论文部分内容阅读
摘要:WEB服务器是Intranet(企业内部网)网站的核心,其中的数据资料非常重要,安全部署WEB服务器是企业面临的一项重要工作,系统安装、安全策略和IIS安全策略对企业WEB服务器安全、稳定、高效地运行至关重要。文章首先对系统安装、系统安全策略配置进行介绍,然后详细分析了IIS安全策略应用。
关键词:Intranet;安全策略;组策略
中图分类号:TP368.5文献标识码:A文章编号:1006-8937(2009)14-0113-02
WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。文章主要介绍WEB服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。
Windows 2003 安装策略:
①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如DNS、DHCP,不需要的服务和协议一律不安装;只保留TCP/IP 一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服务。
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为Windows)要加上users的默认权限,以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
④注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1,禁止 Windows 系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接→属性→Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性→把勾打上,添加需要的端口(如: 21、80)。
更改远程连接端口:开始→运行→输入regedit查找3389:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。运行gpedit.msc组策略编辑器,用户配置→Windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat→“确定”按钮→重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举SAM帐号和共享”→“确定”。
⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(E)” → “确定”。
⑨限制远程用户对NetMeeting的共享,禁用NetMeeting远程桌面共享功能。 运行“gpedit.msc” →“计算机配置”→“管理模板”→“Windows组件” →“NetMeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(E)”→“确定”。
{10}限制用户执行Windows安装程序,防止用户在系统上安装软件。方法同(9)。
{11}删除C:\WINDOWS\WEB\printers目录,避免溢出攻击(此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击)。
{12}删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录在管理IIS密码时使用(如因密码不同步造成500 错误时使用OWA或Iisadmpwd 修改同步密码),当把账户策略 > 密码策略 > 密码最短使用期限 设为0天(即密码不过期时,可避免IIS密码不同步问题)。这里就可删掉此目录。
{13}修改注册表防止小规模DDOS攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”名为 “SynAttackProtect”数值为“1”
{14}本地策略→安全选项。
将清除虚拟内存页面文件 、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许 SAM 账户的匿名枚举、不允许 SAM 账户和共享的匿名枚举、均更改为“已启用” ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的Administrat账户。
2IIS安全策略应用
①不使用默认的WEB站点,将IIS目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的 \Inetpub\Wwwroot 目录,以减轻目录遍历攻击(这种攻击试图浏览 WEB 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。
②删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB 服务器配置站点、目录和文件的访问权限。
③删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
④删除不必要的IIS扩展名映射。
右键单击“默认WEB站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。
⑤更改IIS日志的路径。
右键单击“默认WEB站点→属性→网站→在启用日志记录下→点击属性更改设置。
⑥只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。开始→控制面板→ 添加或删除程序→添加/删除 Windows 组件→应用程序服务器→详细信息→ Internet 信息服务 (IIS) →详细信息→然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。 IIS 子组件和服务的推荐设置:禁用:后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。启用:公用文件、Internet 信息服务管理器、万维网服务。
⑦删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名 IUSR 帐户。
在 IIS 元数据库中更改 IUSR 帐户的值: “管理工具”→“Internet 信息服务 (IIS) 管理器” →右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 MetaBase.xml 文件的位置,默认情况下为 C:\Windows\system32\inetsrv →右键单击 MetaBase.xml 文件→“编辑” → 搜索“AnonymousUserName”属性,→键入 IUSR 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
⑧使用应用程序池来隔离应用程序,提高 WEB 服务器的可靠性和安全性。
创建应用程序池: “管理工具”→“Internet 信息服务 (IIS) 管理器” →本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池 ID”框中,为应用程序池键入一个新 ID→“应用程序池设置” →“Use default settings for the new application pool”(使用新应用程序池的默认设置)→“确定”。
将网站或应用程序分配到应用程序池: “管理工具”→“Internet 信息服务(IIS) 管理器” → 右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。
经过以上设置, IIS安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击WEB服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业WEB服务器有一个安全、稳定、高效的运行环境。
参考文献:
[1] 王淑江,刘晓辉,张奎亭. WindowsServer2003系统安全管理[M].北京:电子工业出版社,2009.
[2] 托洛斯.IIS6管理指南[M].北京:清华大学出版社,2005.
[3] 李新,李成友.基于Windows系统的Web服务器安全研究与实践[J].教育信息化,2006,(4).
[4] 马琰.如何提高个人Web服务器的安全性[J].职业圈,2007,(9).
[5] 王远哲.细说高校WEB服务器安全[J].电脑知识与技术,2008,(9).
[6] 田巍.四川航空股份有限公司网络安全方案可行性分析和规划[M].北京:电子科技大学,2005.
关键词:Intranet;安全策略;组策略
中图分类号:TP368.5文献标识码:A文章编号:1006-8937(2009)14-0113-02
WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。文章主要介绍WEB服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。
Windows 2003 安装策略:
①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如DNS、DHCP,不需要的服务和协议一律不安装;只保留TCP/IP 一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服务。
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为Windows)要加上users的默认权限,以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
④注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1,禁止 Windows 系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接→属性→Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性→把勾打上,添加需要的端口(如: 21、80)。
更改远程连接端口:开始→运行→输入regedit查找3389:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。运行gpedit.msc组策略编辑器,用户配置→Windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat→“确定”按钮→重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举SAM帐号和共享”→“确定”。
⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(E)” → “确定”。
⑨限制远程用户对NetMeeting的共享,禁用NetMeeting远程桌面共享功能。 运行“gpedit.msc” →“计算机配置”→“管理模板”→“Windows组件” →“NetMeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(E)”→“确定”。
{10}限制用户执行Windows安装程序,防止用户在系统上安装软件。方法同(9)。
{11}删除C:\WINDOWS\WEB\printers目录,避免溢出攻击(此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击)。
{12}删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录在管理IIS密码时使用(如因密码不同步造成500 错误时使用OWA或Iisadmpwd 修改同步密码),当把账户策略 > 密码策略 > 密码最短使用期限 设为0天(即密码不过期时,可避免IIS密码不同步问题)。这里就可删掉此目录。
{13}修改注册表防止小规模DDOS攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”名为 “SynAttackProtect”数值为“1”
{14}本地策略→安全选项。
将清除虚拟内存页面文件 、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许 SAM 账户的匿名枚举、不允许 SAM 账户和共享的匿名枚举、均更改为“已启用” ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的Administrat账户。
2IIS安全策略应用
①不使用默认的WEB站点,将IIS目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的 \Inetpub\Wwwroot 目录,以减轻目录遍历攻击(这种攻击试图浏览 WEB 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。
②删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB 服务器配置站点、目录和文件的访问权限。
③删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
④删除不必要的IIS扩展名映射。
右键单击“默认WEB站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。
⑤更改IIS日志的路径。
右键单击“默认WEB站点→属性→网站→在启用日志记录下→点击属性更改设置。
⑥只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。开始→控制面板→ 添加或删除程序→添加/删除 Windows 组件→应用程序服务器→详细信息→ Internet 信息服务 (IIS) →详细信息→然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。 IIS 子组件和服务的推荐设置:禁用:后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。启用:公用文件、Internet 信息服务管理器、万维网服务。
⑦删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名 IUSR 帐户。
在 IIS 元数据库中更改 IUSR 帐户的值: “管理工具”→“Internet 信息服务 (IIS) 管理器” →右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 MetaBase.xml 文件的位置,默认情况下为 C:\Windows\system32\inetsrv →右键单击 MetaBase.xml 文件→“编辑” → 搜索“AnonymousUserName”属性,→键入 IUSR 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
⑧使用应用程序池来隔离应用程序,提高 WEB 服务器的可靠性和安全性。
创建应用程序池: “管理工具”→“Internet 信息服务 (IIS) 管理器” →本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池 ID”框中,为应用程序池键入一个新 ID→“应用程序池设置” →“Use default settings for the new application pool”(使用新应用程序池的默认设置)→“确定”。
将网站或应用程序分配到应用程序池: “管理工具”→“Internet 信息服务(IIS) 管理器” → 右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。
经过以上设置, IIS安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击WEB服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业WEB服务器有一个安全、稳定、高效的运行环境。
参考文献:
[1] 王淑江,刘晓辉,张奎亭. WindowsServer2003系统安全管理[M].北京:电子工业出版社,2009.
[2] 托洛斯.IIS6管理指南[M].北京:清华大学出版社,2005.
[3] 李新,李成友.基于Windows系统的Web服务器安全研究与实践[J].教育信息化,2006,(4).
[4] 马琰.如何提高个人Web服务器的安全性[J].职业圈,2007,(9).
[5] 王远哲.细说高校WEB服务器安全[J].电脑知识与技术,2008,(9).
[6] 田巍.四川航空股份有限公司网络安全方案可行性分析和规划[M].北京:电子科技大学,2005.