[摘 要] Windows 2003作为最普遍运用的Web服务器平台,存在着诸多安全隐患。为提高基于Windows 2003的Web服务器的安全性,从操作系统本身入手,通过重新规划系统的部分默认配置可以达到所需目的。
[关键词] Web服务器;安全;IIS
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 056
[中图分类号] TP311 [文献标识码] A [文章编号] 1673 - 0194(2018)11- 0126- 02
1 引 言
Web服务器处于网络系统信息交换和存储的核心地位,主要功能是为网络上的用户提供全面的数据资源共享服务和其他各种网络服务。为了让用户可以访问提供的信息,Web服务器必须是Internet上任何接入点都可以访问的,因此,Web 服务器也成为Internet上最暴露的服务器, 正是由于Web服务器比较开放的这个特点,大多数攻击都是采用合法渠道进入并且进行攻击的,所以,必须从最基础的操作系统本身入手进行安全配置。
2 Web服务器面临的威胁及安全隐患
由于Web服务器主要是以应用为主,作为服务器管理人员来说大部分时间是在做各种应用,对于服务器却没有一个详细的安全规划。许多人都关注Web应用是否正常运行,却很少有人关注其安全问题。大多数安全问题都属于下面四种类型之一:
(1)服务器中的网站信息遭受篡改。
(2)服务器把本应私有的数据放到了可公开访问的区域。
(3)服务器拒绝服务。
(4)提供不应该提供的服务。
Windows 2003作为主要的Web服务器平台,被广泛地运用于Web服务器构架中。但是,由于Windows 2003操作系统本身存在着诸多安全漏洞,给构架安全的Web服务器带来了极大的隐患,在很大程度上可以被恶意访问者所利用[1]。
3 Windows 2003系统安全配置
Web服务器所采用的操作系统,必须具有高性能、高可靠性和高安全性等要素。微软的企业级操作系统中,如果说Windows 2000全面继承了NT技术,那么Windows 2003则是依据.Net架构对NT技术做了重要发展和实质性改进,凝聚了微软多年来的技术积累,使得系统安全性方面得以大幅提高。
3.1 采用NTFS磁盘分区格式
NTFS系统提供了性能安全、可靠以及在其他文件系统格式中没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等,并可以更好地利用磁盘空间,提高系统的运行速度。自Windows NT系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。NTFS文件系统可以对文件和目录进行管理,而FAT文件系统只能提供共享安全,所以在安装Windows 2003时所有的磁盘分区都要采用NTFS分区,并且要将操作系统、Web主目录、日志分别安装在不同的分区下。
3.2 关闭系统默认共享
Windows 2003系统开启默认共享所有磁盘分区,以及让进程通信而开放的命名管道IPC■和系统工作目录admin■共享,这就为系统的安全埋下隐患,这时只要禁止Server服务就可以了。
3.3 系统账户安全性
(1)删除未使用的账户,因为攻击者可能发现这些账户,然后利用这些账户来获取Web服务器上的数据和应用程序的访问权。
(2)始终使用强密码,因为弱密码增加了成功进行强力攻击或字典攻击的可能性。
(3)使用以最低特权运行的账户,攻击者可以通过使用以高级特权运行的账户来获取未经授权资源的访问权。
Windows 2003有些内置账户,它们不能被删除,但可以重命名。最常见的两个账户是“Guest”和“Administrator”。在成员服务器和域控制器中,Guest账户缺省被禁用,不需要改变该设置。内置的Administrator账户应被重命名,而且描述也应更改,以防止攻击者通过该账户远程破坏服务器。
3.4 网络配置中禁用危险端口
要降低成功攻击Web服务器上面向Internet的端口的可能性,应禁用除传输控制协议(TCP)以外的所有网络协议。Web服务器中面向Internet的网络适配器上不需要服务器消息块(SMB)和NetBIOS。在网络连接属性中,取消“Microsoft网络客户端”、“Microsoft网络的文件和打印机共享”和“网络负载平衡”三个服务组件,只保留“Internet协议(TCP/IP)”协议,并在此协议中禁用TCP/IP上的NetBIOS。这样,就禁用了SMB使用的139、445端口和NetBIOS使用的137、138、139危险端口。
3.5 软件限制策略
Windows 2003允许管理员使用策略或强行阻止在某台计算机上运行可执行程序,也可通过设定来防止运行时遭到病毒感染或恶意攻击。具体来说,通过软件限制策略,可以执行以下任务:
(1)控制可以在计算机上运行的程序。例如,如果担心用户通过电子邮件收到病毒,可以应用一个策略,不允许一些文件类型在电子邮件附件文件夹中运行。
(2)在多用户计算机上,仅允许用户运行特定的文件。例如,如果计算机上有多个用户,那么就可以设置软件限制策略,使用户除了可以访问必须在工作中使用的特定文件外,不能訪问其他任何文件。
(3)确定谁可以向计算机中添加受信任的发布服务器。
(4)控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户。
(5)阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,如果存在已知病毒,就可以使用软件限制策略阻止计算机打开包含该病毒的文件[2]。
3.6 注册表设置
注册表是一套控制操作系统外表和如何响应外来事件工作的文件,这些“事件”的范围从直接存取一个硬件设备到接口如何响应特定用户到应用程序如何运行等等。由于Windows默认情况下,将很多系统配置接口都隐藏于注册表中,但是出于安全考虑,就必须对注册表进行挖掘、修改。如:通过修改注册表隐藏重要文件/目录,通过修改注册表防止SYN洪水攻击,通过修改注册表禁止响应ICMP路由通告报文,通过修改注册表防止ICMP重定向报文的攻击,等等。
3.7 FSO的安全性
出于安全考虑,现在绝大多数的Web服务器都禁用了ASP的标准组件:FSO(FileSystemObject),因为这一组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作。但是禁止此组件后,引起的后果就是所有利用该组件的网站将无法运行,无法满足一部分网站的需求。所以对于FSO权限不能完全禁用,但是也不能完全开放,只能通过相关的设置提高其安全性,具体措施如下:
(1)为需要使用FSO组件的网站单独设置匿名访问账户。
(2)设置新建的系统帐户对需要使用FSO组件的网站所在文件夹的完全控制权限。
经过以上设置,访问网站的用户就以匿名身份访问文件夹所指向的站点,因为新建的系统账户只对此文件夹有安全权限,所以只能在本文件夹下使用FSO,提高了网站的安全性[3]。
4 IIS安全配置
4.1 在专用分区中放置Web站点文件
IIS会将默认Web站点的文件存储到系统分区的\inetpub\wwwroot中,应该将构成Web站点和应用程序的所有文件和文件夹放置到安装操作系统之外的专用分区中,这样有助于防止目录遍历攻击。
4.2 只选择基本的IIS组件和服务
IIS 6.0除了包括WWW服务之外,还包括一些子组件,例如FTP服务和SMTP服务。为了最大限度地降低针对特定服务和子组件的攻击风险,建议只选择网站和Web应用程序正确运行所必需的子組件。
4.3 只启用基本的Web服务扩展
服务于动态内容的Web服务器需要Web服务扩展。由于安全原因,IIS 6.0允许启用和禁用单独的Web服务扩展,尽管启用所有的Web服务扩展可确保最大限度地兼容现有的网站和应用程序,但却大幅增加了Web服务器的被攻击面,所以只需启用必需的Web服务扩展即可。假设配置Web服务器来服务于作为默认网页的index.asp文件,尽管配置了默认网页,但还必须启用Active Server Page的服务扩展才能查看.asp网页文件[4]。
5 结 语
综上所述,通过系统地配置可以从根本上解决Web服务器的安全问题,但是由于Windows 2003操作系统本身存在诸多安全漏洞以及人为造成的安全隐患,所以要及时关注最新安全咨询,及时掌握最新的攻防技术,这样才能保证Web服务器的安全稳定运行。
主要参考文献
[1]彭玉忠,王金才,郝荣霞.Web应用系统安全分析与设计[J].计算机安全,2008(9):45-47.
[2]刘晓东.WINDOWS 2003 SERVER安全性概述[J].信息安全与信息保密,2003(8):76.
[3]隋涛.基于IIS和ASP的网站系统的安全问题[J].情报探索,2006(11):62-64.
[4]张淑芬,陈学斌,郭景峰.基于Windows Server 2003的安全性研究[J].计算机应用与软件,2005,22(8):122-124.