windows 2000中的IIS網(wǎng)站安全構(gòu)建指南

下面提供給大家一起分享學(xué)習(xí)的是關(guān)于windows 2000中的IIS網(wǎng)站安全構(gòu)建指南，希望對大家有用。

Win2000操作系統(tǒng)的一個主要特色就是將IIS融入其內(nèi)核之中，并提供一些用來配置和維護(hù)軟件的向?qū)Чぞ�，使�?gòu)建一個Internet網(wǎng)站輕松易得。但是，如果要創(chuàng)建一個安全可靠的Internet網(wǎng)站，實現(xiàn)“地面部分”－Win2K操作系統(tǒng)和“空中部分”－IIS的雙重安全，還需要更加全面和深入的工作。本文就對這些穩(wěn)固工作中的地面部分－Win2K操作系統(tǒng)進(jìn)行討論，旨在幫助管理員一步步地實施網(wǎng)站安全構(gòu)建工作。

　　一、安全思想先行

　　所謂兵馬未發(fā)，糧草先行，在安裝和配置一個Internet服務(wù)器之前，首先要從思想上對安全工作有個全局認(rèn)識，至少應(yīng)該考慮好以下幾個方面的內(nèi)容：

　　1、編制計劃

　　編制安裝計劃的過程本身就可以作為一篇論文深加論述，這里只做概要介紹。保護(hù)Internet服務(wù)器安全需要詳盡的計劃，這不是指在安裝過程中彈出菜單時確定選擇哪一個項目，而是要仔細(xì)確定系統(tǒng)的功能和目標(biāo)，最終成為安裝的路標(biāo)、排除故障的向?qū)�、服�?wù)器安裝及網(wǎng)絡(luò)邊界情況的基礎(chǔ)文檔。如果需要安裝計劃編制方面的基礎(chǔ)性方針資料，可以參考　　RFC手冊之2196項“站點安全手冊”，地址是：http://www.faqs.org/rfcs/rfc2196.html。

　　2、設(shè)計策略

　　除了確定服務(wù)器將執(zhí)行那些功能，還需要確定誰能訪問服務(wù)器、在服務(wù)器上存儲什么數(shù)據(jù)以及在出現(xiàn)各種情況時應(yīng)該采取哪些措施。這就是策略的制定。實際上，策略定義了一個組織的服務(wù)器與接受它的服務(wù)和數(shù)據(jù)的Internet公眾之間的交互作用細(xì)節(jié)。真正安全的站點必須具有適當(dāng)?shù)牟呗�。關(guān)于策略的設(shè)計，同樣請參考RFC手冊之2196項“站點安全手冊”。

　　3、訪問控制

　　這方面是指對服務(wù)器的訪問權(quán)，主要包括三類：

　　物理訪問控制：指實際接觸和操作服務(wù)器控制臺的能力。如果攻擊者取得了物理訪問權(quán)，就可以繞過許多安全措施，整個安全計劃將出現(xiàn)一個大大的漏洞！

　　系統(tǒng)訪問控制：確定哪些組或個人賬號對系統(tǒng)擁有何種權(quán)限，例如備份和恢復(fù)數(shù)據(jù)、向Web 服務(wù)器發(fā)布文檔、管理賬戶或組。

　　網(wǎng)絡(luò)訪問控制：網(wǎng)絡(luò)訪問控制規(guī)定了內(nèi)部網(wǎng)與Internet相互作用的權(quán)限，例如端口訪問、數(shù)據(jù)讀取、服務(wù)使用等等。不僅僅要考慮到外部的入侵行為，還要設(shè)想到內(nèi)部的敵人攻擊。為此，一般將服務(wù)器放于DMZ區(qū)域內(nèi)。一個DMZ（Demilitarized Zone）就是一個孤立的網(wǎng)絡(luò)，可以把不信任的系統(tǒng)放在那里。例如，我們希望任何人都能訪問Web和Email服務(wù)器，所以它們就是不能信任的；將它們放在DMZ中特別關(guān)照，就可對來自內(nèi)部和外部的訪問都進(jìn)行限制。

　　二、Win2K安裝時要重點考慮的安全配置信息

　　安裝Win2K時，直到配置網(wǎng)絡(luò)協(xié)議時才需要考慮安全問題。對于一個Internet網(wǎng)站，配置網(wǎng)絡(luò)協(xié)議時一定要關(guān)閉一個很大的安全漏洞：NetBIOS協(xié)議！就是說，在“本地連接屬性”窗口中，只選中“Microsoft網(wǎng)絡(luò)客戶端”和“Internet協(xié)議（TCP/IP）”兩項：

　　選中“Microsoft網(wǎng)絡(luò)客戶端”的原因在于NTLM (NT/LAN 管理器)安全支持供應(yīng)（Security Support Provider）組件是嵌入在操作系統(tǒng)中的，如果沒有這個組件，IIS將無法運行。

　　你可能要問了：“只配置這兩個協(xié)議，需要其他的功能怎么辦”？解決方法很簡單：為服務(wù)器安裝配置兩個網(wǎng)卡，第一個用于Internet連接，其上只綁定那兩個服務(wù)協(xié)議；第二個用于從本地網(wǎng)絡(luò)訪問服務(wù)器，根據(jù)需要添加其他的服務(wù)協(xié)議，例如“Microsoft網(wǎng)絡(luò)的文件和打印機共享”等：

　　接下來，我們要設(shè)置TCP/Ip協(xié)議的屬性內(nèi)容。除了確定網(wǎng)卡IP地址以及默認(rèn)網(wǎng)關(guān)地址外，還需要點擊“高級”按鈕進(jìn)入“WINS”選項卡設(shè)置“禁止TCP/IP上的NetBIOS”，以阻止網(wǎng)卡向Internet發(fā)送和接收NetBIOS信息：

　　NetBIOS是簡單友好的機器名表達(dá)法，例如\\servername\shareresource。如果打開這個功能，攻擊者就可以使用端口掃描器等軟件測試出具有端口137 和139監(jiān)聽的機器，從而進(jìn)一步使用其NetBIOS 名嘗試獲取系統(tǒng)資源的訪問權(quán)。

　　三、Win2K安裝后要重點考慮的安全配置信息

　　操作系統(tǒng)安裝完畢后，建議執(zhí)行如下安全配置：

　　1、安裝微軟高級加密包（Microsoft High Encryption Pack），將服務(wù)器升級為128位加密。

　　默認(rèn)狀態(tài)下，服務(wù)器軟件的加密狀態(tài)處于較低級別，我們必須手工將其配置為128位加密。而且，這項工作應(yīng)該在創(chuàng)建帳號和組之前進(jìn)行，這樣就可以保證在服務(wù)器上創(chuàng)建的所有項目都是128位加密級別的。

　　2、安裝最新的SP軟件包和Hotfixes

　　微軟的產(chǎn)品是老裁縫做的，不打補丁不漂亮的，所以管理員們要經(jīng)常訪問以下地址看看是否又有新補丁面世：http://www.microsoft.com/windows2000/downloads/default.asp

　　這個地址包含了大量關(guān)于Win2K的信息，對日常管理Win2K服務(wù)器非常有參考價值。關(guān)于HotFixes有一點需要注意：只在系統(tǒng)需要的時候才安裝相應(yīng)HotFix。因為，并不是每個服務(wù)器都需要所有的HotFix，其中有一些hotfix修復(fù)的漏洞只存在于某些特定配置中。

　　3、對系統(tǒng)服務(wù)的啟動方式重新進(jìn)行規(guī)劃

　　默認(rèn)狀態(tài)下，許多服務(wù)都隨系統(tǒng)啟動而啟動。但由于有些服務(wù)因為啟動帳號身份的權(quán)限過大，有可能埋下安全隱患地雷，因此必須對所有服務(wù)的啟動方式進(jìn)行重新規(guī)劃。規(guī)劃的原則應(yīng)該是：除非絕對必要，關(guān)閉該服務(wù)。

以下是我們認(rèn)為應(yīng)該處于“自動”啟動狀態(tài)的基本服務(wù)：

　　DNS Client：如果服務(wù)器需要主動與其它服務(wù)器進(jìn)行通信，就需要這個服務(wù)。許多Web服務(wù)器僅僅是對請求進(jìn)行應(yīng)答而自身并不發(fā)出請求，這時就不需要DNS Client了。

　　Event Log：事件日志，用于記錄程序和 Windows 發(fā)送的事件消息。事件日志包含對診斷問題有所幫助的信息，可以在“事件查看器”中查看報告。

　　Logical Disk Manager：邏輯磁盤管理器監(jiān)視狗服務(wù)，用于管理本地磁盤驅(qū)動器和可移動設(shè)備。 

　　Network Connections：管理“網(wǎng)絡(luò)和撥號連接”文件夾中對象，在其中可以查看局域網(wǎng)和遠(yuǎn)程連接。

　　Protected Storage：提供對敏感數(shù)據(jù)(如私鑰)的保護(hù)性存儲，以便防止未授權(quán)的服務(wù)、過程或用戶對其的非法訪問。

　　Remote Procedure Call (RPC)：遠(yuǎn)程過程調(diào)用服務(wù)，用于在一個系統(tǒng)上使用程序執(zhí)行遠(yuǎn)程系統(tǒng)上的指令或程序。

　　Security Accounts Manager (SAM)：安全帳號管理服務(wù)，用于維護(hù)本地用戶帳戶的安全信息。

　　Windows Management Instrumentation(WMI)：Windows管理器，提供系統(tǒng)管理信息，如果沒有它，就沒有可訪問的管理控制臺來執(zhí)行系統(tǒng)管理。

　　Windows Management Instrumentation Driver Extensions：Windows管理器驅(qū)動器擴展，也是MMC所要求的，用于與驅(qū)動程序間交換系統(tǒng)管理信息。

　　以下是我們認(rèn)為應(yīng)該處于“手動”啟動狀態(tài)的基本服務(wù)：

　　Logical Disk Manager Administrative Service：邏輯硬盤管理器管理服務(wù)，是磁盤管理請求的系統(tǒng)管理服務(wù)。 

　　World Wide Web Publishing Service：WWW發(fā)布服務(wù),用于向Web 站點設(shè)置的特定端口（通常是80）發(fā)布Web內(nèi)容。

　　4、強化SAM數(shù)據(jù)庫的保護(hù)

　　SAM數(shù)據(jù)庫就是系統(tǒng)賬戶數(shù)據(jù)庫，其中的內(nèi)容屬于一等機密，再怎么保護(hù)也不為過。