Internet IIS服务器安全构建指南

2006-11-8　　　作者：待查　　　来源：fansart.com　　　点击：1564

页面功能：【评论】【有错就点】【字体：大中小】【打印】【关闭】【收藏本页】【收藏到365Key】

　　4、为重要系统文件改头换面

　　操作系统中有许多非常重要的文件，它们就象"双刃剑"，既可以让管理员方便地执行维护工作，又可能被攻击者利用进行破坏活动。为此，建议对这些文件进行删除、重命名或者为其设置NTFS权限，目的就是使攻击者再也找不到熟悉的面孔。这些文件包括：

Internet IIS服务器安全构建指南

　　5、删除危险的IIS组件

　　默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，所谓"多一个组件，不如少一个组件"。以下是一些"黑名单"参考，请管理员酌情考虑：

　　● Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。
　　● 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，这不是好事情，建议删除。
　　● Win2K资源工具箱或IIS资源工具箱：这些由专家编写的软件大概是现在最好的黑客工具了，其中有许多项目可以被攻击者利用从服务器上提取信息、进行破坏。
　　● SMTP和NNTP：如果不打算使用服务器转发邮件和提供新闻组服务，就删除这些项目吧。否则，别因为它们的漏洞带来新的不安全。
　　● Internet打印：Internet打印是Win2K中的一个新特性，它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的，所以也就使系统增加了许多受到利用的可能。

　　6、改写注册表降低被攻击风险

　　DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击，但是可以降低其风险，所以，建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。

　　7、简化IIS5中的验证方法

　　Win2K和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法，这包括：匿名访问、基本验证（密码用明文送出）、Windows域服务器的简要验证、集成Windows验证等等。
Internet IIS服务器安全构建指南

　　对于大多数Web站点来说，有匿名访问或基本认证就足够了，或者干脆只保留匿名访问形式。在有些地方，最简单的往往是最有效的！

　　8、为IIS5中的文件分类设置权限

　　除了在操作系统级别为IIS5的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到"不忠的坏分子"。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：

　　● Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为这个文件夹设置"纯脚本"执行许可权限。
　　● BIN目录：包含站点上的二禁止执行文件，应该为这个文件夹设置"脚本和可执行程序" 执行许可权限。
　　● Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置"读权限"

　　9、全力保护IIS metabase

　　IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容，而且这些信息都以明文形式存储，因此保护它至关重要。建议采取如下措施：

　　● 把HTTP和FTP根文件夹从%systemroot%下移走
　　● 慎重考虑重新命名Metabase和移动Metabase位置
　　● 安全设置确定Metabase位置的注册表关键字
　　● 审核所有试图访问并编辑Metabase的失败日志
　　● 删除文件%systemroot%\system32\inetserv\Iissync.exe
　　● 为Metabase文件设置以下权限：Administrators/完全控制，System/完全控制

　　完成IIS配置后对Metabase 进行备份，这时会创建文件夹%systemroot%\system32\inetserv\MetaBack，备份文件就存储在其中。对于这个地方，要采取如下措施进行保护：

　　● 审核对\MetaBack文件夹的所有失败访问尝试
　　● 为\MetaBack文件夹设置如下权限：Administrators/完全控制，System/完全控制
　　最后，要保护能够编辑Metabase的工具，步骤是：
　　● 移走文件夹\Inetpub\Adminscripts，这里包含着IIS的所有管理脚本
　　● 将"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下，并调整相应的开始菜单快捷方式。
　　● 审核对\Adminscripts文件夹的所有失败访问尝试
　　● 对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为"Administrators/完全控制"。
　　● 对\Adminscripts文件夹设置权限"Administrators/完全控制"。
　　三、建立审核例行程序和备份策略

　　完成了以上这些任务后，可以说服务器就是一个"准Internet 服务器"了。之所以说"准"，是因为还需要以下两个重要的补充方案：

　　1、建立审核例行程序

　　在站点对外开放前，我们必须为这个服务器配置一个审核程序，以及时全面地确定服务器是否正受到攻击或威胁。日志文件就象一个站点的耳朵，千万不要让它成为摆设，每天都要安排一定的时间来查看日志、检查是否有异常活动发生。而且，可以使用一些商业工具方便地、及时地或定时地收集和整理相关日志信息，以期更有效地检查它们。

　　以下是必须重点关注的事件：

　　● 失败的登录
　　● 失败的文件和对象访问
　　● 失败的用户权力使用
　　● 失败的安全策略修改
　　● 失败的用户和组策略修改

　　以下是需要关注的事件：

　　● 所有对脚本和Bin文件夹的访问
　　● 所有包含Web发布文件的文件夹

　　2、数据保护

　　对存储在服务器上暴露于Internet的数据进行保护也很重要。除了设置相应权限外，建立一个正式的备份策略，定期进行磁带备份非常必要的。备份策略应该确定以下内容：

　　● 谁负责进行数据和服务器配置的备份？
　　● 多长时间进行一次备份？
　　● 备份存储介质的默认放置位置是哪里？
　　● 谁有权恢复系统数据？
　　● 是否在站点外有备份数据的副本？
　　● 谁负责维护站点外的备份数据副本？

　　明确了这些，进一步需要确定备份位置及备份方法：

　　● 大多数情况下，本地备份比网络备份要好，因为执行备份时不需要建立网络连接。
　　● 完成系统安装后，第一件事就是对服务器进行完整备份。
　　● 确定备份的频率和类型。是每天都做备份吗？每天的备份是完整备份、增量备份还是差异备份？

　　四、结语

　　以上详细论述了使用Win2K和IIS5构建安全Internet网站的IIS安全配置指南部分，如果是严格按照这些步骤审视了IIS，就可以说基本上做到了从"空中部分"全力堵截入侵者的攻击。再结合"Win2K Internet服务器安全构建指南(Win2K篇)"，我们现在可以说一声："无论敌人来自地面或者空中，你都将处于我们的监视之中"！

　　但是，我仍要提醒您：想要使一个存在于公共基础上的系统完全免受攻击是不可能的，所能做到的就是尽可能使系统坚固，而迫使攻击者去搜寻其他比较容易攻击的系统。呵呵，避重就轻、弃难从易吗！