IIS網(wǎng)站安全性管理

IIS網(wǎng)站安全性管理第一頁，共50頁。全球資訊網(wǎng)的威脅全球資訊網(wǎng)的安全性問題來自三個層面：1.用戶端使用安全性問題2.網(wǎng)站安全性問題3.網(wǎng)頁內(nèi)容傳輸安全性問題2第二頁，共50頁。網(wǎng)站安全性的保護(hù)層面網(wǎng)頁應(yīng)用程式網(wǎng)站伺服器(WebServer)作業(yè)系統(tǒng)OperatingSystem網(wǎng)路環(huán)境3第三頁，共50頁。作業(yè)系統(tǒng)安全性原則若無安全的作業(yè)環(huán)境，即無法提供安全性的網(wǎng)站實(shí)體安全(PhysicalSecurity)採用高安全性的範(fàn)本即時(shí)更新作業(yè)系統(tǒng)的安全性修補(bǔ)檔(自動更新、WSUS)強(qiáng)制密碼原則(使用嚴(yán)謹(jǐn)不易猜測的密碼)變更administrator名稱並設(shè)嚴(yán)謹(jǐn)密碼停用或移除不必要的帳戶(guest,serviceaccount)定期執(zhí)行MBSA掃瞄是否存在弱點(diǎn)關(guān)閉不必要及有安全疑慮的服務(wù)(最好是專屬的網(wǎng)站伺服器)printshareforMicrosoftnetworkNetBIOSOverTCP/IPCIFS啟用並設(shè)定稽核日誌功能並定期檢視4第四頁，共50頁。網(wǎng)站安全性管理IIS網(wǎng)站安全性管理策略與技術(shù)資源存取控制IP位址/網(wǎng)域名稱網(wǎng)頁權(quán)限NTFS權(quán)限身份驗(yàn)證提升攻擊難度關(guān)閉不用服務(wù)防火牆入侵偵測網(wǎng)頁應(yīng)用程式安全應(yīng)用程式鎖定原則程式員定期資安教育應(yīng)用程式隔離原則網(wǎng)頁傳輸安全SSL/TLS備份備份網(wǎng)頁資料備份網(wǎng)站組態(tài)監(jiān)控稽核記錄存取記錄漏洞稽核5第五頁，共50頁。網(wǎng)站存取控制的重要性網(wǎng)站存取控制是一種限制網(wǎng)站資源存取的處理方式及程序，用以保護(hù)網(wǎng)站資源不會被非經(jīng)授權(quán)者存取或授權(quán)存取者作不當(dāng)?shù)拇嫒　４嫒】刂谱罡咴瓌t：最低權(quán)限賦予原則(leastprivilege)網(wǎng)頁資源只賦予那些被授權(quán)存取的使用者為了完成其允許的作業(yè)所需要的最低權(quán)限即可。6第六頁，共50頁。IIS存取控制機(jī)制7第七頁，共50頁。使用IP位址來控制存取IIS可針對目錄或檔案資源以下列方式控制存取單一電腦電腦群組網(wǎng)域名稱方式：白名單適合企業(yè)網(wǎng)站黑名單適合禁止特定機(jī)器適用環(huán)境：Intranet,Extranet伺服器問題：IP位址易於假造，無法確保存取控制的目的8第八頁，共50頁。利用網(wǎng)域來控制存取以網(wǎng)域名稱來控制存取雖簡單直接，但需作反向?qū)?yīng)，影響效能DEMO9第九頁，共50頁。網(wǎng)頁權(quán)限(WebPermission)讀取使用者可瀏覽檔案內(nèi)容及屬性(預(yù)設(shè)為選取)寫入使用者可變更檔案內(nèi)容及屬性指令碼來源存取允許使用者可存取檔案的原始程式碼；如ASP應(yīng)用程式中的指令碼。如果已指派「讀取」或「寫入」使用權(quán)限，則可讀取或?qū)懭朐汲淌酱a。

瀏覽目錄允許使用者檢視目錄下的檔案清單記錄查閱每次造訪資源都會產(chǎn)生記錄項(xiàng)目編製這個資源的索引允許「索引服務(wù)」編製資源的索引執(zhí)行無：避免執(zhí)行任何程式或指令碼。

僅指令碼：將應(yīng)用程式對應(yīng)到一個指令碼引擎來進(jìn)行執(zhí)行指令碼及執(zhí)行檔：可執(zhí)行任何可執(zhí)行檔10第十頁，共50頁。網(wǎng)頁權(quán)限使用原則遵循最低權(quán)限賦予原則啟用『寫入』、『指令碼來源存取』、『瀏覽目錄』和『指令碼及執(zhí)行檔』四個網(wǎng)頁權(quán)限易形成可利用的弱點(diǎn)而遭受攻擊，非有必要不要啟用。寫入指令碼來源存取瀏覽目錄指令碼及執(zhí)行檔11第十一頁，共50頁。共用網(wǎng)頁權(quán)限和NTFS使用權(quán)限IIS網(wǎng)頁權(quán)限的權(quán)限等級通常不夠細(xì)分化，只針對網(wǎng)頁物件?；陡甙踩钥剂浚璐钆銷TFS檔案系統(tǒng)的使用權(quán)限，才足夠建構(gòu)一個較安全的網(wǎng)站存取環(huán)境二者合併使用時(shí)，最後的有效權(quán)限為二者最嚴(yán)謹(jǐn)?shù)臋?quán)限(取二者允許權(quán)限的交集關(guān)係)12第十二頁，共50頁。不同網(wǎng)頁程式的建議存取權(quán)限網(wǎng)頁檔案類型網(wǎng)頁權(quán)限NTFS權(quán)限CGI程式(.exe,.dll,.cmd,.pl)、ISAPI程式讀取指令碼及執(zhí)行檔讀取及執(zhí)行指令檔(.asp.aspx、php、jsp)讀取僅指令碼讀取引入檔(.inc,.shtm,.shtml)讀取僅指令碼讀取靜態(tài)網(wǎng)頁(.txt,.gif,.jpg,.html)讀取讀取13第十三頁，共50頁。設(shè)定網(wǎng)頁目錄與檔案權(quán)限D(zhuǎn)EMO14第十四頁，共50頁。IIS身份驗(yàn)證方法匿名驗(yàn)證基本驗(yàn)證摘要式驗(yàn)證整合的Windows驗(yàn)證憑證驗(yàn)證15第十五頁，共50頁。使用IIS驗(yàn)證方法預(yù)設(shè)啟用匿名及整合的Windows驗(yàn)證。只有在下列情況下，Web伺服器才可使用「基本」、「摘要式」或整合的Windows驗(yàn)證方法：[匿名存取]並沒有被選取。匿名存取失敗或檔案及目錄的存取受到NTFS權(quán)限的限制。摘要式及整合的Windows驗(yàn)證不能用於FTP站臺如果.NETpassport被核選，則無法使用其它驗(yàn)證方法驗(yàn)證方法的使用優(yōu)先順序：匿名整合的Windows驗(yàn)證摘要式驗(yàn)證基本驗(yàn)證16第十六頁，共50頁。驗(yàn)證方法伺服器需求用戶端需求說明匿名驗(yàn)證匿名帳戶：IUSR_computername沒有限制，適用各種瀏覽器一般Internet的網(wǎng)站需允許匿名存取、Intranet、ExtraNet的網(wǎng)站通常會禁止匿名存取基本驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶並具備「登入本機(jī)」的權(quán)利沒有限制，適用各種流覽器明碼傳送驗(yàn)證，效率佳、相容性最佳，安全性差需搭配SSL才具安全性摘要式驗(yàn)證需ActiveDirectory環(huán)境下使用IIS5需設(shè)定可回復(fù)的密碼IE5以上的流覽器使用雜錯演算法加密傳送，安全性較高，支援代理驗(yàn)證整合的Windows驗(yàn)證有效的機(jī)器或網(wǎng)域使用者帳戶IE2以上的流覽器採用挑戰(zhàn)/回應(yīng)演算法驗(yàn)證，高安全性，但NTLM無法支援代理驗(yàn)證IIS驗(yàn)證方法比較17第十七頁，共50頁。BasicDigestNTLMKerberosX.509CertsPassportIIS驗(yàn)證功能比較需要Windows帳戶?YYYYNN支援委派驗(yàn)證(delegation)?*YNNYN**N密碼明文傳送?YNNNNN支援非IE瀏覽器?YYNNYY易通過防火牆?YYNNYYSeamlessuserexperience?NNYYYY*Windows2003Server的Kerberos協(xié)定可以支援委派**某些憑證對應(yīng)是可委派，但大部份均不支援18第十八頁，共50頁。設(shè)定身份驗(yàn)證方法套用順序匿名整合式摘要式基本DEMO19第十九頁，共50頁。IIS驗(yàn)證方法的安全性等級驗(yàn)證方法安全性等級匿名存取(Anonymous)無基本驗(yàn)證(Basic)*摘要式驗(yàn)證(Digest)**.NETPassport驗(yàn)證***整合式(Integrated)****基本驗(yàn)證+SSL****用戶端憑證*****20第二十頁，共50頁。實(shí)務(wù)問題若需建構(gòu)一個高度安全性的商業(yè)網(wǎng)站，所以需要執(zhí)行身份驗(yàn)證網(wǎng)際網(wǎng)路上也不適合強(qiáng)制用戶端應(yīng)使用何種瀏覽器管理員該採用何種驗(yàn)證方法？21第二十一頁，共50頁。SSL(SecureSocketsLayer)源自1994年netscape，架構(gòu)在TCP之上的安全性通訊協(xié)定SSL為目前最廣泛應(yīng)用的網(wǎng)頁傳輸安全性協(xié)定，即HTTP+SSL=HTTPSSSL支援的安全性服務(wù)：驗(yàn)證(Authentication)：使用RSA、DSS和X.509憑證等公開金鑰加密技術(shù)傳輸?shù)臋C(jī)密性(Confidentiality)：使用IDEA、3DES、RC4對稱性加密技術(shù)完整性(Integrity)：使用MD5、SHA等雜湊為基礎(chǔ)的訊息確認(rèn)碼(MAC)網(wǎng)站啟用SSL並無法提供「不可否認(rèn)性」證明22第二十二頁，共50頁。SSL握手協(xié)定流程Client_helloCertificateCertificate_verifyClient_key_exchangeFinishChange_cipher_specServer_helloServer_key_exchangeCertificateCertificate_requestServer_hello_doneChange_cipher_specFinish用戶端伺服端第一階段：建立安全機(jī)制包括協(xié)定版本、會談識別碼、加密套件(包括金鑰交換或產(chǎn)生方法)、壓縮方法，起始亂數(shù)第二階段：伺服器確認(rèn)和金鑰交換伺服器送出憑證、金鑰交換訊息或RSA公開金鑰、請求憑證訊息，最後伺服器送出“hellomessage”的結(jié)束訊息第三階段：用戶端認(rèn)證和金鑰交換用戶端可能被要求送出憑證，用戶送出金鑰交換或產(chǎn)生之前置之主金鑰(以伺服器之RSA公開金鑰加密)，用戶可能送出憑證驗(yàn)證第四階段：完成雙方產(chǎn)生主金鑰，變更加密套件，完成握手協(xié)定23第二十三頁，共50頁。SSL實(shí)作步驟IIS管理員向憑證管理中心請求SSL伺服憑證利用「網(wǎng)頁伺服器憑證精靈」建立網(wǎng)站使用的憑證請求檔利用產(chǎn)生出來的憑證請求檔向CA申請下載憑證將申請下來的憑證安裝在IIS網(wǎng)站在需要安全通訊的網(wǎng)站、虛擬或真實(shí)目錄或個別網(wǎng)頁檔上啟動「使用安全通道(SSL)」大部份的情況均會以目錄為啟動SSL的對象考慮是否啟用128位元加密連線用戶端必需利用https協(xié)定存取網(wǎng)頁24第二十四頁，共50頁。※使用SSL會影響到效率，故通常建議只有必要的目錄才設(shè)定啟用SSLDEMO25第二十五頁，共50頁。用戶端使用SSL連線HTTPHTTPSSSL憑證26第二十六頁，共50頁。備份SSL憑證與金鑰管理員必需備份SSL憑證與金鑰使用伺服器憑證精靈程式使用「憑證」工具27第二十七頁，共50頁。用戶端憑證利用憑證取代傳統(tǒng)的密碼系統(tǒng)來進(jìn)行驗(yàn)證一種高度安全性的網(wǎng)頁驗(yàn)證方法適用在需要高度安全性需求的商業(yè)網(wǎng)站使用者需要申請用戶端憑證28第二十八頁，共50頁。使用用戶端憑證用戶端憑證對應(yīng)位置對應(yīng)方法ActiveDirectoryIIS一對一(1-to-1)多對一(many-to-1)29第二十九頁，共50頁。IIS對應(yīng)取消「啟用Windows目錄服務(wù)對應(yīng)程式」編輯IIS對應(yīng)DEMO30第三十頁，共50頁。IIS對應(yīng)(1-to-1)31第三十一頁，共50頁。網(wǎng)站應(yīng)用程式安全性管理只啟用必要的網(wǎng)頁類型、技術(shù)與功能移除不必要的應(yīng)用程式對應(yīng)選擇工作者處理序隔離模式程式員定期接受資安教育，撰寫安全程式碼32第三十二頁，共50頁。管理IISMIME類型清單原則：關(guān)閉不使用的檔案類型、應(yīng)用程式功能與技術(shù)可被攻擊的層面就越小、提升攻擊困難度IIS6只接受副檔名有登錄在MIME類型清單的檔案移除不使用的檔案類型管理MIME類型清單伺服器層級網(wǎng)站層級目錄層級建議：取消伺服器層級的所有MIME類型，只於網(wǎng)站/目錄層級加入必要的MIME類型33第三十三頁，共50頁。移除不必要的應(yīng)用程式對應(yīng)如果不使用請移除對應(yīng)對應(yīng)的副檔名重設(shè)網(wǎng)頁密碼.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,and.shtmlInternetPrinting.printerIndexServer.htw,.idaand.idq34第三十四頁，共50頁。網(wǎng)頁服務(wù)延伸

(WebServiceExtensions)IIS6利用網(wǎng)頁服務(wù)延伸支援動態(tài)網(wǎng)頁內(nèi)容只允許已使用的網(wǎng)頁服務(wù)延伸不要啟用『所有未知的CGI擴(kuò)充程式』與『所有未知的ISAPI擴(kuò)充程式』二個WSE35第三十五頁，共50頁。使用工作者處理序隔離模式IIS6支援二種應(yīng)用程式隔離模式工作者處理序隔離模式預(yù)設(shè)模式使應(yīng)用程式在不同的「應(yīng)用程式集區(qū)」處理保護(hù)應(yīng)用程式集區(qū)中的應(yīng)用程式可以免於受到其它應(yīng)用程式集區(qū)錯誤的影響IIS5.0隔離模式提供老舊應(yīng)用程式相容性的執(zhí)行模式建議採用工作者處理序隔離模式，因提供較佳的穩(wěn)定性與安全性36第三十六頁，共50頁。建立應(yīng)用程式集區(qū)2.輸入識別碼在某些情況，您可能需要讓某個特定應(yīng)用程式擁有自已獨(dú)立的執(zhí)行空間與環(huán)境，所以您需要替它建立獨(dú)立的應(yīng)用程式集區(qū)1.「應(yīng)用程式集區(qū)新增應(yīng)用程式集區(qū)」37第三十七頁，共50頁。替應(yīng)用程式指定不同的應(yīng)用程式集區(qū)

38第三十八頁，共50頁。設(shè)定安全的工作處理序身份識別

決定在應(yīng)用程式集區(qū)內(nèi)的身份識別內(nèi)建身份識別本機(jī)系統(tǒng)(LocalSystem)-權(quán)限最高，允許存取整部系統(tǒng)，應(yīng)避免設(shè)定此身份識別網(wǎng)路服務(wù)(NetworkService)-權(quán)限低，可以存取網(wǎng)路上的資源(預(yù)設(shè))本機(jī)服務(wù)(LocalService)-權(quán)限最低，只能存取本機(jī)資源，適用於不需存取其它伺服服務(wù)的應(yīng)用程式自訂身份識別必須加入到IIS_WPG群組39第三十九頁，共50頁。網(wǎng)頁程式撰寫的基本安全原則不要將使用者及密碼資料直接寫到網(wǎng)頁內(nèi)不要將隱藏的輸入欄位私密性資料儲存在網(wǎng)頁或cookies必需完整確認(rèn)所有資料輸入的型態(tài)檢查、長度檢查並設(shè)計(jì)正確的查詢方法以降低SQLInjection類型的攻擊威脅留意所有資料長度的使用檢查以避免不當(dāng)?shù)某淌酱a導(dǎo)致緩衝區(qū)溢位的攻擊40第四十頁，共50頁。其它IIS安全性建議備份Metabase與網(wǎng)頁應(yīng)用程式IIS記錄與稽核使用虛擬目錄取代真實(shí)目錄利用群組原則控制IIS的安裝選擇安全性的遠(yuǎn)端管理工具與方式41第四十一頁，共50頁。備份IISMetabaseMetabase維護(hù)IIS大部份的組態(tài)為了避免不當(dāng)?shù)慕M態(tài)設(shè)定或刪除、毀損的意外，管理員需定期或重大變更後備份MetabaseDEMO(1)選取備份選項(xiàng)(2)執(zhí)行備份(3)輸入名稱與密碼保護(hù)42第四十二頁，共50頁。IIS記錄IIS記錄連線使用者在網(wǎng)站的活動行為，可用來作為網(wǎng)站與網(wǎng)頁使用量分析及安全性查核工作。43第四十三頁，共50頁?；薓etabase條件：WindowsServer2003SP1稽核物件存取執(zhí)行iiscnfg.vbs指令啟