梁偉
[摘 要] Windows 2003作為最普遍運用的Web服務器平臺,存在著諸多安全隱患。為提高基于Windows 2003的Web服務器的安全性,從操作系統(tǒng)本身入手,通過重新規(guī)劃系統(tǒng)的部分默認配置可以達到所需目的。
[關(guān)鍵詞] Web服務器;安全;IIS
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 056
[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194(2018)11- 0126- 02
1 引 言
Web服務器處于網(wǎng)絡系統(tǒng)信息交換和存儲的核心地位,主要功能是為網(wǎng)絡上的用戶提供全面的數(shù)據(jù)資源共享服務和其他各種網(wǎng)絡服務。為了讓用戶可以訪問提供的信息,Web服務器必須是Internet上任何接入點都可以訪問的,因此,Web 服務器也成為Internet上最暴露的服務器, 正是由于Web服務器比較開放的這個特點,大多數(shù)攻擊都是采用合法渠道進入并且進行攻擊的,所以,必須從最基礎(chǔ)的操作系統(tǒng)本身入手進行安全配置。
2 Web服務器面臨的威脅及安全隱患
由于Web服務器主要是以應用為主,作為服務器管理人員來說大部分時間是在做各種應用,對于服務器卻沒有一個詳細的安全規(guī)劃。許多人都關(guān)注Web應用是否正常運行,卻很少有人關(guān)注其安全問題。大多數(shù)安全問題都屬于下面四種類型之一:
(1)服務器中的網(wǎng)站信息遭受篡改。
(2)服務器把本應私有的數(shù)據(jù)放到了可公開訪問的區(qū)域。
(3)服務器拒絕服務。
(4)提供不應該提供的服務。
Windows 2003作為主要的Web服務器平臺,被廣泛地運用于Web服務器構(gòu)架中。但是,由于Windows 2003操作系統(tǒng)本身存在著諸多安全漏洞,給構(gòu)架安全的Web服務器帶來了極大的隱患,在很大程度上可以被惡意訪問者所利用[1]。
3 Windows 2003系統(tǒng)安全配置
Web服務器所采用的操作系統(tǒng),必須具有高性能、高可靠性和高安全性等要素。微軟的企業(yè)級操作系統(tǒng)中,如果說Windows 2000全面繼承了NT技術(shù),那么Windows 2003則是依據(jù).Net架構(gòu)對NT技術(shù)做了重要發(fā)展和實質(zhì)性改進,凝聚了微軟多年來的技術(shù)積累,使得系統(tǒng)安全性方面得以大幅提高。
3.1 采用NTFS磁盤分區(qū)格式
NTFS系統(tǒng)提供了性能安全、可靠以及在其他文件系統(tǒng)格式中沒有的高級功能,可以實現(xiàn)文件及文件夾的加密、權(quán)限設(shè)置、磁盤配額和壓縮等,并可以更好地利用磁盤空間,提高系統(tǒng)的運行速度。自Windows NT系統(tǒng)問世以來,使用NTFS文件系統(tǒng),進一步打造系統(tǒng)安全已逐漸成為一種共識。NTFS文件系統(tǒng)可以對文件和目錄進行管理,而FAT文件系統(tǒng)只能提供共享安全,所以在安裝Windows 2003時所有的磁盤分區(qū)都要采用NTFS分區(qū),并且要將操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)下。
3.2 關(guān)閉系統(tǒng)默認共享
Windows 2003系統(tǒng)開啟默認共享所有磁盤分區(qū),以及讓進程通信而開放的命名管道IPC■和系統(tǒng)工作目錄admin■共享,這就為系統(tǒng)的安全埋下隱患,這時只要禁止Server服務就可以了。
3.3 系統(tǒng)賬戶安全性
(1)刪除未使用的賬戶,因為攻擊者可能發(fā)現(xiàn)這些賬戶,然后利用這些賬戶來獲取Web服務器上的數(shù)據(jù)和應用程序的訪問權(quán)。
(2)始終使用強密碼,因為弱密碼增加了成功進行強力攻擊或字典攻擊的可能性。
(3)使用以最低特權(quán)運行的賬戶,攻擊者可以通過使用以高級特權(quán)運行的賬戶來獲取未經(jīng)授權(quán)資源的訪問權(quán)。
Windows 2003有些內(nèi)置賬戶,它們不能被刪除,但可以重命名。最常見的兩個賬戶是“Guest”和“Administrator”。在成員服務器和域控制器中,Guest賬戶缺省被禁用,不需要改變該設(shè)置。內(nèi)置的Administrator賬戶應被重命名,而且描述也應更改,以防止攻擊者通過該賬戶遠程破壞服務器。
3.4 網(wǎng)絡配置中禁用危險端口
要降低成功攻擊Web服務器上面向Internet的端口的可能性,應禁用除傳輸控制協(xié)議(TCP)以外的所有網(wǎng)絡協(xié)議。Web服務器中面向Internet的網(wǎng)絡適配器上不需要服務器消息塊(SMB)和NetBIOS。在網(wǎng)絡連接屬性中,取消“Microsoft網(wǎng)絡客戶端”、“Microsoft網(wǎng)絡的文件和打印機共享”和“網(wǎng)絡負載平衡”三個服務組件,只保留“Internet協(xié)議(TCP/IP)”協(xié)議,并在此協(xié)議中禁用TCP/IP上的NetBIOS。這樣,就禁用了SMB使用的139、445端口和NetBIOS使用的137、138、139危險端口。
3.5 軟件限制策略
Windows 2003允許管理員使用策略或強行阻止在某臺計算機上運行可執(zhí)行程序,也可通過設(shè)定來防止運行時遭到病毒感染或惡意攻擊。具體來說,通過軟件限制策略,可以執(zhí)行以下任務:
(1)控制可以在計算機上運行的程序。例如,如果擔心用戶通過電子郵件收到病毒,可以應用一個策略,不允許一些文件類型在電子郵件附件文件夾中運行。
(2)在多用戶計算機上,僅允許用戶運行特定的文件。例如,如果計算機上有多個用戶,那么就可以設(shè)置軟件限制策略,使用戶除了可以訪問必須在工作中使用的特定文件外,不能訪問其他任何文件。
(3)確定誰可以向計算機中添加受信任的發(fā)布服務器。
(4)控制軟件限制策略是影響計算機上的所有用戶,還是只影響一些用戶。
(5)阻止任何文件在本地計算機、組織單元、站點或域中運行。例如,如果存在已知病毒,就可以使用軟件限制策略阻止計算機打開包含該病毒的文件[2]。
3.6 注冊表設(shè)置
注冊表是一套控制操作系統(tǒng)外表和如何響應外來事件工作的文件,這些“事件”的范圍從直接存取一個硬件設(shè)備到接口如何響應特定用戶到應用程序如何運行等等。由于Windows默認情況下,將很多系統(tǒng)配置接口都隱藏于注冊表中,但是出于安全考慮,就必須對注冊表進行挖掘、修改。如:通過修改注冊表隱藏重要文件/目錄,通過修改注冊表防止SYN洪水攻擊,通過修改注冊表禁止響應ICMP路由通告報文,通過修改注冊表防止ICMP重定向報文的攻擊,等等。
3.7 FSO的安全性
出于安全考慮,現(xiàn)在絕大多數(shù)的Web服務器都禁用了ASP的標準組件:FSO(FileSystemObject),因為這一組件為ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作。但是禁止此組件后,引起的后果就是所有利用該組件的網(wǎng)站將無法運行,無法滿足一部分網(wǎng)站的需求。所以對于FSO權(quán)限不能完全禁用,但是也不能完全開放,只能通過相關(guān)的設(shè)置提高其安全性,具體措施如下:
(1)為需要使用FSO組件的網(wǎng)站單獨設(shè)置匿名訪問賬戶。
(2)設(shè)置新建的系統(tǒng)帳戶對需要使用FSO組件的網(wǎng)站所在文件夾的完全控制權(quán)限。
經(jīng)過以上設(shè)置,訪問網(wǎng)站的用戶就以匿名身份訪問文件夾所指向的站點,因為新建的系統(tǒng)賬戶只對此文件夾有安全權(quán)限,所以只能在本文件夾下使用FSO,提高了網(wǎng)站的安全性[3]。
4 IIS安全配置
4.1 在專用分區(qū)中放置Web站點文件
IIS會將默認Web站點的文件存儲到系統(tǒng)分區(qū)的\inetpub\wwwroot中,應該將構(gòu)成Web站點和應用程序的所有文件和文件夾放置到安裝操作系統(tǒng)之外的專用分區(qū)中,這樣有助于防止目錄遍歷攻擊。
4.2 只選擇基本的IIS組件和服務
IIS 6.0除了包括WWW服務之外,還包括一些子組件,例如FTP服務和SMTP服務。為了最大限度地降低針對特定服務和子組件的攻擊風險,建議只選擇網(wǎng)站和Web應用程序正確運行所必需的子組件。
4.3 只啟用基本的Web服務擴展
服務于動態(tài)內(nèi)容的Web服務器需要Web服務擴展。由于安全原因,IIS 6.0允許啟用和禁用單獨的Web服務擴展,盡管啟用所有的Web服務擴展可確保最大限度地兼容現(xiàn)有的網(wǎng)站和應用程序,但卻大幅增加了Web服務器的被攻擊面,所以只需啟用必需的Web服務擴展即可。假設(shè)配置Web服務器來服務于作為默認網(wǎng)頁的index.asp文件,盡管配置了默認網(wǎng)頁,但還必須啟用Active Server Page的服務擴展才能查看.asp網(wǎng)頁文件[4]。
5 結(jié) 語
綜上所述,通過系統(tǒng)地配置可以從根本上解決Web服務器的安全問題,但是由于Windows 2003操作系統(tǒng)本身存在諸多安全漏洞以及人為造成的安全隱患,所以要及時關(guān)注最新安全咨詢,及時掌握最新的攻防技術(shù),這樣才能保證Web服務器的安全穩(wěn)定運行。
主要參考文獻
[1]彭玉忠,王金才,郝榮霞.Web應用系統(tǒng)安全分析與設(shè)計[J].計算機安全,2008(9):45-47.
[2]劉曉東.WINDOWS 2003 SERVER安全性概述[J].信息安全與信息保密,2003(8):76.
[3]隋濤.基于IIS和ASP的網(wǎng)站系統(tǒng)的安全問題[J].情報探索,2006(11):62-64.
[4]張淑芬,陳學斌,郭景峰.基于Windows Server 2003的安全性研究[J].計算機應用與軟件,2005,22(8):122-124.