概述
本章讨论在您的环境中强化IIS服务器所需要的指导和程序。要想为组织内部网中的Web服务器和应用软件提供全面的安全性,每一台Microsoft? Internet Information Services (IIS)服务器以及在这些服务器上运行的每一个站点和应用软件都应当受到保护,以免受到与之相连的客户机的攻击。另外,运行在IIS服务器上的这些网站和应用软件还应当免受公司内部Intranet中运行于其它IIS服务器上的网站和应用软件的攻击。
为了在抵制恶意用户和攻击者的过程中占据主动,在安装Microsoft Windows? Server? 2003时,缺省情况下,Windows Server 2003家族在安装时不会安装IIS。IIS最初以高度安全的“锁定”模式安装。例如,默认情况下,IIS最初将只处理静态内容。除非管理员启用它们,否则诸如Active Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)发布、以及Microsoft FrontPage? Server Extensions等特性将无法工作。这些特性可以通过Internet Information Services Manger (IIS Manager)中的Web Service Extensions节点来启用。
IIS Manager 具有图形化的用户界面(GUI),可用来方便地对IIS进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。
本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司Intranet中存放HTML内容的IIS服务器的安全性。但是,要想确保IIS服务器的彻底安全,您还应当运行安全监视、检测和响应等程序。
审核策略设置
在本指南定义的三种环境下,IIS服务器的审核策略设置通过MSBP来配置。要了解有关MSBP的更多信息,请参看第三章“创建成员服务器基线”。MSBP设置可确保所有的相关安全性审核信息均被记录在IIS服务器上。
用户权限分配
在本指南所的定义的三种环境中,大多数IIS服务器的用户权限分配通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。下面阐述MSBP与Incremental IIS Group Policy(增量式IIS组策略)之间的差别。
拒绝通过网络访问该计算机
表8.1: 设置
注意: 安全性模板中不包括匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识(SID)。因此,您必须手动添加它们。
“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。该设置将拒绝很多网络协议,包括服务器信息块(SMB)协议,网络基本输入/输出系统(NetBIOS),通用Internet文件系统(CIFS),超文本传输协议(HTTP),以及 COM+ 等。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行管理员任务的能力。
在第三章“创建成员服务器基线”中,本指南推荐将Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问IIS的IUSR 帐户被默认为Guest 组的成员。本指南推荐从增量式IIS组策略中清除 Guests 组,以确保必要时可配置对IIS服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。
安全选项
在本指南所的定义的三种环境中, IIS服务器的安全选项通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置保证了所有的相关安全选项能够跨IIS服务器实现统一配置。
事件日志设置
在本指南所的定义的三种环境中,IIS服务器的事件日志设置通过MSBP来配置。要了解更多关于MSBP的信息,请参看第三章“创建成员服务器基线”。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。
系统服务
为了让IIS向Microsoft Windows Server? 2003 添加 Web 服务器功能,必须启用以下三种服务。增量式IIS组策略确保了这些服务被配置为自动启动。
注意:MSBP禁用了几种其它的IIS相关服务。FTP、SMTP和NNTP就是被MSBP禁用的服务的例子。如果想要在本指南所定义的任何一种环境下的IIS服务器上启用这些服务,必须更改增量式IIS组策略。
HTTP SSL
表 8.2: 设置
“HTTP SSL”服务使得IIS能够实现安全套接字层(SSL)功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在World Wide Web上进行电子金融事务成为可能,当然也可用它来实现其它Internet服务。
如果HTTP SSL服务终止,IIS将无法完成SSL功能。禁用该服务将导致所有明确依赖该它的服务不能实现。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问这些设置,因此可以防止未经授权或恶意的用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将HTTP SSL设置配置为“自动”。
IIS管理服务
表8.3: 设置
“IIS管理服务”允许对IIS组件进行管理,例如文件传输协议(FTP)、应用程序池、站点、Web服务扩展,以及网络新闻传输协议(NNTP)和简单邮件传输协议(SMTP)的虚拟服务器。
IIS管理服务必须运行,以便让IIS服务器能够提供Web、FTP、NNTP以及SMTP服务。如果这些服务不可用,IIS将无法配置,并且对站点服务的请求将不会成功。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员对它进行单独访问,因此可防止未授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“IIS管理服务”设置配置为“自动”。
World Wide Web发布服务
表8.4: 设置
World Wide Web发布服务通过IIS管理单元提供网络连通性和网站管理。
World Wide Web发布服务必须得到运行,以便让IIS服务器通过IIS Manager提供网络连通性和管理。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问改设置,以防止未经授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“World Wide Web发布服务”设置配置为“自动”。
其它安全设置
在安装完Windows Server 2003和IIS之后,IIS在缺省情况下只能提供静态的网站内容。如果站点和应用程序包含动态内容,或者需要一个或多个附加IIS组件,每个附加IIS特性必须逐一单独启用。但是,在该过程中必须注意:您需要确保在您的环境中将每个IIS服务器的受攻击面积降至最小。如果您的组织只包含静态内容而无需其它IIS组件,这时,缺省的IIS配置已经可以将您的环境中的IIS服务器的攻击表面降至最小。
通过MSBP应用的安全性设置为IIS服务器提供了大量的增强安全性。然而,您还需要考虑其它一些附加事项。这些步骤不能通过组策略完成,而必须在所有IIS服务器上手动执行。
只安装必需的IIS组件
除了World Wide Web发布服务之外,IIS6.0还包括其它的组件和服务,例如FTP和SMTP服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动Windows Components Wizard Application Server,以安装和启用IIS组件和服务。在安装完IIS之后,网站和应用程序所需要的全部IIS组件和服务必须得到启用。
安装Internet信息服务(IIS)6.0:
1.
在“控制面板”上,双击“添加/删除程序”。
2.
单击“添加/删除Windows组件”按钮,启动Windows组件向导。
3.
在“组件”列表中,单击“应用程序服务器”,然后单击“详细”。
4.
在“应用程序服务器”对话框中,在“应用程序服务器子组件”下,单击“Internet信息服务(IIS)”,然后单击“详细”。
5. 在Internet信息服务(IIS)对话框的Internet信息服务(IIS)子组件列表中,完成以下工作之一:
要增加其它组件,请选中想要安装组件旁边的复选框。
要删除已安装的组件,请清除想要删除组件旁边的复选框。
6. 单击“确定”返回到Windows组件向导。
7. 单击“下一步”,然后单击“完成”。
只有站点和应用程序所必需的那些基础IIS组件和服务应当被启用。启用不必要的组件和服务只会增加IIS服务器受攻击的表面积。
下面的插图和表格显示了IIS组件的位置和建议设置。
“应用程序服务器”对话框中的子组件如下图所示:
图8.1
应用程序服务器子组件
下表简要描述了应用程序服务器的子组件,并且对何时启用它们提供了建议。
表8.5: 应用程序服务器子组件
“Internet信息服务(IIS)”对话框中的子组件如下图所示:
图8.2
IIS子组件
下表简要地描述了IIS子组件,并且对何时启用它们提供了建议。
表8.6: IIS子组件
“消息队列”对话框中的子组件如下图所示:
图8.3
