windows 2000中的IIS網站安全構建指南
下面提供給大家一起分享學習的是關于windows 2000中的IIS網站安全構建指南,希望對大家有用。
Win2000操作系統的一個主要特色就是將IIS融入其內核之中,并提供一些用來配置和維護軟件的向導工具,使構建一個Internet網站輕松易得。但是,如果要創建一個安全可靠的Internet網站,實現“地面部分”-Win2K操作系統和“空中部分”-IIS的雙重安全,還需要更加全面和深入的工作。本文就對這些穩固工作中的地面部分-Win2K操作系統進行討論,旨在幫助管理員一步步地實施網站安全構建工作。
一、安全思想先行
所謂兵馬未發,糧草先行,在安裝和配置一個Internet服務器之前,首先要從思想上對安全工作有個全局認識,至少應該考慮好以下幾個方面的內容:
1、編制計劃
編制安裝計劃的過程本身就可以作為一篇論文深加論述,這里只做概要介紹。保護Internet服務器安全需要詳盡的計劃,這不是指在安裝過程中彈出菜單時確定選擇哪一個項目,而是要仔細確定系統的功能和目標,最終成為安裝的路標、排除故障的向導、服務器安裝及網絡邊界情況的基礎文檔。如果需要安裝計劃編制方面的基礎性方針資料,可以參考 RFC手冊之2196項“站點安全手冊”,地址是:http://www.faqs.org/rfcs/rfc2196.html。
2、設計策略
除了確定服務器將執行那些功能,還需要確定誰能訪問服務器、在服務器上存儲什么數據以及在出現各種情況時應該采取哪些措施。這就是策略的制定。實際上,策略定義了一個組織的服務器與接受它的服務和數據的Internet公眾之間的交互作用細節。真正安全的站點必須具有適當的策略。關于策略的設計,同樣請參考RFC手冊之2196項“站點安全手冊”。
3、訪問控制
這方面是指對服務器的訪問權,主要包括三類:
物理訪問控制:指實際接觸和操作服務器控制臺的能力。如果攻擊者取得了物理訪問權,就可以繞過許多安全措施,整個安全計劃將出現一個大大的漏洞!
系統訪問控制:確定哪些組或個人賬號對系統擁有何種權限,例如備份和恢復數據、向Web 服務器發布文檔、管理賬戶或組。
網絡訪問控制:網絡訪問控制規定了內部網與Internet相互作用的權限,例如端口訪問、數據讀取、服務使用等等。不僅僅要考慮到外部的入侵行為,還要設想到內部的敵人攻擊。為此,一般將服務器放于DMZ區域內。一個DMZ(Demilitarized Zone)就是一個孤立的網絡,可以把不信任的系統放在那里。例如,我們希望任何人都能訪問Web和Email服務器,所以它們就是不能信任的;將它們放在DMZ中特別關照,就可對來自內部和外部的訪問都進行限制。
二、Win2K安裝時要重點考慮的安全配置信息
安裝Win2K時,直到配置網絡協議時才需要考慮安全問題。對于一個Internet網站,配置網絡協議時一定要關閉一個很大的安全漏洞:NetBIOS協議!就是說,在“本地連接屬性”窗口中,只選中“Microsoft網絡客戶端”和“Internet協議(TCP/IP)”兩項:
你可能要問了:“只配置這兩個協議,需要其他的功能怎么辦”?解決方法很簡單:為服務器安裝配置兩個網卡,第一個用于Internet連接,其上只綁定那兩個服務協議;第二個用于從本地網絡訪問服務器,根據需要添加其他的服務協議,例如“Microsoft網絡的文件和打印機共享”等:
三、Win2K安裝后要重點考慮的安全配置信息
操作系統安裝完畢后,建議執行如下安全配置:
1、安裝微軟高級加密包(Microsoft High Encryption Pack),將服務器升級為128位加密。
默認狀態下,服務器軟件的加密狀態處于較低級別,我們必須手工將其配置為128位加密。而且,這項工作應該在創建帳號和組之前進行,這樣就可以保證在服務器上創建的所有項目都是128位加密級別的。
2、安裝最新的SP軟件包和Hotfixes
微軟的產品是老裁縫做的,不打補丁不漂亮的,所以管理員們要經常訪問以下地址看看是否又有新補丁面世:http://www.microsoft.com/windows2000/downloads/default.asp
這個地址包含了大量關于Win2K的信息,對日常管理Win2K服務器非常有參考價值。關于HotFixes有一點需要注意:只在系統需要的時候才安裝相應HotFix。因為,并不是每個服務器都需要所有的HotFix,其中有一些hotfix修復的漏洞只存在于某些特定配置中。
3、對系統服務的啟動方式重新進行規劃
默認狀態下,許多服務都隨系統啟動而啟動。但由于有些服務因為啟動帳號身份的權限過大,有可能埋下安全隱患地雷,因此必須對所有服務的啟動方式進行重新規劃。規劃的原則應該是:除非絕對必要,關閉該服務。
以下是我們認為應該處于“自動”啟動狀態的基本服務:
DNS Client:如果服務器需要主動與其它服務器進行通信,就需要這個服務。許多Web服務器僅僅是對請求進行應答而自身并不發出請求,這時就不需要DNS Client了。
Event Log:事件日志,用于記錄程序和 Windows 發送的事件消息。事件日志包含對診斷問題有所幫助的信息,可以在“事件查看器”中查看報告。
Logical Disk Manager:邏輯磁盤管理器監視狗服務,用于管理本地磁盤驅動器和可移動設備。
Network Connections:管理“網絡和撥號連接”文件夾中對象,在其中可以查看局域網和遠程連接。
Protected Storage:提供對敏感數據(如私鑰)的保護性存儲,以便防止未授權的服務、過程或用戶對其的非法訪問。
Remote Procedure Call (RPC):遠程過程調用服務,用于在一個系統上使用程序執行遠程系統上的指令或程序。
Security Accounts Manager (SAM):安全帳號管理服務,用于維護本地用戶帳戶的安全信息。
Windows Management Instrumentation(WMI):Windows管理器,提供系統管理信息,如果沒有它,就沒有可訪問的管理控制臺來執行系統管理。
Windows Management Instrumentation Driver Extensions:Windows管理器驅動器擴展,也是MMC所要求的,用于與驅動程序間交換系統管理信息。
以下是我們認為應該處于“手動”啟動狀態的基本服務:
Logical Disk Manager Administrative Service:邏輯硬盤管理器管理服務,是磁盤管理請求的系統管理服務。
World Wide Web Publishing Service:WWW發布服務,用于向Web 站點設置的特定端口(通常是80)發布Web內容。
4、強化SAM數據庫的保護
SAM數據庫就是系統賬戶數據庫,其中的內容屬于一等機密,再怎么保護也不為過。
