摘要:WEB服務(wù)器是Intranet(企業(yè)內(nèi)部網(wǎng))網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，安全部署WEB服務(wù)器是企業(yè)面臨的一項(xiàng)重要工作，系統(tǒng)安裝、安全策略和IIS安全策略對(duì)企業(yè)WEB服務(wù)器安全、穩(wěn)定、高效地運(yùn)行至關(guān)重要。文章首先對(duì)系統(tǒng)安裝、系統(tǒng)安全策略配置進(jìn)行介紹，然后詳細(xì)分析了IIS安全策略應(yīng)用。

關(guān)鍵詞:Intranet;安全策略;組策略

中圖分類號(hào):TP368.5文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-8937(2009)14-0113-02

WEB服務(wù)器是企業(yè)網(wǎng)Intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好WEB服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。文章主要介紹WEB服務(wù)器安全策略方面的相關(guān)知識(shí)。

1系統(tǒng)安裝、系統(tǒng)安全策略配置

使用NTFS格式分區(qū)、設(shè)置不同的用戶訪問服務(wù)器的不同權(quán)限是搭建一臺(tái)安全WEB服務(wù)器的最低要求。

Windows 2003 安裝策略:

①系統(tǒng)安裝在單獨(dú)的邏輯驅(qū)動(dòng)器并自定義安裝目錄;以“最小的權(quán)限+最少的服務(wù)=最大的安全”為基本理念，只安裝所必需的服務(wù)和協(xié)議，如DNS、DHCP，不需要的服務(wù)和協(xié)議一律不安裝;只保留TCP/IP 一項(xiàng)并禁用NETBOIS;安裝Windows2003最新補(bǔ)丁和防病毒軟件。

②關(guān)閉windows2003不必要的服務(wù)。

關(guān)閉Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服務(wù)。

③設(shè)置磁盤訪問權(quán)限。

系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄(默認(rèn)時(shí)為Windows)要加上users的默認(rèn)權(quán)限，以保障ASP和ASPX等應(yīng)用程序正常運(yùn)行。其他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加system用戶權(quán)限，否則啟動(dòng)不成功。

④注冊(cè)表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORD值RestrictAnonymous的鍵值改為1，禁止 Windows 系統(tǒng)進(jìn)行空連接。

⑤關(guān)閉不需要的端口、更改遠(yuǎn)程連接端口。

本地連接→屬性→Internet協(xié)議(TCP/IP)→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性→把勾打上，添加需要的端口(如: 21、80)。

更改遠(yuǎn)程連接端口:開始→運(yùn)行→輸入regedit查找3389:將HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\cp和HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp下的PortNumber=3389改為自寶義的端口號(hào)并重新啟動(dòng)服務(wù)器。

⑥編寫批處理文件delshare.bat并在組策略中應(yīng)用，以關(guān)閉默認(rèn)共享的空連接。(以服務(wù)器有4個(gè)邏輯驅(qū)動(dòng)器為例)

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share admin$ /delete

將以上內(nèi)容寫入delshare.bat并保存到系統(tǒng)所在文件夾下的system32\\GroupPolicy\\User\\Scripts\\Logon目錄下。運(yùn)行g(shù)pedit.msc組策略編輯器，用戶配置→Windows設(shè)置→腳本(登錄/注銷)→登錄→“登錄 屬性”→“添加”→“添加腳本”對(duì)話框的“腳本名”欄中輸入delshare.bat→“確定”按鈕→重新啟動(dòng)服務(wù)器，即可自動(dòng)關(guān)閉系統(tǒng)的默認(rèn)隱藏共享，將系統(tǒng)安全隱患降至最低。

⑦限制匿名訪問本機(jī)用戶。 “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“對(duì)匿名連接的額外限制”→在下拉菜單中選擇“不允許枚舉SAM帳號(hào)和共享”→“確定”。

⑧限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問 。 “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“只有本地登錄用戶才能訪問軟盤”→在單選按鈕中選擇“已啟用(E)” → “確定”。

⑨限制遠(yuǎn)程用戶對(duì)NetMeeting的共享，禁用NetMeeting遠(yuǎn)程桌面共享功能。 運(yùn)行“gpedit.msc” →“計(jì)算機(jī)配置”→“管理模板”→“Windows組件” →“NetMeeting” →“禁用遠(yuǎn)程桌面共享”→右鍵→在單選按鈕中選擇“啟用(E)”→“確定”。

{10}限制用戶執(zhí)行Windows安裝程序，防止用戶在系統(tǒng)上安裝軟件。方法同(9)。

{11}刪除C:\\WINDOWS\\WEB\\printers目錄，避免溢出攻擊(此目錄的存在會(huì)造成IIS里加入一個(gè).printers的擴(kuò)展名，可溢出攻擊)。

{12}刪除C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd，此目錄在管理IIS密碼時(shí)使用(如因密碼不同步造成500 錯(cuò)誤時(shí)使用OWA或Iisadmpwd 修改同步密碼)，當(dāng)把賬戶策略 > 密碼策略 > 密碼最短使用期限 設(shè)為0天(即密碼不過期時(shí)，可避免IIS密碼不同步問題)。這里就可刪掉此目錄。

{13}修改注冊(cè)表防止小規(guī)模DDOS攻擊。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters新建“DWORD值”名為 “SynAttackProtect”數(shù)值為“1”

{14}本地策略→安全選項(xiàng)。

將清除虛擬內(nèi)存頁面文件 、不顯示上次的用戶名、不需要按CTRL+ALT+DEL、不允許 SAM 賬戶的匿名枚舉、不允許 SAM 賬戶和共享的匿名枚舉、均更改為“已啟用” ;重命名來賓賬戶 更改成一個(gè)復(fù)雜的賬戶名;重命名系統(tǒng)管理員賬號(hào)，更改一個(gè)自己用的賬號(hào)，同時(shí)建立一個(gè)無用戶組的Administrat賬戶。

2IIS安全策略應(yīng)用

①不使用默認(rèn)的WEB站點(diǎn)，將IIS目錄與系統(tǒng)磁盤分開。

將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的 \\Inetpub\\Wwwroot 目錄，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽 WEB 服務(wù)器的目錄結(jié)構(gòu))帶來的危險(xiǎn)(一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器)。

②刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在系統(tǒng)磁盤上)并配置網(wǎng)站訪問權(quán)限。為WEB 服務(wù)器配置站點(diǎn)、目錄和文件的訪問權(quán)限。

③刪除系統(tǒng)盤下的虛擬目錄:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

④刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)WEB站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml、shtm、stm。

⑤更改IIS日志的路徑。

右鍵單擊“默認(rèn)WEB站點(diǎn)→屬性→網(wǎng)站→在啟用日志記錄下→點(diǎn)擊屬性更改設(shè)置。

⑥只選擇網(wǎng)站和 WEB 應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開始→控制面板→ 添加或刪除程序→添加/刪除 Windows 組件→應(yīng)用程序服務(wù)器→詳細(xì)信息→ Internet 信息服務(wù) (IIS) →詳細(xì)信息→然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的 IIS 組件和服務(wù)。 IIS 子組件和服務(wù)的推薦設(shè)置:禁用:后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展、FTP 服務(wù)、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服務(wù)。啟用:公用文件、Internet 信息服務(wù)管理器、萬維網(wǎng)服務(wù)。

⑦刪除未使用的帳戶，設(shè)置強(qiáng)密碼，使用以最低特權(quán)的帳戶。避免攻擊者通過使用以高級(jí)特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 限制對(duì)服務(wù)器的匿名連接，確保禁用來賓帳戶;重命名管理員帳戶并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性。重命名 IUSR 帳戶。

在 IIS 元數(shù)據(jù)庫中更改 IUSR 帳戶的值: “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →右鍵單擊“本地計(jì)算機(jī)”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫”復(fù)選框→“確定”→ 瀏覽至 MetaBase.xml 文件的位置，默認(rèn)情況下為 C:\\Windows\\system32\\inetsrv →右鍵單擊 MetaBase.xml 文件→“編輯” → 搜索“AnonymousUserName”屬性，→鍵入 IUSR 帳戶的新名稱→在“文件”菜單上→單擊“退出”→單擊“是”。

⑧使用應(yīng)用程序池來隔離應(yīng)用程序，提高 WEB 服務(wù)器的可靠性和安全性。

創(chuàng)建應(yīng)用程序池: “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →本地計(jì)算機(jī)→右鍵單擊“應(yīng)用程序池”→“新建”→“應(yīng)用程序池”→在“應(yīng)用程序池 ID”框中，為應(yīng)用程序池鍵入一個(gè)新 ID→“應(yīng)用程序池設(shè)置” →“Use default settings for the new application pool”(使用新應(yīng)用程序池的默認(rèn)設(shè)置)→“確定”。

將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池: “管理工具”→“Internet 信息服務(wù)(IIS) 管理器” → 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序→“屬性”→“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱，(如果在“應(yīng)用程序名”框中沒有名稱，則單擊“創(chuàng)建”，然后鍵入網(wǎng)站或應(yīng)用程序的名稱)→“應(yīng)用程序池”列表框→單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱→“確定”。

經(jīng)過以上設(shè)置， IIS安全性有了很大的提升，但一些不法攻擊者會(huì)不斷尋找新漏洞來攻擊WEB服務(wù)系統(tǒng)，所以我們一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保企業(yè)WEB服務(wù)器有一個(gè)安全、穩(wěn)定、高效的運(yùn)行環(huán)境。

參考文獻(xiàn):

[1] 王淑江，劉曉輝，張奎亭. WindowsServer2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社，2009.

[2] 托洛斯.IIS6管理指南[M].北京:清華大學(xué)出版社，2005.

[3] 李新，李成友.基于Windows系統(tǒng)的Web服務(wù)器安全研究與實(shí)踐[J].教育信息化，2006，(4).

[4] 馬琰.如何提高個(gè)人Web服務(wù)器的安全性[J].職業(yè)圈，2007，(9).

[5] 王遠(yuǎn)哲.細(xì)說高校WEB服務(wù)器安全[J].電腦知識(shí)與技術(shù)，2008，(9).

[6] 田巍.四川航空股份有限公司網(wǎng)絡(luò)安全方案可行性分析和規(guī)劃[M].北京:電子科技大學(xué)，2005.