IIS的安全機制分析(修正版)
2024-08-29 03:14:54
供稿:網(wǎng)友
以Windows NT內(nèi)核的安全機制為基礎(chǔ)
1.web文件目錄應(yīng)該ntsf分區(qū)模式
NTFS文件系統(tǒng)可以對文件和目錄進(jìn)行管理,F(xiàn)AT文件系統(tǒng)則只能提供共享級的安全,而Windows NT的安全機制是建立在NTFS文件系統(tǒng)之上的,所以在安裝Windows NT時最好使用NTFS文件系統(tǒng),否則將無法建立NT的安全機制。
2.修改共享權(quán)限
在系統(tǒng)默認(rèn)情況下,每建立一個新的共享,Everyone用戶就享有"完全控制"的共享權(quán)限,因此,在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限,在安全設(shè)置中刪除Everyone是個不錯的主意。
3.更改系統(tǒng)管理員賬號名
具體設(shè)置方法如下:選擇"開始"選單→"程序"→啟動"域用戶管理器"→選中"管理員賬號(adminstrator)"→選擇"用戶"選單→"重命名",對其進(jìn)行修改。需要注意的是這一步最好在服務(wù)器架設(shè)伊始進(jìn)行,否則在windows server 2003以及更早的版本中,部分權(quán)限設(shè)置會丟失。
4.取消TCP/IP上的NetBIOS綁定
NT系統(tǒng)管理員可以通過構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像,對Internet或Intranet上的其他服務(wù)器進(jìn)行管理,但非法用戶也可從中找到可乘之機。如果這種遠(yuǎn)程管理不是必須的,就應(yīng)該立即取消(通過網(wǎng)絡(luò)屬性的綁定選項,取消NetBIOS與TCP/IP之間的綁定)。
設(shè)置IIS的安全機制
1.安裝時應(yīng)注意的安全問題
1)避免安裝在主域控制器上
安裝IIS之后,在安裝的計算機上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中,從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個匿名用戶,這不僅給IIS帶來潛在危險,而且還可能威脅整個域資源的安全。所以要盡可能避免把IIS服務(wù)器安裝在域控制器上,尤其是主域控制器上。
2)避免安裝在系統(tǒng)分區(qū)上
把IIS安裝在系統(tǒng)分區(qū)上,會使系統(tǒng)文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統(tǒng)分區(qū),所以應(yīng)該避免將IIS服務(wù)器安裝在系統(tǒng)分區(qū)上。
2.用戶的安全性
1)匿名用戶訪問權(quán)限的控制
安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername(密碼隨機產(chǎn)生),其匿名訪問給Web服務(wù)器帶來潛在的安全性問題,應(yīng)對其權(quán)限加以控制。如無匿名訪問需要,則可以取消Web的匿名訪問服務(wù)。具體方法:
選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動Microsoft Internet Service Manager→ 雙擊"WWW"啟動WWW服務(wù)屬性頁→取消其匿名訪問服務(wù)。
2)控制一般用戶訪問權(quán)限
可以通過使用數(shù)字與字母(包括大小寫)結(jié)合的口令,使用長口令(一般應(yīng)在6位以上),經(jīng)常修改密碼,封鎖失敗的登錄嘗試以及設(shè)定賬戶的有效期等方法對一般用戶賬戶進(jìn)行管理。
3.IIS三種形式認(rèn)證的安全性
1)匿名用戶訪問:允許任何人匿名訪問,在這三種中安全性最低。
2)基本(Basic)認(rèn)證:用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸,安全性能一般。
3)Windows NT請求/響應(yīng)方式:瀏覽器通過加密方式與IIS服務(wù)器進(jìn)行交流,有效地防止了竊聽者,是安全性比較高的認(rèn)證形式(需IE 3.0以上版本支持)。
4.訪問權(quán)限控制
1)設(shè)置文件夾和文件的訪問權(quán)限:安放在NTFS文件系統(tǒng)上的文件夾和文件,一方面要對其權(quán)限加以控制,對不同的組和用戶設(shè)置不同的權(quán)限;另外,還可以利用NTFS的審核功能對某些特定組的成員讀、寫文件等方面進(jìn)行審核,通過監(jiān)視"文件訪問"、"用戶對象的使用"等動作,來有效地發(fā)現(xiàn)非法用戶進(jìn)行非法活動的前兆,及時加以預(yù)防和制止。具體方法:
選擇"開始"選單→"程序"→啟動"域用戶管理器" →選擇"規(guī)則"選項卡下的"審核"選項→設(shè)置"審核規(guī)則"。
2)設(shè)置WWW目錄的訪問權(quán)限:已經(jīng)設(shè)置成Web目錄的文件夾,可以通過操作Web站點屬性頁實現(xiàn)對WWW目錄訪問權(quán)限的控制,而該目錄下的所有文件和子文件夾都將繼承這些安全機制。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外,還提供讀取權(quán)限——允許用戶讀取或下載WWW目錄中的文件;執(zhí)行權(quán)限——允許用戶運行WWW目錄下的程序和腳本。具體設(shè)置方法如下:
選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動Microsoft Internet Service Manager→ 雙擊"WWW"啟動WWW服務(wù)屬性頁→選擇"目錄"選項卡→選定需要編輯的WWW目錄→選擇"編輯屬性"中的"目錄屬性"進(jìn)行設(shè)置。
5.IP地址的控制
IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請求,有選擇地允許特定節(jié)點的用戶訪問。可以通過設(shè)置來阻止指定IP地址外的網(wǎng)絡(luò)用戶訪問你的Web服務(wù)器。具體設(shè)置方法如下:
選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動Microsoft Internet Service Manager→雙擊"WWW"啟動WWW服務(wù)屬性頁→啟動Web屬性頁中"高級"選項卡;進(jìn)行IP地址的控制設(shè)置。
6.端口安全性的實現(xiàn)
對于IIS服務(wù),無論是WWW站點、Fpt站點,還是NNpt、SMpt服務(wù)等都有各自偵聽和接收瀏覽器請求的TCP端口號(Post),一般常用的端口號為:WWW是80,F(xiàn)pt是21,SMpt是25,你可以通過修改端口號來提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置,只有知道端口號的用戶才可以訪問,不過用戶在訪問時需要指定新端口號。
7.IP轉(zhuǎn)發(fā)的安全性
IIS服務(wù)可提供IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能,此時,充當(dāng)路由器角色的IIS服務(wù)器將會把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中,禁用這一功能將提高IIS服務(wù)的安全性。設(shè)置方法如下:
選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動Microsoft Internet Service Manager→ 雙擊"WWW"啟動WWW服務(wù)屬性頁→選擇"協(xié)議"選項卡→在TCP/IP屬性中去掉"路由選擇"。
8.SSL安全機制
SSL(加密套接字協(xié)議層)位于HTpt層和TCP層之間,建立用戶與服務(wù)器之間的加密通信,確保信息傳遞的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的。任何用戶都可以獲得公共密鑰來加密數(shù)據(jù),但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機制時,首先客戶端與服務(wù)器建立連接,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端,客戶端隨機生成會話密鑰,用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密,并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器,而會話密鑰只有在服務(wù)器端用私人密鑰才能解密,這樣,客戶端和服務(wù)器端就建立了一個唯一的安全通道。具體設(shè)置方法如下:
選擇"開始"選單→"程序"→"Microsoft Internet Server(公用) "→"Internet服務(wù)管理器" →啟動Microsoft Internet Service Manager→ 雙擊"WWW"啟動WWW服務(wù)屬性頁→選擇"目錄安全性"選項卡→單擊"密鑰管理器"按鈕→通過密鑰管理器生成密鑰文件和請求文件→從身份認(rèn)證權(quán)限中申請一個證書→通過密鑰管理器在服務(wù)器上安裝證書→激活Web站點的SSL安全性。
建立了SSL安全機制后,只有SSL允許的客戶才能與SSL允許的Web站點進(jìn)行通信,并且在使用URL資源定位器時,注意輸入的是"htpts://",而不是"htpt://"。
SSL安全機制的實現(xiàn),將增加系統(tǒng)開銷,增加服務(wù)器CPU的額外負(fù)擔(dān),從而會在一定程度上降低系統(tǒng)性能。筆者建議在規(guī)劃網(wǎng)絡(luò)時,僅考慮為高敏感度的Web目錄使用SSL安全機制。
