梁偉

[摘 要] Windows 2003作為最普遍運用的Web服務器平臺，存在著諸多安全隱患。為提高基于Windows 2003的Web服務器的安全性，從操作系統(tǒng)本身入手，通過重新規(guī)劃系統(tǒng)的部分默認配置可以達到所需目的。

[關(guān)鍵詞] Web服務器；安全；IIS

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 056

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2018）11- 0126- 02

1 引 言

Web服務器處于網(wǎng)絡系統(tǒng)信息交換和存儲的核心地位，主要功能是為網(wǎng)絡上的用戶提供全面的數(shù)據(jù)資源共享服務和其他各種網(wǎng)絡服務。為了讓用戶可以訪問提供的信息，Web服務器必須是Internet上任何接入點都可以訪問的，因此，Web 服務器也成為Internet上最暴露的服務器， 正是由于Web服務器比較開放的這個特點，大多數(shù)攻擊都是采用合法渠道進入并且進行攻擊的，所以，必須從最基礎(chǔ)的操作系統(tǒng)本身入手進行安全配置。

2 Web服務器面臨的威脅及安全隱患

由于Web服務器主要是以應用為主，作為服務器管理人員來說大部分時間是在做各種應用，對于服務器卻沒有一個詳細的安全規(guī)劃。許多人都關(guān)注Web應用是否正常運行，卻很少有人關(guān)注其安全問題。大多數(shù)安全問題都屬于下面四種類型之一：

（1）服務器中的網(wǎng)站信息遭受篡改。

（2）服務器把本應私有的數(shù)據(jù)放到了可公開訪問的區(qū)域。

（3）服務器拒絕服務。

（4）提供不應該提供的服務。

Windows 2003作為主要的Web服務器平臺，被廣泛地運用于Web服務器構(gòu)架中。但是，由于Windows 2003操作系統(tǒng)本身存在著諸多安全漏洞，給構(gòu)架安全的Web服務器帶來了極大的隱患，在很大程度上可以被惡意訪問者所利用[1]。

3 Windows 2003系統(tǒng)安全配置

Web服務器所采用的操作系統(tǒng)，必須具有高性能、高可靠性和高安全性等要素。微軟的企業(yè)級操作系統(tǒng)中，如果說Windows 2000全面繼承了NT技術(shù)，那么Windows 2003則是依據(jù).Net架構(gòu)對NT技術(shù)做了重要發(fā)展和實質(zhì)性改進，凝聚了微軟多年來的技術(shù)積累，使得系統(tǒng)安全性方面得以大幅提高。

3.1 采用NTFS磁盤分區(qū)格式

NTFS系統(tǒng)提供了性能安全、可靠以及在其他文件系統(tǒng)格式中沒有的高級功能，可以實現(xiàn)文件及文件夾的加密、權(quán)限設(shè)置、磁盤配額和壓縮等，并可以更好地利用磁盤空間，提高系統(tǒng)的運行速度。自Windows NT系統(tǒng)問世以來，使用NTFS文件系統(tǒng)，進一步打造系統(tǒng)安全已逐漸成為一種共識。NTFS文件系統(tǒng)可以對文件和目錄進行管理，而FAT文件系統(tǒng)只能提供共享安全，所以在安裝Windows 2003時所有的磁盤分區(qū)都要采用NTFS分區(qū)，并且要將操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)下。

3.2 關(guān)閉系統(tǒng)默認共享

Windows 2003系統(tǒng)開啟默認共享所有磁盤分區(qū)，以及讓進程通信而開放的命名管道IPC■和系統(tǒng)工作目錄admin■共享，這就為系統(tǒng)的安全埋下隱患，這時只要禁止Server服務就可以了。

3.3 系統(tǒng)賬戶安全性

（1）刪除未使用的賬戶，因為攻擊者可能發(fā)現(xiàn)這些賬戶，然后利用這些賬戶來獲取Web服務器上的數(shù)據(jù)和應用程序的訪問權(quán)。

（2）始終使用強密碼，因為弱密碼增加了成功進行強力攻擊或字典攻擊的可能性。

（3）使用以最低特權(quán)運行的賬戶，攻擊者可以通過使用以高級特權(quán)運行的賬戶來獲取未經(jīng)授權(quán)資源的訪問權(quán)。

Windows 2003有些內(nèi)置賬戶，它們不能被刪除，但可以重命名。最常見的兩個賬戶是“Guest”和“Administrator”。在成員服務器和域控制器中，Guest賬戶缺省被禁用，不需要改變該設(shè)置。內(nèi)置的Administrator賬戶應被重命名，而且描述也應更改，以防止攻擊者通過該賬戶遠程破壞服務器。

3.4 網(wǎng)絡配置中禁用危險端口

要降低成功攻擊Web服務器上面向Internet的端口的可能性，應禁用除傳輸控制協(xié)議（TCP）以外的所有網(wǎng)絡協(xié)議。Web服務器中面向Internet的網(wǎng)絡適配器上不需要服務器消息塊（SMB）和NetBIOS。在網(wǎng)絡連接屬性中，取消“Microsoft網(wǎng)絡客戶端”、“Microsoft網(wǎng)絡的文件和打印機共享”和“網(wǎng)絡負載平衡”三個服務組件，只保留“Internet協(xié)議（TCP/IP）”協(xié)議，并在此協(xié)議中禁用TCP/IP上的NetBIOS。這樣，就禁用了SMB使用的139、445端口和NetBIOS使用的137、138、139危險端口。

3.5 軟件限制策略

Windows 2003允許管理員使用策略或強行阻止在某臺計算機上運行可執(zhí)行程序，也可通過設(shè)定來防止運行時遭到病毒感染或惡意攻擊。具體來說，通過軟件限制策略，可以執(zhí)行以下任務：

（1）控制可以在計算機上運行的程序。例如，如果擔心用戶通過電子郵件收到病毒，可以應用一個策略，不允許一些文件類型在電子郵件附件文件夾中運行。

（2）在多用戶計算機上，僅允許用戶運行特定的文件。例如，如果計算機上有多個用戶，那么就可以設(shè)置軟件限制策略，使用戶除了可以訪問必須在工作中使用的特定文件外，不能訪問其他任何文件。

（3）確定誰可以向計算機中添加受信任的發(fā)布服務器。

（4）控制軟件限制策略是影響計算機上的所有用戶，還是只影響一些用戶。

（5）阻止任何文件在本地計算機、組織單元、站點或域中運行。例如，如果存在已知病毒，就可以使用軟件限制策略阻止計算機打開包含該病毒的文件[2]。

3.6 注冊表設(shè)置

注冊表是一套控制操作系統(tǒng)外表和如何響應外來事件工作的文件，這些“事件”的范圍從直接存取一個硬件設(shè)備到接口如何響應特定用戶到應用程序如何運行等等。由于Windows默認情況下，將很多系統(tǒng)配置接口都隱藏于注冊表中，但是出于安全考慮，就必須對注冊表進行挖掘、修改。如：通過修改注冊表隱藏重要文件/目錄，通過修改注冊表防止SYN洪水攻擊，通過修改注冊表禁止響應ICMP路由通告報文，通過修改注冊表防止ICMP重定向報文的攻擊，等等。

3.7 FSO的安全性

出于安全考慮，現(xiàn)在絕大多數(shù)的Web服務器都禁用了ASP的標準組件：FSO（FileSystemObject），因為這一組件為ASP提供了強大的文件系統(tǒng)訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作。但是禁止此組件后，引起的后果就是所有利用該組件的網(wǎng)站將無法運行，無法滿足一部分網(wǎng)站的需求。所以對于FSO權(quán)限不能完全禁用，但是也不能完全開放，只能通過相關(guān)的設(shè)置提高其安全性，具體措施如下：

（1）為需要使用FSO組件的網(wǎng)站單獨設(shè)置匿名訪問賬戶。

（2）設(shè)置新建的系統(tǒng)帳戶對需要使用FSO組件的網(wǎng)站所在文件夾的完全控制權(quán)限。

經(jīng)過以上設(shè)置，訪問網(wǎng)站的用戶就以匿名身份訪問文件夾所指向的站點，因為新建的系統(tǒng)賬戶只對此文件夾有安全權(quán)限，所以只能在本文件夾下使用FSO，提高了網(wǎng)站的安全性[3]。

4 IIS安全配置

4.1 在專用分區(qū)中放置Web站點文件

IIS會將默認Web站點的文件存儲到系統(tǒng)分區(qū)的＼inetpub＼wwwroot中，應該將構(gòu)成Web站點和應用程序的所有文件和文件夾放置到安裝操作系統(tǒng)之外的專用分區(qū)中，這樣有助于防止目錄遍歷攻擊。

4.2 只選擇基本的IIS組件和服務

IIS 6.0除了包括WWW服務之外，還包括一些子組件，例如FTP服務和SMTP服務。為了最大限度地降低針對特定服務和子組件的攻擊風險，建議只選擇網(wǎng)站和Web應用程序正確運行所必需的子組件。

4.3 只啟用基本的Web服務擴展

服務于動態(tài)內(nèi)容的Web服務器需要Web服務擴展。由于安全原因，IIS 6.0允許啟用和禁用單獨的Web服務擴展，盡管啟用所有的Web服務擴展可確保最大限度地兼容現(xiàn)有的網(wǎng)站和應用程序，但卻大幅增加了Web服務器的被攻擊面，所以只需啟用必需的Web服務擴展即可。假設(shè)配置Web服務器來服務于作為默認網(wǎng)頁的index.asp文件，盡管配置了默認網(wǎng)頁，但還必須啟用Active Server Page的服務擴展才能查看.asp網(wǎng)頁文件[4]。

5 結(jié) 語

綜上所述，通過系統(tǒng)地配置可以從根本上解決Web服務器的安全問題，但是由于Windows 2003操作系統(tǒng)本身存在諸多安全漏洞以及人為造成的安全隱患，所以要及時關(guān)注最新安全咨詢，及時掌握最新的攻防技術(shù)，這樣才能保證Web服務器的安全穩(wěn)定運行。

主要參考文獻

[1]彭玉忠，王金才，郝榮霞.Web應用系統(tǒng)安全分析與設(shè)計[J].計算機安全，2008（9）：45-47.

[2]劉曉東.WINDOWS 2003 SERVER安全性概述[J].信息安全與信息保密，2003（8）：76.

[3]隋濤.基于IIS和ASP的網(wǎng)站系統(tǒng)的安全問題[J].情報探索，2006（11）：62-64.

[4]張淑芬，陳學斌，郭景峰.基于Windows Server 2003的安全性研究[J].計算機應用與軟件，2005，22（8）：122-124.