IIS網(wǎng)站的安全性管理

1、- 1 -iis網(wǎng)站的安全性管理網(wǎng)站的安全性管理羅英嘉2007年4月- 2 -全球資訊網(wǎng)的威脅全球資訊網(wǎng)的安全性問題來(lái)自三個(gè)層面：1. 用戶端使用安全性問題2. 網(wǎng)站安全性問題3. 網(wǎng)頁(yè)內(nèi)容傳輸安全性問題- 3 -網(wǎng)頁(yè)應(yīng)用程式網(wǎng)站伺服器(web server)作業(yè)系統(tǒng)operating system網(wǎng)路環(huán)境- 4 -作業(yè)系統(tǒng)安全性原則 若無(wú)安全的作業(yè)環(huán)境，即無(wú)法提供安全性的網(wǎng)站 實(shí)體安全 (physical security) 採(cǎi)用高安全性的範(fàn)本 即時(shí)更新作業(yè)系統(tǒng)的安全性修補(bǔ)檔 (自動(dòng)更新、wsus) 強(qiáng)制密碼原則 (使用嚴(yán)謹(jǐn)不易猜測(cè)的密碼) 變更administrator名稱並設(shè)嚴(yán)謹(jǐn)密碼 停

2、用或移除不必要的帳戶(guest, service account) 定期執(zhí)行mbsa掃瞄是否存在弱點(diǎn) 關(guān)閉不必要及有安全疑慮的服務(wù) (最好是專屬的網(wǎng)站伺服器) file and print share for microsoft network netbios over tcp/ip cifs 啟用並設(shè)定稽核日誌功能並定期檢視- 5 -網(wǎng)站安全性管理iis 網(wǎng)站安全性管理策略與技術(shù)關(guān)閉不用服務(wù)防火牆入侵偵測(cè)應(yīng)用程式鎖定原則程式員定期資安教育應(yīng)用程式隔離原則ssl/tls稽核記錄存取記錄漏洞稽核- 6 -網(wǎng)站存取控制的重要性 網(wǎng)站存取控制是一種限制網(wǎng)站資源存取的處理方式及程序，用以保護(hù)網(wǎng)站資源

3、不會(huì)被非經(jīng)授權(quán)者存取或授權(quán)存取者作不當(dāng)?shù)拇嫒　?存取控制最高原則：最低權(quán)限賦予原則存取控制最高原則：最低權(quán)限賦予原則(least privilege) 網(wǎng)頁(yè)資源只賦予那些被授權(quán)存取的使用者為了完成其允許的作業(yè)所需要的最低權(quán)限即可。- 7 -iis 存取控制機(jī)制- 8 -使用ip位址來(lái)控制存取 iis可針對(duì)目錄或檔案資源以下列方式控制存取 單一電腦 電腦群組 網(wǎng)域名稱 方式： 白名單 適合企業(yè)網(wǎng)站 黑名單 適合禁止特定機(jī)器 適用環(huán)境：intranet, extranet 伺服器 問題：ip 位址易於假造，無(wú)法確保存取控制的目的- 9 -利用網(wǎng)域來(lái)控制存取 以網(wǎng)域名稱來(lái)控制存取雖簡(jiǎn)單直接，但需作反

4、向?qū)?yīng)，影響效能- 10 -網(wǎng)頁(yè)權(quán)限 (web permission)讀取使用者可瀏覽檔案內(nèi)容及屬性(預(yù)設(shè)為選取) 寫入使用者可變更檔案內(nèi)容及屬性指令碼來(lái)源存取允許使用者可存取檔案的原始程式碼；如 asp 應(yīng)用程式中的指令碼。如果已指派讀取或?qū)懭胧褂脵?quán)限，則可讀取或?qū)懭朐汲淌酱a。 瀏覽目錄允許使用者檢視目錄下的檔案清單記錄查閱每次造訪資源都會(huì)產(chǎn)生記錄項(xiàng)目編製這個(gè)資源的索引允許索引服務(wù)編製資源的索引執(zhí)行無(wú)：避免執(zhí)行任何程式或指令碼。 僅指令碼：將應(yīng)用程式對(duì)應(yīng)到一個(gè)指令碼引擎來(lái)進(jìn)行執(zhí)行指令碼及執(zhí)行檔：可執(zhí)行任何可執(zhí)行檔- 11 -網(wǎng)頁(yè)權(quán)限使用原則 遵循最低權(quán)限賦予原則 啟用寫入、指令碼來(lái)源存取、

5、瀏覽目錄和指令碼及執(zhí)行檔四個(gè)網(wǎng)頁(yè)權(quán)限易形成可利用的弱點(diǎn)而遭受攻擊，非有必要不要啟用。- 12 -共用網(wǎng)頁(yè)權(quán)限和ntfs使用權(quán)限 iis網(wǎng)頁(yè)權(quán)限的權(quán)限等級(jí)通常不夠細(xì)分化，只針對(duì)網(wǎng)頁(yè)物件。 基於更高安全性考量，需搭配ntfs檔案系統(tǒng)的使用權(quán)限，才足夠建構(gòu)一個(gè)較安全的網(wǎng)站存取環(huán)境 二者合併使用時(shí)，最後的有效權(quán)限為二者最嚴(yán)謹(jǐn)?shù)臋?quán)限 (取二者允許權(quán)限的交集關(guān)係)- 13 -不同網(wǎng)頁(yè)程式的建議存取權(quán)限網(wǎng)頁(yè)檔案類型網(wǎng)頁(yè)權(quán)限ntfs 權(quán)限cgi 程式(.exe, .dll, .cmd, .pl) 、isapi程式讀取指令碼及執(zhí)行檔讀取及執(zhí)行指令檔 (.asp .aspx、php、jsp)讀取僅指令碼讀取引入檔

6、 (.inc, .shtm, .shtml)讀取僅指令碼讀取靜態(tài)網(wǎng)頁(yè) (.txt, .gif, .jpg, .html)讀取讀取- 14 -設(shè)定網(wǎng)頁(yè)目錄與檔案權(quán)限- 15 -iis 身份驗(yàn)證方法 匿名驗(yàn)證 基本驗(yàn)證 摘要式驗(yàn)證 整合的 windows 驗(yàn)證 憑證驗(yàn)證 - 16 -使用iis驗(yàn)證方法 預(yù)設(shè)啟用匿名及整合的 windows 驗(yàn)證。 只有在下列情況下，web 伺服器才可使用基本、摘要式或整合的 windows 驗(yàn)證方法： 匿名存取 並沒有被選取。 匿名存取失敗或檔案及目錄的存取受到 ntfs 權(quán)限的限制。 摘要式及整合的 windows 驗(yàn)證不能用於 ftp 站臺(tái) 如果 .net p

7、assport被核選，則無(wú)法使用其它驗(yàn)證方法 驗(yàn)證方法的使用優(yōu)先順序： 匿名 整合的 windows 驗(yàn)證 摘要式驗(yàn)證 基本驗(yàn)證 - 17 -驗(yàn)證方法驗(yàn)證方法伺服器需求伺服器需求用戶端需求用戶端需求說明說明匿名驗(yàn)證匿名帳戶：iusr_computername沒有限制，適用各種瀏覽器一般internet的網(wǎng)站需允許匿名存取、intranet、extranet的網(wǎng)站通常會(huì)禁止匿名存取基本驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶並具備登入本機(jī)的權(quán)利沒有限制，適用各種流覽器明碼傳送驗(yàn)證，效率佳、相容性最佳，安全性差需搭配ssl才具安全性摘要式驗(yàn)證 需active directory環(huán)境下使用iis 5需設(shè)定可回

8、復(fù)的密碼ie 5 以上的流覽器使用雜錯(cuò)演算法加密傳送，安全性較高，支援代理驗(yàn)證整合的 windows 驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶ie 2 以上的流覽器採(cǎi)用挑戰(zhàn)/回應(yīng)演算法驗(yàn)證，高安全性，但ntlm無(wú)法支援代理驗(yàn)證iis 驗(yàn)證方法比較- 18 -iis 驗(yàn)證功能比較需要windows 帳戶?yyyynn支援委派驗(yàn)證(delegation)?*ynnyn*n密碼明文傳送?ynnnnn支援非ie瀏覽器?yynnyy易通過防火牆?yynnyyseamless user experience?nnyyyy- 19 -設(shè)定身份驗(yàn)證方法 套用順序 匿名 整合式 摘要式 基本- 20 -iis 驗(yàn)證方法的

9、安全性等級(jí)驗(yàn)證方法驗(yàn)證方法安全性等級(jí)安全性等級(jí)匿名存取(anonymous)無(wú)基本驗(yàn)證 (basic)*摘要式驗(yàn)證(digest)*.net passport驗(yàn)證*整合式(integrated)*基本驗(yàn)證+ssl*用戶端憑證*- 21 -實(shí)務(wù)問題 若需建構(gòu)一個(gè)高度安全性的商業(yè)網(wǎng)站，所以需要執(zhí)行身份驗(yàn)證 網(wǎng)際網(wǎng)路上也不適合強(qiáng)制用戶端應(yīng)使用何種瀏覽器 管理員該採(cǎi)用何種驗(yàn)證方法？- 22 -ssl (secure sockets layer ) 源自1994年netscape，架構(gòu)在tcp 之上的安全性通訊協(xié)定 ssl為目前最廣泛應(yīng)用的網(wǎng)頁(yè)傳輸安全性協(xié)定，即http+ssl=https ssl支援的

10、安全性服務(wù)： 驗(yàn)證 (authentication) ：使用rsa、dss和x.509憑證等公開金鑰加密技術(shù) 傳輸?shù)臋C(jī)密性 (confidentiality)：使用idea、3des、rc4 對(duì)稱性加密技術(shù) 完整性(integrity)：使用md5、sha等雜湊為基礎(chǔ)的訊息確認(rèn)碼 (mac) 網(wǎng)站啟用ssl 並無(wú)法提供不可否認(rèn)性證明- 23 -ssl 握手協(xié)定流程client_hellocertificatecertificate_verifyclient_key_exchangefinishchange_cipher_specserver_helloserver_key_exchangece

11、rtificatecertificate_requestserver_hello_donechange_cipher_specfinish用戶端用戶端伺服端伺服端第一階段：建立安全機(jī)制包括協(xié)定版本、會(huì)談識(shí)別碼、加密套件(包括金鑰交換或產(chǎn)生方法)、壓縮方法，起始亂數(shù)第二階段：伺服器確認(rèn)和金鑰交換伺服器送出憑證、金鑰交換訊息或rsa公開金鑰、請(qǐng)求憑證訊息，最後伺服器送出“hello message”的結(jié)束訊息第三階段：用戶端認(rèn)證和金鑰交換用戶端可能被要求送出憑證，用戶送出金鑰交換或產(chǎn)生之前置之主金鑰(以伺服器之rsa公開金鑰加密)，用戶可能送出憑證驗(yàn)證第四階段：完成雙方產(chǎn)生主金鑰，變更加密套件，完

12、成握手協(xié)定- 24 -ssl實(shí)作步驟1.iis管理員向憑證管理中心請(qǐng)求ssl伺服憑證利用網(wǎng)頁(yè)伺服器憑證精靈建立網(wǎng)站使用的憑證請(qǐng)求檔利用產(chǎn)生出來(lái)的憑證請(qǐng)求檔向ca申請(qǐng)下載憑證將申請(qǐng)下來(lái)的憑證安裝在iis網(wǎng)站2.在需要安全通訊的網(wǎng)站、虛擬或真實(shí)目錄或個(gè)別網(wǎng)頁(yè)檔上啟動(dòng)使用安全通道(ssl)大部份的情況均會(huì)以目錄為啟動(dòng)ssl的對(duì)象考慮是否啟用128位元加密連線3.用戶端必需利用https 協(xié)定存取網(wǎng)頁(yè)- 25 - 26 -用戶端使用ssl 連線- 27 -備份ssl憑證與金鑰 管理員必需備份ssl憑證與金鑰 使用伺服器憑證精靈程式 使用憑證工具- 28 -用戶端憑證 利用憑證取代傳統(tǒng)的密碼系統(tǒng)來(lái)進(jìn)行驗(yàn)

13、證 一種高度安全性的網(wǎng)頁(yè)驗(yàn)證方法 適用在需要高度安全性需求的商業(yè)網(wǎng)站 使用者需要申請(qǐng)用戶端憑證- 29 -使用用戶端憑證用戶端憑證對(duì)應(yīng)位置 對(duì)應(yīng)方法active directoryiis一對(duì)一 (1-to-1)多對(duì)一 (many-to-1)- 30 -iis 對(duì)應(yīng)- 31 -iis 對(duì)應(yīng) (1-to-1)- 32 -網(wǎng)站應(yīng)用程式安全性管理 只啟用必要的網(wǎng)頁(yè)類型、技術(shù)與功能 移除不必要的應(yīng)用程式對(duì)應(yīng) 選擇工作者處理序隔離模式 程式員定期接受資安教育，撰寫安全程式碼- 33 -管理iis mime類型清單- 34 -移除不必要的應(yīng)用程式對(duì)應(yīng)如果不使用請(qǐng)移除對(duì)應(yīng)對(duì)應(yīng)的副檔名重設(shè)網(wǎng)頁(yè)密碼.htrint

14、ernet database connector .idcserver-side includes.stm, .shtm, and .shtmlinternet printing.printerindex server.htw, .ida and .idq- 35 -網(wǎng)頁(yè)服務(wù)延伸(web service extensions) iis 6利用網(wǎng)頁(yè)服務(wù)延伸支援動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容 只允許已使用的網(wǎng)頁(yè)服務(wù)延伸不要啟用所有未知的cgi擴(kuò)充程式與所有未知的isapi擴(kuò)充程式二個(gè)wse- 36 -使用工作者處理序隔離模式iis 6支援二種應(yīng)用程式隔離模式1.工作者處理序隔離模式預(yù)設(shè)模式使應(yīng)用程式在不同的應(yīng)用程式

15、集區(qū)處理保護(hù)應(yīng)用程式集區(qū)中的應(yīng)用程式可以免於受到其它應(yīng)用程式集區(qū)錯(cuò)誤的影響2. iis 5.0 隔離模式提供老舊應(yīng)用程式相容性的執(zhí)行模式建議採(cǎi)用工作者處理序隔離模式，因提供較佳的穩(wěn)定性與安全性- 37 -建立應(yīng)用程式集區(qū)1. - 38 -替應(yīng)用程式指定不同的應(yīng)用程式集區(qū)替應(yīng)用程式指定不同的應(yīng)用程式集區(qū)- 39 -設(shè)定安全的工作處理序身份識(shí)別決定在應(yīng)用程式集區(qū)內(nèi)的身份識(shí)別- 40 - 41 -其它iis安全性建議 備份metabase與網(wǎng)頁(yè)應(yīng)用程式 iis 記錄與稽核 使用虛擬目錄取代真實(shí)目錄 利用群組原則控制iis的安裝 選擇安全性的遠(yuǎn)端管理工具與方式- 42 -備份 iis metabase

16、 metabase維護(hù)iis大部份的組態(tài) 為了避免不當(dāng)?shù)慕M態(tài)設(shè)定或刪除、毀損的意外，管理員需定期或重大變更後備份metabase- 43 -iis 記錄 iis 記錄連線使用者在網(wǎng)站的活動(dòng)行為，可用來(lái)作為網(wǎng)站與網(wǎng)頁(yè)使用量分析及安全性查核工作。- 44 -稽核metabase 條件：windows server 2003 sp1 稽核物件存取 執(zhí)行 iiscnfg.vbs指令啟用稽核 cscript.exe iiscnfg.vbs/enableaudit/r 檢視安全性記錄檔- 45 -利用群組原則控制iis的安裝- 46 -選擇安全性的遠(yuǎn)端管理工具與方式l網(wǎng)頁(yè)管理工具 (https)l文字模式設(shè)定管理l直接編輯 metabase (%systemroot%system32inetsrvmetabase.xml或使用metabase explorer)l命令列指令 (%systemrootsystem32iis*)l自行撰寫程式- 47 -iis 安全管理實(shí)務(wù)指引1.即時(shí)更新作業(yè)系統(tǒng)與iis的安全性修正程式2.關(guān)閉不使用的服務(wù)3.符合最低權(quán)限賦予原則的存取控制方法ip位址網(wǎng)頁(yè)權(quán)限ntfs權(quán)限4.採(cǎi)用較嚴(yán)謹(jǐn)身份驗(yàn)證方法5.啟動(dòng)iis日誌功能，作為安全性查核依據(jù)- 48 -iis 安全管理指引(續(xù))6