概述 本模塊集中說明在您的環境中強化 IIS 服務器所需的指導和步驟。為了向組織的公司 Intranet 中的 Web 服務器和應用程序提供全面的安全保護,應該保護每個 Microsoft Internet 信息服務 (IIS) 服務器以及在這些服務器運行的每個 Web 站點和應用程序不受可與它們連接的客戶端計算機的侵害。此外,還應該保護在這些所有 IIS 服務器上運行的 Web 站點和應用程序不受在公司 Intranet 中其他 IIS 服務器上運行的 Web 站點和應用程序的侵害。 為了在抵制惡意用戶和攻擊者的過程中占據主動,默認情況下,IIS 不安裝在 Windows Server 2003 系列產品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如,默認情況下,IIS 最初僅提供靜態內容。諸如 Active Server Pages (ASP)、ASP.NET、服務器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發布及 Microsoft FrontPage® Server Extensions 等功能僅在管理員啟用它們後才起作用。可以通過 Internet 信息服務管理器(IIS 管理器)中的 Web 服務擴展節點啟用這些功能和服務。 IIS 管理器具有圖形化的用戶界面 (GUI),可用來方便地對 IIS 進行管理。它包括用於文件和目錄管理的資源,能夠對應用程序池進行配置,並且具有安全性、性能、以及可靠性方面的諸多特性。 本章接下來的部分詳細介紹了各種安全性強化設置,執行這些設置可增強公司 Intranet 中存放 HTML 內容的 IIS 服務器的安全性。但是,為確保 IIS 服務器始終處於安全狀態,還應執行安全監控、檢測和響應等步驟。 審核策略設置 在本指南定義的三種環境下,IIS 服務器的審核策略設置通過 MSBP 來配置。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。MSBP 設置可確保所有相關的安全審核信息都記錄在所有的 IIS 服務器上。 用戶權限分配 本指南中定義的三種環境中的 IIS 服務器的大多數用戶權限分配都是通過 MSBP 配置的。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。在下一節中闡述 MSBP 與 Incremental IIS Group Policy(增量式 IIS 組策略)之間的差別。 拒絕通過網絡訪問該計算機 表 1:設置 成員服務器默認值 舊客戶端 企業客戶端 高安全性 SUPPORT_388945a0 匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶 匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶 匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶 注意:安全模板中不包含匿名登錄、內置管理員帳戶、Support_388945a0、Guest 和所有非操作系統服務帳戶。對於組織中的每個域,這些帳戶和組擁有唯一的安全標識 (SID)。因此,必須手動添加它們。 “拒絕通過網絡訪問該計算機”設置決定了哪些用戶不能通過網絡訪問該計算機。。這些設置將拒絕大量的網絡協議,包括服務器消息塊 (SMB) 協議、網絡基本輸入/輸出系統 (NetBIOS)、通用 Internet 文件系統 (CIFS)、超文本傳輸協議 (HTTP) 和組件對象模型 (COM )。當用戶帳戶同時適用兩種策略時,該設置將覆蓋“允許通過網絡訪問該計算機”設置。通過給其它組配置該用戶權限,您可以限制用戶在您的環境中執行委托管理任務的能力。 在模塊創建 Windows Server 2003 服務器的成員服務器基准中,本指南建議將 Guests 組包含在被分配了該權限的用戶和組列表中,以提供最大可能的安全性。但是,用於匿名訪問 IIS 的 IUSR 帳戶被默認為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組,以確保必要時可配置對 IIS 服務器的匿名訪問。因此,在本指南所定義的全部三種環境下,我們針對 IIS 服務器將“拒絕通過網絡訪問該計算機”設置配置為包括:匿名登錄、內置管理員、Support_388945a0、Guest 以及所有非操作系統服務帳戶。 安全選項 在本指南所的定義的三種環境中,IIS 服務器的安全選項通過 MSBP 來配置。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。MSBP設置確保了在企業IIS服務器中統一配置正確的事件日志設置。 事件日志設置 在本指南中定義的三種環境中,IIS 服務器的事件日志設置通過 MSBP 來配置。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。MSBP 設置確保了在企業 IIS 服務器中統一配置正確的事件日志設置。 系統服務 為了讓 IIS 向 Windows Server 2003 中添加 Web 服務器功能,則必須啟用以下三種服務。增量式 IIS 組策略確保了這些服務被配置為自動啟動。 注意:MSBP 禁用了幾種其它的 IIS 相關服務。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服務。如果想要在本指南所定義的任何一種環境下的 IIS 服務器上啟用這些服務,必須更改增量式 IIS 組策略。 HTTP SSL 表 2:設置 服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性 HTTPFilter 手動 自動 自動 自動 HTTP SSL 服務可讓 IIS 執行安全套接字層 (SSL) 功能。SSL是建立加密通信渠道的一種開放標准,以防止諸如信用卡號等關鍵信息被中途截獲。首先,它使得在萬維網上進行安全的電子金融事務成為可能,當然也可用它來實現其它 Internet 服務。 如果 HTTP SSL 服務停止,IIS 將無法執行 SSL 功能。禁用此服務將導致任何明確依賴它的服務都無法實現。您可以使用組策略來保護和設置服務的啟動模式,只允許服務器管理員訪問這些設置,從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,針對 IIS 服務器的需要將“HTTP SSL”設置配置為“自動”。 IIS Admin 服務 表 3:設置 服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性
IISADMIN 沒有安裝 自動 自動 自動 “IIS Admin 服務”允許對 IIS 組件進行管理,例如文件傳輸協議 (FTP)、應用程序池、Web 站點、Web 服務擴展,以及網絡新聞傳輸協議 (NNTP) 和簡單郵件傳輸協議 (SMTP) 的虛擬服務器。 “IIS Admin 服務”必須運行,以便讓 IIS 服務器能夠提供 Web、FTP、NNTP 以及 SMTP 服務。如果禁用此服務,則無法配置 IIS,並且對站點服務的請求將不會成功。您可以使用組策略來保護和設置服務的啟動模式,只允許服務器管理員訪問這些設置,從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,我們針對 IIS 服務器的需要將“IIS Admin 服務”設置配置為“自動”。 萬維網發布服務 表 4:設置 服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性 W3SVC 沒有安裝 自動 自動 自動 “萬維網發布服務”通過 IIS 管理單元提供網絡連通性和網站管理。 “萬維網發布服務”必須運行,以便讓 IIS 服務器通過 IIS 管理器提供網絡連通性和管理。您可以使用組策略來保護和設置服務的啟動模式,只允許服務器管理員訪問這些設置,從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此,在本指南所定義的全部三種環境下,我們針對 IIS 服務器的需要將“萬維網發布服務”設置配置為“自動”。 其他安全設置 安裝 Windows Server 2003 和 IIS 之後,默認情況下,IIS 僅傳輸靜態 Web 內容。當 Web 站點和應用程序包含動態內容,或者需要一個或多個附加 IIS 組件時,每個附加 IIS 功能必須逐一單獨啟用。但是,在該過程中必須謹慎,以確保在您的環境中將每個 IIS 服務器的受攻擊面降至最小。如果您的組織的 Web 站點只包含靜態內容而無需其它任何 IIS 組件,這時,默認的 IIS 配置足以將您的環境中的 IIS 服務器的受攻擊面降至最小。 通過 MSBP 應用的安全設置為 IIS 服務器提供大量的增強安全性。不過,還是應該考慮一些其他的注意事項和步驟。這些步驟不能通過組策略完成,而應該在所有的 IIS 服務器上手動執行。 僅安裝必要的 IIS 組件 除“萬維網發布服務”之外,IIS6.0 還包括其它的組件和服務,例如 FTP 和 SMTP 服務。您可以通過雙擊“控制面板”上的“添加/刪除程序”來啟動 Windows 組件向導應用程序服務器,以安裝和啟用 IIS 組件和服務。安裝 IIS 之後,必須啟用 Web 站點和應用程序所需的所有必要的 IIS 組件和服務。 您應該僅啟用 Web 站點和應用程序所需的必要 IIS 組件和服務。啟用不必要的組件和服務會增加 IIS 服務器的受攻擊面。 有關 IIS 組件位置和建議設置的指導,請參閱如何識別 Windows Server 2003 中的 IIS 6.0 組件。 僅啟用必要的 Web 服務擴展 許多運行於 IIS 服務器上的網站和應用程序具有超出靜態頁面范疇的擴展功能,包括生成動態內容的能力。通過 IIS 服務器提供的功能來產生或擴展的任何動態內容,都是通過使用 Web 服務擴展來實現的。 IIS 6.0 中增強的安全功能允許用戶單獨啟用或禁用 Web 服務擴展。在一次新的安裝之後,IIS 服務器將只傳輸靜態內容。可通過 IIS 管理器中的 Web 服務擴展節點來啟用動態內容功能。這些擴展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。 啟用所有的 Web 服務擴展可確保與現有應用軟件的最大可能的兼容性。但是,這可能帶來一些安全性風險,因為當所有的擴展被啟用時,同時也啟用了您的環境下 IIS 服務器所不需要的功能,這樣 IIS 的受攻擊面就會增加。 為了盡可能減少 IIS 服務器的受攻擊面,在本指南所定義的三種環境下,只應該在 IIS 服務器上啟用必要的的 Web 服務擴展。 僅啟用在您的 IIS 服務器環境下運行的站點和應用軟件所必需的 Web 服務擴展,,通過最大限度精簡服務器的功能,可以減少每個 IIS 服務器的受攻擊面,從而增強了安全性。 有關 Web 服務擴展的指導,請參閱如何識別 Windows Server 2003 中的 IIS 6.0 組件。 在專用磁盤卷中放置內容 IIS 會將默認 Web 站點的文件存儲到 <systemroot>inetpubwwwroot,其中 <systemroot> 是
