本文档列举出一些建议和最佳做法,以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。
本文档列举出一些建议和最佳做法,以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。
注意 本文档是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”,Microsoft Press,ISBN: 0735609950 改编而来。
那些熟悉 Internet Information Server 4 清单的客户将注意到本列表要远短于 Internet Information Server 4 的清单。这是因为以下两点原因:
许多 Windows 2000 系统范围的设置可以通过提供的安全模板 (hisecweb,inf) 进行配置;所以不需要手动配置注册表设置。在 Windows 2000 和 IIS 5 的默认状态下,将禁用 Microsoft Windows NT 4 和 Internet Information Server 4 上的某些低安全级别的默认设置。
本文档的其余部分分为以下几个部分:
一般性安全考虑事项
Windows 2000 安全考虑事项
IIS 5 安全考虑事项
一般性安全考虑事项
本部分内容讲述一般性安全问题。
阅读您企业的安全策略
拥有安全策略是十分重要的。对以下问题,您需要有现成的答案:
如何对入侵作出反应?
备份存储在何处?
允许谁访问服务器?
在 SANS Institute、Baseline Software, Inc. 和 Practical Unix & Internet Security (O’Reilly Books, 1996) 中可以找到有关策略信息的比较好资源。
预订 Microsoft 安全通知服务
您可以在 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 上预定 Microsoft 安全通知服务,使自己能够及时知道有关 Microsoft 安全问题和修补程序的信息。您将通过电子邮件获得有关安全问题的自动通知。
您还应当考虑在桌面上放置 Microsoft 安全顾问程序的快捷方式。要完成此操作,请执行下列步骤:
打开 Internet Explorer。
导航到 http://www.microsoft.com/technet/security/bulletin/notify.asp。
从“收藏”菜单中选择“添加到收藏夹”。
选中“允许脱机使用”复选框。
单击“自定义”。
在“脱机收藏夹向导”中单击“下一步”。
选中“是”选项按钮并指定下载与该页链接的 2 层网页。
单击“下一步”。
选中“创建新的计划”选项按钮,然后单击“下一步”。
接受默认设置,再单击“下一步”。
单击“完成”。
单击“确定”。
从“收藏”菜单中选中“整理收藏夹”。
在“整理收藏夹”对话框中选择“Microsoft TechNet Security”快捷方式。
单击“属性”。
单击“Microsoft TechNet Security 属性”对话框的“下载”选项卡。
取消选中“跟踪本页 Web 站点之外的链接”复选框。
单击“确定”,然后单击“关闭”。
现在您可以将 Microsoft TechNet Security 快捷方式从“收藏”菜单拖到桌面上。如果有新的安全消息,图标上将出现一个小红标记。
要点 如果出现了新的安全问题,您必须非常重视它们。这一点再怎么强调也不为过。
Windows 2000 安全考虑事项
本部分内容专门讲述有关 Windows 2000 的安全问题。
检查、更新及部署提供的 Hisecweb.inf 安全模板
我们已经包括了名为 Hisecweb.inf 的安全模板,作为适用于大多数安全网站的基准。该模板配置了基本的 Windows 2000 系统范围策略。
Hisecweb.inf 可以从如下地址下载:
http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe
执行下列步骤来使用模板:
将模板复制到 %windir%securitytemplates 目录。
打开“安全模板”工具,并查看设置。
打开“安全配置和分析”工具,并加载模板。
右键单击“安全配置和分析”工具,并从上下文菜单中选择“立即分析计算机”。
等待工作完成。
检查查找结果并按需要更新模板。
如果您对模板满意,请右键单击“安全配置和分析”工具,并从上下文菜单中选择“立即配置计算机”。
配置 IPSec 策略
您应当认真考虑在每一个 Web 服务器上设置 Internet 协议安全性 (IPSec) 包筛选器策略。如果您的防火墙被攻破,该策略将提供额外的安全级别。多级别安全技术通常被认为是很好的做法。
一般而言,除了那些您明显希望支持的协议与希望打开的端口以外,应当阻止其他所有 TCP/IP 协议。您可以使用 IPSec 管理工具或 IPSecPol 命令行工具来部署 IPSec 策略。
保护 Telnet 服务器安全
如果您打算使用包含在 Windows 2000 中的 Telnet 服务器,您应当考虑限制能够访问该服务的用户。要完成此操作,请执行下列步骤:
打开“本地用户和组”工具。
右键单击“组”节点,并从上下文菜单中选择“新建组”。
在“组名”框中输入 TelnetClients。
单击“添加”以添加对该计算机有 telnet 访问权限的用户。
单击“创建”,再单击“关闭”。
当存在 TelnetClients 组时,Telnet 服务将仅允许那些在组中定义的用户访问服务器。
IIS 5 安全考虑事项
本部分内容专门讲述有关 Internet Information Services 5 的安全问题。
为虚拟目录设置适当的 ACL虽然此步骤从某种程度上来说取决于应用程序,但一些主要规则仍然适用,如表 F-1 所示。
文件类型
访问控制列表
CGI (.exe, .dll, .cmd, .pl)
Everyone (X)
Administrators(完全控制)
System(完全控制)
脚本文件 (.asp)
Everyone (X)
Administrators(完全控制)
System(完全控制)
包含文件 (.inc, .shtm, .shtml)
Everyone (X)
Administrators(完全控制)
System(完全控制)
静态内容 (.txt, .gif, .jpg, .html)
Everyone (R)
Administrators(完全控制)
System(完全控制)
推荐使用的各文件类型的默认 ACL