1、密 级:文档编号:项目代号:中国移动WEB服务器安全配置手册Version 1.0中国移动通信二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限和文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标标准化责任人,负责对本文档进行标准化审核4读取5读取目录第1章.目标6第2章.范围6第3章.WEB服务安全加固标准73.1.Web主机平台安全设置73.1.1.主机安全标准加固规范73.1.2.用户权限设置73.1.3.事件日志设置73.1.4.关闭非必需服务和程序73.2.Web服务安全设
2、置83.2.1.Web系统资源保护83.2.2.Web服务权限设置83.2.3.Web服务访问控制83.2.4.机密信息保护83.2.5.日志设置93.2.6.去除无须要服务脚本9第4章.IIS WEB服务安全配置提议104.1.审核策略设置104.2.用户权限分配104.2.1.拒绝经过网络访问该计算机104.3.安全选项114.4.事件日志设置114.5.系统服务114.5.1.HTTP SSL124.5.2.IIS Admin 服务124.5.3.万维网公布服务134.6.其它安全设置134.6.1.仅安装必需 IIS 组件144.6.2.仅启用必需 Web 服务扩展144.6.3.在专
3、用磁盘卷中放置内容154.6.4.设置 NTFS 权限154.6.5.设置 IIS Web 站点权限164.6.6.配置 IIS 日志174.6.7.向用户权限分配手动添加唯一安全组194.6.8.保护众所周知帐户安全194.6.9.保护服务帐户安全204.6.10.用 IPSec 过滤器阻断端口204.7.参考材料22第5章.APACHE WEB服务安全配置提议245.1.审核策略设置245.2.用户权限分配245.2.1.拒绝经过网络访问该计算机245.3.安全选项265.3.1.绝对不要以 root 身份实施守护程序265.3.2.次序规则265.3.3.符号连结275.3.4.Apac
4、he 下索引275.4.事件日志设置285.5.系统服务285.5.1.HTTP SSL285.6.其它安全设置315.6.1.升级到最新版本315.6.2.建立 Chroot 环境325.7.参考材料39第1章. 目标本文目标是为中移动企业范围内Web服务应用提供安全配置规范提议。Web应用服务是互联网WWW应用关键基础,在中国移动企业范围内安装和使用了大量多种Web服务应用。为了提升中国移动企业Web服务安全性,降低因为Web服务配置不规范而造成安全风险,特针对中国移动企业关键经典Web服务提出了规范配置安全加固提议。第2章. 范围本文针对通用HTTP Web服务器主机平台安全配置、HTT
5、P服务安全配置提出了规范加固要求。而且对经典HTTP Web服务应用提出了具体安全配置提议,如Microsoft IIS Web服务、Apache Web服务。Web服务器加固方法包含了两个层面工作,这就是平台安全配置和HTTP Web服务安全配置。首先,作为接收广泛用户网络访问Web应用服务器,必需设置成为安全堡垒主机,根据主机平台加固规范对Web服务器平台操作系统进行安全设置,关闭全部非必需网络服务、应用程序和系统组件等;其次,对于HTTP Web服务进行安全设置,包含服务资源权限设置、用户帐号设置、远程管理安全设置、日志设置等。第3章. Web服务安全加固标准3.1. Web主机平台安全
6、设置3.1.1. 主机安全标准加固规范必需对Web服务器主机平台进行规范安全加固,参考中国移动操作系统安全配置手册建立安全可靠Web应用服务主机运行环境。另外,必需针对Web应用服务特点进行安全设置。3.1.2. 用户权限设置清楚区分并定义主机管理员、Web应用服务管理员和Web应用开发人员帐号,并明确定义其访问Web应用服务器方法。严禁一般用户经过网络登陆到主机系统。3.1.3. 事件日志设置主机系统日志应统计Web应用服务开启、关闭等操作,和主机管理员、Web应用服务管理员、和应用开发人员行为等。事件日志应保留在安全保护目录或其它安全主机系统中。3.1.4. 关闭非必需服务和程序主机系统应
7、关闭全部非必需服务,比如SMTP、FTP、DNS等。假如需要使用网络服务,如FTP帮助Web服务内容管理,必需严格根据FTP服务器加固规范进行安全设置,而且严格限制用户权限。删除全部非必需系统组件、应用程序,如C编译程序等。3.2. Web服务安全设置3.2.1. Web系统资源保护Web系统资源是指Web服务所在目录和文件。Web系统资源应该安装在独立目录或文件系统中。这些Web系统资源应该属于Web管理员拥有。依据需要,严格控制其它用户对这些资源访问。严格严禁一般用户对Web系统资源访问。3.2.2. Web服务权限设置此项是限制Web服务程序对于系统资源访问权限。目标是预防Web服务程序
8、对系统机密信息读写操作,从而造成对信息泄漏或破坏。对于Web服务ID方法系统,应严格限制Web服务ID其拥有系统管理员权限,严禁其拥有非必需系统特权;限制其所能访问目录,依据需要,控制其资源读权限;严禁对Document Root和其它系统目录写权限。而对Document Root和其下目录,亦应限制除Web服务ID使用者外,其它用户均不具列出目录内全部档案之权限。对于Web服务程序方法系统,严格控制Web服务程序对系统目录和文件实施、读写权限。3.2.3. Web服务访问控制Web服务系统提供配置文件对访问用户进行限制。Web服务缺省配置通常不做任何用户访问限制,许可来自全部地址范围访问。提
9、议依据业务需要,屏蔽或许可指定地址范围用户访问。3.2.4. 机密信息保护Web系统必需含有SSL安全加密机制。假如Web服务器含有机密信息内容,为了保护机密信息传输安全,必需在Web系统中配置SSL V2.0 128位加密功效,这能够有效保护用户用户端和Web服务器之间数据安全传输,预防信息网络窃取。3.2.5. 日志设置Web系统必需定义Web活动日志,统计Web Server活动。Web系统日志目录和文件属于Web系统资源必需严格访问权限。日志必需保留指定时间,以备系统审计和安全分析之用。3.2.6. 去除无须要服务脚本检验Web系统使用服务脚本,如CGI,Perl等。去除Web系统中和
10、业务应用无关多种服务脚本。避免未经检验服务脚本引入而增加Web系统安全风险。另外,对于正式上线Web服务器,亦应移除全部相关支持档案和范例档案,以避免恶意人员利用范例档案入侵。第4章. IIS Web服务安全配置提议4.1. 审核策略设置在本手册定义三种环境下,IIS 服务器审核策略设置经过 MSBP 来配置。相关 MSBP 具体信息,请参阅Windows /安全配置手册中建立服务器安全基准部分。MSBP 设置可确保全部相关安全审核信息全部统计在全部 IIS 服务器上。4.2. 用户权限分配本手册中定义三种环境中 IIS 服务器大多数用户权限分配全部是经过 MSBP 配置。相关 MSBP 具体
11、信息,请参阅Windows /安全配置手册中建立服务器安全基准部分。4.2.1. 拒绝经过网络访问该计算机表 1:设置组员服务器默认值旧用户端企业用户端高安全性SUPPORT_388945a0匿名登录;内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户匿名登录;内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户匿名登录;内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户注意:安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和全部非操作系统服务帐户。对于组
12、织中每个域,这些帐户和组拥有唯一安全标识 (SID)。所以,必需手动添加它们。“拒绝经过网络访问该计算机”设置决定了哪些用户不能经过网络访问该计算机。这些设置将拒绝大量网络协议,包含服务器消息块 (SMB) 协议、网络基础输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时,该设置将覆盖“许可经过网络访问该计算机”设置。经过给其它组配置该用户权限,您能够限制用户在您环境中实施委托管理任务能力。在建立服务器安全基准中,本手册提议将 Guests 组包含在被分配了该权限用户和组列
13、表中,以提供最大可能安全性。不过,用于匿名访问 IIS IUSR 帐户被默认为 Guests 组组员。本手册提议从增量式 IIS 组策略中清除 Guests 组,以确保必需时可配置对 IIS 服务器匿名访问。所以,在本手册所定义全部三种环境下,我们针对 IIS 服务器将“拒绝经过网络访问该计算机”设置配置为包含:匿名登录、内置管理员、Support_388945a0、Guest 和全部非操作系统服务帐户。4.3. 安全选项在本手册所定义三种环境中,IIS 服务器安全选项经过 MSBP 来配置。相关 MSBP 具体信息,请参阅Windows /安全配置手册中建立服务器安全基准部分。MSBP设置确
14、保了在企业IIS服务器中统一配置正确事件日志设置。4.4. 事件日志设置在本手册中定义三种环境中,IIS 服务器事件日志设置经过 MSBP 来配置。相关 MSBP 具体信息,请参阅请参阅Windows /安全配置手册中建立服务器安全基准部分。MSBP 设置确保了在企业 IIS 服务器中统一配置正确事件日志设置。4.5. 系统服务为了让 IIS 向 Windows Server 中添加 Web 服务器功效,则必需启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动开启。注意:MSBP 禁用了多个其它 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用部分服务。
15、假如想要在本手册所定义任何一个环境下 IIS 服务器上启用这些服务,必需更改增量式 IIS 组策略。4.5.1. HTTP SSL表 2:设置服务名组员服务器默认值旧用户端企业用户端高安全性HTTPFilter手动自动自动自动HTTP SSL 服务可让 IIS 实施安全套接字层 (SSL) 功效。SSL是建立加密通信渠道一个开放标准,以预防诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全电子金融事务成为可能,当然也可用它来实现其它 Internet 服务。假如 HTTP SSL 服务停止,IIS 将无法实施 SSL 功效。禁用此服务将造成任何明确依靠它服务全部无法实现。您能够使
16、用组策略来保护和设置服务开启模式,只许可服务器管理员访问这些设置,从而预防未经授权或恶意用户配置或操作该服务。组策略还能够预防管理员无意中禁用该服务。所以,在本手册所定义全部三种环境下,针对 IIS 服务器需要将“HTTP SSL”设置配置为“自动”。4.5.2. IIS Admin 服务表 3:设置服务名组员服务器默认值旧用户端企业用户端高安全性IISADMIN没有安装自动自动自动“IIS Admin 服务”许可对 IIS 组件进行管理,比如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展,和网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 虚拟服务器。“
17、IIS Admin 服务”必需运行,方便让 IIS 服务器能够提供 Web、FTP、NNTP 和 SMTP 服务。假如禁用此服务,则无法配置 IIS,而且对站点服务请求将不会成功。您能够使用组策略来保护和设置服务开启模式,只许可服务器管理员访问这些设置,从而预防未经授权或恶意用户配置或操作该服务。组策略还能够预防管理员无意中禁用该服务。所以,在本手册所定义全部三种环境下,我们针对 IIS 服务器需要将“IIS Admin 服务”设置配置为“自动”。4.5.3. 万维网公布服务表 4:设置服务名组员服务器默认值旧用户端企业用户端高安全性W3SVC没有安装自动自动自动“万维网公布服务”经过 IIS
18、 管理单元提供网络连通性和网站管理。“万维网公布服务”必需运行,方便让 IIS 服务器经过 IIS 管理器提供网络连通性和管理。您能够使用组策略来保护和设置服务开启模式,只许可服务器管理员访问这些设置,从而预防未经授权或恶意用户配置或操作该服务。组策略还能够预防管理员无意中禁用该服务。所以,在本手册所定义全部三种环境下,我们针对 IIS 服务器需要将“万维网公布服务”设置配置为“自动”。4.6. 其它安全设置安装 Windows Server 和 IIS 以后,默认情况下,IIS 仅传输静态 Web 内容。当 Web 站点和应用程序包含动态内容,或需要一个或多个附加 IIS 组件时,每个附加
19、IIS 功效必需逐一单独启用。不过,在该过程中必需谨慎,以确保在您环境中将每个 IIS 服务器受攻击面降至最小。假如您组织 Web 站点只包含静态内容而无需其它任何 IIS 组件,这时,默认 IIS 配置足以将您环境中 IIS 服务器受攻击面降至最小。经过 MSBP 应用安全设置为 IIS 服务器提供大量增强安全性。不过,还是应该考虑部分其它注意事项和步骤。这些步骤不能经过组策略完成,而应该在全部 IIS 服务器上手动实施。4.6.1. 仅安装必需 IIS 组件除“万维网公布服务”之外,IIS6.0 还包含其它组件和服务,比如 FTP 和 SMTP 服务。您能够经过双击“控制面板”上“添加/删
20、除程序”来开启 Windows 组件向导应用程序服务器,以安装和启用 IIS 组件和服务。安装 IIS 以后,必需启用 Web 站点和应用程序所需全部必需 IIS 组件和服务。您应该仅启用 Web 站点和应用程序所需必需 IIS 组件和服务。启用无须要组件和服务会增加 IIS 服务器受攻击面。相关 IIS 组件位置和提议设置指导,请参阅怎样识别 Windows Server 中 IIS 6.0 组件。4.6.2. 仅启用必需 Web 服务扩展很多运行于 IIS 服务器上网站和应用程序含有超出静态页面范围扩展功效,包含生成动态内容能力。经过 IIS 服务器提供功效来产生或扩展任何动态内容,全部是
21、经过使用 Web 服务扩展来实现。IIS 6.0 中增强安全功效许可用户单独启用或禁用 Web 服务扩展。在一次新安装以后,IIS 服务器将只传输静态内容。可经过 IIS 管理器中 Web 服务扩展节点来启用动态内容功效。这些扩展包含 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。启用全部 Web 服务扩展可确保和现有应用软件最大可能兼容性。不过,这可能带来部分安全性风险,因为当全部扩展被启用时,同时也启用了您环境下 IIS 服务器所不需要功效,这么 IIS 受攻击面就会增加。为了尽可能降低 IIS 服务器受攻击面,在本手册所定义三种环境下,
22、只应该在 IIS 服务器上启用必需 Web 服务扩展。仅启用在您 IIS 服务器环境下运行站点和应用软件所必需 Web 服务扩展,经过最大程度精简服务器功效,能够降低每个 IIS 服务器受攻击面,从而增强了安全性。相关 Web 服务扩展指导,请参阅怎样识别 Windows Server 中 IIS 6.0 组件。4.6.3. 在专用磁盘卷中放置内容IIS 会将默认 Web 站点文件存放到 inetpubwwwroot,其中 是安装 Windows Server 操作系统驱动器。在本手册所定义三种环境下,应该将组成 Web 站点和应用程序全部文件和文件夹放置到 IIS 服务器专用磁盘卷中。将这些
23、文件和文件夹放置到 IIS 服务器一个专用磁盘卷 不包含操作系统磁盘卷 有利于预防目录遍历攻击。目录遍历攻击是指攻击者对在 IIS 服务器目录结构之外一个文件发送请求。比如,cmd.exe 在于 System32 文件夹中。攻击者可能请求访问以下位置:.Windowssystemcmd.exe,企图调用命令提醒假如 Web 站点内容在一个单独磁盘卷上,这种类型目录遍历攻击将无法成功,原因有二。首先,cmd.exe 权限已经作为 Windows Server 基础结构一部分进行了重设,从而将对它访问限制在很有限用户群中。其次,完成该更改以后,cmd.exe 不再和 Web 根目录处于同一磁盘卷,
24、而现在没有任何已知方法可经过使用这种攻击来访问在不一样驱动器上命令。除了安全性考虑之外,将站点和应用程序文件和文件夹放置在一个专用磁盘卷中使诸如备份和恢复这么管理任务变得愈加轻易。而且,将这种类型内容放在一个分开专用物理驱动器中有利于降低系统分区中磁盘争用现象,而且改善磁盘整体访问性能。4.6.4. 设置 NTFS 权限Windows Server 将检验 NTFS 文件系统权限,以确定用户或进程对特定文件或文件夹含有访问权限类型。您应该分配对应 NTFS 权限,方便在本手册定义三种环境下,许可或拒绝特定用户对 IIS 服务器上站点访问。NTFS 访问权限应该和 Web 访问权限协同使用,而不
25、是替换 Web 权限。NTFS 权限只影响那些已经被许可或被拒绝访问站点和应用程序内容帐户。Web 权限则影响全部访问站点或应用程序用户。假如站点权限和 NTFS 权限在某个文件夹或目录上发生冲突,限制性更强设置将生效。对于不许可匿名访问站点和应用程序,匿名帐户访问将被明确拒绝。当没有经过身份验证用户访问系统资源时,就是匿名访问。匿名帐户包含内置“Guest”帐户、“Guests”组和“IIS Anonymous”帐户。另外,除了 IIS 管理员之外,对其它任何用户全部应该清除全部写权限。下表提供了相关 NTFS 权限部分提议,这些权限将应用于 IIS 服务器上不一样文件类型。不一样文件类型能
26、够被组织在不一样文件夹中,以简化应用 NTFS 权限过程。表 5:NTFS 权限文件类型提议 NTFS 权限CGI 文件(.exe、.dll、.cmd、.pl)Everyone(实施)Administrators(完全控制)System(完全控制)脚本文件 (.asp)Everyone(实施)Administrators(完全控制)System(完全控制)包含文件(.inc、.shtm、.shtml)Everyone(实施)Administrators(完全控制)System(完全控制)静态内容(.txt、.gif、.jpg、.htm、.html)Everyone(只读)Administrat
27、ors(完全控制)System(完全控制)4.6.5. 设置 IIS Web 站点权限IIS 将检验 Web 站点权限,以确定在 Web 站点中可能发生操作类型,比如许可脚本源访问或许可文件夹浏览。您应该为 Web 站点分配权限,方便深入确保 IIS 服务器上站点在本手册定义三种环境下安全性。Web 站点权限可和 NTFS 权限结合使用。它们可配置给特定站点、文件夹和文件。和 NTFS 权限不一样,Web 站点权限影响试图访问 IIS 服务器站点每个人。Web 站点权限能够经过使用 IIS 管理器管理单元得到应用。下表列举了 IIS 6.0 支持 Web 站点权限,而且提供了简明描述,解释怎样
28、为 Web 站点分配给定权限。表 6:IIS 6.0 Web 站点权限Web 站点权限:授予权限:读用户可查看目录或文件内容和属性。在默认情况下,该权限为选中状态。写用户可更改目录或文件内容和属性。脚本源访问用户能够访问源文件。假如启用“读”权限,则能够读取源文件;假如启用“写”权限,则能够更改脚本源代码。脚本源访问包含脚本源代码。假如既不启用“读”权限,也不启用“写”权限,则此选项将不可用。关键点:启用“脚本源访问”时,用户能够查看敏感信息,比如用户名和密码。她们还能够更改 IIS 服务器上运行源代码,从而严重影响服务器安全性和性能。目录浏览用户能够查看文件列表和集合。日志访问每次访问 We
29、b 站点全部会创建日志条目。索引此资源许可使用索引服务索引资源。这么便能够对资源实施搜索。实施以下选项确定用户运行脚本等级:“无” 不许可在服务器上运行脚本和可实施文件。“仅限于脚本” 仅许可在服务器上运行脚本。“脚本和可实施文件” 许可在服务器上运行脚本和可实施文件。4.6.6. 配置 IIS 日志本手册提议在指南定义三种环境下均启用 IIS 服务器上 IIS 日志。能够为每个站点或应用程序创建单独日志。IIS 能够统计 Microsoft Windows 操作系统提供事件日志或性能监视功效所统计信息范围之外信息。IIS 日志可统计诸如谁访问过站点、访客浏览过哪些内容、和最终一次访问时间等信
30、息。IIS 日志可被用来了解那些内容最受欢迎,确定信息瓶颈,或用作帮助攻击事件调查资源。IIS 管理器管理单元能够用来配置日志文件格式、日志计划和将被统计确实切信息。为限制日志大小,应该对所统计信息内容进行仔细计划。当 IIS 日志被启用时,IIS 使用 W3C 扩展日志文件格式来创建日常操作统计,并存放到在 IIS 管理器中为站点指定目录中。为改善服务器性能,日志文件应该存放到系统卷以外条带集或条带集/镜像磁盘卷上。而且,您还能够使用完整全局命名约定 (UNC) 路径将日志文件写到网络上方便远程共享。远程日志让管理员能够建立集中日志文件存放和备份。不过,经过网络对日志文件进行写操作可能会对服
31、务器性能带来负面影响。IIS 日志能够配置为使用其它多个 ASCII 或开放数据库连接 (ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存放到 SQL 数据库中。不过,应该注意,当启用 ODBC 日志时,IIS 将禁用内核模式缓存。所以,实施 ODBC 日志会降低服务器总体性能。存放数以百计站点 IIS 服务器经过启用集中二进制日志来改善日志性能。集中化二进制日志许可 IIS 服务器将全部 Web 站点活动信息写到一个日志文件上。这么,经过降低需要逐一存放和分析日志文件数量,大大地提升了 IIS 日志统计过程可管理性和可伸缩性。相关集中化二进制日志更多信息,请参阅 Micros
32、oft TechNet 专题“Centralized Binary Logging”,其网址为: (英文)。当 IIS 日志按默认设置存放在 IIS 服务器中时,只有服务器管理员有权访问它们。假如日志文件文件夹或文件全部者不在“Local Administrators”组中时,HTTP.sys IIS 6.0 内核模式驱动程序 将向 NT 事件日志公布一个错误。该错误指出文件夹或文件全部者不在“Local Administrators”组中,而且这个站点日志将临时失效,直到其全部者被添加到“Local Administrators”组中,或现有文件夹或文件被删除。4.6.7. 向用户权限分配手
33、动添加唯一安全组大多数经过 MSBP 应用用户权限分配全部已经在本手册附带安全性模板中进行了合适指定。不过,有些帐户和安全组不能被包含在模板内,因为它们安全标识符 (SID) 对于单个 Windows 域是特定。下面给出了必需手动配置用户权限分配。警告:下表包含了内置 Administrator 帐户。注意不要将 Administrator 帐户和内置 Administrators 安全组相混淆。假如 Administrators 安全组添加了以下任何一个拒绝访问用户权限,您必需在当地登录以更正该错误。另外,内置 Administrator 账户可能已经被重命名。当添加 Administrat
34、or 账户时,请确信指定是经过重命名账户。表 7:手动添加用户权限分配组员服务器默认值旧用户端企业用户端高安全性拒绝经过网络访问该计算机内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户内置管理员帐户;Support_388945a0;Guest;全部非操作系统服务帐户警告:全部非操作系统服务账户包含整个企业范围内用于特定应用程序服务账户。这不包含操作系统使用内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。4.6.8. 保护众
35、所周知帐户安全Windows Server 含有大量内置用户帐户,这些帐户不能删除,但能够重命名。Windows 中最常见两个帐户是 Guest 和 Administrator。默认情况下,Guest 帐户在组员服务器和域控制器上被禁用。不应更改此设置。内置 Administrator 帐户应被重命名,而且其描述也应被更改,以预防攻击者经过该帐户破坏远程服务器。很多恶意代码变种企图使用内置管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置意义已经大大降低了,因为出现了很多新攻击工具,这些工具企图经过指定内置 Administrator 账户安全标识 (SID) 来确定该帐户真实姓名,从
36、而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户和登录会话值。改变内置帐户 SID 是不可能。将当地管理员帐户改变为一个尤其名称,能够方便您操作人员监视对该帐户攻击企图。要保护 IIS 服务器中众所周知帐户安全,请实施以下步骤:1.重命名 Administrator 和 Guest 帐户,而且将每个域和服务器上密码更改为长而复杂值。2.在每个服务器上使用不一样名称和密码。假如在全部域和服务器上使用相同帐户名和密码,攻击者只须取得对一台组员服务器访问权限,就能够访问全部其它含有相同帐户名和密码服务器。3.更改默认帐户描述,以预防帐户被轻易识别。4.将这些更改统计到一个安全位置。注
37、意:能够经过组策略重命名内置管理员帐户。本手册提供任何安全性模板中全部没有配置该设置,因为您必需为您环境选择一个唯一名字。“帐户:重命名管理员帐户”设置可用来重命名本手册所定义三种环境中管理员帐户。该设置是组策略安全选项设置一部分。4.6.9. 保护服务帐户安全除非绝对必需,不然不要让服务运行在域帐户安全上下文中。假如服务器物理安全受到破坏,域账户密码能够很轻易经过转储当地安全性授权 (LSA) 秘文而取得。4.6.10. 用 IPSec 过滤器阻断端口Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要安全等级提供有效方法。本手册推荐在指南中定义高安全性环境中使用该选项,
38、方便深入降低服务器受攻击面。相关使用 IPSec 过滤器具体信息,请参阅模块其它组员服务器强化过程。下表列出在本手册定义高级安全性环境下可在 IIS 服务器上创建全部 IPSec 过滤器。表 8:IIS 服务器 IPSec 网络通信图服务协议源端口目标端口源地址目标地址操作镜像one point Client全部全部全部MEMOM 服务器许可是Terminal Services TCP全部3389全部ME许可是Domain Member 全部全部全部ME域控制器许可是Domain Member 全部全部全部ME域控制器 2许可是HTTP ServerTCP全部80全部ME许可是HTTPS Se
39、rverTCP全部443全部ME许可是All Inbound Traffic全部全部全部全部ME严禁是在实施上表所列举规则时,应该对它们全部进行镜像处理。这么能够确保任何进入服务器网络通信也能够返回到源服务器。上表介绍了服务器要想完成特定角色功效所应该打开基础端口。假如服务器使用静态 IP 地址,这些端口已经足够。假如需要提供更多功效,则可能需要打开更多端口。打开更多端口将使得您环境下 IIS 服务器更轻易管理,不过这可能大大降低服务器安全性。因为在域组员和域控制器之间有大量交互,尤其是 RPC 和身份验证通信,在 IIS 服务器和全部域控制器之间,您应该许可全部通信。通信还能够被深入限制,不
40、过大多数环境全部需要为有效保护服务器而创建更多过滤器。这将使得实施和管理 IPSec 策略很困难。您应该为每一个将和 IIS 服务器进行交互域控制器创建类似规则。为了提升 IIS 服务器可靠性和可用性,您需要为环境中全部域控制器添加更多规则。正如上表所表示,假如环境中运行了 Microsoft 操作管理器 (MOM),那么在实施 IPSec 过滤器服务器和 MOM 服务器之间,应该许可传输全部网络通信。这是必需,因为在 MOM 服务器和 OnePoint 用户端(向 MOM 控制台提供汇报用户端应用程序)之间存在大量交互过程。其它管理软件可能也含有类似需求。假如需要更高等级安全性,则能够配置
41、OnePoint 用户端过滤操作,从而协调 IPSec 和 MOM 服务器。 该 IPSec 策略将有效地阻止经过任意一个高端口通信,所以它不许可远程过程调用 (RPC) 通信。这可能会使得服务器管理很困难。因为已经关闭了很多端口,您能够启用终端服务。这么一来,管理员便能够实施远程管理。上面网络通信图假设环境中包含启用了 Active Directory DNS 服务器。假如使用独立 DNS 服务器,则可能需要其它规则。IPSec 策略实施应该不会对服务器性能有显著影响。不过,在实施这些过滤器之前必需进行测试,以核实服务器保持了必需功效和性能。您可能还需要添加部分附加规则以支持其它应用程序。本
42、手册包含一个 .cmd 文件,它简化了依据指南要求为域控制器创建 IPSec 过滤器过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建合适过滤器。必需修改此 .cmd 文件,以使其包含您所在环境中域控制器 IP 地址。脚本中包含两个占位符,用于要添加两个域控制器。如需要,能够添加其它域控制器。这些域控制器 IP 地址列表应该是最新。假如环境中有 MOM,应该在脚本中指定对应 MOM 服务器 IP 地址。此脚本不会创建永久过滤器。所以,直到 IPSec 策略代理开启时,服务器才会得到保护。相关构建永久过滤器或创建高级 IPSec 过滤器脚本具体信息,请参阅模块其它组
43、员服务器强化过程。最终,此脚本被配置为不分发其创建 IPSec 策略。IP 安全性策略管理单元可被用来检验所创建 IPSec 过滤器,而且分发 IPSec 策略方便让其生效。4.7. 参考材料相关此专题具体信息,请参阅“Enable Logging”,其网址为: (英文)。相关统计站点活动信息,请参阅“Logging Site Activity”,其网址为: (英文)。相关扩展日志信息,请参阅“Customizing W3C Extended Logging”,其网址为: (英文)。相关集中化二进制日志信息,请参阅“Centralized Binary Logging”,其网址为: (英文)。
44、相关远程日志信息,请参阅“Remote Logging”,其网址为: (英文)。相关生成、查看或了解安全日志(审计)信息,请访问安全性方面 Microsoft TechNet 站点: (英文)。相关 IIS 6.0 其它信息,请访问 TechNet: .com/iis(英文)。相关 IPSec 过滤操作具体信息,请参阅“How To:Use IPSec IP Filter Lists in Windows ”,其网址为: (英文)。第5章. Apache Web服务安全配置提议Apache服务器是Internet网上应用最为广泛Web服务器软件之一。Apache服务器源自美国国家超级技术计算应
45、用中心(NCSA)Web服务器项目中。现在已在互联网中占据了领导地位。Apache服务器得经过精心配置以后,才能使它适应高负荷,大吞吐量互联网工作。快速、可靠、经过简单API扩展,Perl/Python解释器可被编译到服务器中,且完全无偿,完全源代码开放。5.1. 审核策略设置Apache Web 服务器(及其全部衍生产品)实质是 httpd.conf 组态文件。httpd.conf 是纯文字格式,该文件编制得很完善,而且它是大多数 Apache 可组态行为关键控制者。从安全性角度看,Apache 随同预设 httpd.conf 将程序锁定在一个相对严格作业范例内。不过,经验丰富管理员通常期望
46、不止是“很完善”安全性;她们期望知道每个伪指令做些什么,它怎样影响服务器安全作业,和怎样作业所提供伪指令或将伪指令更深入地集中到唯一环境中。5.2. 用户权限分配5.2.1. 拒绝经过网络访问该计算机透过使用 allow 和 deny 伪指令,能够控制对给定目录、文件或目录结构存取呢。这些伪指令能够采取两种格式中一个: allow | deny from address-expression 或 allow | deny from env=environment-variableaddress-expression 能够是下列之一:特殊关键词 ALL,表示全部可能主机;完整或部分网域名;完整或部分数字 IP 地址;网络网络屏蔽对(比如:192.168.1.0/255.255.255.0);或 CIDR 地址规范(比如:127.0.0.0/24)。 所以,以下放在 httpd.conf 全局部分中伪指令: d