保護 Web 服務器
更新日期: 2004年04月12日
本頁內(nèi)容
本模塊內(nèi)容
Web 服務器位于宿主基礎結構的前端,。它直接連接到 Internet,,負責接收來自客戶端的請求、創(chuàng)建動態(tài) Web 頁并對請求的數(shù)據(jù)作出響應,。
安全的 Web 服務器可為宿主環(huán)境提供可靠的基礎,,其配置在 Web 應用程序的整體安全方面起重要作用。但是,,如何確保 Web 服務器安全呢,?確保 Web 服務器安全的挑戰(zhàn)之一就是要明確自己的目標。只有明白了何謂安全的 Web 服務器,,您就可以了解如何為此應用所需的配置設置,。
本模塊提供了一種系統(tǒng)且可重復的方法,您可以使用它成功配置安全的 Web 服務器,。模塊還介紹了一種確保 Web 服務器安全的方法,,該方法將服務器的配置劃分為十二個安全區(qū)域。每一安全區(qū)域都由一系列高級操作步驟組成,。這些步驟都是模塊化的,,介紹了將方法付諸實施的途徑。
目標
使用本模塊可以實現(xiàn):
•
了解何謂安全的 Web 服務器,。
•
使用已證明正確的方法確保 Web 服務器安全,。
•
了解在默認情況下 Windows 2000 Server 中 IIS 的完整安裝和 .NET Framework 的安裝內(nèi)容。
•
了解安全 Web 服務器中可禁用的服務,。
•
安全配置 Web 服務器,,包括操作系統(tǒng)協(xié)議、帳戶,、文件,、目錄、共享,、端口,、注冊表、審核和日志記錄,。
•
安全配置 Web 服務器應用程序(本例是 IIS)組件,,包括 Web 站點、虛擬目錄,、腳本映射,、ISAPI 篩選器、元數(shù)據(jù)庫和服務器證書,。
•
安全配置 .NET Framework 設置,,包括 Machine.config 文件和代碼訪問安全性。
•
針對遠程管理安裝并使用安全的終端服務,。
•
了解解決常見 Web 服務器威脅(包括配置處理,、拒絕服務,、未經(jīng)授權的訪問、隨意代碼執(zhí)行,、特權提升,、病毒、蠕蟲和特洛伊木馬)的常用對策,。
適用范圍
本模塊適用于下列產(chǎn)品和技術:
•
Microsoft Windows Server 2000 和 2003
•
Microsoft .NET Framework 1.1 和 ASP.NET 1.1
•
Microsoft Internet 信息服務 (IIS) 5.0 和 6.0
如何使用本模塊
為了充分理解本模塊內(nèi)容,,您應:
•
閱讀模塊 2 威脅與對策。這有助于您更廣泛地了解 Web 應用程序的潛在威脅,。
•
使用快照 ,。安全 Web 服務器快照 部分列出并說明了安全 Web 服務器的屬性。它反映了來自各種源(包括客戶,、行業(yè)專家和內(nèi)部 Microsoft 開發(fā)與支持小組)的輸入,。在配置服務器時,請參考快照表,。
•
使用檢查表 ,。本指南“檢查表”部分的檢查表:保護 Web 服務器提供了一份可打印的作業(yè)幫助,可將它用作快速參考,。使用基于任務的檢查表可快速評估必需的步驟,,然后幫助您逐步完成各個步驟。
•
使用“如何”部分 ,。本指南“如何”部分包括了下列指導性文章:
•
如何:使用 URLScan
•
如何:使用 Microsoft 基準安全分析器
•
如何:使用 IISLockdown
概述
究竟怎樣的 Web 服務器才算安全,?確保 Web 服務器安全的挑戰(zhàn)之一就是明確您的目標。只有明白了何謂安全的 Web 服務器,,您就可以了解如何為此應用所需的配置設置,。本模塊提供了一種系統(tǒng)且可重復的方法,您可以使用它成功配置安全的 Web 服務器,。
本模塊首先回顧了影響 Web 服務器的最常見威脅,。然后,使用上述觀點創(chuàng)建相應的方法,。最后,模塊將這種方法付諸實施,,并逐步說明如何提高 Web 服務器的安全性,。盡管基本方法可跨不同技術復用,但本模塊的重點是如何保證運行 Microsoft Windows 2000 操作系統(tǒng)并駐留 Microsoft .NET Framework 的 Web 服務器的安全,。
威脅與對策
由于攻擊者可遠程攻擊,,Web 服務器常常是攻擊對象。如果了解 Web 服務器的威脅并努力制定相應的對策,,您可以預見很多攻擊,,進而阻止日漸增加的攻擊者,。
Web 服務器的主要威脅是:
•
配置處理
•
拒絕服務
•
未經(jīng)授權的訪問
•
隨意代碼執(zhí)行
•
特權提升
•
病毒、蠕蟲和特洛伊木馬
圖 16.1 匯總了目前流行的攻擊和常見漏洞,。
圖 16.1
配置處理
配置處理或主機枚舉是一種收集 Web 站點相關信息的探測過程,。攻擊者可利用這些信息攻擊已知的薄弱點。
漏洞
致使服務器容易受到配置處理攻擊的常見漏洞包括:
•
不必要的協(xié)議
•
打開的端口
•
Web 服務器在橫幅中提供配置信息
攻擊
常見的配置處理攻擊包括:
•
端口掃描
•
Ping 掃射 (ping sweep)
•
NetBIOS 和服務器消息塊 (SMB) 枚舉
對策
有效的對策有,,阻止所有不必要的端口,、阻止 Internet 控制消息協(xié)議 (ICMP) 通信、禁用不必要的協(xié)議(如 NetBIOS 和 SMB),。
拒絕服務
如果服務器被泛濫的服務請求所充斥,,則出現(xiàn)拒絕服務攻擊。此時的威脅是,,Web 服務器因負荷過重而無法響應合法的客戶端請求,。
漏洞
導致拒絕服務攻擊增加的可能漏洞包括:
•
薄弱的 TCP/IP 堆棧配置
•
未修補的服務器
攻擊
常見的拒絕服務攻擊包括:
•
網(wǎng)絡級 SYN flood(同步攻擊)
•
緩沖區(qū)溢出
•
使用來自分布式位置的請求淹沒 Web 服務器
對策
有效的對策有,強化 TCP/IP 堆棧,,以及始終將最新的軟件修補程序和更新程序應用于系統(tǒng)軟件,。
未經(jīng)授權的訪問
如果權限不合適的用戶訪問了受限的信息或執(zhí)行了受限的操作,則出現(xiàn)未經(jīng)授權的訪問,。
漏洞
導致未經(jīng)授權訪問的常見漏洞包括:
•
薄弱的 IIS Web 訪問控制(包括 Web 權限)
•
薄弱的 NTFS 權限
對策
有效的對策有,,使用安全的 Web 權限、NTFS 權限和 .NET Framework 訪問控制機制(包括 URL 授權),。
隨意代碼執(zhí)行
如果攻擊者在您的服務器中運行惡意代碼來損害服務器資源或向下游系統(tǒng)發(fā)起其他攻擊,,則出現(xiàn)代碼執(zhí)行攻擊。
漏洞
可導致惡意代碼執(zhí)行的漏洞包括:
攻擊
常見的代碼執(zhí)行攻擊包括:
•
路徑遍歷
•
導致代碼注入的緩沖區(qū)溢出
對策
有效的對策有,,配置 IIS 拒絕帶有“../”的 URL(防止路徑遍歷),、使用限制性訪問控制列表 (ACL) 鎖定系統(tǒng)命令和實用工具、安裝新的修補程序和更新程序,。
特權提升
如果攻擊者使用特權進程帳戶運行代碼,,則出現(xiàn)特權提升攻擊。
漏洞
導致 Web 服務器易受特權提升攻擊的常見漏洞包括:
對策
有效的對策有,,使用特權最少的帳戶運行進程,、使用特權最少的服務和用戶帳戶運行進程。
病毒,、蠕蟲和特洛伊木馬
惡意代碼有幾種變體,,具體包括:
•
病毒 。即執(zhí)行惡意操作并導致操作系統(tǒng)或應用程序中斷的程序,。
•
蠕蟲 ,。可自我復制并自我維持的程序,。
•
特洛伊木馬 ,。表面上有用但實際帶來破壞的程序,。
在很多情況下,惡意代碼直至耗盡了系統(tǒng)資源,,并因此減慢或終止了其他程序的運行后才被發(fā)現(xiàn),。例如,“紅色代碼”就是危害 IIS 的臭名昭著的蠕蟲之一,,它依賴 ISAPI 篩選器中的緩沖區(qū)溢出漏洞,。
漏洞
導致易受病毒、蠕蟲和特洛伊木馬攻擊的常見漏洞包括:
•
未修補的服務器
•
運行不必要的服務
•
使用不必要的 ISAPI 篩選器和擴展
對策
有效的對策有,,提示應用程序安裝最新的軟件修補程序,、禁用無用的功能(如無用的 ISAPI 篩選器和擴展)、使用特權最少的帳戶運行進程來減小危害發(fā)生時的破壞范圍,。
確保 Web 服務器安全的方法
為了確保 Web 服務器的安全,,必須應用很多配置設置來減少服務器受攻擊的漏洞。但究竟在何處開始,、何時才算完成呢,?最佳的方法是,對必須采取的預防措施和必要配置的設置進行分類,。通過分類,,您可以從上到下系統(tǒng)安排保護過程,或選擇特定的類別完成特定的步驟,。
配置類別
本模塊的安全方法都歸入圖 16.2 所示的類別,。
圖 16.2Web 服務器配置類別
分類基本原理如下:
•
修補程序和更新程序
•
服務
•
協(xié)議
•
帳戶
•
文件和目錄
•
共享
•
端口
•
注冊表
•
審核和日志記錄
•
站點和虛擬目錄
•
腳本映射
•
ISAPI 篩選器
•
IIS 元數(shù)據(jù)庫
•
Machine.config
•
代碼訪問安全性
IIS 和 .NET Framework 安裝注意事項
在確保 Web 服務器安全以前,必須先知道安裝 IIS 和 .NET Framework 后在 Windows 2000 服務器中出現(xiàn)的組件,。本節(jié)說明了安裝哪些組件,。
IIS 安裝了哪些組件?
IIS 安裝了很多服務,、帳戶,、文件夾和 Web 站點。有些組件是 Web 應用程序所不用的,,如果不在服務器中刪除,,可能導致服務器易受攻擊。表 16.1 列出了在 Windows 2000 Server 系統(tǒng)中完整安裝 IIS(選定所有組件)后創(chuàng)建的服務,、帳戶和文件夾,。
表 16.1:IIS 安裝默認值
服務
IIS Admin Service(管理 Web 和 FTP 服務)
安裝
帳戶和組
IUSR_MACHINE(匿名 Internet 用戶)
添至 Guest 組
文件夾
%windir%\system32\inetsrv(IIS 程序文件)
Web 站點
默認 Web 站點 – 端口 80:%SystemDrive%\inetpub\wwwroot
允許匿名訪問
.NET Framework 安裝了哪些組件?
如果在駐留 IIS 的服務器中安裝 .NET Framework,,.NET Framework 將注冊 ASP.NET,。作為該過程的一部分,,系統(tǒng)將創(chuàng)建一個名為 ASPNET 的特權最少的本地帳戶,。這將運行 ASP.NET 工作進程 (aspnet_wp.exe) 和會話狀態(tài)服務 (aspnet_state.exe),后者可用于管理用戶會話狀態(tài),。
注意: 在運行 Windows 2000 和 IIS 5.0 的服務器計算機中,,所有 ASP.NET Web 應用程序都運行在 ASP.NET 工作進程的單個實例中,由應用程序域提供隔離,。在 Windows Server 2003 中,,IIS 6.0 借助應用程序池提供進程級隔離。
表 16.2 顯示了 .NET Framework 版本 1.1 默認安裝的服務,、帳戶和文件夾,。
表 16.2:.NET Framework 安裝默認值
服務
ASP.NET State Service:為 ASP.NET 提供進程外會話狀態(tài)支持。
手動啟動
帳戶和組
ASPNET:運行 ASP.NET 工作進程 (Aspnet_wp.exe) 和會話狀態(tài)服務 (Aspnet_state.exe) 的帳戶,。
添至 Users 組
文件夾
%windir%\Microsoft.NET\Framework\{版本}
ISAPI 擴展
Aspnet_isapi.dll:處理 ASP.NET 文件類型的請求,。將請求轉發(fā)給 ASP.NET 工作進程 (Aspnet_wp.exe)。
ISAPI 篩選器
Aspnet_filter.dll:僅用于支持無 cookie 的會話狀態(tài),。在 Inetinfo.exe (IIS) 進程內(nèi)部運行,。
應用程序映射
ASAX、ASCX,、ASHX,、ASPX、AXD,、VDISCO,、REM、SOAP,、CONFIG,、CS、CSPROJ,、VB,、VBPROJ、WEBINFO,、LICX,、RESX、RESOURCES
\WINNT\Microsoft.NET\Framework\{版本} Aspnet_isapi.dll
安裝建議
在默認情況下,,Windows 2000 Server 安裝程序將安裝 IIS,。但建議不要將 IIS 作為操作系統(tǒng)安裝的一部分來安裝,,最好是日后更新并修補了基本操作系統(tǒng)之后再安裝。安裝了 IIS 之后,,必須重新應用 IIS 修補程序并強化 IIS 配置,,確保 IIS 接受完整的保護。只有這樣,,將服務器連接到網(wǎng)絡中才安全,。
IIS 安裝建議
如果要安裝并配置新的 Web 服務器,請執(zhí)行如下操作步驟概述,。
•
構建新的 Web 服務器
1.
安裝 Windows 2000 Server,,但 IIS 不作為操作系統(tǒng)安裝的一部分,。
2.
將最新的 Service Pack 和修補程序應用于操作系統(tǒng),。(如果要配置多個服務器,請參閱本節(jié)后面的“在基本安裝中包括 Service Pack”,。)
3.
使用控制面板中的“添加/刪除程序”單獨安裝 IIS,。
如果不需要以下服務,,安裝 IIS 時不要安裝它們:
•
文件傳輸協(xié)議 (FTP) 服務器
•
Microsoft FrontPage® 2000 Server Extensions
•
Internet 服務管理器 (HTML)
•
NNTP 服務
•
SMTP 服務
•
可視 InterDev RAD 遠程部署支持
注意: 通過在完全修補和更新的操作系統(tǒng)中安裝 IIS,可阻止攻擊利用已修補的現(xiàn)有漏洞(如 NIMDA),。
.NET Framework 安裝建議
不要在生產(chǎn)服務器中安裝 .NET Framework 軟件開發(fā)工具包 (SDK),。SDK 包含了很多服務器不需要的實用工具。一旦攻擊者獲取了服務器的訪問權限,,便可利用其中的部分工具幫助發(fā)起其他攻擊,。
正確的做法是,安裝可重新分發(fā)的軟件包,。要獲取該軟件包,,可訪問 Microsoft.com 的 .NET Framework 站點,其網(wǎng)址為 http://www.microsoft.com/china/net/ ,,單擊“Downloads”鏈接,。
在基本安裝中包括 Service Pack
如果要構建多個服務器,可將 Service Pack 直接并入您的 Windows 安裝,。Service Pack 包括一個名為 Update.exe 的程序,,作用是將 Service Pack 與您的 Windows 安裝文件組合在一起。
•
要將 Service Pack 與 Windows 安裝組合在一起,,請執(zhí)行下列操作:
1.
下載最新的 Service Pack,。
2.
使用 -x 選項啟動 Service Pack 安裝程序,從 Service Pack 中提取 Update.exe,,如下所示:
w3ksp3.exe -x
3.
將 Service Pack 與 Windows 安裝源集成,,方法是使用 -s 選項運行 update.exe(傳遞 Windows 安裝的文件夾路徑),如下所示:
update.exe -s c:\ YourWindowsInstallationSource
有關詳細信息,,請參閱 MSDN 文章“Customizing Unattended Win2K Installations”,,網(wǎng)址是 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnw2kmag01/html/custominstall.asp (英文),。
確保 Web 服務器安全的步驟
下面幾節(jié)將指導您完成保護 Web 服務器的過程。這些內(nèi)容使用了本模塊確保 Web 服務器安全的方法 一節(jié)中介紹的配置類別,。每個高級步驟都包含了一項或多項確保特定區(qū)域或功能安全的操作,。
本站是提供個人知識管理的網(wǎng)絡存儲空間,所有內(nèi)容均由用戶發(fā)布,,不代表本站觀點,。請注意甄別內(nèi)容中的聯(lián)系方式、誘導購買等信息,,謹防詐騙,。如發(fā)現(xiàn)有害或侵權內(nèi)容,請點擊一鍵舉報,。
如何利用Office Online實現(xiàn)文檔在線預覽?
Add-WindowsFeatureWeb-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-App-Dev,Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,Web-Security,Web-Windows-Auth...
