【正文】 中占據(jù)了領(lǐng)導(dǎo)地位。24 / 40第 5 章. Apache Web 服務(wù)安全配置建議Apache 服務(wù)器是 Inter 網(wǎng)上應(yīng)用最為廣泛的 Web 服務(wù)器軟件之一。有關(guān) IIS 的其它信息，請(qǐng)?jiān)L問(wèn) TechNet： （英文）。有關(guān)遠(yuǎn)程日志的信息，請(qǐng)參閱“Remote Logging”，其網(wǎng)址為： （英文） 。有關(guān)擴(kuò)展日志的信息，請(qǐng)參閱“Customizing W3C Extended Logging”，其網(wǎng)址為： （英文） 。有關(guān)此主題的詳細(xì)信息，請(qǐng)參閱“Enable Logging” ，其網(wǎng)址為： （英文） 。最后，此腳本被配置為不分發(fā)其創(chuàng)建的 IPSec 策略。因此，直到 IPSec 策略代理啟動(dòng)時(shí)，服務(wù)器才會(huì)得到保護(hù)。如果環(huán)境中有 MOM，應(yīng)當(dāng)在腳本中指定相應(yīng)的 MOM 服務(wù)器 IP 地址。如需要，可以添加其它的域控制器。必須修改此 .cmd 文件，以使其包含您所在環(huán)境中域控制器的 IP 地址。本手冊(cè)包括一個(gè) .cmd 文件，它簡(jiǎn)化了依照指南要求為域控制器創(chuàng)建 IPSec 過(guò)濾器的過(guò)程。但是，在執(zhí)行這些過(guò)濾器之前必須進(jìn)行測(cè)試，以核實(shí)服務(wù)器保持了必要的功能和性能。如果使用獨(dú)立的 DNS 服務(wù)器，則可能需要其它規(guī)則。這樣一來(lái)，管理員便可以執(zhí)行遠(yuǎn)程管理。這可能會(huì)使得服務(wù)器的管理非常困難。如果需要更高級(jí)別的安全性，則可以配置 OnePoint 客戶端的過(guò)濾操作，從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。這是必須的，因?yàn)樵?MOM 服務(wù)器和 OnePoint 客戶端（向 MOM 控制臺(tái)提供報(bào)告的客戶端應(yīng)用程序）之間存在大量的交互過(guò)程。為了提高 IIS 服務(wù)器的可靠性和可用性，22 / 40您需要為環(huán)境中的所有域控制器添加更多規(guī)則。這將使得執(zhí)行和管理 IPSec 策略非常困難。由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗(yàn)證通信，在 IIS 服務(wù)器和全部域控制器之間，您應(yīng)該允許所有的通信。如果需要提供更多的功能，則可能需要打開更多的端口。上表介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開的基本端口。表 8：IIS 服務(wù)器 IPSec 網(wǎng)絡(luò)通信圖服務(wù) 協(xié)議 源端口 目標(biāo)端口 源地址 目標(biāo)地址 操作 鏡像one point Client 所有 所有 所有 ME MOM 服務(wù)器 允許 是Terminal Services TCP 所有 3389 所有 ME 允許 是Domain Member 所有 所有 所有 ME 域控制器 允許 是Domain Member 所有 所有 所有 ME 域控制器 2 允許 是HTTP Server TCP 所有 80 所有 ME 允許 是HTTPS Server TCP 所有 443 所有 ME 允許 是All Inbound Traffic 所有 所有 所有 所有 ME 禁止 是在實(shí)施上表所列舉的規(guī)則時(shí)，應(yīng)當(dāng)對(duì)它們都進(jìn)行鏡像處理。有關(guān)使用 IPSec 過(guò)濾器的詳細(xì)信息，請(qǐng)參閱模塊其它成員服務(wù)器強(qiáng)化過(guò)程。. 用 IPSec 過(guò)濾器阻斷端口Inter 協(xié)議安全性 (IPSec) 過(guò)濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供21 / 40有效的方法。. 保護(hù)服務(wù)帳戶的安全除非絕對(duì)必須，否則不要讓服務(wù)運(yùn)行在域帳戶的安全上下文中。 “帳戶：重命名管理員帳戶” 設(shè)置可用來(lái)重命名本手冊(cè)所定義的三種環(huán)境中的管理員帳戶。注意：可以通過(guò)組策略重命名內(nèi)置的管理員帳戶。3. 更改默認(rèn)的帳戶描述，以防止帳戶被輕易識(shí)別。2. 在每個(gè)服務(wù)器上使用不同的名稱和密碼。將本地管理員帳戶改變?yōu)橐粋€(gè)特別的名稱，可以方便您的操作人員監(jiān)視對(duì)該帳戶的攻擊企圖。SID 是唯一能確定網(wǎng)絡(luò)中每個(gè)用戶、組、計(jì)算機(jī)帳戶以及登錄會(huì)話的值。許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來(lái)破壞一臺(tái)服務(wù)器。不應(yīng)更改此設(shè)置。Windows 2022 中最常見(jiàn)的兩個(gè)帳戶是 Guest 和 Administrator。這不包括操作系統(tǒng)使用的內(nèi)置帳戶 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。當(dāng)添加 Administrator 賬戶時(shí)，請(qǐng)確信指定的是經(jīng)過(guò)重命名的賬戶。如果 Administrators 安全組添加了以下任何一個(gè)拒絕訪問(wèn)的用戶權(quán)限，您必須在本地登錄以更正該錯(cuò)誤。警告：下表包含了內(nèi)置的 Administrator 帳戶。但是，有些帳戶和安全組不能被包括在模板內(nèi)，因?yàn)樗鼈兊陌踩珮?biāo)識(shí)符 (SID) 對(duì)于單個(gè)的 Windows 2022 域是特定的。該錯(cuò)誤指出文件夾或文件的所有者不在“Local Administrators”組中，并且這個(gè)站點(diǎn)的日志將暫時(shí)失效，直到其所有者被添加到“Local Administrators”組中，或者現(xiàn)有的文件夾或文件被刪除。當(dāng) IIS 日志按默認(rèn)設(shè)置存儲(chǔ)在 IIS 服務(wù)器中時(shí)，只有服務(wù)器管理員有權(quán)訪問(wèn)它們。這樣，通過(guò)減少需要逐一存儲(chǔ)和分析的日志文件的數(shù)量，大大地提高了 IIS 日志記錄過(guò)程的可管理性和可伸縮性。存放數(shù)以百計(jì)的站點(diǎn)的 IIS 服務(wù)器通過(guò)啟用集中的二進(jìn)制日志來(lái)改善日志性能。但是，應(yīng)該注意，當(dāng)啟用 ODBC 日志時(shí)，IIS 將禁用內(nèi)核模式緩存。IIS 日志可以配置為使用其它幾種 ASCII 或開放數(shù)據(jù)庫(kù)連接 (ODBC) 文件格式。遠(yuǎn)程日志讓管理員能夠建立集中的日志文件存儲(chǔ)和備份。為改善服務(wù)器性能，日志文件應(yīng)當(dāng)存儲(chǔ)到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤卷上。為限制日志的大小，應(yīng)當(dāng)對(duì)所記錄信息的內(nèi)容進(jìn)行仔細(xì)規(guī)劃。IIS 日志可被用來(lái)了解那些內(nèi)容最受歡迎，確定信息瓶頸，或者用作協(xié)助攻擊事件調(diào)查的資源。 操作系統(tǒng)提供的事件日志或性能監(jiān)視功能所記錄信息范圍之外的信息。18 / 40可以為每個(gè)站點(diǎn)或應(yīng)用程序創(chuàng)建單獨(dú)的日志。“腳本和可執(zhí)行文件” — 允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件。執(zhí)行 以下選項(xiàng)確定用戶運(yùn)行腳本的級(jí)別：“無(wú)” — 不允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件。索引此資源 允許使用索引服務(wù)索引資源。目錄瀏覽 用戶可以查看文件列表和集合。要點(diǎn)：?jiǎn)⒂谩澳_本源訪問(wèn)”時(shí)，用戶可以查看敏感信息，例如用戶名和密碼。腳本源訪問(wèn)包括腳本的源代碼。腳本源訪問(wèn) 用戶可以訪問(wèn)源文件。在默認(rèn)情況下，該權(quán)限為選中狀態(tài)。下表列舉了 IIS 支持的 Web 站點(diǎn)權(quán)限，并且提供了簡(jiǎn)要描述，解釋如何為 Web 站點(diǎn)分配給定的權(quán)限。與 NTFS 權(quán)限不同，Web 站點(diǎn)權(quán)限影響試圖訪問(wèn) IIS 服務(wù)器站點(diǎn)的每個(gè)人。Web 站點(diǎn)權(quán)限可與 NTFS 權(quán)限結(jié)合使用。表 5：NTFS 權(quán)限文件類型 建議的 NTFS 權(quán)限CGI 文件（.exe、.dll、.cmd、.pl ） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）包含文件（.inc 、 .shtm、.shtml） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）Everyone（只讀）Administrators（完全控制）System（完全控制）. 設(shè)置 IIS Web 站點(diǎn)權(quán)限IIS 將檢查 Web 站點(diǎn)權(quán)限，以確定在 Web 站點(diǎn)中可能發(fā)生的操作類型，17 / 40例如允許腳本源訪問(wèn)或允許文件夾瀏覽。下表提供了關(guān)于 NTFS 權(quán)限的一些建議，這些權(quán)限將應(yīng)用于 IIS 服務(wù)器上不同的文件類型。匿名帳戶包括內(nèi)置“Guest”帳戶、 “Guests”組和“IIS Anonymous”帳戶。對(duì)于不允許匿名訪問(wèn)的站點(diǎn)和應(yīng)用程序，匿名帳戶訪問(wèn)將被明確拒絕。Web 權(quán)限則影響所有訪問(wèn)站點(diǎn)或應(yīng)用程序的用戶。NTFS 訪問(wèn)權(quán)限應(yīng)當(dāng)與 Web 訪問(wèn)權(quán)限協(xié)同使用，而不是取代 Web 權(quán)限。. 設(shè)置 NTFS 權(quán)限Windows Server 2022 將檢查 NTFS 文件系統(tǒng)的權(quán)限,以確定用戶或進(jìn)程對(duì)特定文件或文件夾具有的訪問(wèn)權(quán)限類型。除了安全性考慮之外，將站點(diǎn)和應(yīng)用程序文件和文件夾放置在一個(gè)專用的磁盤卷中使諸如備份和恢復(fù)這樣的管理任務(wù)變得更加容易。首先， 的權(quán)限已經(jīng)作為 Windows Server 2022 基礎(chǔ)結(jié)構(gòu)的一部分進(jìn)行了重設(shè)，從而將對(duì)它的訪問(wèn)限制在很有限的用戶群中。例如， 位于于 systemroot\System32 文件夾中。將這些文件和文件夾放置到 IIS 服務(wù)器的一個(gè)專用磁盤卷 — 不包含操作系統(tǒng)的磁盤卷 — 有助于防止目錄遍歷攻擊。. 在專用磁盤卷中放置內(nèi)容IIS 會(huì)將默認(rèn) Web 站點(diǎn)的文件存儲(chǔ)到 systemroot\ipub\root，其中 systemroot 是安裝 Windows Server 2022 操作系統(tǒng)的驅(qū)動(dòng)器。僅啟用在您的 IIS 服務(wù)器環(huán)境下運(yùn)行的站點(diǎn)和應(yīng)用軟件所必需的 Web 服務(wù)擴(kuò)展，通過(guò)最大限度精簡(jiǎn)服務(wù)器的功能，可以減少每個(gè) IIS 服務(wù)器的受攻擊面，從而增強(qiáng)了安全性。但是，這可能帶來(lái)一些安全性風(fēng)險(xiǎn)，因?yàn)楫?dāng)所有的擴(kuò)展被啟用時(shí)，同時(shí)也啟用了您的環(huán)境下 IIS 服務(wù)器所不需要的功能，這樣 IIS 的受攻擊面就會(huì)增加。這些擴(kuò)展包括 、SSI、WebDAV 和 FrontPage Server Extensions。在一次新的安裝之后，IIS 服務(wù)器將只傳輸靜態(tài)內(nèi)容。通過(guò) IIS 服務(wù)器提供的功能來(lái)產(chǎn)生或擴(kuò)展的任何動(dòng)態(tài)內(nèi)容，都是通過(guò)使用 Web 服務(wù)擴(kuò)展來(lái)實(shí)現(xiàn)的。有關(guān) IIS 組件位置和建議設(shè)置的指導(dǎo)，請(qǐng)參閱如何識(shí)別 Windows Server 2022 中的 IIS 組件。您應(yīng)該僅啟用 Web 站點(diǎn)和應(yīng)用程序所需的必要 IIS 組件和服務(wù)。您可以通過(guò)雙擊“ 控制面板”上的“添加 /刪除程序”來(lái)啟動(dòng) Windows 組件向?qū)?yīng)用程序服務(wù)器，以安裝和啟用 IIS 組件和服務(wù)。這些步驟不能通過(guò)組策略完成，而14 / 40應(yīng)該在所有的 IIS 服務(wù)器上手動(dòng)執(zhí)行。通過(guò) MSBP 應(yīng)用的安全設(shè)置為 IIS 服務(wù)器提供大量的增強(qiáng)安全性。但是，在該過(guò)程中必須謹(jǐn)慎，以確保在您的環(huán)境中將每個(gè) IIS 服務(wù)器的受攻擊面降至最小。安裝 Windows Server 2022 和 IIS 之后，默認(rèn)情況下，IIS 僅傳輸靜態(tài) Web 內(nèi)容。組策略還可以防止管理員無(wú)意中禁用該服務(wù)?！叭f(wàn)維網(wǎng)發(fā)布服務(wù) ”必須運(yùn)行，以便讓 IIS 服務(wù)器通過(guò) IIS 管理器提供網(wǎng)絡(luò)連通性和管理。因此，在本手冊(cè)所定義的全部三種環(huán)境下，我們針對(duì) IIS 服務(wù)器的需要將“IIS Admin 服務(wù)”設(shè)置配置為“ 自動(dòng)” 。您可以使用組策略來(lái)保護(hù)和設(shè)置服務(wù)的啟動(dòng)模式，只允許服務(wù)器管理員訪問(wèn)這些設(shè)置，從而防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)?！癐IS Admin 服務(wù) ”必須運(yùn)行，以便讓 IIS 服務(wù)器能夠提供 Web、FTP 、NNTP 以及 SMTP 服務(wù)。因此，在本手冊(cè)所定義的全部三種環(huán)境下，針對(duì) IIS 服務(wù)器的需要將 “HTTP SSL”設(shè)置配置為“自動(dòng)”。您可以使用組策略來(lái)保護(hù)和設(shè)置服務(wù)的啟動(dòng)模式，只允許服務(wù)器管理員訪問(wèn)這些設(shè)置，從而防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)。如果 HTTP SSL 服務(wù)停止，IIS 將無(wú)法執(zhí)行 SSL 功能。SSL 是建立加密通信渠道的一種開放標(biāo)準(zhǔn)，以防止諸如信用卡號(hào)等關(guān)鍵信息被中途截獲。如果想要在本手冊(cè)所定義的任何一種環(huán)境下12 / 40的 IIS 服務(wù)器上啟用這些服務(wù)，必須更改增量式 IIS 組策略。注意：MSBP 禁用了幾種其它的 IIS 相關(guān)服務(wù)。為了讓 IIS 向 Windows Server 2022 中添加 Web 服務(wù)器功能，則必須啟用以下三種服務(wù)。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱請(qǐng)參閱 Windows 2022/2022 安全配置手冊(cè)中建立服務(wù)器安全基準(zhǔn)部分。MSBP 設(shè)置確保了在企業(yè) IIS 服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。在本手冊(cè)所的定義的三種環(huán)境中，IIS 服務(wù)器的安全選項(xiàng)通過(guò) MSBP 來(lái)配置。本手冊(cè)建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時(shí)可配置對(duì) IIS 服務(wù)器的匿名訪問(wèn)。在建立服務(wù)器安全基準(zhǔn)中，本手冊(cè)建議將 Guests 組包含在被分配了該權(quán)限的用戶和組列表中，以提供最大可能的安全性。當(dāng)用戶帳戶同時(shí)適用兩種策略時(shí)，該設(shè)置將覆蓋“ 允許通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī) ”設(shè)置?！熬芙^通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)” 設(shè)置決定了哪些用戶不能通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)。對(duì)于組織中的每個(gè)域，這些帳戶和組擁有唯一的安全標(biāo)識(shí) (SID)。有關(guān) MSBP 的詳細(xì)信息，請(qǐng)參閱 Windows 2022/2022 安全配置手冊(cè)中建立服務(wù)器安全基準(zhǔn)部分。MSBP 設(shè)置可確保所有相關(guān)的安全審核信息都記錄在所有的 IIS 服務(wù)器上。10 / 40第 4 章. IIS Web 服務(wù)安全配置建議在本手冊(cè)定義的三種環(huán)境下，IIS 服務(wù)器的審核策略設(shè)置通過(guò) MSBP 來(lái)配置。避免未經(jīng)檢驗(yàn)的服務(wù)腳本的引入而增加 Web 系統(tǒng)安全風(fēng)險(xiǎn)。. 去除不必要的服務(wù)腳本檢查 Web 系統(tǒng)使用的服務(wù)腳本，如 CGI，Perl 等。Web 系統(tǒng)的日志目錄和文件屬于 Web 系統(tǒng)資源必須嚴(yán)格訪問(wèn)權(quán)限。如果 Web 服務(wù)器具有機(jī)密的信息內(nèi)容，為了保護(hù)機(jī)密信息的傳輸安全，必須在 Web 系統(tǒng)中配置 SSL 1289 / 40位加密功能，這能夠有效保護(hù)用戶客戶端與 Web 服務(wù)器之間的數(shù)據(jù)安全傳輸，防止信息網(wǎng)絡(luò)竊取。建議根據(jù)業(yè)務(wù)需要，