安全性與IIS_Windows教程
不過,確保你數據完整性仍是一個必須認真對待的關鍵性安全問題。IIS憑借豐富而又強大的驗證、訪問控制和審核功能可以保證數據的完整性,因為它以WINDOWS NT SERVER作系統為基礎。此外,它還支持安全插接層SSL,它通過對IIS和支持SSL的所有瀏覽器之間的對話進行加密來保證安全通信更加保密。
黑客們知道大多數WEB和FTP網站都允許匿名訪問。這些網站常常錯誤配置,這樣就存在安全漏洞。下面介紹須采取哪些措施才能保證保證IIS使你的網絡和數據完全避免黑客入侵。
一、利用現有的WINDOWS NT安全性能來保護IIS ISS通過WINDOWS NT安全模型提供安全性,也就說,安全帳戶管理器數據庫中定義的用戶帳戶和組將確定一旦用戶接入IIS機器,他們能進行什么操作。你不僅要核查現有的帳戶權限和許可權,并且要限制匿名訪問使用的帳戶權限和許可權,這非常重要。
記錄IIS的所有服務程序都支持廣泛的記錄功能。記錄功能很重要,因為它能用來監(jiān)視可疑的活動,從而決定應當保留什么、應當取消什么,以便進行容量規(guī)劃。
啟動記錄功能很容易,每項服務的事件都共同記錄在同一個公用文件中。若要啟動記錄功能,請打開IIS MANEGER,雙擊你要啟動其記錄功能的服務器,顯示PROPERTIES對話框。接著單擊LOGGING標簽,將彈出一個對話框。該標簽的用法相當直接,你只須單擊ENABLE LOGGING選項,然后你選擇是記錄到一個文本文件,還是記錄到SQL數據庫,并確定日志文件多長時間更新一次。
提示當你第一次安裝服務器時,要設置為DAILY LOGGING(日志),這樣你可以每天看到結果。過一段時間后,你再選擇最合適的記錄方式。
ADVANCED選項通過單擊SERVICE PROPERTIED對話框的ADVANCED標簽,IIS還支持簡單過濾功能。你可使用ADVANCED OPTIONS標簽來限制或允許某些IP地址對Web服務器的訪問。在彈出的ADVANCED標簽中,激活By default all computer will be granted access(缺省時,所有計算機將獲得訪問權)你可以使用ADD鈕將應當拒絕訪問的某些特定的IP地址范圍輸入進來。
或者,如果你想強制執(zhí)行嚴格的安全保護,你可以選擇By Default all computer will be den access(缺省時,所有的計算機將被拒絕訪問),然后根據應當能訪問這臺機器的IP地址確定主機表。這是一個功能強大而且價值較高的工具,有助于確保你網站的安全,所以不應忽視。
二、IIS Advanced安全性能與Exchange Server一樣,Internet信息服務器提供Advanced安全性能,使你通信絕對安全。它們由SSL(安全插接層)2.0版和3.0版以及PCT(保密通信技術)1.0組成。SSL可對TCP/IP通信進行數據加密、服務器驗證和郵件集成功能。
安全插接層安全插接層(SSL)是一個由Netscape通信公司開發(fā)的協議,并提交環(huán)球網聯盟(W3C)作為保證Internet通信安全的標準。當支持SSL的一臺客戶機(Internet Explorer2.0和3.x和Netscape 3.x)與支持SSL的服務器連接時,在TCP/IP連接時就出現“信號交換的交接關系”來進行驗證,以確定在通信中將實施哪一級安全保護。
在建立連接后,SSL接著對流經使用中的應用協議的數據進行加密和解密。所有請示和響應信息都應該加密,其中包括客戶機下在請示的統一資源定位符(URL)、其它形式的數據(如你的地址或食用卡號碼)、任何驗證信息(用戶名和口令)以及所有由服務器返回到客戶機的數據。
SSL是位于應用協議(如HTTP)之下,SMTP位于連接協議TCP/IP之上。MICROSOFT INTERNET信息服務器支持超文本傳輸協議保密(HTTPS)訪問方式。盡管SSL能提供實際不可破譯的加密功能,但SSL加密傳輸的速度要低于非加密傳輸。因此,為了防止你整個WEB網站的性能下降,你可以考慮只把SSL作為虛擬的文件夾用來處理高度機密信息,如提交的包含信用卡信息的表格。
你可以在你WEB網站的根目錄(\InetPub\Wwwroot是缺省值)或在一個或多個虛擬文件夾中啟動SSL安全功能。一旦SSL配置好和啟動后,只有支持SSL的客戶機能與支持SSL的WWW公文夾進行通信交流。
在Web服務器上啟動SSL安全性能,需要進行以下幾步工作:
1、使用密鑰管理器來生成一個密鑰對文件和一個請求文件。
2、從一個認證機構獲得一個證書。
3、在你的服務器上安裝新獲得的證書。
4、激活WEB服務文件夾中的SSL安全功能。
對于保密和公用內容,微軟公司建議你使用公開的目錄。比如,c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。
應注意以下幾點:
(1)為IIS生成一個密鑰對時,在任何域中不要使用逗號,原因是逗號被解釋為字段的結尾。它們會在沒有警告的情況下產生無效請求。
(2)如果你擁有多臺具有IIS的虛擬服務器功能的Web服務器在安裝你的證書時,要確定具體服務器的IP地址,否則系統創(chuàng)建的所有虛擬服務都適用同一個證書。
(3)如果你啟動SSL,任何指向支持SSL的WWW文件夾中文檔的URL必須使用http://,而不是在URL中的http://。使用在URL中的http://的任何鏈路不支持安全文件夾。
IIS的一般性安全提示你使用IIS隨意向INTERNET發(fā)布信息時,要確保網絡安全性。除了我們以前講座過后IIS功能外,你還要做到以下各點:
(1)為系統分區(qū)和各項IIS服務程序生成分開的區(qū),這樣黑客無法輕易地從某項服務程序的某個漏洞對整個機器訪問。
(2)對機器的所有分區(qū)使用NTFS,要保證用戶權限設置正確。
(3)將IIS服務器放置于其自己的域中,并與你的帳戶建立一種單向委托關系。如果黑客能得到某個有效帳戶的信息,那個帳戶也無法對你的用戶域進行訪問。
(4)為各項INTERNET服務使用單獨帳戶(如果你計劃運行的不止是Web服務器的話),這使得跟蹤用戶的活動相當容易。
(5)核查,然后再三核查為指定進行匿名訪問的帳戶分配的權限和許可權。需要給用戶分配最小的許可權,通常這是讀許可權。
(6)只在你IIS機器上存儲非機密信息,并將信息放置在防火墻。這樣,如果信息安全性遭到破壞,黑客仍必須穿越防火墻。
(7)在服務器上使用WINDOWS NT SERVER的TCP/IP過濾功能,只允許連接到你需要支持IIS服務的端口。比如,如果你只想運行Web服務器只須啟動端口80。
(8)如果用戶利用非匿名帳戶對服務器進行訪問,務必通過加密口令進行驗證。
三、安全性與WEB服務器Web服務器是IIS中一個強有力的功能全面的工具,它優(yōu)于其他同類產品。它的性能得到優(yōu)化。且作為WINDOWS NT SERVER下的一項服務運行時,能為各種規(guī)模的網絡提供快速、方便、安全的WEB出版功能。
(一)如何保護Web服務器的安全呢?如果你計劃建立WEB網站,要確保你WEB網站及其內容的安全以及你網絡及其資源的安全,除了我們曾經提到過的安全措施外,你還要采取其它相應的手段。
**注意**由于IIS提供的三種服務配置起來非常相似,故我們只詳細介紹Web服務器的配置,接著只說明Ftp服務器和Gopher服務器的差異。
1、用戶和口令驗證明首先你需要了解匿名訪問的嚴重后果,并采取預防措施來確保你為匿名訪問創(chuàng)建的帳戶擁有適當的許可權。若要設置用戶對你的WEB服務器進行訪問的類型,請在IIS MANAGER中雙擊WWW,調出你的WEB服務器再雙擊WEB服務器,就會顯示出WWW SERVICE PROPERTIES對話框。在對話框中,你可以看到,設置Web服務器服務程序可以使用多種選項。對于安裝的大多數的IIS而言,缺省選項最好。然而,有兩種關鍵的設置將決定用戶對WEB網站的訪問等級:匿名登錄和口令驗證。
如果你希望允許大眾進行訪問,一定要確保你同意匿名訪問。按照缺省設置,當IIS安裝好后,在你的用戶數據庫就會創(chuàng)建一個新用戶帳戶,其名字為IUSR_,后接已安裝好的服務器名。舉例說明:如果服務器名為SAMUEL-1,新用戶帳戶則為IUSR_SAMUE-1。當帳戶創(chuàng)建好,它被賦予有限的訪問權,并增加到域用戶、客人用戶和EVERYONE組中。
此外,IUSR_帳戶被賦予在本地登錄的權限(LOGON LOCALLY)。所有WEB用戶都必須具有這種權限,原因是他們的請求被傳送至Web服務器服務程序,該服務程序利用他們的帳戶去登錄,接著允許WINDOWS NT分配相應的訪問權。
如果你希望所有用戶按照特定的用戶帳戶和口令得到驗證,你僅僅清除Anonymous Logon(匿名登錄)選項即可。那將要求各用戶在訪問服務器的資源前輸入有效的用戶ID和口令。如果你能啟動啟示功能,你就能查看到誰正訪問Web服務器以及他們所進行的操作。
另一項決定你網站安全性的重要設置是你想使用的口令驗證類型,這里我們不再深入探討。為了實現最大的安全性,你可以激活Windows NT Challenge/Response選項,它在傳輸信息前對你的用戶ID和口令進行加密,從而保證帳戶信息在網絡安全傳輸。(遺憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持這種功能。)
2、虛擬目錄為確保你網站的安全性,配置WEB服務器可以看到的目錄以及相應的訪問層次也是很重要的。當你第一次安裝IIS時,按照缺省設置,它會自行創(chuàng)建一個叫做InetPub的目錄(安裝老版本的IIS則創(chuàng)建InetPub),接著為其提供的INTERNET服務生成根目錄。Web服務器的根目錄缺省為wwwroot,它應當是你主頁所在位置。接著你可以使用Directories標簽來增加存儲額外內容的新目錄。
3、Web服務器安全提示如果你正運行Web服務器,盡管你已根據以前所討論過的內容采取了預防措施,也許仍有些安全漏洞有待于你填補。以下列出當提供WEB服務時,你應當采取的一般措施:
*停用.bat和.cmd文件的映射功能。如果黑客們拿到這些Web服務器上的可執(zhí)行文件的話,他們就可運行這些Web文件。你通過取消對腳本程序的所有目錄的閱讀許可權,就可以停用某些文件夾映射功能。
*總是將你的腳本程序和數據存儲在不同的目錄,務必使包含腳本程序的目錄只擁有執(zhí)行許可權。
*禁止使用Directory Browsing Allowed(允許目錄瀏覽)。這一功能啟動后會給出一個瀏覽器,該瀏覽器含有某個目錄中的超文本文件列表,從而使黑客能篡改目錄中的文件。
*避免使用Remote Virtual Directories(遠程虛擬目錄)。務必將IIS所有的可執(zhí)行文件以及數據安裝在同一臺機器上,并利用NTFS來保護。當用戶試圖從遠程目錄訪問文檔時,總是使用輸入到屬性頁上的用戶名和口令,這就有可能繞過訪問控制列表。*當編寫和使用CGI腳本程序時,一定要小心。有經驗的黑客也許會利用編寫拙劣的CGI腳本程序來對你的系統進行訪問。
*牢記特權最小的原則,如果你計劃只運行Web服務器,那么請只激活Web服務器主機的端口80。
*全面測試你的Web服務器——設法發(fā)現并彌補任何漏洞。最好的方法是,讓可靠而且內行的同事設法破壞你網絡的安全性。
*想了解額外的情況,請上網www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文檔,尋求使你的Web服務器安全的靈丹妙藥。
四、安全性與FTP服務器Ftp服務器是唯一一項允許用戶通過INTERNET將文件傳輸至你服務器的IIS服務程序。設置FTP安全性能、用戶和口令驗證與Web服務器大致相似。但是有一點值得你**注意**:用戶名和口令將以明文(非加密)形式傳輸至Ftp服務器服務程序,這意味著如果使用網絡嗅探器就可以捕捉到這一信息,從而破壞網絡的安全!
在你允許大眾進行訪問時,一定要熟悉FTP Service Properties頁的Current Session鈕。它告訴你哪個用戶與Ftp服務器相連,他們何時連接,以及他們已連接多長時間。
虛擬目錄設置Ftp服務器的目錄與設置Web服務器服務程序十分類似,一定要保證用戶不能訪問FTPRoot目錄之外的目錄,并要正確設置FTP目錄的訪問許可。
FTP服務器安全提示運行Ftp服務器時,為保證安全你應當了解的以下事項:
1、謹記用戶可以修改Ftp服務器的目錄。一定要確保他們無法進入FTPRoot目錄以外的目錄,同時要使用NTFS來保證你服務器的安全。
2、避免使用遠程虛擬目錄。當用戶度圖從遠程目錄訪問文檔時,總是要求其提供輸入到屬性頁的用戶名和口令,這就有可能繞過訪問控制表表。
3、一定要啟動記錄功能,查找可疑活動,如在日志和事件查看器中查找沒有成功的登錄4、如果你只計劃運行Ftp服務器,只啟動FTP主機的端口20和端口21。
5、全面測試你的Ftp服務器,并設法找到任何漏洞。你還可以讓一個可靠的內行的同事設法打入系統。
五、安全性和Gopher服務器保護Gopher服務器與保護FTP服務程序和Web服務程序很類似,差別在于Gopher只允許匿名登錄。
。