淺析Web服務(wù)器安全策略

【摘要】目前Web服務(wù)器應(yīng)用非常廣泛，人們利用它能夠快速方便地獲取豐富的信息資料。但隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，Web服務(wù)器面臨著許多安全威脅，導(dǎo)致黑客攻擊、蠕蟲病毒等，因此，提高安全策略尤為重要。本文將闡述從服務(wù)器和IIS設(shè)置兩個方面入手來加強(qiáng)服務(wù)器的安全防護(hù)。

【關(guān)鍵詞】Web；IIS；服務(wù)器；安全策略

1引言

Web服務(wù)器的正常運(yùn)轉(zhuǎn)是一個單位或企業(yè)進(jìn)行正常辦公的重要保證， 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，Web服務(wù)器面臨著許多安全威脅，常見的安全漏洞譬如盜用賬號、緩沖區(qū)溢出、黑客攻擊、蠕蟲病毒以及木馬等，直接影響到Web服務(wù)器的安全。因此對Web服務(wù)器的安全維護(hù)需要從多方面考慮，提高安全策略防患于未然。

2加強(qiáng)服務(wù)器的安全設(shè)置

2.1開啟防火墻，關(guān)閉不需要的端口

開啟系統(tǒng)自帶的防火墻，能有效屏蔽無用的端口。關(guān)閉默認(rèn)開啟的無用端口，開啟需要的端口。一般情況下只需要開啟遠(yuǎn)程桌面連接、FTP、數(shù)據(jù)庫連接、網(wǎng)站默認(rèn)端口端口。

2.2修改遠(yuǎn)程桌面連接默認(rèn)端口

將默認(rèn)端口3389改為其他，在注冊表中修改兩項(xiàng)內(nèi)容，HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/ CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/ TCP和HKEY_LOCAL_MACHINE/SYSTEM/CUR RENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/中PortNumber鍵值，并在防火墻啟用此端口。

2.3關(guān)閉不需要的服務(wù)

關(guān)閉不需要的服務(wù)，降低系統(tǒng)資源的損耗，提高系統(tǒng)的安全性。有些默認(rèn)開啟的服務(wù)，比如TCP/IPNetBIOS Helper、Server、Computer Browser等，在Web服務(wù)器中一般不會用到，所以根據(jù)自身需求關(guān)閉此類服務(wù)。

2.4磁盤權(quán)限的設(shè)置

根據(jù)分區(qū)和系統(tǒng)盤分區(qū)的權(quán)限設(shè)置：給予根分區(qū)administrator和system完全控制權(quán)限； c：＼Documents and Settings 目錄給予administrators和system用戶全部權(quán)限，users用戶給予讀取和運(yùn)行、列出文件夾目錄權(quán)限；C：＼Program Files 目錄給予administrators和system用戶全部權(quán)限， IIS_WPG用戶給予讀取和運(yùn)行、列出文件夾目錄權(quán)限，users和TERMINAL SERVER USER用戶給予修改權(quán)限；刪除c：＼inetpub目錄，刪除iis不必要的映射。

數(shù)據(jù)備份盤權(quán)限設(shè)置，最好只指定一個特定的用戶對其有完全操作的權(quán)限。

網(wǎng)站權(quán)限設(shè)置，假設(shè)網(wǎng)站在e：＼www目錄下，此目錄給予administrators、system和service用戶全部權(quán)限。

其它地方的權(quán)限設(shè)置，找到系統(tǒng)盤的以下所列文件， net.exe；cmd.exe；tftp.exe；netstat.exe；regedit.exe；at.exe；attrib.exe；cacls.exe；format.com，將這些文件安全性設(shè)置只有管理員Administrators 和system有完全操作權(quán)限，刪除其他用戶。

2.5用戶安全設(shè)置

Administrator賬號改名， 管理員賬號會經(jīng)常被黑客攻擊企圖破解密碼，我們把它偽裝成普通用戶，創(chuàng)建一個Administrator陷阱用戶，權(quán)限設(shè)置為最低，并且加上復(fù)雜的密碼，造成對黑客的困惑和干擾；禁用Guest賬號；限制不必要的用戶，去掉所有的Duplicate User用戶、測試用戶、共享用戶等；用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶，這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口；禁止系統(tǒng)顯示上次登錄的用戶名，默認(rèn)情況下，登錄對話框中會顯示上次登錄的用戶名，這樣很容易讓別人得到系統(tǒng)的用戶名而猜測密碼。

2.6刪除默認(rèn)共享

系統(tǒng)安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，我們運(yùn)行命令net share查看，禁止這些共享，打開“管理工具”-“計(jì)算機(jī)管理”-“共享文件夾”-“共享”，選擇相應(yīng)共享文件夾單擊右鍵，停止共享，但是服務(wù)器重新啟動后，這些共享又會重新開啟。因此需要修改注冊表取消默認(rèn)共享， 在注冊表中將HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Lanman Server＼ Parameters： AutoShareServer的REG_DWORD 值改為0 。

2.7密碼安全設(shè)置

提高密碼安全性，一般管理員創(chuàng)建賬號的時候習(xí)慣于用單位、計(jì)算機(jī)名做用戶名，密碼設(shè)置又太簡單，很容易破解，所以需要注意密碼的復(fù)雜性，定期改密碼；設(shè)置屏幕保護(hù)密碼，能防止內(nèi)部人員破壞服務(wù)器；開啟密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長度最小值為6位 ，設(shè)置強(qiáng)制密碼歷史為5次等。

2.8安裝防毒軟件

安全的服務(wù)器需要安裝殺毒軟件，并且要經(jīng)常升級病毒庫。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，使得系統(tǒng)更加穩(wěn)定。

3加強(qiáng)服務(wù)器Web服務(wù)IIS的安全設(shè)置

3.1IIS安全安裝

首先IIS需要安裝在非系統(tǒng)分區(qū)上。在默認(rèn)情況下，IIS與操作系統(tǒng)安裝在同一個分區(qū)中，這是一個潛在的安全隱患，一旦入侵者繞過了IIS的安全機(jī)制，就有可能入侵到系統(tǒng)分區(qū)，所以需要將IIS安裝到其他分區(qū)，即便入侵者能繞過IIS的安全機(jī)制，也很難訪問到系統(tǒng)分區(qū)；其次在安裝時修改IIS的默認(rèn)路徑，IIS的默認(rèn)安裝的路徑是＼inetpub，Web服務(wù)的頁面路徑是＼inetpub＼wwwroot，這是任何一個熟悉IIS的人都知道的，當(dāng)然這些人中包括了入侵者，所以需要更改成其他路徑；最后需要及時打好IIS的補(bǔ)丁，它就會成為一個比較安全的服務(wù)器平臺，能為我們提供安全穩(wěn)定的服務(wù)。endprint

3.2刪除不需要的IIS組件和示例

IIS默認(rèn)安裝后有些不需要的多余的組件會造成安全威脅，需要從系統(tǒng)中刪除，降低隱患。比如Internet服務(wù)管理器（HTML）組件，它是基于Web 的IIS服務(wù)器管理頁面，一般情況下不會通過Web進(jìn)行管理，可以卸載它；SMTP Service和NNTP Service組件，這兩個組件是用來轉(zhuǎn)發(fā)郵件和提供新聞組服務(wù)的，不需要這個功能可以刪除；樣本頁面和腳本，這些樣本可被用來從Internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器，建議刪除；IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄里存放的是用來示范安裝和應(yīng)用該技術(shù)的示例應(yīng)用程序，沒有多少實(shí)際的作用，反而會讓黑客利用存放的位置發(fā)動惡意攻擊，所以可以直接刪除。

3.3刪除無用映射

在默認(rèn)狀態(tài)下，IIS服務(wù)器會自動創(chuàng)建十幾種應(yīng)用程序的映射關(guān)系，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、等，通過這些程序映射，IIS就能知道對于什么樣的文件該調(diào)用什么樣的動態(tài)鏈接庫文件來進(jìn)行解析處理。可事實(shí)上，許多Web網(wǎng)站僅僅用到asp這個應(yīng)用程序映射，其他應(yīng)用程序映射幾乎沒有任何作用；如果將這些用不著的映射保留在Web服務(wù)器中，很容易出現(xiàn)緩存溢出問題，入侵者就可以利用緩存溢出獲得系統(tǒng)的權(quán)限。為此，只需將Web網(wǎng)站使用到的幾個應(yīng)用程序映射保留下來，其他無用映射及時刪除。

3.4關(guān)閉父路徑

在IIS應(yīng)用程序配置中如果啟用父路徑瀏覽，意味著允許別人在調(diào)用MapPath功能時使用“..”瀏覽系統(tǒng)文件 ，它能讓黑客訪問那些不想讓他們訪問的目錄，所以禁用它將是明智之舉。

3.5啟用日志功能

日志是系統(tǒng)安全策略的一個重要環(huán)節(jié)，用日志可以來記錄IIS收到的HTTP請求，使我們能夠驗(yàn)證服務(wù)器在任意給定的時間干什么事情，包括我們設(shè)置好的安全方案正在如何運(yùn)轉(zhuǎn)等，因此啟用日志記錄并確保日志的安全能有效提高系統(tǒng)整體安全性。我們啟動IIS MMC，并單擊Web站點(diǎn)或者想要啟用日志記錄的虛擬目錄，然后右擊目錄節(jié)點(diǎn)并且選擇“屬性”選項(xiàng)，打開對應(yīng)的屬性對話框。在Web site標(biāo)簽內(nèi)啟用“啟用日志記錄”復(fù)選框。在啟用日志記錄時選擇W3C擴(kuò)展日志格式，這種日志格式，會在每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URI字根、HTTP狀態(tài)、用戶代理等，當(dāng)IIS服務(wù)器受到安全威脅時，可以利用日志文件對細(xì)節(jié)執(zhí)行排疑式審查， IIS服務(wù)器發(fā)生故障后也可以利用這個日志文件所記錄的信息來檢查維護(hù)過程并識別系統(tǒng)中的問題，所以說日志記錄在排障時顯得尤為重要。

除了啟用日志記錄以外，還需要對日志文件進(jìn)行安全設(shè)置。默認(rèn)情況下，IIS的日志存放在%WinDir%＼System32＼ LogFiles，日志文件會提供所有發(fā)向IIS請求的消息，IIS日志文件可能會受到攻擊，或者黑客有可能試圖刪除IIS日志文件以便隱藏他們一起在搞的破壞，因此需要修改IIS日志的存放路徑，并且還要修改日志訪問權(quán)限，設(shè)置只有管理員才能訪問。

3.6IIS權(quán)限設(shè)置

IIS服務(wù)器的權(quán)限設(shè)置有兩個地方，一個是 NTFS 文件系統(tǒng)本身的權(quán)限設(shè)置，另一個是 IIS管理器中。這兩個地方是密切相關(guān)的。ASP、PHP、ASP.NET 程序所在目錄的權(quán)限設(shè)置：一般不要打開主目錄的寫入、腳本資源訪問，純腳本和可執(zhí)行程序權(quán)限，只需選擇純腳本就可以了，文件夾不要啟用Web共享；上傳目錄的權(quán)限設(shè)置：上傳目錄的權(quán)限設(shè)置：一般asp.php等程序都有上傳目錄，它們繼承了上一層目錄的屬性，可以運(yùn)行腳本，我們需要將這些目錄的純腳本權(quán)限取消；Access 數(shù)據(jù)庫所在目錄的權(quán)限設(shè)置：Internet 來賓賬號或 IIS_WPG 組賬號的權(quán)限可讀可寫，那么Access所在目錄或者文件的讀取、寫入權(quán)限都取消掉，就可以防止被人下載或篡改了；其它目錄的權(quán)限設(shè)置：在網(wǎng)站下可能有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等，這些目錄只需要設(shè)置讀取權(quán)限，執(zhí)行權(quán)限取消。

3.7IP地址的控制

IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問服務(wù)，對于Web服務(wù)器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網(wǎng)站的用戶屏蔽掉，這就需要添加授權(quán)訪問或者限制訪問網(wǎng)站的IP地址，實(shí)現(xiàn)讓目標(biāo)用戶訪問。

3.8啟用SSL安全機(jī)制

IIS有一種安全性很高的認(rèn)證，即通過SSL（Security Socket Layer）安全機(jī)制使用數(shù)字證書。SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。

參考文獻(xiàn)

[1] 張振東，鮮坤林. Windows Server 2003 Web 服務(wù)器安全設(shè)置初探[M].遼寧農(nóng)業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，（6）.

[2] 許順雄.加強(qiáng)IIS的安全管理確保Web服務(wù)器安全 [M].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2006，（5）.

[3] 佘學(xué)兵，傅蕾.Windows Server 2003 的安全性實(shí)現(xiàn)[M].科技廣場，2008，（5）.

作者簡介：

馬玉芳 （1975-），女，撒拉族，碩士，青海民族大學(xué)計(jì)算機(jī)學(xué)院，教師，實(shí)驗(yàn)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)應(yīng)用。endprint