windows 2000中的IIS網(wǎng)站安全構(gòu)建指南

下面提供給大家一起分享學(xué)習(xí)的是關(guān)于windows 2000中的IIS網(wǎng)站安全構(gòu)建指南，希望對(duì)大家有用。

Win2000操作系統(tǒng)的一個(gè)主要特色就是將IIS融入其內(nèi)核之中，并提供一些用來(lái)配置和維護(hù)軟件的向?qū)Чぞ�，使�?gòu)建一個(gè)Internet網(wǎng)站輕松易得。但是，如果要?jiǎng)?chuàng)建一個(gè)安全可靠的Internet網(wǎng)站，實(shí)現(xiàn)“地面部分”－Win2K操作系統(tǒng)和“空中部分”－IIS的雙重安全，還需要更加全面和深入的工作。本文就對(duì)這些穩(wěn)固工作中的地面部分－Win2K操作系統(tǒng)進(jìn)行討論，旨在幫助管理員一步步地實(shí)施網(wǎng)站安全構(gòu)建工作。

　　一、安全思想先行

　　所謂兵馬未發(fā)，糧草先行，在安裝和配置一個(gè)Internet服務(wù)器之前，首先要從思想上對(duì)安全工作有個(gè)全局認(rèn)識(shí)，至少應(yīng)該考慮好以下幾個(gè)方面的內(nèi)容：

　　1、編制計(jì)劃

　　編制安裝計(jì)劃的過(guò)程本身就可以作為一篇論文深加論述，這里只做概要介紹。保護(hù)Internet服務(wù)器安全需要詳盡的計(jì)劃，這不是指在安裝過(guò)程中彈出菜單時(shí)確定選擇哪一個(gè)項(xiàng)目，而是要仔細(xì)確定系統(tǒng)的功能和目標(biāo)，最終成為安裝的路標(biāo)、排除故障的向?qū)А⒎��?wù)器安裝及網(wǎng)絡(luò)邊界情況的基礎(chǔ)文檔。如果需要安裝計(jì)劃編制方面的基礎(chǔ)性方針資料，可以參考　　RFC手冊(cè)之2196項(xiàng)“站點(diǎn)安全手冊(cè)”，地址是：http://www.faqs.org/rfcs/rfc2196.html。

　　2、設(shè)計(jì)策略

　　除了確定服務(wù)器將執(zhí)行那些功能，還需要確定誰(shuí)能訪問(wèn)服務(wù)器、在服務(wù)器上存儲(chǔ)什么數(shù)據(jù)以及在出現(xiàn)各種情況時(shí)應(yīng)該采取哪些措施。這就是策略的制定。實(shí)際上，策略定義了一個(gè)組織的服務(wù)器與接受它的服務(wù)和數(shù)據(jù)的Internet公眾之間的交互作用細(xì)節(jié)。真正安全的站點(diǎn)必須具有適當(dāng)?shù)牟呗浴ｊP(guān)于策略的設(shè)計(jì)，同樣請(qǐng)參考RFC手冊(cè)之2196項(xiàng)“站點(diǎn)安全手冊(cè)”。

　　3、訪問(wèn)控制

　　這方面是指對(duì)服務(wù)器的訪問(wèn)權(quán)，主要包括三類：

　　物理訪問(wèn)控制：指實(shí)際接觸和操作服務(wù)器控制臺(tái)的能力。如果攻擊者取得了物理訪問(wèn)權(quán)，就可以繞過(guò)許多安全措施，整個(gè)安全計(jì)劃將出現(xiàn)一個(gè)大大的漏洞！

　　系統(tǒng)訪問(wèn)控制：確定哪些組或個(gè)人賬號(hào)對(duì)系統(tǒng)擁有何種權(quán)限，例如備份和恢復(fù)數(shù)據(jù)、向Web 服務(wù)器發(fā)布文檔、管理賬戶或組。

　　網(wǎng)絡(luò)訪問(wèn)控制：網(wǎng)絡(luò)訪問(wèn)控制規(guī)定了內(nèi)部網(wǎng)與Internet相互作用的權(quán)限，例如端口訪問(wèn)、數(shù)據(jù)讀取、服務(wù)使用等等。不僅僅要考慮到外部的入侵行為，還要設(shè)想到內(nèi)部的敵人攻擊。為此，一般將服務(wù)器放于DMZ區(qū)域內(nèi)。一個(gè)DMZ（Demilitarized Zone）就是一個(gè)孤立的網(wǎng)絡(luò)，可以把不信任的系統(tǒng)放在那里。例如，我們希望任何人都能訪問(wèn)Web和Email服務(wù)器，所以它們就是不能信任的；將它們放在DMZ中特別關(guān)照，就可對(duì)來(lái)自內(nèi)部和外部的訪問(wèn)都進(jìn)行限制。

　　二、Win2K安裝時(shí)要重點(diǎn)考慮的安全配置信息

　　安裝Win2K時(shí)，直到配置網(wǎng)絡(luò)協(xié)議時(shí)才需要考慮安全問(wèn)題。對(duì)于一個(gè)Internet網(wǎng)站，配置網(wǎng)絡(luò)協(xié)議時(shí)一定要關(guān)閉一個(gè)很大的安全漏洞：NetBIOS協(xié)議！就是說(shuō)，在“本地連接屬性”窗口中，只選中“Microsoft網(wǎng)絡(luò)客戶端”和“Internet協(xié)議（TCP/IP）”兩項(xiàng)：

　　選中“Microsoft網(wǎng)絡(luò)客戶端”的原因在于NTLM (NT/LAN 管理器)安全支持供應(yīng)（Security Support Provider）組件是嵌入在操作系統(tǒng)中的，如果沒(méi)有這個(gè)組件，IIS將無(wú)法運(yùn)行。

　　你可能要問(wèn)了：“只配置這兩個(gè)協(xié)議，需要其他的功能怎么辦”？解決方法很簡(jiǎn)單：為服務(wù)器安裝配置兩個(gè)網(wǎng)卡，第一個(gè)用于Internet連接，其上只綁定那兩個(gè)服務(wù)協(xié)議；第二個(gè)用于從本地網(wǎng)絡(luò)訪問(wèn)服務(wù)器，根據(jù)需要添加其他的服務(wù)協(xié)議，例如“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”等：

　　接下來(lái)，我們要設(shè)置TCP/Ip協(xié)議的屬性內(nèi)容。除了確定網(wǎng)卡IP地址以及默認(rèn)網(wǎng)關(guān)地址外，還需要點(diǎn)擊“高級(jí)”按鈕進(jìn)入“WINS”選項(xiàng)卡設(shè)置“禁止TCP/IP上的NetBIOS”，以阻止網(wǎng)卡向Internet發(fā)送和接收NetBIOS信息：

　　NetBIOS是簡(jiǎn)單友好的機(jī)器名表達(dá)法，例如\\servername\shareresource。如果打開(kāi)這個(gè)功能，攻擊者就可以使用端口掃描器等軟件測(cè)試出具有端口137 和139監(jiān)聽(tīng)的機(jī)器，從而進(jìn)一步使用其NetBIOS 名嘗試獲取系統(tǒng)資源的訪問(wèn)權(quán)。

　　三、Win2K安裝后要重點(diǎn)考慮的安全配置信息

　　操作系統(tǒng)安裝完畢后，建議執(zhí)行如下安全配置：

　　1、安裝微軟高級(jí)加密包（Microsoft High Encryption Pack），將服務(wù)器升級(jí)為128位加密。

　　默認(rèn)狀態(tài)下，服務(wù)器軟件的加密狀態(tài)處于較低級(jí)別，我們必須手工將其配置為128位加密。而且，這項(xiàng)工作應(yīng)該在創(chuàng)建帳號(hào)和組之前進(jìn)行，這樣就可以保證在服務(wù)器上創(chuàng)建的所有項(xiàng)目都是128位加密級(jí)別的。

　　2、安裝最新的SP軟件包和Hotfixes

　　微軟的產(chǎn)品是老裁縫做的，不打補(bǔ)丁不漂亮的，所以管理員們要經(jīng)常訪問(wèn)以下地址看看是否又有新補(bǔ)丁面世：http://www.microsoft.com/windows2000/downloads/default.asp

　　這個(gè)地址包含了大量關(guān)于Win2K的信息，對(duì)日常管理Win2K服務(wù)器非常有參考價(jià)值。關(guān)于HotFixes有一點(diǎn)需要注意：只在系統(tǒng)需要的時(shí)候才安裝相應(yīng)HotFix。因?yàn)椋�并不是每個(gè)服務(wù)器都需要所有的HotFix，其中有一些hotfix修復(fù)的漏洞只存在于某些特定配置中。

　　3、對(duì)系統(tǒng)服務(wù)的啟動(dòng)方式重新進(jìn)行規(guī)劃

　　默認(rèn)狀態(tài)下，許多服務(wù)都隨系統(tǒng)啟動(dòng)而啟動(dòng)。但由于有些服務(wù)因?yàn)閱��?dòng)帳號(hào)身份的權(quán)限過(guò)大，有可能埋下安全隱患地雷，因此必須對(duì)所有服務(wù)的啟動(dòng)方式進(jìn)行重新規(guī)劃。規(guī)劃的原則應(yīng)該是：除非絕對(duì)必要，關(guān)閉該服務(wù)。

以下是我們認(rèn)為應(yīng)該處于“自動(dòng)”啟動(dòng)狀態(tài)的基本服務(wù)：

　　DNS Client：如果服務(wù)器需要主動(dòng)與其它服務(wù)器進(jìn)行通信，就需要這個(gè)服務(wù)。許多Web服務(wù)器僅僅是對(duì)請(qǐng)求進(jìn)行應(yīng)答而自身并不發(fā)出請(qǐng)求，這時(shí)就不需要DNS Client了。

　　Event Log：事件日志，用于記錄程序和 Windows 發(fā)送的事件消息。事件日志包含對(duì)診斷問(wèn)題有所幫助的信息，可以在“事件查看器”中查看報(bào)告。

　　Logical Disk Manager：邏輯磁盤(pán)管理器監(jiān)視狗服務(wù)，用于管理本地磁盤(pán)驅(qū)動(dòng)器和可移動(dòng)設(shè)備。 

　　Network Connections：管理“網(wǎng)絡(luò)和撥號(hào)連接”文件夾中對(duì)象，在其中可以查看局域網(wǎng)和遠(yuǎn)程連接。

　　Protected Storage：提供對(duì)敏感數(shù)據(jù)(如私鑰)的保護(hù)性存儲(chǔ)，以便防止未授權(quán)的服務(wù)、過(guò)程或用戶對(duì)其的非法訪問(wèn)。

　　Remote Procedure Call (RPC)：遠(yuǎn)程過(guò)程調(diào)用服務(wù)，用于在一個(gè)系統(tǒng)上使用程序執(zhí)行遠(yuǎn)程系統(tǒng)上的指令或程序。

　　Security Accounts Manager (SAM)：安全帳號(hào)管理服務(wù)，用于維護(hù)本地用戶帳戶的安全信息。

　　Windows Management Instrumentation(WMI)：Windows管理器，提供系統(tǒng)管理信息，如果沒(méi)有它，就沒(méi)有可訪問(wèn)的管理控制臺(tái)來(lái)執(zhí)行系統(tǒng)管理。

　　Windows Management Instrumentation Driver Extensions：Windows管理器驅(qū)動(dòng)器擴(kuò)展，也是MMC所要求的，用于與驅(qū)動(dòng)程序間交換系統(tǒng)管理信息。

　　以下是我們認(rèn)為應(yīng)該處于“手動(dòng)”啟動(dòng)狀態(tài)的基本服務(wù)：

　　Logical Disk Manager Administrative Service：邏輯硬盤(pán)管理器管理服務(wù)，是磁盤(pán)管理請(qǐng)求的系統(tǒng)管理服務(wù)。 

　　World Wide Web Publishing Service：WWW發(fā)布服務(wù),用于向Web 站點(diǎn)設(shè)置的特定端口（通常是80）發(fā)布Web內(nèi)容。

　　4、強(qiáng)化SAM數(shù)據(jù)庫(kù)的保護(hù)

　　SAM數(shù)據(jù)庫(kù)就是系統(tǒng)賬戶數(shù)據(jù)庫(kù)，其中的內(nèi)容屬于一等機(jī)密，再怎么保護(hù)也不為過(guò)。