保護(hù) Web 服務(wù)器

本頁內(nèi)容

	本模塊內(nèi)容
	目標(biāo)
	適用范圍
	如何使用本模塊
	概述
	威脅與對(duì)策
	確保 Web 服務(wù)器安全的方法
	IIS 和 .NET Framework 安裝注意事項(xiàng)
	安裝建議
	確保 Web 服務(wù)器安全的步驟
	步驟 1：修補(bǔ)程序和更新程序
	步驟 2：IISLockdown
	步驟 3：服務(wù)
	步驟 4：協(xié)議
	步驟 5：帳戶
	步驟 6：文件和目錄
	步驟 7：共享
	步驟 8：端口
	步驟 9：注冊(cè)表
	步驟 10：審核和日志記錄
	步驟 11：站點(diǎn)和虛擬目錄
	步驟 12：腳本映射
	步驟 13：ISAPI 篩選器
	步驟 14：IIS 元數(shù)據(jù)庫(kù)
	步驟 15：服務(wù)器證書
	步驟 16：Machine.Config
	步驟 17：代碼訪問安全性
	安全 Web 服務(wù)器快照
	保持安全
	遠(yuǎn)程管理
	簡(jiǎn)化并自動(dòng)設(shè)置安全性
	小結(jié)
	其他資源

本模塊內(nèi)容

Web 服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端。它直接連接到 Internet，負(fù)責(zé)接收來自客戶端的請(qǐng)求、創(chuàng)建動(dòng)態(tài) Web 頁并對(duì)請(qǐng)求的數(shù)據(jù)作出響應(yīng)。

安全的 Web 服務(wù)器可為宿主環(huán)境提供可靠的基礎(chǔ)，其配置在 Web 應(yīng)用程序的整體安全方面起重要作用。但是，如何確保 Web 服務(wù)器安全呢？確保 Web 服務(wù)器安全的挑戰(zhàn)之一就是要明確自己的目標(biāo)。只有明白了何謂安全的 Web 服務(wù)器，您就可以了解如何為此應(yīng)用所需的配置設(shè)置。

本模塊提供了一種系統(tǒng)且可重復(fù)的方法，您可以使用它成功配置安全的 Web 服務(wù)器。模塊還介紹了一種確保 Web 服務(wù)器安全的方法，該方法將服務(wù)器的配置劃分為十二個(gè)安全區(qū)域。每一安全區(qū)域都由一系列高級(jí)操作步驟組成。這些步驟都是模塊化的，介紹了將方法付諸實(shí)施的途徑。

返回頁首

目標(biāo)

使用本模塊可以實(shí)現(xiàn)：

返回頁首

適用范圍

本模塊適用于下列產(chǎn)品和技術(shù)：

返回頁首

如何使用本模塊

為了充分理解本模塊內(nèi)容，您應(yīng)：

返回頁首

概述

究竟怎樣的 Web 服務(wù)器才算安全？確保 Web 服務(wù)器安全的挑戰(zhàn)之一就是明確您的目標(biāo)。只有明白了何謂安全的 Web 服務(wù)器，您就可以了解如何為此應(yīng)用所需的配置設(shè)置。本模塊提供了一種系統(tǒng)且可重復(fù)的方法，您可以使用它成功配置安全的 Web 服務(wù)器。

本模塊首先回顧了影響 Web 服務(wù)器的最常見威脅。然后，使用上述觀點(diǎn)創(chuàng)建相應(yīng)的方法。最后，模塊將這種方法付諸實(shí)施，并逐步說明如何提高 Web 服務(wù)器的安全性。盡管基本方法可跨不同技術(shù)復(fù)用，但本模塊的重點(diǎn)是如何保證運(yùn)行 Microsoft Windows 2000 操作系統(tǒng)并駐留 Microsoft .NET Framework 的 Web 服務(wù)器的安全。

返回頁首

威脅與對(duì)策

由于攻擊者可遠(yuǎn)程攻擊，Web 服務(wù)器常常是攻擊對(duì)象。如果了解 Web 服務(wù)器的威脅并努力制定相應(yīng)的對(duì)策，您可以預(yù)見很多攻擊，進(jìn)而阻止日漸增加的攻擊者。

Web 服務(wù)器的主要威脅是：

圖 16.1 匯總了目前流行的攻擊和常見漏洞。

圖 16.1
Web 服務(wù)器主要威脅和常見漏洞

配置處理

配置處理或主機(jī)枚舉是一種收集 Web 站點(diǎn)相關(guān)信息的探測(cè)過程。攻擊者可利用這些信息攻擊已知的薄弱點(diǎn)。

漏洞

致使服務(wù)器容易受到配置處理攻擊的常見漏洞包括：

攻擊

常見的配置處理攻擊包括：

對(duì)策

有效的對(duì)策有，阻止所有不必要的端口、阻止 Internet 控制消息協(xié)議 (ICMP) 通信、禁用不必要的協(xié)議（如 NetBIOS 和 SMB）。

拒絕服務(wù)

如果服務(wù)器被泛濫的服務(wù)請(qǐng)求所充斥，則出現(xiàn)拒絕服務(wù)攻擊。此時(shí)的威脅是，Web 服務(wù)器因負(fù)荷過重而無法響應(yīng)合法的客戶端請(qǐng)求。

漏洞

導(dǎo)致拒絕服務(wù)攻擊增加的可能漏洞包括：

攻擊

常見的拒絕服務(wù)攻擊包括：

對(duì)策

有效的對(duì)策有，強(qiáng)化 TCP/IP 堆棧，以及始終將最新的軟件修補(bǔ)程序和更新程序應(yīng)用于系統(tǒng)軟件。

未經(jīng)授權(quán)的訪問

如果權(quán)限不合適的用戶訪問了受限的信息或執(zhí)行了受限的操作，則出現(xiàn)未經(jīng)授權(quán)的訪問。

漏洞

導(dǎo)致未經(jīng)授權(quán)訪問的常見漏洞包括：

對(duì)策

有效的對(duì)策有，使用安全的 Web 權(quán)限、NTFS 權(quán)限和 .NET Framework 訪問控制機(jī)制（包括 URL 授權(quán)）。

隨意代碼執(zhí)行

如果攻擊者在您的服務(wù)器中運(yùn)行惡意代碼來損害服務(wù)器資源或向下游系統(tǒng)發(fā)起其他攻擊，則出現(xiàn)代碼執(zhí)行攻擊。

漏洞

可導(dǎo)致惡意代碼執(zhí)行的漏洞包括：

攻擊

常見的代碼執(zhí)行攻擊包括：

對(duì)策

有效的對(duì)策有，配置 IIS 拒絕帶有“../”的 URL（防止路徑遍歷）、使用限制性訪問控制列表 (ACL) 鎖定系統(tǒng)命令和實(shí)用工具、安裝新的修補(bǔ)程序和更新程序。

特權(quán)提升

如果攻擊者使用特權(quán)進(jìn)程帳戶運(yùn)行代碼，則出現(xiàn)特權(quán)提升攻擊。

漏洞

導(dǎo)致 Web 服務(wù)器易受特權(quán)提升攻擊的常見漏洞包括：

對(duì)策

有效的對(duì)策有，使用特權(quán)最少的帳戶運(yùn)行進(jìn)程、使用特權(quán)最少的服務(wù)和用戶帳戶運(yùn)行進(jìn)程。

病毒、蠕蟲和特洛伊木馬

惡意代碼有幾種變體，具體包括：

在很多情況下，惡意代碼直至耗盡了系統(tǒng)資源，并因此減慢或終止了其他程序的運(yùn)行后才被發(fā)現(xiàn)。例如，“紅色代碼”就是危害 IIS 的臭名昭著的蠕蟲之一，它依賴 ISAPI 篩選器中的緩沖區(qū)溢出漏洞。

漏洞

導(dǎo)致易受病毒、蠕蟲和特洛伊木馬攻擊的常見漏洞包括：

對(duì)策

有效的對(duì)策有，提示應(yīng)用程序安裝最新的軟件修補(bǔ)程序、禁用無用的功能（如無用的 ISAPI 篩選器和擴(kuò)展）、使用特權(quán)最少的帳戶運(yùn)行進(jìn)程來減小危害發(fā)生時(shí)的破壞范圍。

返回頁首

確保 Web 服務(wù)器安全的方法

為了確保 Web 服務(wù)器的安全，必須應(yīng)用很多配置設(shè)置來減少服務(wù)器受攻擊的漏洞。但究竟在何處開始、何時(shí)才算完成呢？最佳的方法是，對(duì)必須采取的預(yù)防措施和必要配置的設(shè)置進(jìn)行分類。通過分類，您可以從上到下系統(tǒng)安排保護(hù)過程，或選擇特定的類別完成特定的步驟。

配置類別

本模塊的安全方法都?xì)w入圖 16.2 所示的類別。

圖 16.2
Web 服務(wù)器配置類別

分類基本原理如下：

返回頁首

IIS 和 .NET Framework 安裝注意事項(xiàng)

在確保 Web 服務(wù)器安全以前，必須先知道安裝 IIS 和 .NET Framework 后在 Windows 2000 服務(wù)器中出現(xiàn)的組件。本節(jié)說明了安裝哪些組件。

IIS 安裝了哪些組件？

IIS 安裝了很多服務(wù)、帳戶、文件夾和 Web 站點(diǎn)。有些組件是 Web 應(yīng)用程序所不用的，如果不在服務(wù)器中刪除，可能導(dǎo)致服務(wù)器易受攻擊。表 16.1 列出了在 Windows 2000 Server 系統(tǒng)中完整安裝 IIS（選定所有組件）后創(chuàng)建的服務(wù)、帳戶和文件夾。

表 16.1：IIS 安裝默認(rèn)值

.NET Framework 安裝了哪些組件？

如果在駐留 IIS 的服務(wù)器中安裝 .NET Framework，.NET Framework 將注冊(cè) ASP.NET。作為該過程的一部分，系統(tǒng)將創(chuàng)建一個(gè)名為 ASPNET 的特權(quán)最少的本地帳戶。這將運(yùn)行 ASP.NET 工作進(jìn)程 (aspnet_wp.exe) 和會(huì)話狀態(tài)服務(wù) (aspnet_state.exe)，后者可用于管理用戶會(huì)話狀態(tài)。

注意：在運(yùn)行 Windows 2000 和 IIS 5.0 的服務(wù)器計(jì)算機(jī)中，所有 ASP.NET Web 應(yīng)用程序都運(yùn)行在 ASP.NET 工作進(jìn)程的單個(gè)實(shí)例中，由應(yīng)用程序域提供隔離。在 Windows Server 2003 中，IIS 6.0 借助應(yīng)用程序池提供進(jìn)程級(jí)隔離。

表 16.2 顯示了 .NET Framework 版本 1.1 默認(rèn)安裝的服務(wù)、帳戶和文件夾。

表 16.2：.NET Framework 安裝默認(rèn)值

返回頁首

安裝建議

在默認(rèn)情況下，Windows 2000 Server 安裝程序?qū)惭b IIS。但建議不要將 IIS 作為操作系統(tǒng)安裝的一部分來安裝，最好是日后更新并修補(bǔ)了基本操作系統(tǒng)之后再安裝。安裝了 IIS 之后，必須重新應(yīng)用 IIS 修補(bǔ)程序并強(qiáng)化 IIS 配置，確保 IIS 接受完整的保護(hù)。只有這樣，將服務(wù)器連接到網(wǎng)絡(luò)中才安全。

IIS 安裝建議

如果要安裝并配置新的 Web 服務(wù)器，請(qǐng)執(zhí)行如下操作步驟概述。

.NET Framework 安裝建議

不要在生產(chǎn)服務(wù)器中安裝 .NET Framework 軟件開發(fā)工具包 (SDK)。SDK 包含了很多服務(wù)器不需要的實(shí)用工具。一旦攻擊者獲取了服務(wù)器的訪問權(quán)限，便可利用其中的部分工具幫助發(fā)起其他攻擊。

正確的做法是，安裝可重新分發(fā)的軟件包。要獲取該軟件包，可訪問 Microsoft.com 的 .NET Framework 站點(diǎn)，其網(wǎng)址為 http://www.microsoft.com/china/net/，單擊“Downloads”鏈接。

在基本安裝中包括 Service Pack

如果要構(gòu)建多個(gè)服務(wù)器，可將 Service Pack 直接并入您的 Windows 安裝。Service Pack 包括一個(gè)名為 Update.exe 的程序，作用是將 Service Pack 與您的 Windows 安裝文件組合在一起。

有關(guān)詳細(xì)信息，請(qǐng)參閱 MSDN 文章“Customizing Unattended Win2K Installations”，網(wǎng)址是 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnw2kmag01/html/custominstall.asp（英文）。

返回頁首

確保 Web 服務(wù)器安全的步驟

下面幾節(jié)將指導(dǎo)您完成保護(hù) Web 服務(wù)器的過程。這些內(nèi)容使用了本模塊確保 Web 服務(wù)器安全的方法一節(jié)中介紹的配置類別。每個(gè)高級(jí)步驟都包含了一項(xiàng)或多項(xiàng)確保特定區(qū)域或功能安全的操作。