NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 网络技术 .: 强化 Windows Server 2003 IIS 服务器

强化 Windows Server 2003 IIS 服务器

系统服务

为了让 IIS 向 Windows Server 2003 中添加 Web 服务器功能,则必须启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动启动。

注意:MSBP 禁用了几种其它的 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服务。如果想要在本指南所定义的任何一种环境下的 IIS 服务器上启用这些服务,必须更改增量式 IIS 组策略。

HTTP SSL

表 2:设置

服务名成员服务器默认值旧客户端企业客户端高安全性

HTTPFilter

手动

自动

自动

自动

HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全的电子金融事务成为可能,当然也可用它来实现其它 Internet 服务。

如果 HTTP SSL 服务停止,IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,针对 IIS 服务器的需要将“HTTP SSL”设置配置为“自动”。

IIS Admin 服务

表 3:设置

服务名成员服务器默认值旧客户端企业客户端高安全性

IISADMIN

没有安装

自动

自动

自动

“IIS Admin 服务”允许对 IIS 组件进行管理,例如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展,以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 的虚拟服务器。

“IIS Admin 服务”必须运行,以便让 IIS 服务器能够提供 Web、FTP、NNTP 以及 SMTP 服务。如果禁用此服务,则无法配置 IIS,并且对站点服务的请求将不会成功。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“IIS Admin 服务”设置配置为“自动”。

万维网发布服务

表 4:设置

服务名成员服务器默认值旧客户端企业客户端高安全性

W3SVC

没有安装

自动

自动

自动

“万维网发布服务”通过 IIS 管理单元提供网络连通性和网站管理。

“万维网发布服务”必须运行,以便让 IIS 服务器通过 IIS 管理器提供网络连通性和管理。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“万维网发布服务”设置配置为“自动”。

其他安全设置

安装 Windows Server 2003 和 IIS 之后,默认情况下,IIS 仅传输静态 Web 内容。当 Web 站点和应用程序包含动态内容,或者需要一个或多个附加 IIS 组件时,每个附加 IIS 功能必须逐一单独启用。但是,在该过程中必须谨慎,以确保在您的环境中将每个 IIS 服务器的受攻击面降至最小。如果您的组织的 Web 站点只包含静态内容而无需其它任何 IIS 组件,这时,默认的 IIS 配置足以将您的环境中的 IIS 服务器的受攻击面降至最小。

通过 MSBP 应用的安全设置为 IIS 服务器提供大量的增强安全性。不过,还是应该考虑一些其他的注意事项和步骤。这些步骤不能通过组策略完成,而应该在所有的 IIS 服务器上手动执行。

仅安装必要的 IIS 组件

除“万维网发布服务”之外,IIS6.0 还包括其它的组件和服务,例如 FTP 和 SMTP 服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器,以安装和启用 IIS 组件和服务。安装 IIS 之后,必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。

您应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。

有关 IIS 组件位置和建议设置的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。

仅启用必要的 Web 服务扩展

许多运行于 IIS 服务器上的网站和应用程序具有超出静态页面范畴的扩展功能,包括生成动态内容的能力。通过 IIS 服务器提供的功能来产生或扩展的任何动态内容,都是通过使用 Web 服务扩展来实现的。

IIS 6.0 中增强的安全功能允许用户单独启用或禁用 Web 服务扩展。在一次新的安装之后,IIS 服务器将只传输静态内容。可通过 IIS 管理器中的 Web 服务扩展节点来启用动态内容功能。这些扩展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。

启用所有的 Web 服务扩展可确保与现有应用软件的最大可能的兼容性。但是,这可能带来一些安全性风险,因为当所有的扩展被启用时,同时也启用了您的环境下 IIS 服务器所不需要的功能,这样 IIS 的受攻击面就会增加。

为了尽可能减少 IIS 服务器的受攻击面,在本指南所定义的三种环境下,只应该在 IIS 服务器上启用必要的的 Web 服务扩展。

仅启用在您的 IIS 服务器环境下运行的站点和应用软件所必需的 Web 服务扩展,通过最大限度精简服务器的功能,可以减少每个 IIS 服务器的受攻击面,从而增强了安全性。

有关 Web 服务扩展的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。

在专用磁盘卷中放置内容

IIS 会将默认 Web 站点的文件存储到 <systemroot>\inetpub\wwwroot,其中 <systemroot> 是安装 Windows Server 2003 操作系统的驱动器。

在本指南所定义的三种环境下,应该将构成 Web 站点和应用程序的所有文件和文件夹放置到 IIS 服务器的专用磁盘卷中。将这些文件和文件夹放置到 IIS 服务器的一个专用磁盘卷 — 不包含操作系统的磁盘卷 — 有助于防止目录遍历攻击。目录遍历攻击是指攻击者对位于 IIS 服务器目录结构之外的一个文件发送请求。

例如,cmd.exe 位于于 <systemroot>\System32 文件夹中。攻击者可能请求访问以下位置:

..\..\Windows\system\cmd.exe,企图调用命令提示

如果 Web 站点内容位于一个单独的磁盘卷上,这种类型的目录遍历攻击将无法成功,原因有二。首先,cmd.exe 的权限已经作为 Windows Server 2003 基础结构的一部分进行了重设,从而将对它的访问限制在很有限的用户群中。其次,完成该更改之后,cmd.exe 不再与 Web 根目录处于同一磁盘卷,而目前没有任何已知的方法可通过使用这种攻击来访问位于不同驱动器上的命令。

除了安全性考虑之外,将站点和应用程序文件和文件夹放置在一个专用的磁盘卷中使诸如备份和恢复这样的管理任务变得更加容易。而且,将这种类型的内容放在一个分开的专用物理驱动器中有助于减少系统分区中的磁盘争用现象,并且改善磁盘的整体访问性能。


这篇文章对你多有用?

相关文章

article Windows Server 2003 IIS 服务器
Windows Server 2003 IIS 服务器设置 NTFS...

(No rating)  8-12-2007    Views: 1577   
article 强化 Windows Server 2003 IIS 服务器1
强化 Windows Server 2003 IIS 服务器 概述 ...

(No rating)  8-12-2007    Views: 1491   
article Windows Server 2003 服务器群集简介
简介服务器群集是一组协同工作并运行 Microsoft...

(No rating)  9-24-2012    Views: 852   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited