【正文】 中占據(jù)了領(lǐng)導(dǎo)地位。24 / 40第 5 章. Apache Web 服務(wù)安全配置建議Apache 服務(wù)器是 Inter 網(wǎng)上應(yīng)用最為廣泛的 Web 服務(wù)器軟件之一。有關(guān) IIS 的其它信息，請訪問 TechNet： （英文）。有關(guān)遠(yuǎn)程日志的信息，請參閱“Remote Logging”，其網(wǎng)址為： （英文） 。有關(guān)擴展日志的信息，請參閱“Customizing W3C Extended Logging”，其網(wǎng)址為： （英文） 。有關(guān)此主題的詳細(xì)信息，請參閱“Enable Logging” ，其網(wǎng)址為： （英文） 。最后，此腳本被配置為不分發(fā)其創(chuàng)建的 IPSec 策略。因此，直到 IPSec 策略代理啟動時，服務(wù)器才會得到保護。如果環(huán)境中有 MOM，應(yīng)當(dāng)在腳本中指定相應(yīng)的 MOM 服務(wù)器 IP 地址。如需要，可以添加其它的域控制器。必須修改此 .cmd 文件，以使其包含您所在環(huán)境中域控制器的 IP 地址。本手冊包括一個 .cmd 文件，它簡化了依照指南要求為域控制器創(chuàng)建 IPSec 過濾器的過程。但是，在執(zhí)行這些過濾器之前必須進行測試，以核實服務(wù)器保持了必要的功能和性能。如果使用獨立的 DNS 服務(wù)器，則可能需要其它規(guī)則。這樣一來，管理員便可以執(zhí)行遠(yuǎn)程管理。這可能會使得服務(wù)器的管理非常困難。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。這是必須的，因為在 MOM 服務(wù)器和 OnePoint 客戶端（向 MOM 控制臺提供報告的客戶端應(yīng)用程序）之間存在大量的交互過程。為了提高 IIS 服務(wù)器的可靠性和可用性，22 / 40您需要為環(huán)境中的所有域控制器添加更多規(guī)則。這將使得執(zhí)行和管理 IPSec 策略非常困難。由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗證通信，在 IIS 服務(wù)器和全部域控制器之間，您應(yīng)該允許所有的通信。如果需要提供更多的功能，則可能需要打開更多的端口。上表介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開的基本端口。表 8：IIS 服務(wù)器 IPSec 網(wǎng)絡(luò)通信圖服務(wù) 協(xié)議 源端口 目標(biāo)端口 源地址 目標(biāo)地址 操作 鏡像one point Client 所有 所有 所有 ME MOM 服務(wù)器 允許 是Terminal Services TCP 所有 3389 所有 ME 允許 是Domain Member 所有 所有 所有 ME 域控制器 允許 是Domain Member 所有 所有 所有 ME 域控制器 2 允許 是HTTP Server TCP 所有 80 所有 ME 允許 是HTTPS Server TCP 所有 443 所有 ME 允許 是All Inbound Traffic 所有 所有 所有 所有 ME 禁止 是在實施上表所列舉的規(guī)則時，應(yīng)當(dāng)對它們都進行鏡像處理。有關(guān)使用 IPSec 過濾器的詳細(xì)信息，請參閱模塊其它成員服務(wù)器強化過程。. 用 IPSec 過濾器阻斷端口Inter 協(xié)議安全性 (IPSec) 過濾器可為增強服務(wù)器所需要的安全級別提供21 / 40有效的方法。. 保護服務(wù)帳戶的安全除非絕對必須，否則不要讓服務(wù)運行在域帳戶的安全上下文中。 “帳戶：重命名管理員帳戶” 設(shè)置可用來重命名本手冊所定義的三種環(huán)境中的管理員帳戶。注意：可以通過組策略重命名內(nèi)置的管理員帳戶。3. 更改默認(rèn)的帳戶描述，以防止帳戶被輕易識別。2. 在每個服務(wù)器上使用不同的名稱和密碼。將本地管理員帳戶改變?yōu)橐粋€特別的名稱，可以方便您的操作人員監(jiān)視對該帳戶的攻擊企圖。SID 是唯一能確定網(wǎng)絡(luò)中每個用戶、組、計算機帳戶以及登錄會話的值。許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來破壞一臺服務(wù)器。不應(yīng)更改此設(shè)置。Windows 2022 中最常見的兩個帳戶是 Guest 和 Administrator。這不包括操作系統(tǒng)使用的內(nèi)置帳戶 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。當(dāng)添加 Administrator 賬戶時，請確信指定的是經(jīng)過重命名的賬戶。如果 Administrators 安全組添加了以下任何一個拒絕訪問的用戶權(quán)限，您必須在本地登錄以更正該錯誤。警告：下表包含了內(nèi)置的 Administrator 帳戶。但是，有些帳戶和安全組不能被包括在模板內(nèi)，因為它們的安全標(biāo)識符 (SID) 對于單個的 Windows 2022 域是特定的。該錯誤指出文件夾或文件的所有者不在“Local Administrators”組中，并且這個站點的日志將暫時失效，直到其所有者被添加到“Local Administrators”組中，或者現(xiàn)有的文件夾或文件被刪除。當(dāng) IIS 日志按默認(rèn)設(shè)置存儲在 IIS 服務(wù)器中時，只有服務(wù)器管理員有權(quán)訪問它們。這樣，通過減少需要逐一存儲和分析的日志文件的數(shù)量，大大地提高了 IIS 日志記錄過程的可管理性和可伸縮性。存放數(shù)以百計的站點的 IIS 服務(wù)器通過啟用集中的二進制日志來改善日志性能。但是，應(yīng)該注意，當(dāng)啟用 ODBC 日志時，IIS 將禁用內(nèi)核模式緩存。IIS 日志可以配置為使用其它幾種 ASCII 或開放數(shù)據(jù)庫連接 (ODBC) 文件格式。遠(yuǎn)程日志讓管理員能夠建立集中的日志文件存儲和備份。為改善服務(wù)器性能，日志文件應(yīng)當(dāng)存儲到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤卷上。為限制日志的大小，應(yīng)當(dāng)對所記錄信息的內(nèi)容進行仔細(xì)規(guī)劃。IIS 日志可被用來了解那些內(nèi)容最受歡迎，確定信息瓶頸，或者用作協(xié)助攻擊事件調(diào)查的資源。 操作系統(tǒng)提供的事件日志或性能監(jiān)視功能所記錄信息范圍之外的信息。18 / 40可以為每個站點或應(yīng)用程序創(chuàng)建單獨的日志?！澳_本和可執(zhí)行文件” — 允許在服務(wù)器上運行腳本和可執(zhí)行文件。執(zhí)行 以下選項確定用戶運行腳本的級別：“無” — 不允許在服務(wù)器上運行腳本和可執(zhí)行文件。索引此資源 允許使用索引服務(wù)索引資源。目錄瀏覽 用戶可以查看文件列表和集合。要點：啟用“腳本源訪問”時，用戶可以查看敏感信息，例如用戶名和密碼。腳本源訪問包括腳本的源代碼。腳本源訪問 用戶可以訪問源文件。在默認(rèn)情況下，該權(quán)限為選中狀態(tài)。下表列舉了 IIS 支持的 Web 站點權(quán)限，并且提供了簡要描述，解釋如何為 Web 站點分配給定的權(quán)限。與 NTFS 權(quán)限不同，Web 站點權(quán)限影響試圖訪問 IIS 服務(wù)器站點的每個人。Web 站點權(quán)限可與 NTFS 權(quán)限結(jié)合使用。表 5：NTFS 權(quán)限文件類型 建議的 NTFS 權(quán)限CGI 文件（.exe、.dll、.cmd、.pl ） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）包含文件（.inc 、 .shtm、.shtml） Everyone（執(zhí)行）Administrators（完全控制）System（完全控制）靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）Everyone（只讀）Administrators（完全控制）System（完全控制）. 設(shè)置 IIS Web 站點權(quán)限IIS 將檢查 Web 站點權(quán)限，以確定在 Web 站點中可能發(fā)生的操作類型，17 / 40例如允許腳本源訪問或允許文件夾瀏覽。下表提供了關(guān)于 NTFS 權(quán)限的一些建議，這些權(quán)限將應(yīng)用于 IIS 服務(wù)器上不同的文件類型。匿名帳戶包括內(nèi)置“Guest”帳戶、 “Guests”組和“IIS Anonymous”帳戶。對于不允許匿名訪問的站點和應(yīng)用程序，匿名帳戶訪問將被明確拒絕。Web 權(quán)限則影響所有訪問站點或應(yīng)用程序的用戶。NTFS 訪問權(quán)限應(yīng)當(dāng)與 Web 訪問權(quán)限協(xié)同使用，而不是取代 Web 權(quán)限。. 設(shè)置 NTFS 權(quán)限Windows Server 2022 將檢查 NTFS 文件系統(tǒng)的權(quán)限,以確定用戶或進程對特定文件或文件夾具有的訪問權(quán)限類型。除了安全性考慮之外，將站點和應(yīng)用程序文件和文件夾放置在一個專用的磁盤卷中使諸如備份和恢復(fù)這樣的管理任務(wù)變得更加容易。首先， 的權(quán)限已經(jīng)作為 Windows Server 2022 基礎(chǔ)結(jié)構(gòu)的一部分進行了重設(shè)，從而將對它的訪問限制在很有限的用戶群中。例如， 位于于 systemroot\System32 文件夾中。將這些文件和文件夾放置到 IIS 服務(wù)器的一個專用磁盤卷 — 不包含操作系統(tǒng)的磁盤卷 — 有助于防止目錄遍歷攻擊。. 在專用磁盤卷中放置內(nèi)容IIS 會將默認(rèn) Web 站點的文件存儲到 systemroot\ipub\root，其中 systemroot 是安裝 Windows Server 2022 操作系統(tǒng)的驅(qū)動器。僅啟用在您的 IIS 服務(wù)器環(huán)境下運行的站點和應(yīng)用軟件所必需的 Web 服務(wù)擴展，通過最大限度精簡服務(wù)器的功能，可以減少每個 IIS 服務(wù)器的受攻擊面，從而增強了安全性。但是，這可能帶來一些安全性風(fēng)險，因為當(dāng)所有的擴展被啟用時，同時也啟用了您的環(huán)境下 IIS 服務(wù)器所不需要的功能，這樣 IIS 的受攻擊面就會增加。這些擴展包括 、SSI、WebDAV 和 FrontPage Server Extensions。在一次新的安裝之后，IIS 服務(wù)器將只傳輸靜態(tài)內(nèi)容。通過 IIS 服務(wù)器提供的功能來產(chǎn)生或擴展的任何動態(tài)內(nèi)容，都是通過使用 Web 服務(wù)擴展來實現(xiàn)的。有關(guān) IIS 組件位置和建議設(shè)置的指導(dǎo)，請參閱如何識別 Windows Server 2022 中的 IIS 組件。您應(yīng)該僅啟用 Web 站點和應(yīng)用程序所需的必要 IIS 組件和服務(wù)。您可以通過雙擊“ 控制面板”上的“添加 /刪除程序”來啟動 Windows 組件向?qū)?yīng)用程序服務(wù)器，以安裝和啟用 IIS 組件和服務(wù)。這些步驟不能通過組策略完成，而14 / 40應(yīng)該在所有的 IIS 服務(wù)器上手動執(zhí)行。通過 MSBP 應(yīng)用的安全設(shè)置為 IIS 服務(wù)器提供大量的增強安全性。但是，在該過程中必須謹(jǐn)慎，以確保在您的環(huán)境中將每個 IIS 服務(wù)器的受攻擊面降至最小。安裝 Windows Server 2022 和 IIS 之后，默認(rèn)情況下，IIS 僅傳輸靜態(tài) Web 內(nèi)容。組策略還可以防止管理員無意中禁用該服務(wù)?！叭f維網(wǎng)發(fā)布服務(wù) ”必須運行，以便讓 IIS 服務(wù)器通過 IIS 管理器提供網(wǎng)絡(luò)連通性和管理。因此，在本手冊所定義的全部三種環(huán)境下，我們針對 IIS 服務(wù)器的需要將“IIS Admin 服務(wù)”設(shè)置配置為“ 自動” 。您可以使用組策略來保護和設(shè)置服務(wù)的啟動模式，只允許服務(wù)器管理員訪問這些設(shè)置，從而防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)。“IIS Admin 服務(wù) ”必須運行，以便讓 IIS 服務(wù)器能夠提供 Web、FTP 、NNTP 以及 SMTP 服務(wù)。因此，在本手冊所定義的全部三種環(huán)境下，針對 IIS 服務(wù)器的需要將 “HTTP SSL”設(shè)置配置為“自動”。您可以使用組策略來保護和設(shè)置服務(wù)的啟動模式，只允許服務(wù)器管理員訪問這些設(shè)置，從而防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)。如果 HTTP SSL 服務(wù)停止，IIS 將無法執(zhí)行 SSL 功能。SSL 是建立加密通信渠道的一種開放標(biāo)準(zhǔn)，以防止諸如信用卡號等關(guān)鍵信息被中途截獲。如果想要在本手冊所定義的任何一種環(huán)境下12 / 40的 IIS 服務(wù)器上啟用這些服務(wù)，必須更改增量式 IIS 組策略。注意：MSBP 禁用了幾種其它的 IIS 相關(guān)服務(wù)。為了讓 IIS 向 Windows Server 2022 中添加 Web 服務(wù)器功能，則必須啟用以下三種服務(wù)。有關(guān) MSBP 的詳細(xì)信息，請參閱請參閱 Windows 2022/2022 安全配置手冊中建立服務(wù)器安全基準(zhǔn)部分。MSBP 設(shè)置確保了在企業(yè) IIS 服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。在本手冊所的定義的三種環(huán)境中，IIS 服務(wù)器的安全選項通過 MSBP 來配置。本手冊建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時可配置對 IIS 服務(wù)器的匿名訪問。在建立服務(wù)器安全基準(zhǔn)中，本手冊建議將 Guests 組包含在被分配了該權(quán)限的用戶和組列表中，以提供最大可能的安全性。當(dāng)用戶帳戶同時適用兩種策略時，該設(shè)置將覆蓋“ 允許通過網(wǎng)絡(luò)訪問該計算機 ”設(shè)置?！熬芙^通過網(wǎng)絡(luò)訪問該計算機” 設(shè)置決定了哪些用戶不能通過網(wǎng)絡(luò)訪問該計算機。對于組織中的每個域，這些帳戶和組擁有唯一的安全標(biāo)識 (SID)。有關(guān) MSBP 的詳細(xì)信息，請參閱 Windows 2022/2022 安全配置手冊中建立服務(wù)器安全基準(zhǔn)部分。MSBP 設(shè)置可確保所有相關(guān)的安全審核信息都記錄在所有的 IIS 服務(wù)器上。10 / 40第 4 章. IIS Web 服務(wù)安全配置建議在本手冊定義的三種環(huán)境下，IIS 服務(wù)器的審核策略設(shè)置通過 MSBP 來配置。避免未經(jīng)檢驗的服務(wù)腳本的引入而增加 Web 系統(tǒng)安全風(fēng)險。. 去除不必要的服務(wù)腳本檢查 Web 系統(tǒng)使用的服務(wù)腳本，如 CGI，Perl 等。Web 系統(tǒng)的日志目錄和文件屬于 Web 系統(tǒng)資源必須嚴(yán)格訪問權(quán)限。如果 Web 服務(wù)器具有機密的信息內(nèi)容，為了保護機密信息的傳輸安全，必須在 Web 系統(tǒng)中配置 SSL 1289 / 40位加密功能，這能夠有效保護用戶客戶端與 Web 服務(wù)器之間的數(shù)據(jù)安全傳輸，防止信息網(wǎng)絡(luò)竊取。建議根據(jù)業(yè)務(wù)需要，