[转]WIN2000下IIS安全配置

　　Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。

　　一、TCP/IP方面要重点考虑的安全配置信息

　　Win2000提供了三种方式对进站连接进行访问控制，以下分别介绍。

　　1、TCP/IP安全配置 Win2000中的TCP/IP安全配置与Windows NT 4.0中的执行方式完全相同，配置方法非常基本也非常简单，根本原则就是“全部允许或只允许”， “全部允许”表示放行来自所有端口的通讯数据，“只允许”表示除了特别列出端口外的通讯数据都拒绝。TCP/IP筛选虽然简单，但过滤总比没有过滤好，建议管理员不要漏掉这个防线。

　　2、对路由和远程访问服务（Routing and Remote Access Service，RRAS）形式的进站连接设置访问控制列表 路由和远程访问服务(RRAS)能够配置出更加灵活复杂的信息包过滤器，尽管过滤方式是静态的，但它的过滤细节却很多，包括信息包方向、IP地址、各种协议类型。 3、IPSec Policy Filters（IP安全策略过滤器） IPSec Policy Filters由IPSec Policy Agent（IP安全策略代理）强制执行，是Win2000操作系统的新生功能。它弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。可以说，IPSec是一个基于通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。这些规则叫做过滤器列表，管理员可以围绕各种不同的安全认证协议来设计它们，协议包括： 1 Internet密钥交换协议(Internet Key Exchange Protocol，IKE): 一种使VPN节点之间达成安全通信的协议，其功能强大、设计灵活。 2 认证IP数据包(Authentication Header,AH)：也就是将数据包中的数据和一个变化的数字签字结合起来，使得接收者能够确认数据发送者的身份以及确认数据在传输过程中没有被纂改过。 3 Encapsulation Security Payload (ESP)：指使用硬件对数据包中的数据进行加密，使象Sniffer类的网络监听软件无法得到任何有用信息。

　　3.配置安全的IIS

　　1、单独设置IIS服务器

　　如果可能，IIS应该安装在一个单独的服务器上。就是说，这个服务器不是任何域中的成员，不必与域控制器建立Netlogon信道，从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。而且，由于系统之间不传递认证通讯信息，也就降低了登录口令被截获的可能。

　　2、禁止不需要的服务 另外，如果仅仅是单纯的Web 服务器，那么最好禁止掉以下不需要的服务： ALERTER CLIPBOOK SERVER COMPUTER BROWSER DHCP CLIENT MESSENGER NETLOGON NETWORK DDE NET DDE DSDM NETWORK MONITOR AGENT SIMPLE TCP/IP SERVICES SPOOLER NETBIOS INTERFACE TCP/IP NETBIOS HELPER NWLINK NETBIOS

　　3、合理设置Web根文件夹 同前面论述的将操作系统与应用程序单独存放在不同的分区或磁盘驱动器一样，现在又要使用到隔离技术了。建议将Web根文件夹wwwroot定位在操作系统分区以外的地方甚至是另外的物理磁盘驱动器上。而且，当设置Web站点的虚拟目录或重定向文件夹时，也要保证这些目录不会被重定向到操作系统的启动分区，因为有些攻击能够危及访问文件夹所在分区上的其它文件夹。还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上，使IIS服务器成为一个只缓冲请求、应答请求的系统。而且，经过这样处理后，整个服务器基本上是一个通用型的，其上没有存储任何内容，即使站点遭到攻击而瘫痪，也可以从磁带或其它备份中快速简单地恢复服务器。

　　4、为重要系统文件改头换面 操作系统中有许多非常重要的文件，它们就象“双刃剑”，既可以让管理员方便地执行维护工作，又可能被攻击者利用进行破坏活动。为此，建议对这些文件进行删除、重命名或者为其设置NTFS权限，目的就是使攻击者再也找不到熟悉的面孔。这些文件包括： XCOPY.EXE at.exe regedit.exe cacls.exe regedt32.exe edlin.exe rsh.exe finger.exe runas.exe ftp.exe net.exe tracert.exe netsh.exe tskill.exe poledit.exe cmd.exe regini.exe cscript.exe regsrv32.exe tftp.exe netstat.exe issync.exe runonce.exe telnet.exe debug.exe rexec.exe wscript.exe

　　5、删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，所谓“多一个组件，不如少一个组件”。以下是一些“黑名单”参考，请管理员酌情考虑：

　　Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。

　　样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，这不是好事情，建议删除。

　　Win2000资源工具箱 或IIS资源工具箱：这些由专家编写的软件大概是现在最好的黑客工具了，其中有许多项目可以被攻击者利用从服务器上提取信息、进行破坏。

　　SMTP和NNTP：如果不打算使用服务器转发邮件和提供新闻组服务，就删除这些项目吧。否则，别因为它们的漏洞带来新的不安全。 @ Internet打印：Internet打印是Win2000中的一个新特性，它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的，所以也就使系统增加了许多受到利用的可能。

　　6、改写注册表降低被攻击风险

　　DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击，但是可以降低其风险，所以，建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是：将HKLM/System/CurrentControlSet/Services/Tcpip/Parameters下的SynAttackProtect的值修改为2。

　　7、简化IIS5中的验证方法

　　Win2000和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法，这包括：匿名访问、基本验证（密码用明文送出）、Windows域服务器的简要验证、集成Windows验证等等。对于大多数Web站点来说，有匿名访问或基本认证就足够了，或者干脆只保留匿名访问形式。在有些地方，最简单的往往是最有效的！

　　8、为IIS5中的文件分类设置权限

　　除了在操作系统级别为IIS5的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：

　　Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为这个文件夹设置“纯脚本”执行许可权限。

　　BIN目录：包含站点上的二禁止执行文件，应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。

　　Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置“读权限”

　　9、全力保护IIS

　　metabase IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容，而且这些信息都以明文形式存储，因此保护它至关重要。建议采取如下措施：

　　把HTTP和FTP根文件夹从%systemroot%下移走

　　慎重考虑重新命名Metabase和移动Metabase位置

　　安全设置确定Metabase位置的注册表关键字

　　审核所有试图访问并编辑Metabase的失败日志

　　删除文件%systemroot%/system32/inetserv/Iissync.exe

　　为Metabase文件设置以下权限：Administrators/完全控制，System/完全控制完成IIS配置后对Metabase 进行备份，这时会创建文件夹%systemroot%/system32/inetserv/MetaBack，备份文件就存储在其中。对于这个地方，要采取如下措施进行保护：

　　审核对/MetaBack文件夹的所有失败访问尝试

　　为/MetaBack文件夹设置如下权限：Administrators/完全控制，System/完全控制最后，要保护能够编辑Metabase的工具，步骤是：

　　移走文件夹/Inetpub/Adminscripts，这里包含着IIS的所有管理脚本

　　将"/program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%/system32/Inetserv文件夹下，并调整相应的开始菜单快捷方式。

　　审核对/Adminscripts文件夹的所有失败访问尝试

　　对执行.VBS文件的%systemroot%/system32/csript.exe设置权限为“Administrators/完全控制”。

　　对/Adminscripts文件夹设置权限“Administrators/完全控制”。

　　不要在服务器上面安装FRONPAGE等系列的软件。。。这样也可能是黑客的入侵口！

　　关掉自己不需要的服务和映射...[建议最好把不用的映射DEL掉] 还有就是注意建立审核例行程序和备份策略和数据保护对存储在服务器上暴露于Internet的数据进行保护也很重要。除了设置相应权限外，建立一个正式的备份策略，定期进行磁带备份非常必要的。对于以上两点都需要明确目标。可以把备份分两份。1备份在SERVER外“光盘。磁带。或者局域网中的其他COMPUTER硬盘中。 2备份在SERVER其他盘中，把权限设置为adminstrators。