Win2K操作系統(tǒng)的一個主要特色就是將IIS融入其內(nèi)核之中，并提供一些用來配置和維護軟件的向?qū)Чぞ?，使?gòu)建一個Internet網(wǎng)站輕松易得。但是，如果要創(chuàng)建一個安全可靠的Internet網(wǎng)站，實現(xiàn)“地面部分”－Win2K操作系統(tǒng)和“空中部分”－IIS的雙重安全，還需要更加全面和深入的工作。本文就對這些穩(wěn)固工作中的空中部分－IIS進行討論，旨在幫助管理員一步步地實施網(wǎng)站安全構(gòu)建工作。
一、TCP/IP方面要重點考慮的安全配置信息
Win2K提供了三種方式對進站連接進行訪問控制，以下分別介紹。
1、TCP/IP安全配置
Win2K中的TCP/IP安全配置與Windows NT 4.0中的執(zhí)行方式完全相同，配置方法非常基本也非常簡單，根本原則就是“全部允許或只允許”：
　
“全部允許”表示放行來自所有端口的通訊數(shù)據(jù)，“只允許”表示除了特別列出端口外的通訊數(shù)據(jù)都拒絕。TCP/IP篩選雖然簡單，但過濾總比沒有過濾好，建議管理員不要漏掉這個防線。
2、對路由和遠程訪問服務(wù)（Routing and Remote Access Service，RRAS）形式的進站連接設(shè)置訪問控制列表
路由和遠程訪問服務(wù)(RRAS)能夠配置出更加靈活復(fù)雜的信息包過濾器，盡管過濾方式是靜態(tài)的，但它的過濾細節(jié)卻很多，包括信息包方向、IP地址、各種協(xié)議類型。
　
3、IPSec Policy Filters（IP安全策略過濾器）
IPSec Policy Filters由IPSec Policy Agent（IP安全策略代理）強制執(zhí)行，是Win2K操作系統(tǒng)的新生功能。它彌補了傳統(tǒng)TCP/IP設(shè)計上的“隨意信任”重大安全漏洞，可以實現(xiàn)更仔細更精確的TCP/IP安全。可以說，IPSec是一個基于通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進行比較以判斷通訊是否與預(yù)期相吻合，然后據(jù)此允許或拒絕通訊的傳輸。這些規(guī)則叫做過濾器列表，管理員可以圍繞各種不同的安全認證協(xié)議來設(shè)計它們，協(xié)議包括：
● Internet密鑰交換協(xié)議(Internet Key Exchange Protocol，IKE): 一種使VPN節(jié)點之間達成安全通信的協(xié)議，其功能強大、設(shè)計靈活。
● 認證IP數(shù)據(jù)包(Authentication Header,AH)：也就是將數(shù)據(jù)包中的數(shù)據(jù)和一個變化的數(shù)字簽字結(jié)合起來，使得接收者能夠確認數(shù)據(jù)發(fā)送者的身份以及確認數(shù)據(jù)在傳輸過程中沒有被纂改過。
● Encapsulation Security Payload (ESP)：指使用硬件對數(shù)據(jù)包中的數(shù)據(jù)進行加密，使象Sniffer類的網(wǎng)絡(luò)監(jiān)聽軟件無法得到任何有用信息。
二、配置安全的IIS5
1、單獨設(shè)置IIS服務(wù)器
如果可能，IIS應(yīng)該安裝在一個單獨的服務(wù)器上。就是說，這個服務(wù)器不是任何域中的成員，不必與域控制器建立Netlogon信道，從而降低通過服務(wù)器之間連接而建立起來的空用戶連接所帶來的安全風(fēng)險。而且，由于系統(tǒng)之間不傳遞認證通訊信息，也就降低了登錄口令被截獲的可能。
2、禁止不需要的服務(wù)
另外，如果僅僅是單純的Web 服務(wù)器，那么最好禁止掉以下不需要的服務(wù)：
　
3、合理設(shè)置Web根文件夾
同前面論述的將操作系統(tǒng)與應(yīng)用程序單獨存放在不同的分區(qū)或磁盤驅(qū)動器一樣，現(xiàn)在又要使用到隔離技術(shù)了。建議將Web根文件夾wwwroot定位在操作系統(tǒng)分區(qū)以外的地方甚至是另外的物理磁盤驅(qū)動器上。而且，當設(shè)置Web站點的虛擬目錄或重定向文件夾時，也要保證這些目錄不會被重定向到操作系統(tǒng)的啟動分區(qū)，因為有些攻擊能夠危及訪問文件夾所在分區(qū)上的其它文件夾。
還有一種安全處理方式就是把Web根文件夾設(shè)置到另一個服務(wù)器上，使IIS服務(wù)器成為一個只緩沖請求、應(yīng)答請求的系統(tǒng)。而且，經(jīng)過這樣處理后，整個服務(wù)器基本上是一個通用型的，其上沒有存儲任何內(nèi)容，即使站點遭到攻擊而癱瘓，也可以從磁帶或其它備份中快速簡單地恢復(fù)服務(wù)器。
4、為重要系統(tǒng)文件改頭換面
操作系統(tǒng)中有許多非常重要的文件，它們就象“雙刃劍”，既可以讓管理員方便地執(zhí)行維護工作，又可能被攻擊者利用進行破壞活動。為此，建議對這些文件進行刪除、重命名或者為其設(shè)置NTFS權(quán)限，目的就是使攻擊者再也找不到熟悉的面孔。這些文件包括：
　
5、刪除危險的IIS組件
默認安裝后的有些IIS組件可能會造成安全威脅，應(yīng)該從系統(tǒng)中去掉，所謂“多一個組件，不如少一個組件”。以下是一些“黑名單”參考，請管理員酌情考慮：
● Internet服務(wù)管理器（HTML）：這是基于Web 的IIS服務(wù)器管理頁面，一般情況下不應(yīng)通過Web進行管理，建議卸載它。
● 樣本頁面和腳本：這些樣本中有些是專門為顯示IIS的強大功能設(shè)計的，但同樣可被用來從Internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器，這不是好事情，建議刪除.
● Win2K資源工具箱 或IIS資源工具箱：這些由專家編寫的軟件大概是現(xiàn)在最好的黑客工具了，其中有許多項目可以被攻擊者利用從服務(wù)器上提取信息、進行破壞.
● SMTP和NNTP：如果不打算使用服務(wù)器轉(zhuǎn)發(fā)郵件和提供新聞組服務(wù)，就刪除這些項目吧。否則，別因為它們的漏洞帶來新的不安全。
● Internet打?。篒nternet打印是Win2K中的一個新特性，它提供了通過Internet將打印作業(yè)題交給打印機的方式。但是由于網(wǎng)絡(luò)上的打印機是通過一個Web頁面進行訪問并管理的，所以也就使系統(tǒng)增加了許多受到利用的可能。
6、改寫注冊表降低被攻擊風(fēng)險
DDoS攻擊現(xiàn)在很流行，例如SYN使用巨量畸形TCP信息包向服務(wù)器發(fā)出請求，最終導(dǎo)致服務(wù)器不能正常工作。改寫注冊表信息雖然不能完全制止這類攻擊，但是可以降低其風(fēng)險，所以，建議搜索并實施相關(guān)攻擊的注冊表改寫對策。降低SYN攻擊的注冊表改寫對策是：將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為2。
7、簡化IIS5中的驗證方法
Win2K和IIS5緊密結(jié)合的一點就體現(xiàn)在它們共享了驗證的功能和方法，這包括：匿名訪問、基本驗證（密碼用明文送出）、Windows域服務(wù)器的簡要驗證、集成Windows驗證等等。

對于大多數(shù)Web站點來說，有匿名訪問或基本認證就足夠了，或者干脆只保留匿名訪問形式。在有些地方，最簡單的往往是最有效的！
8、為IIS5中的文件分類設(shè)置權(quán)限
除了在操作系統(tǒng)級別為IIS5的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們設(shè)置權(quán)限，以期做到雙保險。一般而言，對一個文件夾永遠也不應(yīng)同時設(shè)置寫和執(zhí)行權(quán)限，以防止攻擊者向站點上傳并執(zhí)行惡意代碼。還有目錄瀏覽功能也應(yīng)禁止，預(yù)防攻擊者把站點上的文件夾瀏覽個遍最后找到“不忠的壞分子”。一個好的設(shè)置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當權(quán)限。例如：
● Scripts目錄：包含站點的所有腳本文件，如cgi、vbs、asp等等，為這個文件夾設(shè)置“純腳本”執(zhí)行許可權(quán)限。
● BIN目錄：包含站點上的二禁止執(zhí)行文件，應(yīng)該為這個文件夾設(shè)置“腳本和可執(zhí)行程序” 執(zhí)行許可權(quán)限。
● Static目錄：包括所有靜態(tài)文件，如HTM 或HTML，為這個文件夾設(shè)置“讀權(quán)限”
9、全力保護IIS metabase
IIS Metabase保存著包括口令在內(nèi)的幾乎IIS配置各個方面的內(nèi)容，而且這些信息都以明文形式存儲，因此保護它至關(guān)重要。建議采取如下措施：
● 把HTTP和FTP根文件夾從%systemroot%下移走
● 慎重考慮重新命名Metabase和移動Metabase位置
● 安全設(shè)置確定Metabase位置的注冊表關(guān)鍵字
● 審核所有試圖訪問并編輯Metabase的失敗日志
● 刪除文件%systemroot%\system32\inetserv\Iissync.exe
● 為Metabase文件設(shè)置以下權(quán)限：Administrators/完全控制，System/完全控制
完成IIS配置后對Metabase 進行備份，這時會創(chuàng)建文件夾%systemroot%\system32\inetserv\MetaBack，備份文件就存儲在其中。對于這個地方，要采取如下措施進行保護：
● 審核對\MetaBack文件夾的所有失敗訪問嘗試
● 為\MetaBack文件夾設(shè)置如下權(quán)限：Administrators/完全控制，System/完全控制
最后，要保護能夠編輯Metabase的工具，步驟是：
● 移走文件夾\Inetpub\Adminscripts，這里包含著IIS的所有管理腳本
● 將"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夾下，并調(diào)整相應(yīng)的開始菜單快捷方式。
● 審核對\Adminscripts文件夾的所有失敗訪問嘗試
● 對執(zhí)行.VBS文件的%systemroot%\system32\csript.exe設(shè)置權(quán)限為“Administrators/完全控制”。
● 對\Adminscripts文件夾設(shè)置權(quán)限“Administrators/完全控制”。
三、建立審核例行程序和備份策略
完成了以上這些任務(wù)后，可以說服務(wù)器就是一個“準Internet 服務(wù)器”了。之所以說“準”，是因為還需要以下兩個重要的補充方案：
1、建立審核例行程序
在站點對外開放前，我們必須為這個服務(wù)器配置一個審核程序，以及時全面地確定服務(wù)器是否正受到攻擊或威脅。日志文件就象一個站點的耳朵，千萬不要讓它成為擺設(shè)，每天都要安排一定的時間來查看日志、檢查是否有異?；顒影l(fā)生。而且，可以使用一些商業(yè)工具方便地、及時地或定時地收集和整理相關(guān)日志信息，以期更有效地檢查它們。
以下是必須重點關(guān)注的事件：
● 失敗的登錄
● 失敗的文件和對象訪問
● 失敗的用戶權(quán)力使用
● 失敗的安全策略修改
● 失敗的用戶和組策略修改
以下是需要關(guān)注的事件：
● 所有對腳本和Bin文件夾的訪問
● 所有包含Web發(fā)布文件的文件夾
2、數(shù)據(jù)保護
對存儲在服務(wù)器上暴露于Internet的數(shù)據(jù)進行保護也很重要。除了設(shè)置相應(yīng)權(quán)限外，建立一個正式的備份策略，定期進行磁帶備份非常必要的。備份策略應(yīng)該確定以下內(nèi)容：
● 誰負責(zé)進行數(shù)據(jù)和服務(wù)器配置的備份？
● 多長時間進行一次備份？
● 備份存儲介質(zhì)的默認放置位置是哪里？
● 誰有權(quán)恢復(fù)系統(tǒng)數(shù)據(jù)？
● 是否在站點外有備份數(shù)據(jù)的副本？
● 誰負責(zé)維護站點外的備份數(shù)據(jù)副本？
明確了這些，進一步需要確定備份位置及備份方法：
● 大多數(shù)情況下，本地備份比網(wǎng)絡(luò)備份要好，因為執(zhí)行備份時不需要建立網(wǎng)絡(luò)連接。
● 完成系統(tǒng)安裝后，第一件事就是對服務(wù)器進行完整備份。
● 確定備份的頻率和類型。是每天都做備份嗎？每天的備份是完整備份、增量備份還是差異備份？
四、結(jié)語
以上詳細論述了使用Win2K和IIS5構(gòu)建安全Internet網(wǎng)站的IIS安全配置指南部分，如果是嚴格按照這些步驟審視了IIS，就可以說基本上做到了從"空中部分"全力堵截入侵者的攻擊。再結(jié)合"Win2K Internet服務(wù)器安全構(gòu)建指南(Win2K篇)"，我們現(xiàn)在可以說一聲："無論敵人來自地面或者空中，你都將處于我們的監(jiān)視之中"！
但是，我仍要提醒您：想要使一個存在于公共基礎(chǔ)上的系統(tǒng)完全免受攻擊是不可能的，所能做到的就是盡可能使系統(tǒng)堅固，而迫使攻擊者去搜尋其他比較容易攻擊的系統(tǒng)。呵呵，避重就輕、棄難從易嗎！