如果有新的安全消息，图标上将出现一个小红标记。要点如果出现了新的安全问题，您必须非常重视它们。这一点再怎么强调也不为过。Windows2000安全考虑事项本部分内容专门讲述有关Windows2000的安全问题。检查、更新及部署提供的Hisecweb.inf安全模板我们已经包括了名为Hisecweb.inf的安全模板，作为适用于大多数安全网站的基准。该模板配置了基本的Windows2000系统范围策略。Hisecweb.inf可以从如下地址下载:执行下列步骤来使用模板:将模板复制到%windir%\security\templates目录。打开“安全模板”工具，并查看设置。打开“安全配置和分析”工具，并加载模板。右键单击“安全配置和分析”工具，并从上下文菜单中选择“立即分析计算机”。等待工作完成。检查查找结果并按需要更新模板。如果您对模板满意，请右键单击“安全配置和分析”工具，并从上下文菜单中选择“立即配置计算机”。配置IPSec策略您应当认真考虑在每一个Web服务器上设置Internet协议安全性(IPSec)包筛选器策略。如果您的防火墙被攻破，该策略将提供额外的安全级别。多级别安全技术通常被认为是很好的做法。一般而言，除了那些您明显希望支持的协议与希望打开的端口以外，应当阻止其他所有TCP/IP协议。您可以使用IPSec管理工具或IPSecPol命令行工具来部署IPSec策略。保护Telnet服务器安全如果您打算使用包含在Windows2000中的Telnet服务器，您应当考虑限制能够访问该服务的用户。要完成此操作，请执行下列步骤:打开“本地用户和组”工具。右键单击“组”节点，并从上下文菜单中选择“新建组”。在“组名”框中输入TelnetClients。单击“添加”以添加对该计算机有telnet访问权限的用户。单击“创建”，再单击“关闭”。当存在TelnetClients组时，Telnet服务将仅允许那些在组中定义的用户访问服务器。IIS5安全考虑事项本部分内容专门讲述有关InternetInformationServices5的安全问题。为虚拟目录设置适当的ACL虽然此步骤从某种程度上来说取决于应用程序，但一些主要规则仍然适用，如表F-1所示。文件类型访问控制列表CGI(.exe,.dll,.cmd,.pl)Everyone(X)Administrators(完全控制)System(完全控制)脚本文件(.asp)Everyone(X)Administrators(完全控制)System(完全控制)包含文件(.inc,.shtm,.shtml)Everyone(X)Administrators(完全控制)System(完全控制)静态内容(.txt,.gif,.jpg,.html)Everyone(R)Administrators(完全控制)System(完全控制)推荐使用的各文件类型的默认ACL与为每一个文件单独设置ACL相比，更好的办法是为每一种文件类型创建新的目录，在这些目录上设置ACL，并允许ACL继承到文件。例如，目录结构可能如下所示:c:\inetpub\(.html)c:\inetpub\(.inc)c:\inetpub\(.asp)c:\inetpub\(.dll)c:\inetpub\(.gif,.jpeg)此外，有两个目录需要特别注意:c:\inetpub\ftproot(FTPserver)c:\inetpub\mailroot(SMTPserver)这两个目录上的ACL都是“Everyone(完全控制)”，应当根据您的功能级别覆盖为更加严格的设置。如果要支持“Everyone(写入)”，请将该文件夹放置到与IIS服务器不同的卷中，或者使用Windows2000磁盘空间配额来限制可以写入这些目录的数据量。设置适当的IIS日志文件ACL请确保IIS生成的日志文件(%systemroot%\system32\LogFiles)上的ACL是:Administrators(完全控制)System(完全控制)Everyone(RWC)这有助于防止恶意用户删除文件以掩饰他们的踪迹。启用日志记录当您希望确定服务器是否正受到攻击时，日志记录是非常重要的。应当通过下列步骤使用W3C扩展日志记录格式:加载InternetInformationServices工具。右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性”。单击“网站”选项卡。选中“启用日志”复选框。从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置下列属性:客户端IP地址用户名方法URI资源HTTP状态Win32状态用户代理服务器IP地址服务器端口仅当您将多个Web服务器设置在同一计算机上时，后两个属性才有用。Win32Status属性非常适合于调试。当您检查日志时，请注意错误5，即被拒绝的访问。您可以通过在命令行中输入nethelpmsgerr(其中err代表您感兴趣的错误号码)来找出其他Win32错误是什么含义。设置IP地址/DNS地址限制这并非要设置的普通选项，但是如果希望限制某些用户访问您的网站，这将是一个有用的选项。请注意如果您输入域名系统(DNS)名称，那么IIS将必须执行DNS检查，这将很费时间。验证可执行内容的可信度要了解可执行内容是否可信是很难的。有一个小测试是用DumpBin工具来查看可执行内容是否调用了某些API。许多Win32开发工具都含有DumpBin。例如，如果您希望查看名为MyISAPI.dll的文件是否调用RevertToSelf，请使用下列语法:dumpbin/importsMyISAPI.dll|findRevertToSelf如果屏幕上未出现结果，MyISAPI.dll将不直接调用RevertToSelf。它将可能通过LoadLibrary来调用该API，在此情况下您也可以使用相似的命令来进行查找。在IIS服务器上更新根目录的CA证书该过程包括两个步骤:第一步:添加所有信任的新根目录证书颁发机构(CA)证书—尤其是任何通过使用MicrosoftCertificateServices2.0创建的新根目录CA证书。第二步:删除所有不信任的根目录CA证书。请注意如果您不知道发布根目录证书的公司名称，那么就不应当信任他们!所有IIS使用的根目录CA证书都存放在计算机的机器存储中。可以通过下列步骤来访问该机器存储:打开MicrosoftManagementConsole(MMC)。从“控制台”菜单中选择“添加/删除管理单元”，然后单击“添加”。选择“证书”并单击“添加”。单击“计算机帐户”选项按钮。单击“下一步”。选中所指机器。单击“完成”。单击“关闭”，再单击“确定”。展开证书节点。扩展信任的根目录证书颁发机构。选择证书。右窗格将显示当前信任的全部根目录CA证书。如果需要，可以删除多个证书。注意:不要删除Microsoft或VeriSign根目录。操作系统会大量使用它们。