|
|
信息服务器IIS是BACKOFFICE系列产品中功能最强大、最流行的应用程序,它与整个BACKOFFICE组件一样,IIS也是围绕WINDOWS NT体系而生成的。它作为WINDOWS NT SERVER提供的一组服务而运行,允许它利用WINDOWS NT的各项软件功能。
* h- U& I' R3 H2 I1 \2 ^& b 不过,确保你数据完整性仍是一个必须认真对待的关键性安全问题。IIS凭借丰富而又强大的验证、访问控制和审核功能可以保证数据的完整性,因为它以WINDOWS NT SERVER作系统为基础。此外,它还支持安全插接层SSL,它通过对IIS和支持SSL的所有浏览器之间的对话进行加密来保证安全通信更加保密。( t7 C9 N# t& |# J& P: z) K% r3 Z/ n
黑客们知道大多数WEB和FTP网站都允许匿名访问。这些网站常常错误配置,这样就存在安全漏洞。下面介绍须采取哪些措施才能保证保证IIS使你的网络和数据完全避免黑客入侵。
" B& k- l' ~4 Y" q 一、利用现有的WINDOWS NT安全性能来保护IIS ISS通过WINDOWS NT安全模型提供安全性,也就说,安全帐户管理器数据库中定义的用户帐户和组将确定一旦用户接入IIS机器,他们能进行什么操作。你不仅要核查现有的帐户权限和许可权,并且要限制匿名访问使用的帐户权限和许可权,这非常重要。: g$ Z& Q. n8 X9 I$ Q; a4 I
记录IIS的所有服务程序都支持广泛的记录功能。记录功能很重要,因为它能用来监视可疑的活动,从而决定应当保留什么、应当取消什么,以便进行容量规划。
/ B7 A! A" ]4 o0 c& K$ E" H 启动记录功能很容易,每项服务的事件都共同记录在同一个公用文件中。若要启动记录功能,请打开IIS MANEGER,双击你要启动其记录功能的服务器,显示PROPERTIES对话框。接着单击LOGGING标签,将弹出一个对话框。该标签的用法相当直接,你只须单击ENABLE LOGGING选项,然后你选择是记录到一个文本文件,还是记录到SQL数据库,并确定日志文件多长时间更新一次。
( Q( R7 f" @8 |% P1 p( ~& ` 提示当你第一次安装服务器时,要设置为DAILY LOGGING(日志),这样你可以每天看到结果。过一段时间后,你再选择最合适的记录方式。
7 Q+ R# v8 h7 T* F8 Y ADVANCED选项通过单击SERVICE PROPERTIED对话框的ADVANCED标签,IIS还支持简单过滤功能。你可使用ADVANCED OPTIONS标签来限制或允许某些IP地址对WEB服务器的访问。在弹出的ADVANCED标签中,激活By default all computer will be granted access(缺省时,所有计算机将获得访问权)你可以使用ADD钮将应当拒绝访问的某些特定的IP地址范围输入进来。
8 s) z, F7 q" ]( L) S: R2 U 或者,如果你想强制执行严格的安全保护,你可以选择By Default all computer will be den access(缺省时,所有的计算机将被拒绝访问),然后根据应当能访问这台机器的IP地址确定主机表。这是一个功能强大而且价值较高的工具,有助于确保你网站的安全,所以不应忽视。$ E: y, f6 H" R7 y
二、IIS Advanced安全性能与Exchange Server一样,Internet信息服务器提供Advanced安全性能,使你通信绝对安全。它们由SSL(安全插接层)2.0版和3.0版以及PCT(保密通信技术)1.0组成。SSL可对TCP/IP通信进行数据加密、服务器验证和邮件集成功能。
+ @0 C% f' h" |" o! u安全插接层安全插接层(SSL)是一个由Netscape通信公司开发的协议,并提交环球网联盟(W3C)作为保证Internet通信安全的标准。当支持SSL的一台客户机(Internet Explorer2.0和3.x和Netscape 3.x)与支持SSL的服务器连接时,在TCP/IP连接时就出现“信号交换的交接关系”来进行验证,以确定在通信中将实施哪一级安全保护。) p6 M2 D+ Y4 A1 x
在建立连接后,SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密,其中包括客户机下在请示的统一资源定位符(URL)、其它形式的数据(如你的地址或食用卡号码)、任何验证信息(用户名和口令)以及所有由服务器返回到客户机的数据。
- Q9 _" c$ f1 o0 B SSL是位于应用协议(如HTTP)之下,SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密(HTTPS)访问方式。尽管SSL能提供实际不可破译的加密功能,但SSL加密传输的速度要低于非加密传输。因此,为了防止你整个WEB网站的性能下降,你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息,如提交的包含信用卡信息的表格。
! G- W+ C+ \+ W5 T7 | 你可以在你WEB网站的根目录(\InetPub\Wwwroot是缺省值)或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后,只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。
* r) f! J) l' k1 V 在WEB服务器上启动SSL安全性能,需要进行以下几步工作:
+ q+ U4 z! n, e5 \ 1、使用密钥管理器来生成一个密钥对文件和一个请求文件。
6 K- d) P2 S* q: [. X# i, {) \' M 2、从一个认证机构获得一个证书。# r1 @: k: z( J, I8 @
3、在你的服务器上安装新获得的证书。5 `' D" j; Q; O8 ?' L/ [
4、激活WEB服务文件夹中的SSL安全功能。
6 P' b* ?5 Q* u4 H 对于保密和公用内容,微软公司建议你使用公开的目录。比如,c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。8 o' M# R+ Q I6 E
应注意以下几点:
1 i% Z' `4 t7 r: B% f4 I/ v (1)为IIS生成一个密钥对时,在任何域中不要使用逗号,原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。0 n) W- S, P8 Q; [! c: r" ]' @
(2)如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时,要确定具体服务器的IP地址,否则系统创建的所有虚拟服务都适用同一个证书。9 _- O9 F+ G9 Z& c" N+ ?! E2 E# }
(3)如果你启动SSL,任何指向支持SSL的WWW文件夹中文档的URL必须使用http://,而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。6 j0 T8 O7 ^# P% b5 x/ E J
IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时,要确保网络安全性。除了我们以前讲座过后IIS功能外,你还要做到以下各点:9 v0 K; p- Q& h1 c2 t% H1 q, \, O
(1)为系统分区和各项IIS服务程序生成分开的区,这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。
2 T j5 J) J' r" ], I% _ (2)对机器的所有分区使用NTFS,要保证用户权限设置正确。3 v& `* Q* S. }, S- O" Z6 b
(3)将IIS服务器放置于其自己的域中,并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息,那个帐户也无法对你的用户域进行访问。. D; ]: U1 {. q$ m' K3 V
安全插接层安全插接层(SSL)是一个由Netscape通信公司开发的协议,并提交环球网联盟(W3C)作为保证Internet通信安全的标准。当支持SSL的一台客户机(Internet Explorer2.0和3.x和Netscape 3.x)与支持SSL的服务器连接时,在TCP/IP连接时就出现“信号交换的交接关系”来进行验证,以确定在通信中将实施哪一级安全保护。
) l! }* x! n+ U( M( } 在建立连接后,SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密,其中包括客户机下在请示的统一资源定位符(URL)、其它形式的数据(如你的地址或食用卡号码)、任何验证信息(用户名和口令)以及所有由服务器返回到客户机的数据。# ^- |5 ?. o. C* I& ~* D
SSL是位于应用协议(如HTTP)之下,SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密(HTTPS)访问方式。尽管SSL能提供实际不可破译的加密功能,但SSL加密传输的速度要低于非加密传输。因此,为了防止你整个WEB网站的性能下降,你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息,如提交的包含信用卡信息的表格。0 ~4 C: d# @2 y \6 V9 [
你可以在你WEB网站的根目录(\InetPub\Wwwroot是缺省值)或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后,只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。
- F; w4 t7 |* s! b9 l* Y( [ 在WEB服务器上启动SSL安全性能,需要进行以下几步工作:
0 s' f V) c: a0 O) Z( j 1、使用密钥管理器来生成一个密钥对文件和一个请求文件。6 g( l5 U! i- } k7 n0 I4 W
2、从一个认证机构获得一个证书。* a0 B# G8 Y/ S5 n
3、在你的服务器上安装新获得的证书。
7 X) I6 R, w6 v& {5 y+ m% w: M- ^* F1 r, h 4、激活WEB服务文件夹中的SSL安全功能。
2 {* X# O" U- t- m# q, S# }: _ 对于保密和公用内容,微软公司建议你使用公开的目录。比如,c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。) G- L# O* j6 F1 c9 n
应注意以下几点:! O* S/ G6 `! V, n6 E
(1)为IIS生成一个密钥对时,在任何域中不要使用逗号,原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。6 _! D7 J3 d- E9 `; X
(2)如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时,要确定具体服务器的IP地址,否则系统创建的所有虚拟服务都适用同一个证书。
( ?# ^* l3 ]* R7 X. V; G (3)如果你启动SSL,任何指向支持SSL的WWW文件夹中文档的URL必须使用http://,而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。% `& c4 d- M) V( H: A6 Q. J
IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时,要确保网络安全性。除了我们以前讲座过后IIS功能外,你还要做到以下各点:
7 z! X" Q* S2 J; m+ y' M (1)为系统分区和各项IIS服务程序生成分开的区,这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。% N4 L+ f5 W# c! {+ W! X' ?6 `/ D
(2)对机器的所有分区使用NTFS,要保证用户权限设置正确。7 H0 ~. F' }# u" U
(3)将IIS服务器放置于其自己的域中,并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息,那个帐户也无法对你的用户域进行访问。0 @1 o* L3 b1 J4 g+ T
3、Web服务器安全提示如果你正运行WEB服务器,尽管你已根据以前所讨论过的内容采取了预防措施,也许仍有些安全漏洞有待于你填补。以下列出当提供WEB服务时,你应当采取的一般措施:
; g; \; V% s _ *停用.bat和.cmd文件的映射功能。如果黑客们拿到这些Web服务器上的可执行文件的话,他们就可运行这些Web文件。你通过取消对脚本程序的所有目录的阅读许可权,就可以停用某些文件夹映射功能。
3 o. e+ U9 `* y/ o4 I. r *总是将你的脚本程序和数据存储在不同的目录,务必使包含脚本程序的目录只拥有执行许可权。/ w- F8 {3 Y4 w
*禁止使用Directory Browsing Allowed(允许目录浏览)。这一功能启动后会给出一个浏览器,该浏览器含有某个目录中的超文本文件列表,从而使黑客能篡改目录中的文件。
. R8 t0 ]: ~3 g& Q2 B$ a *避免使用Remote Virtual Directories(远程虚拟目录)。务必将IIS所有的可执行文件以及数据安装在同一台机器上,并利用NTFS来保护。当用户试图从远程目录访问文档时,总是使用输入到属性页上的用户名和口令,这就有可能绕过访问控制列表。*当编写和使用CGI脚本程序时,一定要小心。有经验的黑客也许会利用编写拙劣的CGI脚本程序来对你的系统进行访问。6 y5 e! d: ?8 k7 M, M
*牢记特权最小的原则,如果你计划只运行Web服务器,那么请只激活Web服务器主机的端口80。
) Q- @8 b2 N4 b& _" e *全面测试你的Web服务器——设法发现并弥补任何漏洞。最好的方法是,让可靠而且内行的同事设法破坏你网络的安全性。; v/ O _: S+ p5 E% ?
*想了解额外的情况,请上网www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文档,寻求使你的Web服务器安全的灵丹妙药。3 A" u& t0 n0 {. q5 v+ J% T5 m4 c
四、安全性与FTP服务器FTP服务器是唯一一项允许用户通过INTERNET将文件传输至你服务器的IIS服务程序。设置FTP安全性能、用户和口令验证与WEB服务器大致相似。但是有一点值得你**注意**:用户名和口令将以明文(非加密)形式传输至FTP服务器服务程序,这意味着如果使用网络嗅探器就可以捕捉到这一信息,从而破坏网络的安全!/ o5 I+ G' K1 V* E% T9 f( R
在你允许大众进行访问时,一定要熟悉FTP Service Properties页的Current Session钮。它告诉你哪个用户与FTP服务器相连,他们何时连接,以及他们已连接多长时间。
% {: w9 ~4 M& b 虚拟目录设置FTP服务器的目录与设置Web服务器服务程序十分类似,一定要保证用户不能访问FTPRoot目录之外的目录,并要正确设置FTP目录的访问许可。
; ^; ~3 S3 j4 W i/ |( n. Z7 M# M+ ] FTP服务器安全提示运行FTP服务器时,为保证安全你应当了解的以下事项:2 k/ K) ^; c" O, t, O1 [3 W& W* L0 d
1、谨记用户可以修改FTP服务器的目录。一定要确保他们无法进入FTPRoot目录以外的目录,同时要使用NTFS来保证你服务器的安全。. S8 b) c6 v' R; l, W
2、避免使用远程虚拟目录。当用户度图从远程目录访问文档时,总是要求其提供输入到属性页的用户名和口令,这就有可能绕过访问控制表表。$ n4 H+ c( s3 E' U4 L' e9 n
3、一定要启动记录功能,查找可疑活动,如在日志和事件查看器中查找没有成功的登录4、如果你只计划运行FTP服务器,只启动FTP主机的端口20和端口21。9 a. [; {, J8 |; q4 a. Y
5、全面测试你的FTP服务器,并设法找到任何漏洞。你还可以让一个可靠的内行的同事设法打入系统。
) h& E4 [2 I% e& w% x0 F 五、安全性和Gopher服务器保护Gopher服务器与保护FTP服务程序和Web服务程序很类似,差别在于Gopher只允许匿名登录。0 x# Y0 m; g6 ]2 [1 y( {% n9 r) a
- h5 B$ Z+ a' |$ O( O2 {
! e+ b: L4 w, e$ ? P+ G0 ? u
- J8 r7 ^7 s8 ?7 }2 W0 l' e
, m2 }1 \& @3 K( t: k! t
( F+ O6 M5 O- M6 dTrackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1451562 |
|
闽公网安备 35092202000206号 )
IP卡
狗仔卡
发表于 2007-1-1 20:42:12
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡