加固Windows Server 2003 IIS 服务器

概述
1 L! z. y& O: f' I" }" P
# r( `( l, r/ `　　本模块集中说明在您的环境中强化 IIS 服务器所需的指导和步骤。为了向组织的公司 Intranet 中的 Web 服务器和应用程序提供全面的安全保护，应该保护每个 Microsoft Internet 信息服务 (IIS) 服务器以及在这些服务器运行的每个 Web 站点和应用程序不受可与它们连接的客户端计算机的侵害。此外，还应该保护在这些所有 IIS 服务器上运行的 Web 站点和应用程序不受在公司 Intranet 中其他 IIS 服务器上运行的 Web 站点和应用程序的侵害。   3 z- R$ W3 {* ]4 y4 F' r

  e5 Z; k. {1 V4 m  Y( j/ Z　　为了在抵制恶意用户和攻击者的过程中占据主动，默认情况下，IIS 不安装在 Windows Server 2003 系列产品上。IIS 最初以高度安全的“锁定”模式中安装。例如，默认情况下，IIS 最初仅提供静态内容。诸如 Active Server Pages (ASP)、ASP.NET、服务器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 发布及 Microsoft FrontPage? Server Extensions 等功能仅在管理员启用它们后才起作用。可以通过 Internet 信息服务管理器（IIS 管理器）中的 Web 服务扩展节点启用这些功能和服务。   ! b5 ^  s* A2 [* Q5 @% P. a
+ [  {! d9 [) q% H
　　IIS 管理器具有图形化的用户界面 (GUI)，可用来方便地对 IIS 进行管理。它包括用于文件和目录管理的资源，能够对应用程序池进行配置，并且具有安全性、性能、以及可靠性方面的诸多特性。   
8 G! g4 k- f  f1 b: r- ^
! @% x6 h) E  Q( F, }" o　　本章接下来的部分详细介绍了各种安全性强化设置，执行这些设置可增强公司 Intranet 中存放 HTML 内容的 IIS 服务器的安全性。但是，为确保 IIS 服务器始终处于安全状态，还应执行安全监控、检测和响应等步骤。   
; i  ?% Q) S/ t% o+ B8 s/ K: S3 D
8 h9 a9 D7 x) ?' C　　审核策略设置   # n2 `0 T! I, L; D9 i* W" \8 |5 |

& T0 N4 V3 q: M, W  p& x4 O, Q# z; e　　在本指南定义的三种环境下，IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。  6 C# N, I2 Q0 q6 `8 M
1 B* T( f1 S$ \0 M$ I
　　用户权限分配   
# |- J3 d' p0 X% d" @7 e
8 ~# D, r- S. m" d8 K1 P　　本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy（增量式 IIS 组策略）之间的差别。   * s6 X+ |6 H% N% C. l, m+ S

- A6 a, w$ M9 j' y, P' _拒绝通过网络访问该计算机   
% u& j: A. `7 Z3 V* ^3 M7 I+ A, i/ n) @. k. {
表 1：设置   
" I& J! e! `4 Y0 |% [$ k' s. G* C) a4 B7 E
成员服务器默认值 旧客户端 企业客户端 高安全性
& K4 @6 z/ ]# c1 v7 \+ HSUPPORT_388945a0
( H% w0 q0 Z6 B7 R; e! U  x( d7 i匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户
4 V9 C" v' c1 a匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户 8 m; i# l) ]! j1 ^. g
匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户   
! y$ \. S4 u" ?& b3 i- r
0 {0 a  l" z( p7 ]　　注意：安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域，这些帐户和组拥有唯一的安全标识 (SID)。因此，必须手动添加它们。   0 C- ^, S* F9 W( C& s  _& G: a

1 v  ~2 D! w, n9 I# ~  z2 i/ I　　“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议，包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM )。当用户帐户同时适用两种策略时，该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限，您可以限制用户在您的环境中执行委托管理任务的能力。   ) o6 n$ {9 e: [8 b- n  ~: s

% ^# e# J! s/ |! _& W　　在模块创建 Windows Server 2003 服务器的成员服务器基准中，本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中，以提供最大可能的安全性。但是，用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组，以确保必要时可配置对 IIS 服务器的匿名访问。因此，在本指南所定义的全部三种环境下，我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括：匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。   # q. j# G# Z' ?2 j2 ?8 Y

, X* [( }0 v; o* @+ z& `; {4 M　　安全选项  . ~; |* P. a+ T  o1 i( y

& P, `! ]+ S0 I  x  A: m　　在本指南所的定义的三种环境中，IIS 服务器的安全选项通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。   3 X+ t* F# t; n9 ?
+ J) ]  O! @  ^& R" E
　　事件日志设置   
& |% ]& `+ F0 q6 E) o& L- C0 t
& k( ^2 L% C- Q# u3 Y5 u6 L. O　　在本指南中定义的三种环境中，IIS 服务器的事件日志设置通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在企业 IIS 服务器中统一配置正确的事件日志设置。   
2 l# B! o- E) Z. @" s/ T# r3 }; o& v; a0 Z# ^- f7 P0 f. o
　　系统服务   0 J* U# \# k( I5 C) a8 P+ n
/ s; w* d, I8 g; G6 P  l* m6 {
　　为了让 IIS 向 Windows Server 2003 中添加 Web 服务器功能，则必须启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动启动。   ( }0 {0 d1 O! _1 I
' B+ h% u" ^7 u- q) S
　　注意：MSBP 禁用了几种其它的 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服务。如果想要在本指南所定义的任何一种环境下的 IIS 服务器上启用这些服务，必须更改增量式 IIS 组策略。   
, e- \: z' y4 Z
& W% v8 Y# w0 G1 {7 w　　HTTP SSL   
: G# F9 ^7 C- r  }
9 y9 T# a8 i; q# W8 d& T+ p表 2：设置   
% A' n$ M# Z- T- z- Z! A1 Q1 L7 Z5 b4 E
服务名 成员服务器默认值 旧客户端 企业客户端 高安全性
3 e* u# p  [# w% yHTTPFilter
% c8 h% j% {; q/ y: [手动 7 Y$ ?8 H# f, T1 r, K
自动
5 \1 i9 }' b! L自动
' h# D0 G. P8 P. I0 [8 U8 V自动   9 D2 K$ P/ `- C) _7 S! K. A6 v

! [0 A- L5 ?9 k4 C5 [3 ]7 y: p　　HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准，以防止诸如信用卡号等关键信息被中途截获。首先，它使得在万维网上进行安全的电子金融事务成为可能，当然也可用它来实现其它 Internet 服务。   $ d7 m( Y& ~% B) S9 {5 E- n
) y, Z$ U  a$ M, Y( r3 f
　　如果 HTTP SSL 服务停止，IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式，只允许服务器管理员访问这些设置，从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此，在本指南所定义的全部三种环境下，针对 IIS 服务器的需要将“HTTP SSL”设置配置为“自动”。  
# }  q% w8 @5 E6 y% F) Q" D: L2 S) R& d% L6 K, {
                                                2 y/ O( w- G0 E1 O2 e; C1 G4 k
# K" ?. C; H- W8 j0 k
                                               
) v, o1 ~. K% i5 H* ]$ T1 P' Q' g, n: _
" D  _& U. S4 {                                                ( \; n" B# s0 P+ W- U

" ^' a1 b2 A' H3 v5 G  n8 K! H                                               
8 S2 H' \. J: K4 x- U) k, |
' p7 l# o9 I+ o9 M0 g                                       
% N8 \, B! m: E. Z4 L+ P4 I5 ~2 D5 g5 ?. J
                                               
+ y0 K/ g" p$ U! F0 k
7 O8 M/ y7 V* _! z6 Y5 G                                                ! P3 e0 z/ E' a6 K1 k% \: K

  ^# X/ @  u' @3 a8 Q                                                & I* y7 R$ u- `. l- C! _4 P

0 k. E% T0 n" ^( |7 j) n# t' O& _: d8 i! g- W! _3 ]
8 R2 {; O( Z1 u/ k
                                       
1 @3 \0 I% a* K$ I+ [9 H
0 V, C/ e( a; j3 n