IIS网站的安全性管理ppt课件

1、IIS網站的平安性管理羅英嘉2007年4月1全球資訊網的威脅全球資訊網的平安性問題來自三個層面：1. 用戶端运用平安性問題2. 網站平安性問題3. 網頁內容傳輸平安性問題2網站平安性的保護層面網頁應用程式網站伺服器(Web Server)作業系統Operating System網路環境3作業系統平安性原則假设無平安的作業環境，即無法提供平安性的網站實體平安 (Physical Security)採用高平安性的範本即時更新作業系統的平安性修補檔 (自動更新、WSUS)強制密碼原則 (运用嚴謹不易猜測的密碼)變更administrator名稱並設嚴謹密碼停用或移除不用要的帳戶(guest, ser

2、vice account)定期執行MBSA掃瞄能否存在弱點關閉不用要及有平安疑慮的服務 (最好是專屬的網站伺服器)File and print share for Microsoft networkNetBIOS Over TCP/IPCIFS啟用並設定稽核日誌功能並定期檢視4網站平安性管理IIS 網站平安性管理战略與技術資源存取控制IP 位址/網域名稱網頁權限NTFS權限身份驗證提升攻擊難度關閉不用服務防火牆入侵偵測網頁應用程式平安應用程式鎖定原則程式員定期資安教育應用程式隔離原則網頁傳輸平安SSL/TLS備份備份網頁資料備份網站組態監控稽核記錄存取記錄破绽稽核5網站存取控制的重要性網站存取

3、控制是一種限制網站資源存取的處理方式及程序，用以保護網站資源不會被非經授權者存取或授權存取者作不當的存取。存取控制最高原則：最低權限賦予原則(least privilege)網頁資源只賦予那些被授權存取的运用者為了完成其允許的作業所需求的最低權限即可。6IIS 存取控制機制7运用IP位址來控制存取IIS可針對目錄或檔案資源以以下方式控制存取單一電腦電腦群組網域名稱方式：白名單適合企業網站黑名單適合制止特定機器適用環境：Intranet, Extranet 伺服器問題：IP 位址易於假造，無法確保管取控制的目的8利用網域來控制存取以網域名稱來控制存取雖簡單直接，但需作反向對應，影響效能DEMO9

4、網頁權限 (Web Permission)讀取使用者可瀏覽檔案內容及屬性(預設為選取) 寫入使用者可變更檔案內容及屬性指令碼來源存取允許使用者可存取檔案的原始程式碼；如 ASP 應用程式中的指令碼。如果已指派讀取或寫入使用權限，則可讀取或寫入原始程式碼。 瀏覽目錄允許使用者檢視目錄下的檔案清單記錄查閱每次造訪資源都會產生記錄項目編製這個資源的索引允許索引服務編製資源的索引執行無：避免執行任何程式或指令碼。 僅指令碼：將應用程式對應到一個指令碼引擎來進行執行指令碼及執行檔：可執行任何可執行檔10網頁權限运用原則遵照最低權限賦予原則啟用寫入、指令碼來源存取、瀏覽目錄和指令碼及執行檔四個網頁權限易构

5、成可利用的弱點而蒙受攻擊，非有必要不要啟用。寫入指令碼來源存取瀏覽目錄指令碼及執行檔11共用網頁權限和NTFS运用權限IIS網頁權限的權限等級通常不夠細分化，只針對網頁物件。基於更高平安性考量，需搭配NTFS檔案系統的运用權限，才足夠建構一個較平安的網站存取環境二者合併运用時，最後的有效權限為二者最嚴謹的權限 (取二者允許權限的交集關係)12不同網頁程式的建議存取權限網頁檔案類型網頁權限NTFS 權限CGI 程式(.exe, .dll, .cmd, .pl) 、ISAPI程式讀取指令碼及執行檔讀取及執行指令檔 (.asp .aspx、php、jsp)讀取僅指令碼讀取引入檔 (.inc, .sh

6、tm, .shtml)讀取僅指令碼讀取靜態網頁 (.txt, .gif, .jpg, .html)讀取讀取13設定網頁目錄與檔案權限DEMO14IIS 身份驗證方法匿名驗證 根本驗證 摘要式驗證 整合的 Windows 驗證 憑證驗證 15运用IIS驗證方法預設啟用匿名及整合的 Windows 驗證。 只需在以下情況下，Web 伺服器才可运用根本、摘要式或整合的 Windows 驗證方法：匿名存取 並沒有被選取。 匿名存取失敗或檔案及目錄的存取遭到 NTFS 權限的限制。 摘要式及整合的 Windows 驗證不能用於 FTP 站台假设 .NET passport被核選，則無法运用其它驗證方法驗

7、證方法的运用優先順序：匿名整合的 Windows 驗證摘要式驗證根本驗證 16驗證方法伺服器需求用戶端需求說明匿名驗證匿名帳戶：IUSR_computername沒有限制，適用各種瀏覽器一般Internet的網站需允許匿名存取、Intranet、ExtraNet的網站通常會禁止匿名存取基本驗證有效的機器或網域使用者帳戶並具備登入本機的權利沒有限制，適用各種流覽器明碼傳送驗證，效率佳、相容性最佳，安全性差需搭配SSL才具安全性摘要式驗證 需Active Directory環境下使用IIS 5需設定可回復的密碼IE 5 以上的流覽器使用雜錯演算法加密傳送，安全性較高，支援代理驗證整合的 Windo

8、ws 驗證有效的機器或網域使用者帳戶IE 2 以上的流覽器採用挑戰/回應演算法驗證，高安全性，但NTLM無法支援代理驗證IIS 驗證方法比較17BasicDigestNTLMKerberosX.509 CertsPassportIIS 驗證功能比較需要Windows 帳戶?YYYYNN支援委派驗證(delegation)?*YNNYN*N密碼明文傳送?YNNNNN支援非IE瀏覽器?YYNNYY易通過防火牆?YYNNYYSeamless user experience?NNYYYY*Windows 2003 Server的 Kerberos 協定可以援助委派*某些憑證對應是可委派，但大部份均不援

9、助18設定身份驗證方法套用順序匿名整合式摘要式根本DEMO19IIS 驗證方法的平安性等級驗證方法安全性等級匿名存取(Anonymous)無基本驗證 (Basic)*摘要式驗證(Digest)*.NET Passport驗證*整合式(Integrated)*基本驗證+SSL*用戶端憑證*20實務問題假设需建構一個高度平安性的商業網站，所以需求執行身份驗證網際網路上也不適合強制用戶端應运用何種瀏覽器 管理員該採用何種驗證方法？21SSL (Secure Sockets Layer )源自1994年netscape，架構在TCP 之上的平安性通訊協定SSL為目前最廣泛應用的網頁傳輸平安性協定，即H

10、TTP+SSL=HTTPSSSL援助的平安性服務：驗證 (Authentication) ：运用RSA、DSS和X.509憑證等公開金鑰加密技術傳輸的機密性 (Confidentiality)：运用IDEA、3DES、RC4 對稱性加密技術完好性(Integrity)：运用MD5、SHA等雜湊為基礎的訊息確認碼 (MAC)網站啟用SSL 並無法提供不可否認性證明22SSL 握手協定流程Client_helloCertificateCertificate_verifyClient_key_exchangeFinishChange_cipher_specServer_helloServer_key

11、_exchangeCertificateCertificate_requestServer_hello_doneChange_cipher_specFinish用戶端伺服端第一階段：建立平安機制包括協定版本、會談識別碼、加密套件(包括金鑰交換或產生方法)、壓縮方法，起始亂數第二階段：伺服器確認和金鑰交換伺服器送出憑證、金鑰交換訊息或RSA公開金鑰、請求憑證訊息，最後伺服器送出“hello message的結束訊息第三階段：用戶端認證和金鑰交換用戶端能够被要求送出憑證，用戶送出金鑰交換或產生之前置之主金鑰(以伺服器之RSA公開金鑰加密)，用戶能够送出憑證驗證第四階段：完成雙方產生主金鑰，變更加密

12、套件，完成握手協定23SSL實作步驟IIS管理員向憑證管理中心請求SSL伺服憑證利用網頁伺服器憑證精靈建立網站运用的憑證請求檔利用產生出來的憑證請求檔向CA申請下載憑證將申請下來的憑證安裝在IIS網站在需求平安通訊的網站、虛擬或真實目錄或個別網頁檔上啟動运用平安通道(SSL)大部份的情況均會以目錄為啟動SSL的對象考慮能否啟用128位元加密連線用戶端必需利用https 協定存取網頁24 运用SSL會影響到效率，故通常建議只需必要的目錄才設定啟用SSLDEMO25用戶端运用SSL 連線HTTPSSSL 憑證26備份SSL憑證與金鑰管理員必需備份SSL憑證與金鑰运用伺服器憑證精靈程式运用憑證工具2

13、7用戶端憑證利用憑證取代傳統的密碼系統來進行驗證一種高度平安性的網頁驗證方法適用在需求高度平安性需求的商業網站运用者需求申請用戶端憑證28运用用戶端憑證用戶端憑證對應位置 對應方法Active DirectoryIIS一對一 (1-to-1)多對一 (many-to-1)29IIS 對應取消啟用Windows 目錄服務對應程式編輯IIS對應DEMO30IIS 對應 (1-to-1)31網站應用程式平安性管理只啟用必要的網頁類型、技術與功能移除不用要的應用程式對應選擇任务者處理序隔離方式程式員定期接受資安教育，撰寫平安程式碼32管理IIS MIME類型清單原則：關閉不运用的檔案類型、應用程式功能

14、與技術可被攻擊的層面就越小、提升攻擊困難度IIS 6只接受副檔名有登錄在MIME類型清單的檔案移除不运用的檔案類型管理MIME類型清單伺服器層級網站層級目錄層級建議：取消伺服器層級的一切MIME 類型，只於網站/目錄層級参与必要的MIME類型33移除不用要的應用程式對應如果不使用請移除對應對應的副檔名重設網頁密碼.htrInternet Database Connector .idcServer-side Includes.stm, .shtm, and .shtmlInternet Printing.printerIndex Server.htw, .ida and .idq34網頁服務延伸

15、(Web Service Extensions)IIS 6利用網頁服務延伸援助動態網頁內容只允許已运用的網頁服務延伸不要啟用一切未知的CGI擴充程式與一切未知的ISAPI擴充程式二個WSE35运用任务者處理序隔離方式IIS 6援助二種應用程式隔離方式任务者處理序隔離方式預設方式使應用程式在不同的應用程式集區處理保護應用程式集區中的應用程式可以免於遭到其它應用程式集區錯誤的影響IIS 5.0 隔離方式提供老舊應用程式相容性的執行方式建議採用任务者處理序隔離方式，因提供較佳的穩定性與平安性36建立應用程式集區2. 輸入識別碼在某些情況，您能够需求讓某個特定應用程式擁有自已獨立的執行空間與環境，所以

16、您需求替它建立獨立的應用程式集區1. 應用程式集區新增應用程式集區37替應用程式指定不同的應用程式集區38設定平安的任务處理序身份識別決定在應用程式集區內的身份識別內建身份識別本機系統(LocalSystem) - 權限最高，允許存取整部系統，應防止設定此身份識別網路服務(NetworkService) - 權限低，可以存取網路上的資源 (預設)本機服務(LocalService) - 權限最低，只能存取本機資源，適用於不需存取其它伺服服務的應用程式自訂身份識別必須参与到IIS_WPG群組39網頁程式撰寫的根本平安原則不要將运用者及密碼資料直接寫到網頁內不要將隱藏的輸入欄位私密性資料儲存在網頁

17、或cookies必需完好確認一切資料輸入的型態檢查、長度檢查並設計正確的查詢方法以降低SQL Injection類型的攻擊威脅留意一切資料長度的运用檢查以防止不當的程式碼導致緩衝區溢位的攻擊40其它IIS平安性建議備份Metabase與網頁應用程式IIS 記錄與稽核运用虛擬目錄取代真實目錄利用群組原則控制IIS的安裝選擇平安性的遠端管理工具與方式41備份 IIS MetabaseMetabase維護IIS大部份的組態為了防止不當的組態設定或刪除、毀損的不测，管理員需定期或艰苦變更後備份MetabaseDEMO(1) 選取備份選項(2)執行備份(3) 輸入名稱與密碼保護42IIS 記錄IIS 記

18、錄連線运用者在網站的活動行為，可用來作為網站與網頁运用量分析及平安性查核任务。43稽核Metabase條件：Windows Server 2003 SP1稽核物件存取執行 iiscnfg.vbs指令啟用稽核cscript.exe iiscnfg.vbs/enableAudit/r 檢視平安性記錄檔44利用群組原則控制IIS的安裝透過群組原則可以制止某些機器安裝IIS，以防止被攻擊已安裝IIS的機器並不會因此遭到限制45選擇平安性的遠端管理工具與方式遠端桌面連線 (Remote Desktop)运用憑證、設定逾期時間與128位元加密網際網路資訊服務(IIS)管理員 (MMC)运用IPSec網頁管理工具 (HTTPS)文字方式設定管理直接編輯 metabase (%systemroot%system32inetsrvmetabase.xml或运用Metabase Explorer)命令列指令 (%systemrootsystem32iis*)自行撰寫程式46IIS 平安管理實務指引即時更新作業系統與IIS的平安性修正程式關閉不运用的服務符合最低權限賦予原則的存取控制方法IP位址網頁權限NTFS權限採用較嚴謹身份驗證方法啟動II