WinK操作系统的一个主要特色就是将IIS融入其内核之中并提供一些用来配置和维护软件的向导工具使构建一个Internet网站轻松易得但是如果要创建一个安全可靠的Internet网站实现地面部分-WinK操作系统和空中部分-IIS的双重安全还需要更加全面和深入的工作本文就对这些稳固工作中的空中部分-IIS进行讨论旨在帮助管理员一步步地实施网站安全构建工作
一TCP/IP方面要重点考虑的安全配置信息
WinK提供了三种方式对进站连接进行访问控制以下分别介绍
TCP/IP安全配置
WinK中的TCP/IP安全配置与Windows NT 中的执行方式完全相同配置方法非常基本也非常简单根本原则就是全部允许或只允许
全部允许表示放行来自所有端口的通讯数据只允许表示除了特别列出端口外的通讯数据都拒绝TCP/IP筛选虽然简单但过滤总比没有过滤好建议管理员不要漏掉这个防线
对路由和远程访问服务(Routing and Remote Access ServiceRRAS)形式的进站连接设置访问控制列表
路由和远程访问服务(RRAS)能够配置出更加灵活复杂的信息包过滤器尽管过滤方式是静态的但它的过滤细节却很多包括信息包方向IP地址各种协议类型
IPSec Policy Filters(IP安全策略过滤器)
IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)强制执行是WinK操作系统的新生功能它弥补了传统TCP/IP设计上的随意信任重大安全漏洞可以实现更仔细更精确的TCP/IP安全可以说IPSec是一个基于通讯分析的策略它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合然后据此允许或拒绝通讯的传输这些规则叫做过滤器列表管理员可以围绕各种不同的安全认证协议来设计它们协议包括
● Internet密钥交换协议(Internet Key Exchange ProtocolIKE): 一种使VPN节点之间达成安全通信的协议其功能强大设计灵活
● 认证IP数据包(Authentication HeaderAH)也就是将数据包中的数据和一个变化的数字签字结合起来使得接收者能够确认数据发送者的身份以及确认数据在传输过程中没有被纂改过
● Encapsulation Security Payload (ESP)指使用硬件对数据包中的数据进行加密使象Sniffer类的网络监听软件无法得到任何有用信息
二配置安全的IIS
单独设置IIS服务器
如果可能IIS应该安装在一个单独的服务器上就是说这个服务器不是任何域中的成员不必与域控制器建立Netlogon信道从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险而且由于系统之间不传递认证通讯信息也就降低了登录口令被截获的可能
禁止不需要的服务
另外如果仅仅是单纯的Web 服务器那么最好禁止掉以下不需要的服务
合理设置Web根文件夹
同前面论述的将操作系统与应用程序单独存放在不同的分区或磁盘驱动器一样现在又要使用到隔离技术了建议将Web根文件夹wwwroot定位在操作系统分区以外的地方甚至是另外的物理磁盘驱动器上而且当设置Web站点的虚拟目录或重定向文件夹时也要保证这些目录不会被重定向到操作系统的启动分区因为有些攻击能够危及访问文件夹所在分区上的其它文件夹
还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上使IIS服务器成为一个只缓沖请求应答请求的系统而且经过这样处理后整个服务器基本上是一个通用型的其上没有存储任何内容即使站点遭到攻击而瘫痪也可以从磁带或其它备份中快速简单地恢复服务器
为重要系统文件改头换面
操作系统中有许多非常重要的文件它们就象双刃剑既可以让管理员方便地执行维护工作又可能被攻击者利用进行破坏活动为此建议对这些文件进行删除重命名或者为其设置NTFS权限目的就是使攻击者再也找不到熟悉的面孔这些文件包括
删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁应该从系统中去掉所谓多一个组件不如少一个组件以下是一些黑名单参考请管理员酌情考虑
● Internet服务管理器(HTML)这是基于Web 的IIS服务器管理页面一般情况下不应通过Web进行管理建议卸载它
● 样本页面和脚本这些样本中有些是专门为显示IIS的强大功能设计的但同样可被用来从Internet上执行应用程序和浏览服务器这不是好事情建议删除
● WinK资源工具箱 或IIS资源工具箱这些由专家编写的软件大概是现在最好的黑客工具了其中有许多项目可以被攻击者利用从服务器上提取信息进行破坏
● SMTP和NNTP如果不打算使用服务器转发邮件和提供新闻组服务就删除这些项目吧否则别因为它们的漏洞带来新的不安全
● Internet打印Internet打印是WinK中的一个新特性它提供了通过Internet将打印作业题交给打印机的方式但是由于网络上的打印机是通过一个Web页面进行访问并管理的所以也就使系统增加了许多受到利用的可能
改写注册表降低被攻击风险
DDoS攻击现在很流行例如SYN使用巨量畸形TCP信息包向服务器发出请求最终导致服务器不能正常工作改写注册表信息虽然不能完全制止这类攻击但是可以降低其风险所以建议搜索并实施相关攻击的注册表改写对策降低SYN攻击的注册表改写对策是将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为
简化IIS中的验证方法
WinK和IIS紧密结合的一点就体现在它们共享了验证的功能和方法这包括匿名访问基本验证(密码用明文送出)Windows域服务器的简要验证集成Windows验证等等
对于大多数Web站点来说有匿名访问或基本认证就足够了或者干脆只保留匿名访问形式在有些地方最简单的往往是最有效的!
为IIS中的文件分类设置权限
除了在操作系统级别为IIS的文件设置必要的权限外还要在IIS管理器中为它们设置权限以期做到双保险一般而言对一个文件夹永远也不应同时设置写和执行权限以防止攻击者向站点上传并执行恶意代码还有目录浏览功能也应禁止预防攻击者把站点上的文件夹浏览个遍最后找到不忠的坏分子一个好的设置策略是为Web 站点上不同类型的文件都建立目录然后给它们分配适当权限例如
● Scripts目录包含站点的所有脚本文件如cgivbsasp等等为这个文件夹设置纯脚本执行许可权限
● BIN目录包含站点上的二禁止执行文件应该为这个文件夹设置脚本和可执行程序 执行许可权限
● Static目录包括所有静态文件如HTM 或HTML为这个文件夹设置读权限
全力保护IIS metabase
IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容而且这些信息都以明文形式存储因此保护它至关重要建议采取如下措施
● 把HTTP和FTP根文件夹从%systemroot%下移走
● 慎重考虑重新命名Metabase和移动Metabase位置
● 安全设置确定Metabase位置的注册表关键字
● 审核所有试图访问并编辑Metabase的失败日志
● 删除文件%systemroot%\system\inetserv\Iissyncexe
● 为Metabase文件设置以下权限Administrators/完全控制System/完全控制
完成IIS配置后对Metabase 进行备份这时会创建文件夹%systemroot%\system\inetserv\MetaBack备份文件就存储在其中对于这个地方要采取如下措施进行保护
● 审核对\MetaBack文件夹的所有失败访问尝试
● 为\MetaBack文件夹设置如下权限Administrators/完全控制System/完全控制
最后要保护能够编辑Metabase的工具步骤是
● 移走文件夹\Inetpub\Adminscripts这里包含着IIS的所有管理脚本
● 将\program file文件下的Metaeditexe 和Metautildll移到%systemroot%\system\Inetserv文件夹下并调整相应的开始菜单快捷方式
● 审核对\Adminscripts文件夹的所有失败访问尝试
● 对执行VBS文件的%systemroot%\system\csriptexe设置权限为Administrators/完全控制
● 对\Adminscripts文件夹设置权限Administrators/完全控制
三建立审核例行程序和备份策略
完成了以上这些任务后可以说服务器就是一个准Internet 服务器了之所以说准是因为还需要以下两个重要的补充方案
建立审核例行程序
在站点对外开放前我们必须为这个服务器配置一个审核程序以及时全面地确定服务器是否正受到攻击或威胁日志文件就象一个站点的耳朵千万不要让它成为摆设每天都要安排一定的时间来查看日志检查是否有异常活动发生而且可以使用一些商业工具方便地及时地或定时地收集和整理相关日志信息以期更有效地检查它们
以下是必须重点关注的事件
● 失败的登录
● 失败的文件和对象访问
● 失败的用户权力使用
● 失败的安全策略修改
● 失败的用户和组策略修改
以下是需要关注的事件
● 所有对
