IIS網(wǎng)站的安全性管理ppt課件

1、IIS網(wǎng)站的平安性管理羅英嘉2007年4月1全球資訊網(wǎng)的威脅全球資訊網(wǎng)的平安性問(wèn)題來(lái)自三個(gè)層面：1. 用戶端運(yùn)用平安性問(wèn)題2. 網(wǎng)站平安性問(wèn)題3. 網(wǎng)頁(yè)內(nèi)容傳輸平安性問(wèn)題2網(wǎng)站平安性的保護(hù)層面網(wǎng)頁(yè)應(yīng)用程式網(wǎng)站伺服器(Web Server)作業(yè)系統(tǒng)Operating System網(wǎng)路環(huán)境3作業(yè)系統(tǒng)平安性原則假設(shè)無(wú)平安的作業(yè)環(huán)境，即無(wú)法提供平安性的網(wǎng)站實(shí)體平安 (Physical Security)採(cǎi)用高平安性的範(fàn)本即時(shí)更新作業(yè)系統(tǒng)的平安性修補(bǔ)檔 (自動(dòng)更新、WSUS)強(qiáng)制密碼原則 (運(yùn)用嚴(yán)謹(jǐn)不易猜測(cè)的密碼)變更administrator名稱並設(shè)嚴(yán)謹(jǐn)密碼停用或移除不用要的帳戶(guest, ser

2、vice account)定期執(zhí)行MBSA掃瞄能否存在弱點(diǎn)關(guān)閉不用要及有平安疑慮的服務(wù) (最好是專屬的網(wǎng)站伺服器)File and print share for Microsoft networkNetBIOS Over TCP/IPCIFS啟用並設(shè)定稽核日誌功能並定期檢視4網(wǎng)站平安性管理IIS 網(wǎng)站平安性管理戰(zhàn)略與技術(shù)資源存取控制IP 位址/網(wǎng)域名稱網(wǎng)頁(yè)權(quán)限NTFS權(quán)限身份驗(yàn)證提升攻擊難度關(guān)閉不用服務(wù)防火牆入侵偵測(cè)網(wǎng)頁(yè)應(yīng)用程式平安應(yīng)用程式鎖定原則程式員定期資安教育應(yīng)用程式隔離原則網(wǎng)頁(yè)傳輸平安SSL/TLS備份備份網(wǎng)頁(yè)資料備份網(wǎng)站組態(tài)監(jiān)控稽核記錄存取記錄破綻稽核5網(wǎng)站存取控制的重要性網(wǎng)站存取

3、控制是一種限制網(wǎng)站資源存取的處理方式及程序，用以保護(hù)網(wǎng)站資源不會(huì)被非經(jīng)授權(quán)者存取或授權(quán)存取者作不當(dāng)?shù)拇嫒?。存取控制最高原則：最低權(quán)限賦予原則(least privilege)網(wǎng)頁(yè)資源只賦予那些被授權(quán)存取的運(yùn)用者為了完成其允許的作業(yè)所需求的最低權(quán)限即可。6IIS 存取控制機(jī)制7運(yùn)用IP位址來(lái)控制存取IIS可針對(duì)目錄或檔案資源以以下方式控制存取單一電腦電腦群組網(wǎng)域名稱方式：白名單適合企業(yè)網(wǎng)站黑名單適合制止特定機(jī)器適用環(huán)境：Intranet, Extranet 伺服器問(wèn)題：IP 位址易於假造，無(wú)法確保管取控制的目的8利用網(wǎng)域來(lái)控制存取以網(wǎng)域名稱來(lái)控制存取雖簡(jiǎn)單直接，但需作反向?qū)?yīng)，影響效能DEMO9

4、網(wǎng)頁(yè)權(quán)限 (Web Permission)讀取使用者可瀏覽檔案內(nèi)容及屬性(預(yù)設(shè)為選取) 寫入使用者可變更檔案內(nèi)容及屬性指令碼來(lái)源存取允許使用者可存取檔案的原始程式碼；如 ASP 應(yīng)用程式中的指令碼。如果已指派讀取或?qū)懭胧褂脵?quán)限，則可讀取或?qū)懭朐汲淌酱a。 瀏覽目錄允許使用者檢視目錄下的檔案清單記錄查閱每次造訪資源都會(huì)產(chǎn)生記錄項(xiàng)目編製這個(gè)資源的索引允許索引服務(wù)編製資源的索引執(zhí)行無(wú)：避免執(zhí)行任何程式或指令碼。 僅指令碼：將應(yīng)用程式對(duì)應(yīng)到一個(gè)指令碼引擎來(lái)進(jìn)行執(zhí)行指令碼及執(zhí)行檔：可執(zhí)行任何可執(zhí)行檔10網(wǎng)頁(yè)權(quán)限運(yùn)用原則遵照最低權(quán)限賦予原則啟用寫入、指令碼來(lái)源存取、瀏覽目錄和指令碼及執(zhí)行檔四個(gè)網(wǎng)頁(yè)權(quán)限易構(gòu)

5、成可利用的弱點(diǎn)而蒙受攻擊，非有必要不要啟用。寫入指令碼來(lái)源存取瀏覽目錄指令碼及執(zhí)行檔11共用網(wǎng)頁(yè)權(quán)限和NTFS運(yùn)用權(quán)限IIS網(wǎng)頁(yè)權(quán)限的權(quán)限等級(jí)通常不夠細(xì)分化，只針對(duì)網(wǎng)頁(yè)物件。基於更高平安性考量，需搭配NTFS檔案系統(tǒng)的運(yùn)用權(quán)限，才足夠建構(gòu)一個(gè)較平安的網(wǎng)站存取環(huán)境二者合併運(yùn)用時(shí)，最後的有效權(quán)限為二者最嚴(yán)謹(jǐn)?shù)臋?quán)限 (取二者允許權(quán)限的交集關(guān)係)12不同網(wǎng)頁(yè)程式的建議存取權(quán)限網(wǎng)頁(yè)檔案類型網(wǎng)頁(yè)權(quán)限NTFS 權(quán)限CGI 程式(.exe, .dll, .cmd, .pl) 、ISAPI程式讀取指令碼及執(zhí)行檔讀取及執(zhí)行指令檔 (.asp .aspx、php、jsp)讀取僅指令碼讀取引入檔 (.inc, .sh

6、tm, .shtml)讀取僅指令碼讀取靜態(tài)網(wǎng)頁(yè) (.txt, .gif, .jpg, .html)讀取讀取13設(shè)定網(wǎng)頁(yè)目錄與檔案權(quán)限D(zhuǎn)EMO14IIS 身份驗(yàn)證方法匿名驗(yàn)證 根本驗(yàn)證 摘要式驗(yàn)證 整合的 Windows 驗(yàn)證 憑證驗(yàn)證 15運(yùn)用IIS驗(yàn)證方法預(yù)設(shè)啟用匿名及整合的 Windows 驗(yàn)證。 只需在以下情況下，Web 伺服器才可運(yùn)用根本、摘要式或整合的 Windows 驗(yàn)證方法：匿名存取 並沒有被選取。 匿名存取失敗或檔案及目錄的存取遭到 NTFS 權(quán)限的限制。 摘要式及整合的 Windows 驗(yàn)證不能用於 FTP 站臺(tái)假設(shè) .NET passport被核選，則無(wú)法運(yùn)用其它驗(yàn)證方法驗(yàn)

7、證方法的運(yùn)用優(yōu)先順序：匿名整合的 Windows 驗(yàn)證摘要式驗(yàn)證根本驗(yàn)證 16驗(yàn)證方法伺服器需求用戶端需求說(shuō)明匿名驗(yàn)證匿名帳戶：IUSR_computername沒有限制，適用各種瀏覽器一般Internet的網(wǎng)站需允許匿名存取、Intranet、ExtraNet的網(wǎng)站通常會(huì)禁止匿名存取基本驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶並具備登入本機(jī)的權(quán)利沒有限制，適用各種流覽器明碼傳送驗(yàn)證，效率佳、相容性最佳，安全性差需搭配SSL才具安全性摘要式驗(yàn)證 需Active Directory環(huán)境下使用IIS 5需設(shè)定可回復(fù)的密碼IE 5 以上的流覽器使用雜錯(cuò)演算法加密傳送，安全性較高，支援代理驗(yàn)證整合的 Windo

8、ws 驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶IE 2 以上的流覽器採(cǎi)用挑戰(zhàn)/回應(yīng)演算法驗(yàn)證，高安全性，但NTLM無(wú)法支援代理驗(yàn)證IIS 驗(yàn)證方法比較17BasicDigestNTLMKerberosX.509 CertsPassportIIS 驗(yàn)證功能比較需要Windows 帳戶?YYYYNN支援委派驗(yàn)證(delegation)?*YNNYN*N密碼明文傳送?YNNNNN支援非IE瀏覽器?YYNNYY易通過(guò)防火牆?YYNNYYSeamless user experience?NNYYYY*Windows 2003 Server的 Kerberos 協(xié)定可以援助委派*某些憑證對(duì)應(yīng)是可委派，但大部份均不援

9、助18設(shè)定身份驗(yàn)證方法套用順序匿名整合式摘要式根本DEMO19IIS 驗(yàn)證方法的平安性等級(jí)驗(yàn)證方法安全性等級(jí)匿名存取(Anonymous)無(wú)基本驗(yàn)證 (Basic)*摘要式驗(yàn)證(Digest)*.NET Passport驗(yàn)證*整合式(Integrated)*基本驗(yàn)證+SSL*用戶端憑證*20實(shí)務(wù)問(wèn)題假設(shè)需建構(gòu)一個(gè)高度平安性的商業(yè)網(wǎng)站，所以需求執(zhí)行身份驗(yàn)證網(wǎng)際網(wǎng)路上也不適合強(qiáng)制用戶端應(yīng)運(yùn)用何種瀏覽器 管理員該採(cǎi)用何種驗(yàn)證方法？21SSL (Secure Sockets Layer )源自1994年netscape，架構(gòu)在TCP 之上的平安性通訊協(xié)定SSL為目前最廣泛應(yīng)用的網(wǎng)頁(yè)傳輸平安性協(xié)定，即H

10、TTP+SSL=HTTPSSSL援助的平安性服務(wù)：驗(yàn)證 (Authentication) ：運(yùn)用RSA、DSS和X.509憑證等公開金鑰加密技術(shù)傳輸?shù)臋C(jī)密性 (Confidentiality)：運(yùn)用IDEA、3DES、RC4 對(duì)稱性加密技術(shù)完好性(Integrity)：運(yùn)用MD5、SHA等雜湊為基礎(chǔ)的訊息確認(rèn)碼 (MAC)網(wǎng)站啟用SSL 並無(wú)法提供不可否認(rèn)性證明22SSL 握手協(xié)定流程Client_helloCertificateCertificate_verifyClient_key_exchangeFinishChange_cipher_specServer_helloServer_key

11、_exchangeCertificateCertificate_requestServer_hello_doneChange_cipher_specFinish用戶端伺服端第一階段：建立平安機(jī)制包括協(xié)定版本、會(huì)談識(shí)別碼、加密套件(包括金鑰交換或產(chǎn)生方法)、壓縮方法，起始亂數(shù)第二階段：伺服器確認(rèn)和金鑰交換伺服器送出憑證、金鑰交換訊息或RSA公開金鑰、請(qǐng)求憑證訊息，最後伺服器送出“hello message的結(jié)束訊息第三階段：用戶端認(rèn)證和金鑰交換用戶端能夠被要求送出憑證，用戶送出金鑰交換或產(chǎn)生之前置之主金鑰(以伺服器之RSA公開金鑰加密)，用戶能夠送出憑證驗(yàn)證第四階段：完成雙方產(chǎn)生主金鑰，變更加密

12、套件，完成握手協(xié)定23SSL實(shí)作步驟IIS管理員向憑證管理中心請(qǐng)求SSL伺服憑證利用網(wǎng)頁(yè)伺服器憑證精靈建立網(wǎng)站運(yùn)用的憑證請(qǐng)求檔利用產(chǎn)生出來(lái)的憑證請(qǐng)求檔向CA申請(qǐng)下載憑證將申請(qǐng)下來(lái)的憑證安裝在IIS網(wǎng)站在需求平安通訊的網(wǎng)站、虛擬或真實(shí)目錄或個(gè)別網(wǎng)頁(yè)檔上啟動(dòng)運(yùn)用平安通道(SSL)大部份的情況均會(huì)以目錄為啟動(dòng)SSL的對(duì)象考慮能否啟用128位元加密連線用戶端必需利用https 協(xié)定存取網(wǎng)頁(yè)24 運(yùn)用SSL會(huì)影響到效率，故通常建議只需必要的目錄才設(shè)定啟用SSLDEMO25用戶端運(yùn)用SSL 連線HTTPSSSL 憑證26備份SSL憑證與金鑰管理員必需備份SSL憑證與金鑰運(yùn)用伺服器憑證精靈程式運(yùn)用憑證工具2

13、7用戶端憑證利用憑證取代傳統(tǒng)的密碼系統(tǒng)來(lái)進(jìn)行驗(yàn)證一種高度平安性的網(wǎng)頁(yè)驗(yàn)證方法適用在需求高度平安性需求的商業(yè)網(wǎng)站運(yùn)用者需求申請(qǐng)用戶端憑證28運(yùn)用用戶端憑證用戶端憑證對(duì)應(yīng)位置 對(duì)應(yīng)方法Active DirectoryIIS一對(duì)一 (1-to-1)多對(duì)一 (many-to-1)29IIS 對(duì)應(yīng)取消啟用Windows 目錄服務(wù)對(duì)應(yīng)程式編輯IIS對(duì)應(yīng)DEMO30IIS 對(duì)應(yīng) (1-to-1)31網(wǎng)站應(yīng)用程式平安性管理只啟用必要的網(wǎng)頁(yè)類型、技術(shù)與功能移除不用要的應(yīng)用程式對(duì)應(yīng)選擇任務(wù)者處理序隔離方式程式員定期接受資安教育，撰寫平安程式碼32管理IIS MIME類型清單原則：關(guān)閉不運(yùn)用的檔案類型、應(yīng)用程式功能

14、與技術(shù)可被攻擊的層面就越小、提升攻擊困難度IIS 6只接受副檔名有登錄在MIME類型清單的檔案移除不運(yùn)用的檔案類型管理MIME類型清單伺服器層級(jí)網(wǎng)站層級(jí)目錄層級(jí)建議：取消伺服器層級(jí)的一切MIME 類型，只於網(wǎng)站/目錄層級(jí)參與必要的MIME類型33移除不用要的應(yīng)用程式對(duì)應(yīng)如果不使用請(qǐng)移除對(duì)應(yīng)對(duì)應(yīng)的副檔名重設(shè)網(wǎng)頁(yè)密碼.htrInternet Database Connector .idcServer-side Includes.stm, .shtm, and .shtmlInternet Printing.printerIndex Server.htw, .ida and .idq34網(wǎng)頁(yè)服務(wù)延伸

15、(Web Service Extensions)IIS 6利用網(wǎng)頁(yè)服務(wù)延伸援助動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容只允許已運(yùn)用的網(wǎng)頁(yè)服務(wù)延伸不要啟用一切未知的CGI擴(kuò)充程式與一切未知的ISAPI擴(kuò)充程式二個(gè)WSE35運(yùn)用任務(wù)者處理序隔離方式IIS 6援助二種應(yīng)用程式隔離方式任務(wù)者處理序隔離方式預(yù)設(shè)方式使應(yīng)用程式在不同的應(yīng)用程式集區(qū)處理保護(hù)應(yīng)用程式集區(qū)中的應(yīng)用程式可以免於遭到其它應(yīng)用程式集區(qū)錯(cuò)誤的影響IIS 5.0 隔離方式提供老舊應(yīng)用程式相容性的執(zhí)行方式建議採(cǎi)用任務(wù)者處理序隔離方式，因提供較佳的穩(wěn)定性與平安性36建立應(yīng)用程式集區(qū)2. 輸入識(shí)別碼在某些情況，您能夠需求讓某個(gè)特定應(yīng)用程式擁有自已獨(dú)立的執(zhí)行空間與環(huán)境，所以

16、您需求替它建立獨(dú)立的應(yīng)用程式集區(qū)1. 應(yīng)用程式集區(qū)新增應(yīng)用程式集區(qū)37替應(yīng)用程式指定不同的應(yīng)用程式集區(qū)38設(shè)定平安的任務(wù)處理序身份識(shí)別決定在應(yīng)用程式集區(qū)內(nèi)的身份識(shí)別內(nèi)建身份識(shí)別本機(jī)系統(tǒng)(LocalSystem) - 權(quán)限最高，允許存取整部系統(tǒng)，應(yīng)防止設(shè)定此身份識(shí)別網(wǎng)路服務(wù)(NetworkService) - 權(quán)限低，可以存取網(wǎng)路上的資源 (預(yù)設(shè))本機(jī)服務(wù)(LocalService) - 權(quán)限最低，只能存取本機(jī)資源，適用於不需存取其它伺服服務(wù)的應(yīng)用程式自訂身份識(shí)別必須參與到IIS_WPG群組39網(wǎng)頁(yè)程式撰寫的根本平安原則不要將運(yùn)用者及密碼資料直接寫到網(wǎng)頁(yè)內(nèi)不要將隱藏的輸入欄位私密性資料儲(chǔ)存在網(wǎng)頁(yè)

17、或cookies必需完好確認(rèn)一切資料輸入的型態(tài)檢查、長(zhǎng)度檢查並設(shè)計(jì)正確的查詢方法以降低SQL Injection類型的攻擊威脅留意一切資料長(zhǎng)度的運(yùn)用檢查以防止不當(dāng)?shù)某淌酱a導(dǎo)致緩衝區(qū)溢位的攻擊40其它IIS平安性建議備份Metabase與網(wǎng)頁(yè)應(yīng)用程式IIS 記錄與稽核運(yùn)用虛擬目錄取代真實(shí)目錄利用群組原則控制IIS的安裝選擇平安性的遠(yuǎn)端管理工具與方式41備份 IIS MetabaseMetabase維護(hù)IIS大部份的組態(tài)為了防止不當(dāng)?shù)慕M態(tài)設(shè)定或刪除、毀損的不測(cè)，管理員需定期或艱苦變更後備份MetabaseDEMO(1) 選取備份選項(xiàng)(2)執(zhí)行備份(3) 輸入名稱與密碼保護(hù)42IIS 記錄IIS 記

18、錄連線運(yùn)用者在網(wǎng)站的活動(dòng)行為，可用來(lái)作為網(wǎng)站與網(wǎng)頁(yè)運(yùn)用量分析及平安性查核任務(wù)。43稽核Metabase條件：Windows Server 2003 SP1稽核物件存取執(zhí)行 iiscnfg.vbs指令啟用稽核cscript.exe iiscnfg.vbs/enableAudit/r 檢視平安性記錄檔44利用群組原則控制IIS的安裝透過(guò)群組原則可以制止某些機(jī)器安裝IIS，以防止被攻擊已安裝IIS的機(jī)器並不會(huì)因此遭到限制45選擇平安性的遠(yuǎn)端管理工具與方式遠(yuǎn)端桌面連線 (Remote Desktop)運(yùn)用憑證、設(shè)定逾期時(shí)間與128位元加密網(wǎng)際網(wǎng)路資訊服務(wù)(IIS)管理員 (MMC)運(yùn)用IPSec網(wǎng)頁(yè)管理工具 (HTTPS)文字方式設(shè)定管理直接編輯 metabase (%systemroot%system32inetsrvmetabase.xml或運(yùn)用Metabase Explorer)命令列指令 (%systemrootsystem32iis*)自行撰寫程式46IIS 平安管理實(shí)務(wù)指引即時(shí)更新作業(yè)系統(tǒng)與IIS的平安性修正程式關(guān)閉不運(yùn)用的服務(wù)符合最低權(quán)限賦予原則的存取控制方法IP位址網(wǎng)頁(yè)權(quán)限NTFS權(quán)限採(cǎi)用較嚴(yán)謹(jǐn)身份驗(yàn)證方法啟動(dòng)II