为了在抵制恶意用户和攻击者的过程中占据主动,在安装Microsoft Windows® Server™ 2003时,缺省情况下,Windows Server 2003家族在安装时不会安装IIS。IIS最初以高度安全的“锁定”模式安装。例如,默认情况下,IIS最初将只处理静态内容。除非管理员启用它们,否则诸如Active Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)发布、以及Microsoft FrontPage® Server Extensions等特性将无法工作。这些特性可以通过Internet Information Services Manger (IIS Manager)中的Web Service Extensions节点来启用。
IIS Manager 具有图形化的用户界面(GUI),可用来方便地对IIS进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。
本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司Intranet中存放HTML内容的IIS服务器的安全性。但是,要想确保IIS服务器的彻底安全,您还应当运行安全监视、检测和响应等程序。
审核策略设置
在本指南定义的三种环境下,IIS服务器的审核策略设置通过MSBP来配置。要了解有关MSBP的更多信息,请参看第三章“创建成员服务器基线”。MSBP设置可确保所有的相关安全性审核信息均被记录在IIS服务器上。
用户权限分配
在本指南所的定义的三种环境中,大多数IIS服务器的用户权限分配通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。下面阐述MSBP与Incremental IIS Group Policy(增量式IIS组策略)之间的差别。
拒绝通过网络访问该计算机
表8.1: 设置
| 成员服务器缺省值 |
旧有客户机 |
企业客户机 |
高安全性 |
| SUPPORT_388945a0 |
匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户 |
匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户 |
匿名登录;内置管理员帐户; Support_388945a0;Guest;所有非操作系统服务帐户 |
注意: 安全性模板中不包括匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识(SID)。因此,您必须手动添加它们。
“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。该设置将拒绝很多网络协议,包括服务器信息块(SMB)协议,网络基本输入/输出系统(NetBIOS),通用Internet文件系统(CIFS),超文本传输协议(HTTP),以及 COM+ 等。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行管理员任务的能力。
在第三章“创建成员服务器基线”中,本指南推荐将Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问IIS的IUSR 帐户被默认为Guest 组的成员。本指南推荐从增量式IIS组策略中清除 Guests 组,以确保必要时可配置对IIS服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。
安全选项
在本指南所的定义的三种环境中, IIS服务器的安全选项通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置保证了所有的相关安全选项能够跨IIS服务器实现统一配置。
事件日志设置
在本指南所的定义的三种环境中,IIS服务器的事件日志设置通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。
系统服务
为了让IIS向Microsoft Windows Server™ 2003 添加 Web 服务器功能,必须启用以下三种服务。增量式IIS组策略确保了这些服务被配置为自动启动。
注意:MSBP禁用了几种其它的IIS相关服务。FTP、SMTP和NNTP就是被MSBP禁用的服务的例子。如果想要在本指南所定义的任何一种环境下的IIS服务器上启用这些服务,必须更改增量式IIS组策略。
HTTP SSL
表 8.2: 设置
| 服务名称 | 默认的成员服务器 |
旧有客户机 |
企业客户机 |
高安全性 |
| HTTPFilter | 手动 |
自动 |
自动 |
自动 |
“HTTP SSL”服务使得IIS能够实现安全套接字层(SSL)功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在World Wide Web上进行电子金融事务成为可能,当然也可用它来实现其它Internet服务。
如果HTTP SSL服务终止,IIS将无法完成SSL功能。禁用该服务将导致所有明确依赖该它的服务不能实现。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问这些设置,因此可以防止未经授权或恶意的用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将HTTP SSL设置配置为“自动”。
IIS管理服务
表8.3: 设置
| 服务名称 | 默认的成员服务器 |
旧有客户机 |
企业客户机 |
高安全性 |
| IISADMIN | 未安装 |
自动 |
自动 |
自动 |
“IIS管理服务”允许对IIS组件进行管理,例如文件传输协议(FTP)、应用程序池、站点、Web服务扩展,以及网络新闻传输协议(NNTP)和简单邮件传输协议(SMTP)的虚拟服务器。
IIS管理服务必须运行,以便让IIS服务器能够提供Web、FTP、NNTP以及SMTP服务。如果这些服务不可用,IIS将无法配置,并且对站点服务的请求将不会成功。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员对它进行单独访问,因此可防止未授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“IIS管理服务”设置配置为“自动”。
World Wide Web发布服务
表8.4: 设置
| 服务名称 | 默认的成员服务器 |
旧有客户机 |
企业客户机 |
高安全性 |
| W3SVC | 未安装 |
自动 |
自动 |
自动 |
World Wide Web发布服务通过IIS管理单元提供网络连通性和网站管理。
World Wide Web发布服务必须得到运行,以便让IIS服务器通过IIS Manager提供网络连通性和管理。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问改设置,以防止未经授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“World Wide Web发布服务”设置配置为“自动”。
其它安全设置
在安装完Windows Server 2003和IIS之后,IIS在缺省情况下只能提供静态的网站内容。如果站点和应用程序包含动态内容,或者需要一个或多个附加IIS组件,每个附加IIS特性必须逐一单独启用。但是,在该过程中必须注意:您需要确保在您的环境中将每个IIS服务器的受攻击面积降至最小。如果您的组织只包含静态内容而无需其它IIS组件,这时,缺省的IIS配置已经可以将您的环境中的IIS服务器的攻击表面降至最小。
通过MSBP应用的安全性设置为IIS服务器提供了大量的增强安全性。然而,您还需要考虑其它一些附加事项。这些步骤不能通过组策略完成,而必须在所有IIS服务器上手动执行。
只安装必需的IIS组件
除了World Wide Web发布服务之外,IIS6.0还包括其它的组件和服务,例如FTP和SMTP服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动Windows Components Wizard Application Server,以安装和启用IIS组件和服务。在安装完IIS之后,网站和应用程序所需要的全部IIS组件和服务必须得到启用。
安装Internet信息服务(IIS)6.0:
1. 在“控制面板”上,双击“添加/删除程序”。
2. 单击“添加/删除Windows组件”按钮,启动Windows组件向导。
3. 在“组件”列表中,单击“应用程序服务器”,然后单击“详细”。
4. 在“应用程序服务器”对话框中,在“应用程序服务器子组件”下,单击“Internet信息服务(IIS)”,然后单击“详细”。
5. 在Internet信息服务(IIS)对话框的Internet信息服务(IIS)子组件列表中,完成以下工作之一:
- 要增加其它组件,请选中想要安装组件旁边的复选框。
- 要删除已安装的组件,请清除想要删除组件旁边的复选框。
6. 单击“确定”返回到Windows组件向导。
7. 单击“下一步”,然后单击“完成”。
只有站点和应用程序所必需的那些基础IIS组件和服务应当被启用。启用不必要的组件和服务只会增加IIS服务器受攻击的表面积。
下面的插图和表格显示了IIS组件的位置和建议设置。
应用程序服务器子组件
下表简要描述了应用程序服务器的子组件,并且对何时启用它们提供了建议。
表8.5: 应用程序服务器子组件
| UI中的组件名称 | 设置 | 设置逻辑 |
| 应用程序服务器控制台 | 禁用 | 提供一个Microsoft 管理控制台(MMC),以便管理所有的Web应用程序服务器组件。该组件在专用IIS服务器中不是必需的,因为您还可以使用IIS Server Manager。 |
| ASP.NET | 禁用 | 提供了对ASP.NET应用程序的支持。当IIS服务器运行ASP.NET应用程序时启用该组件。 |
| 启用网络COM+访问 | 启用 | 允许IIS服务器作为存储用于分布式应用程序的COM+ 组件的主机。该组件是FTP、BITS服务器扩展、World Wide Web服务以及IIS Manager等所必需的。 |
| 启用网络DTC访问 | 禁用 | 允许IIS服务器作为存储通过分布式事务协调器(Distributed Transaction Coordinator,DTC)来参与网络事务的应用软件的主机。除非运行于IIS服务器的应用软件需要,否则应该禁用该组件。 |
| Internet信息服务(IIS) | 启用 | 提供基本的Web和FTP服务。该组件是专用IIS服务器所必需的。 |
| 消息队列 | 禁用 | 注意:如果该组件未启用,则所有的子组件将禁用。 |
IIS子组件
下表简要地描述了IIS子组件,并且对何时启用它们提供了建议。
表8.6: IIS子组件
| UI中的组件名称 | 设置 | 设置逻辑 |
| 后台智能传输服务(BITS)服务器扩展 | 启用 | BITS是一种由Windows Update和Automatic Update使用的后台文件传输机制。当使用Windows升级或自动升级自动地将服务包和热修补应用于IIS服务器时,该组件是必需的。 |
| 公共文件 | 启用 | IIS需要这些文件,而且它们在IIS服务器中应当总是被启用的。 |
| 文件传输协议(FTP)服务 | 禁用 | 使得IIS服务器能够提供FTP服务。该服务不是专用的IIS服务器所必需的。 |
| FrontPage 2002服务器扩展 | 禁用 | 为管理和发布网站提供FrontPage支持。当没有网站使用FrontPage扩展时,请禁用本组件。 |
| Internet 信息服务管理器 | 启用 | IIS的管理界面。 |
| Internet打印 | 禁用 | 提供基于Web的打印机管理,并且使得打印机能够通过HTTP得到共享。该组件不是专用的IIS服务器所必需的。 |
| NNTP服务 | 禁用 | 在Internet上分发、查询、获得以及发表Usenet新闻文章。该组件不是专用的IIS服务器所必需的。 |
| SMTP服务 | 禁用 | 支持电子邮件的传输。该组件非专用IIS服务器所必须。 |
| World Wide Web 服务 | 启用 | 提供Web服务,向客户提供静态和动态内容。该组件是专用的IIS服务器所必需的。 |
消息队列子组件
下表简要地描述了消息队列子组件,并且对何时启用它们提供了建议。
表8.7: 消息队列子组件
| UI中的组件名称 | 设置 | 设置逻辑 |
| Active Directory集成 | 禁用 | 当IIS服务器属于一个域时,提供与Microsoft Active Directory® 的集成。当运行于IIS 的站点和应用软件使用了Microsoft 消息队列(MSMQ)时,该组件是必须启用的组件。 |
| 公共文件 | 禁用 | MSMQ所必需的组件。当运行于IIS服务器的站点和应用软件使用了MSMQ时,该组件是必须启用的组件。 |
| 下级客户支持 | 禁用 | 为下游客户提供对Active Directory的访问以及站点识别。当运行于IIS服务器的站点和应用软件使用了MSMQ时,该组件是必需的。 |
| MSMQ HTTP支持 | 禁用 | 提供了HTTP传输中收发消息的服务。当运行于IIS服务器的站点和应用软件使用了MSMQ时,该组件是必需的。 |
| 路由支持 | 禁用 | 为MSMQ提供存储转发消息以及高效路由服务。当运行于IIS服务器的站点和应用软件使用了MSMQ时,该组件是必需的。 |
后台智能传输服务(BITS)服务器扩展子组件
下表简要地描述了后台智能传输服务(BITS)服务器扩展子组件,并且对何时启用它们提供了建议。
表8.8: 后台智能传输服务(BITS)服务器扩展子组件
| UI中的组件名称 | 设置 | 设置逻辑 |
| BITS管理控制台管理单元 | 启用 | 为管理BITS安装一个MMC 管理单元。当Internet服务器应用程序编程接口(ISAPI)的BITS服务器扩展被启用时,应启用该组件。 |
| BITS服务器扩展ISAPI | 启用 | 安装BITS ISAPI,以便让IIS服务器能够使用BITS传输数据。当使用Windows Update或Automatic Update自动地将服务包和热修补应用于IIS服务器时,该组件是必需的。如果Windows Update或Automatic 未被使用时,应禁用该组件。 |
World Wide Web服务子组件
下表简要地描述了World Wide Web服务子组件,并且对何时启用它们提供了建议。
表8.9: World Wide Web服务子组件
| UI中的组件名称 | 设置 | 设置逻辑 |
| Active Server Pages | 禁用 | 提供了对ASP的支持。当IIS服务器中没有站点或应用软件使用ASP时,请禁用该组件,或者利用Web服务扩展禁用它。要了解更多信息,请参看本章“仅启用必需的Web服务扩展”部分。 |
| Internet数据连接器 | 禁用 | 支持以.idc为扩展名的文件所提供的动态内容。当IIS服务器上没有运行使用该Web服务扩展的站点或应用软件时,请禁用该组件,或者用Web服务扩展禁用它。要了解更多信息,请参看本章“仅启用必需的Web服务扩展”部分。 |
(继续)
| 远程管理(HTML) | 禁用 | 为管理IIS提供一个HTML界面。使用IIS Manager 可以提供更方便的管理,并且减少IIS服务器的攻击表面。该特性在专用的IIS服务器中不是必需的。 |
| 远程桌面Web连接 | 禁用 | 包括Microsoft ActiveX® 控件和示例页面,以便存储终端服务客户连接。使用IIS Manager 提供了更方便的管理,并且减少IIS服务器的攻击表面。该特性在专用IIS服务器中不是必需的。 |
| 服务器端包含 | 禁用 | 提供了对.shtm、.shtml和 .stm文件的支持。当运行于IIS服务器上的站点或应用软件没有使用包含该扩展名的文件时,请禁用该组件。 |
| WebDAV | 禁用 | WebDAV 扩展了HTTP/1.1协议,以允许客户发布、锁定和管理网站中的资源。请在专用的IIS服务器中禁用该功能,或者用Web服务扩展禁用它。要了解更多信息,请参看本章“仅启用必需的Web服务扩展”部分。 |
| World Wide Web服务 | 启用 | 提供Web服务,向客户提供静态或动态内容,该组件在专用IIS服务器中是必需的。 |
.
分页: [1] [2]
TAG: windows 2003 web服务器 安全性