構(gòu)造一個安全的Windows 2000 操作系統(tǒng)
要創(chuàng)建一個安全可靠的Web服務器,必須要實現(xiàn)Windows 2000操作系統(tǒng)和IIS的雙重安全,因為IIS的用戶同時也是Windows 2000的用戶,并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制,所以保護IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全。實際上,Web服務器安全的根本就是保障操作系統(tǒng)的安全。
使用NTFS文件系統(tǒng)
在NT系統(tǒng)中應該使用NTFS系統(tǒng),NTFS可以對文件和目錄進行管理,而FAT文件系統(tǒng)只能提供共享級的安全,而且在默認情況下,每建立一個新的共享,所有的用戶就都能看到,這樣不利于系統(tǒng)的安全性。而在NTFS文件下,建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。
關(guān)閉默認共享
在Windows 2000中,有一個“默認共享”,這是在安裝服務器的時候,把系統(tǒng)安裝分區(qū)自動進行共享,雖然對其訪問還需要超級用戶的密碼,但這是潛在的安全隱患,從服務器的安全考慮,最好關(guān)閉這個“默認共享”,以保證系統(tǒng)安全。方法是:單擊“開始/運行”,在運行窗口中輸入“Regedit”,打開注冊表編輯器,展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”項,添加鍵值A(chǔ)utoShareServer,類型為REG_DWORD,值為0。 這樣就可以徹底關(guān)閉“默認共享”。
共享權(quán)限的修改
在系統(tǒng)默認情況下,每建立一個新的共享,Everyone用戶就享有“完全控制”的共享權(quán)限,因此,在建立新的共享后應該立即修改Everyone的缺省權(quán)限,不能讓Web服務器訪問者得到不必要的權(quán)限,給服務器帶來被攻擊的危險。
為系統(tǒng)管理員賬號改名
對于一般用戶,我們可以在“本地安全策略”中的“帳戶鎖定策略”中限制猜測口令的次數(shù),但對系統(tǒng)管理員賬號(adminstrator)卻無法限制,這就可能給非法用戶攻擊管理員賬號口令帶來機會,所以我們需要將管理員賬號更名。具體設置方法如下:
鼠標右擊“我的電腦” “管理”,啟動“計算機管理”程序,在“本地用戶和組”中,鼠標右擊“管理員賬號(administrator)”,選擇“重命名”,將管理員帳號修改為一個很普通的用戶名即可。
禁用TCP/IP 上的NetBIOS
NetBIOS是許多安全缺陷的源泉,所以我們需要禁用它。鼠標右擊桌面上“網(wǎng)絡鄰居” “屬性” “本地連接” “屬性”,打開“本地連接屬性”對話框。選擇“Internet協(xié)議(TCP/IP)” “屬性” “高級” “WINS”,選中“禁用TCP/IP上的NetBIOS”一項即可解除TCP/IP上的NetBIOS,如圖1。
TCP/IP上對進站連接進行控制
方法一 利用TCP/IP篩選
鼠標右擊桌面上“網(wǎng)絡鄰居” “屬性” “本地連接” “屬性”,打開“本地連接屬性”對話框。選擇“Internet協(xié)議(TCP/IP)” “屬性” “高級” “選項”, 在列表中單擊選中“TCP/IP篩選”選項。單擊“屬性”按鈕,選擇“只允許”,再單擊“添加”按鈕,如圖2,只填入80端口即可。
方法二 利用IP安全策略
IPSec Policy Filters(IP安全策略過濾器)彌補了傳統(tǒng)TCP/IP設計上的“隨意信任”重大安全漏洞,可以實現(xiàn)更仔細更精確的TCP/IP安全。它是一個基于通訊分析的策略,將通訊內(nèi)容與設定好的規(guī)則進行比較以判斷通訊是否與預期相吻合,然后據(jù)此允許或拒絕通訊的傳輸。我們同樣可以設置只允許80端口的數(shù)據(jù)通過,其它端口來的數(shù)據(jù)一律攔截。
防范拒絕服務攻擊
DDoS攻擊現(xiàn)在很流行,例如SYN使用巨量畸形TCP信息包向服務器發(fā)出請求,最終導致服務器不能正常工作。改寫注冊表信息雖然不能完全阻止這類攻擊,但是可以降低其風險。打開注冊表:將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為2。這樣可以使TCP/IP調(diào)整SYN-ACKS的重傳,當出現(xiàn)SYN-ATTACK跡象時,使連接對超時的響應更快。
保證IIS自身的安全性
IIS安全安裝
在保證系統(tǒng)具有較高安全性的情況下,還要保證IIS的安全性。要構(gòu)建一個安全的IIS服務器,必須從安裝時就充分考慮安全問題。
不要將IIS安裝在系統(tǒng)分區(qū)上
默認情況下,IIS與操作系統(tǒng)安裝在同一個分區(qū)中,這是一個潛在的安全隱患。因為一旦入侵者繞過了IIS的安全機制,就有可能入侵到系統(tǒng)分區(qū)。如果管理員對系統(tǒng)文件夾、文件的權(quán)限設置不是非常合理,入侵者就有可能篡改、刪除系統(tǒng)的重要文件,或者利用一些其他的方式獲得權(quán)限的進一步提升。將IIS安裝到其他分區(qū),即使入侵者能繞過IIS的安全機制,也很難訪問到系統(tǒng)分區(qū)。
修改IIS的安裝默認路徑
IIS的默認安裝的路徑是\inetpub,Web服務的頁面路徑是\inetpub\wwwroot,這是任何一個熟悉IIS的人都知道的,入侵者也不例外,使用默認的安裝路徑無疑是告訴了入侵者系統(tǒng)的重要資料,所以需要更改。
打上Windows和IIS的補丁
只要提高安全意識,經(jīng)常注意系統(tǒng)和IIS的設置情況,并打上最新的補丁,IIS就會是一個比較安全的服務器平臺,能為我們提供安全穩(wěn)定的服務。
IIS的安全配置
刪除不必要的虛擬目錄
IIS安裝完成后在wwwroot下默認生成了一些目錄,并默認設置了幾個虛擬目錄,包括IISHelp、IISAdmin、IISSamples、MSADC等,它們的實際位置有的是在系統(tǒng)安裝目錄下,有的是在重要的Program files下,從安全的角度來看很不安全,而且這些設置實際也沒有太大的作用,所以我們可以刪除這些不必要的虛擬目錄。
刪除危險的IIS組件
默認安裝后的有些IIS組件可能會造成安全威脅,應該從系統(tǒng)中去掉,以下是一些“黑名單”,大家可以根據(jù)自己的需要決定是否需要刪除。
● Internet服務管理器(HTML):這是基于Web 的IIS服務器管理頁面,一般情況下不應通過Web進行管理,建議卸載它。
● SMTP Service和NNTP Service:如果不打算使用服務器轉(zhuǎn)發(fā)郵件和提供新聞組服務,就可以刪除這兩項,否則,可能因為它們的漏洞帶來新的不安全。
● 樣本頁面和腳本:這些樣本中有些是專門為顯示IIS的強大功能設計的,但同樣可被用來從Internet上執(zhí)行應用程序和瀏覽服務器,建議刪除。
為IIS中的文件分類設置權(quán)限
除了在操作系統(tǒng)里為IIS的文件設置必要的權(quán)限外,還要在IIS管理器中為它們設置權(quán)限,以期做到雙保險。一般而言,對一個文件夾永遠也不應同時設置寫和執(zhí)行權(quán)限,以防止攻擊者向站點上傳并執(zhí)行惡意代碼。另外目錄瀏覽功能也應禁止,預防攻擊者把站點上的文件夾瀏覽個遍最后找到漏洞。一個好的設置策略是:為Web 站點上不同類型的文件都建立目錄,然后給它們分配適當權(quán)限。例如:
● 靜態(tài)文件文件夾:包括所有靜態(tài)文件,如HTM 或HTML,給予允許讀取、拒絕寫的權(quán)限。
● ASP腳本文件夾:包含站點的所有腳本文件,如cgi、vbs、asp等等,給予允許執(zhí)行、拒絕寫和讀取的權(quán)限。
● EXE等可執(zhí)行程序:包含站點上的二進制執(zhí)行文件,給予允許執(zhí)行、拒絕寫和拒絕讀取的權(quán)限。
刪除不必要的應用程序映射
IIS中默認存在很多種應用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通過這些程序映射,IIS就能知道對于什么樣的文件該調(diào)用什么樣的動態(tài)鏈接庫文件來進行解析處理。但是,在這些程序映射中,除了.asp的這個程序映射,其它的文件在網(wǎng)站上都很少用到。而且在這些程序映射中,.htr、.idq/ida、.printer等多個程序映射都已經(jīng)被發(fā)現(xiàn)存在緩存溢出問題,入侵者可以利用這些程序映射中存在的緩存溢出獲得系統(tǒng)的權(quán)限。即使已經(jīng)安裝了系統(tǒng)最新的補丁程序,仍然沒法保證安全。
所以我們需要將這些不需要的程序映射刪除。在“Internet服務管理器”中,右擊網(wǎng)站目錄,選擇“屬性”,在網(wǎng)站目錄屬性對話框的“主目錄”頁面中,點擊“配置”按鈕,彈出“應用程序配置”對話框,在“應用程序映射”頁面,刪除無用的程序映射,如圖3。如果需要這一類文件時,必須安裝最新的系統(tǒng)修補程序以解決程序映射存在的問題,并且選中相應的程序映射,再點擊“編輯”按鈕,在“添加/編輯應用程序擴展名映射”對話框中勾選“檢查文件是否存在”選項,如圖4。這樣當客戶請求這類文件時,IIS會先檢查文件是否存在,文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。
保護日志安全
日志是系統(tǒng)安全策略的一個重要壞節(jié),IIS帶有日志功能,能記錄所有的用戶請求。確保日志的安全能有效提高系統(tǒng)整體安全性。
方法一: 修改IIS日志的存放路徑
IIS的日志默認保存在一個眾所周知的位置(%WinDir%\System32\LogFil-es),這對Web日志的安全很不利。所以我們最好修改一下其存放路徑。在“Internet服務管理器”中,右擊網(wǎng)站目錄,選擇“屬性”,在網(wǎng)站目錄屬性對話框的“Web站點”頁面中,在選中“啟用日志記錄”的情況下,點擊旁邊的“屬性”按鈕,在“常規(guī)屬性”頁面,點擊“瀏覽”按鈕或者直接在輸入框中輸入日志存放路徑即可,如圖5。
方法二: 修改日志訪問權(quán)限
日志是為管理員了解系統(tǒng)安全狀況而設計的,其他用戶沒有必要訪問,應將日志保存在NTFS分區(qū)上,設置為只有管理員才能訪問。
當然,如果條件許可,還可單獨設置一個分區(qū)用于保存系統(tǒng)日志,分區(qū)格式是NTFS,這樣除了便于管理外,也避免了日志與系統(tǒng)保存在同一分區(qū)給系統(tǒng)帶來的安全威脅。如果IIS日志保存在系統(tǒng)分區(qū)中,入侵者使用軟件讓IIS產(chǎn)生大量的日志,可能會導致日志填滿硬盤空間,整個Windows系統(tǒng)將因為缺乏足夠可用的硬盤空間而崩潰,為日志設置單獨的分區(qū)則可以避免這種情況的出現(xiàn)。
通過以上的一些安全設置,相信你的WEB服務器會安全許多。不過,需要提醒大家注意的是:不要認為進行了安全配置的主機就一定是安全的,我們只能說一臺主機在某些情況下一定的時間內(nèi)是安全的,隨著網(wǎng)絡結(jié)構(gòu)變化、新漏洞的發(fā)現(xiàn)、用戶操作,主機的安全狀況是隨時隨地變化的,只有讓安全意識貫穿整個過程才能做到真正的安全。
