IIS网站的安全性管理课件_第1页
IIS网站的安全性管理课件_第2页
IIS网站的安全性管理课件_第3页
IIS网站的安全性管理课件_第4页
IIS网站的安全性管理课件_第5页
已阅读5页,还剩45页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、IIS網站的安全性管理羅英嘉2007年4月1全球資訊網的威脅全球資訊網的安全性問題來自三個層面:1. 用戶端使用安全性問題2. 網站安全性問題3. 網頁內容傳輸安全性問題2網站安全性的保護層面網頁應用程式網站伺服器(Web Server)作業系統Operating System網路環境3作業系統安全性原則若無安全的作業環境,即無法提供安全性的網站實體安全 (Physical Security)採用高安全性的範本即時更新作業系統的安全性修補檔 (自動更新、WSUS)強制密碼原則 (使用嚴謹不易猜測的密碼)變更administrator名稱並設嚴謹密碼停用或移除不必要的帳戶(guest, serv

2、ice account)定期執行MBSA掃瞄是否存在弱點關閉不必要及有安全疑慮的服務 (最好是專屬的網站伺服器)File and print share for Microsoft networkNetBIOS Over TCP/IPCIFS啟用並設定稽核日誌功能並定期檢視4網站安全性管理IIS 網站安全性管理策略與技術資源存取控制IP 位址/網域名稱網頁權限NTFS權限身份驗證提升攻擊難度關閉不用服務防火牆入侵偵測網頁應用程式安全應用程式鎖定原則程式員定期資安教育應用程式隔離原則網頁傳輸安全SSL/TLS備份備份網頁資料備份網站組態監控稽核記錄存取記錄漏洞稽核5網站存取控制的重要性網站存取控

3、制是一種限制網站資源存取的處理方式及程序,用以保護網站資源不會被非經授權者存取或授權存取者作不當的存取。存取控制最高原則:最低權限賦予原則(least privilege)網頁資源只賦予那些被授權存取的使用者為了完成其允許的作業所需要的最低權限即可。6IIS 存取控制機制7使用IP位址來控制存取IIS可針對目錄或檔案資源以下列方式控制存取單一電腦電腦群組網域名稱方式:白名單適合企業網站黑名單適合禁止特定機器適用環境:Intranet, Extranet 伺服器問題:IP 位址易於假造,無法確保存取控制的目的8利用網域來控制存取以網域名稱來控制存取雖簡單直接,但需作反向對應,影響效能DEMO9網

4、頁權限 (Web Permission)讀取使用者可瀏覽檔案內容及屬性(預設為選取) 寫入使用者可變更檔案內容及屬性指令碼來源存取允許使用者可存取檔案的原始程式碼;如 ASP 應用程式中的指令碼。如果已指派讀取或寫入使用權限,則可讀取或寫入原始程式碼。 瀏覽目錄允許使用者檢視目錄下的檔案清單記錄查閱每次造訪資源都會產生記錄項目編製這個資源的索引允許索引服務編製資源的索引執行無:避免執行任何程式或指令碼。 僅指令碼:將應用程式對應到一個指令碼引擎來進行執行指令碼及執行檔:可執行任何可執行檔10網頁權限使用原則遵循最低權限賦予原則啟用寫入、指令碼來源存取、瀏覽目錄和指令碼及執行檔四個網頁權限易形成

5、可利用的弱點而遭受攻擊,非有必要不要啟用。寫入指令碼來源存取瀏覽目錄指令碼及執行檔11共用網頁權限和NTFS使用權限IIS網頁權限的權限等級通常不夠細分化,只針對網頁物件。基於更高安全性考量,需搭配NTFS檔案系統的使用權限,才足夠建構一個較安全的網站存取環境二者合併使用時,最後的有效權限為二者最嚴謹的權限 (取二者允許權限的交集關係)12不同網頁程式的建議存取權限網頁檔案類型網頁權限NTFS 權限CGI 程式(.exe, .dll, .cmd, .pl) 、ISAPI程式讀取指令碼及執行檔讀取及執行指令檔 (.asp .aspx、php、jsp)讀取僅指令碼讀取引入檔 (.inc, .sht

6、m, .shtml)讀取僅指令碼讀取靜態網頁 (.txt, .gif, .jpg, .html)讀取讀取13設定網頁目錄與檔案權限DEMO14IIS 身份驗證方法匿名驗證 基本驗證 摘要式驗證 整合的 Windows 驗證 憑證驗證 15使用IIS驗證方法預設啟用匿名及整合的 Windows 驗證。 只有在下列情況下,Web 伺服器才可使用基本、摘要式或整合的 Windows 驗證方法:匿名存取 並沒有被選取。 匿名存取失敗或檔案及目錄的存取受到 NTFS 權限的限制。 摘要式及整合的 Windows 驗證不能用於 FTP 站台如果 .NET passport被核選,則無法使用其它驗證方法驗證

7、方法的使用優先順序:匿名整合的 Windows 驗證摘要式驗證基本驗證 16驗證方法伺服器需求用戶端需求說明匿名驗證匿名帳戶:IUSR_computername沒有限制,適用各種瀏覽器一般Internet的網站需允許匿名存取、Intranet、ExtraNet的網站通常會禁止匿名存取基本驗證有效的機器或網域使用者帳戶並具備登入本機的權利沒有限制,適用各種流覽器明碼傳送驗證,效率佳、相容性最佳,安全性差需搭配SSL才具安全性摘要式驗證 需Active Directory環境下使用IIS 5需設定可回復的密碼IE 5 以上的流覽器使用雜錯演算法加密傳送,安全性較高,支援代理驗證整合的 Window

8、s 驗證有效的機器或網域使用者帳戶IE 2 以上的流覽器採用挑戰/回應演算法驗證,高安全性,但NTLM無法支援代理驗證IIS 驗證方法比較17BasicDigestNTLMKerberosX.509 CertsPassportIIS 驗證功能比較需要Windows 帳戶?YYYYNN支援委派驗證(delegation)?*YNNYN*N密碼明文傳送?YNNNNN支援非IE瀏覽器?YYNNYY易通過防火牆?YYNNYYSeamless user experience?NNYYYY*Windows 2003 Server的 Kerberos 協定可以支援委派*某些憑證對應是可委派,但大部份均不支援

9、18設定身份驗證方法套用順序匿名整合式摘要式基本DEMO19IIS 驗證方法的安全性等級驗證方法安全性等級匿名存取(Anonymous)無基本驗證 (Basic)*摘要式驗證(Digest)*.NET Passport驗證*整合式(Integrated)*基本驗證+SSL*用戶端憑證*20實務問題若需建構一個高度安全性的商業網站,所以需要執行身份驗證網際網路上也不適合強制用戶端應使用何種瀏覽器 管理員該採用何種驗證方法?21SSL (Secure Sockets Layer )源自1994年netscape,架構在TCP 之上的安全性通訊協定SSL為目前最廣泛應用的網頁傳輸安全性協定,即HTT

10、P+SSL=HTTPSSSL支援的安全性服務:驗證 (Authentication) :使用RSA、DSS和X.509憑證等公開金鑰加密技術傳輸的機密性 (Confidentiality):使用IDEA、3DES、RC4 對稱性加密技術完整性(Integrity):使用MD5、SHA等雜湊為基礎的訊息確認碼 (MAC)網站啟用SSL 並無法提供不可否認性證明22SSL 握手協定流程Client_helloCertificateCertificate_verifyClient_key_exchangeFinishChange_cipher_specServer_helloServer_key_e

11、xchangeCertificateCertificate_requestServer_hello_doneChange_cipher_specFinish用戶端伺服端第一階段:建立安全機制包括協定版本、會談識別碼、加密套件(包括金鑰交換或產生方法)、壓縮方法,起始亂數第二階段:伺服器確認和金鑰交換伺服器送出憑證、金鑰交換訊息或RSA公開金鑰、請求憑證訊息,最後伺服器送出“hello message”的結束訊息第三階段:用戶端認證和金鑰交換用戶端可能被要求送出憑證,用戶送出金鑰交換或產生之前置之主金鑰(以伺服器之RSA公開金鑰加密),用戶可能送出憑證驗證第四階段:完成雙方產生主金鑰,變更加密套

12、件,完成握手協定23SSL實作步驟IIS管理員向憑證管理中心請求SSL伺服憑證利用網頁伺服器憑證精靈建立網站使用的憑證請求檔利用產生出來的憑證請求檔向CA申請下載憑證將申請下來的憑證安裝在IIS網站在需要安全通訊的網站、虛擬或真實目錄或個別網頁檔上啟動使用安全通道(SSL)大部份的情況均會以目錄為啟動SSL的對象考慮是否啟用128位元加密連線用戶端必需利用https 協定存取網頁24 使用SSL會影響到效率,故通常建議只有必要的目錄才設定啟用SSLDEMO25用戶端使用SSL 連線HTTPHTTPSSSL 憑證26備份SSL憑證與金鑰管理員必需備份SSL憑證與金鑰使用伺服器憑證精靈程式使用憑證

13、工具27用戶端憑證利用憑證取代傳統的密碼系統來進行驗證一種高度安全性的網頁驗證方法適用在需要高度安全性需求的商業網站使用者需要申請用戶端憑證28使用用戶端憑證用戶端憑證對應位置 對應方法Active DirectoryIIS一對一 (1-to-1)多對一 (many-to-1)29IIS 對應取消啟用Windows 目錄服務對應程式編輯IIS對應DEMO30IIS 對應 (1-to-1)31網站應用程式安全性管理只啟用必要的網頁類型、技術與功能移除不必要的應用程式對應選擇工作者處理序隔離模式程式員定期接受資安教育,撰寫安全程式碼32管理IIS MIME類型清單原則:關閉不使用的檔案類型、應用程

14、式功能與技術可被攻擊的層面就越小、提升攻擊困難度IIS 6只接受副檔名有登錄在MIME類型清單的檔案移除不使用的檔案類型管理MIME類型清單伺服器層級網站層級目錄層級建議:取消伺服器層級的所有MIME 類型,只於網站/目錄層級加入必要的MIME類型33移除不必要的應用程式對應如果不使用請移除對應對應的副檔名重設網頁密碼.htrInternet Database Connector .idcServer-side Includes.stm, .shtm, and .shtmlInternet Printing.printerIndex Server.htw, .ida and .idq34網頁服

15、務延伸(Web Service Extensions)IIS 6利用網頁服務延伸支援動態網頁內容只允許已使用的網頁服務延伸不要啟用所有未知的CGI擴充程式與所有未知的ISAPI擴充程式二個WSE35使用工作者處理序隔離模式IIS 6支援二種應用程式隔離模式工作者處理序隔離模式預設模式使應用程式在不同的應用程式集區處理保護應用程式集區中的應用程式可以免於受到其它應用程式集區錯誤的影響IIS 5.0 隔離模式提供老舊應用程式相容性的執行模式建議採用工作者處理序隔離模式,因提供較佳的穩定性與安全性36建立應用程式集區2. 輸入識別碼在某些情況,您可能需要讓某個特定應用程式擁有自已獨立的執行空間與環境

16、,所以您需要替它建立獨立的應用程式集區1. 應用程式集區新增應用程式集區37替應用程式指定不同的應用程式集區38設定安全的工作處理序身份識別決定在應用程式集區內的身份識別內建身份識別本機系統(LocalSystem) - 權限最高,允許存取整部系統,應避免設定此身份識別網路服務(NetworkService) - 權限低,可以存取網路上的資源 (預設)本機服務(LocalService) - 權限最低,只能存取本機資源,適用於不需存取其它伺服服務的應用程式自訂身份識別必須加入到IIS_WPG群組39網頁程式撰寫的基本安全原則不要將使用者及密碼資料直接寫到網頁內不要將隱藏的輸入欄位私密性資料儲存

17、在網頁或cookies必需完整確認所有資料輸入的型態檢查、長度檢查並設計正確的查詢方法以降低SQL Injection類型的攻擊威脅留意所有資料長度的使用檢查以避免不當的程式碼導致緩衝區溢位的攻擊40其它IIS安全性建議備份Metabase與網頁應用程式IIS 記錄與稽核使用虛擬目錄取代真實目錄利用群組原則控制IIS的安裝選擇安全性的遠端管理工具與方式41備份 IIS MetabaseMetabase維護IIS大部份的組態為了避免不當的組態設定或刪除、毀損的意外,管理員需定期或重大變更後備份MetabaseDEMO(1) 選取備份選項(2)執行備份(3) 輸入名稱與密碼保護42IIS 記錄II

18、S 記錄連線使用者在網站的活動行為,可用來作為網站與網頁使用量分析及安全性查核工作。43稽核Metabase條件:Windows Server 2003 SP1稽核物件存取執行 iiscnfg.vbs指令啟用稽核cscript.exe iiscnfg.vbs/enableAudit/r 檢視安全性記錄檔44利用群組原則控制IIS的安裝透過群組原則可以禁止某些機器安裝IIS,以避免被攻擊已安裝IIS的機器並不會因此受到限制45選擇安全性的遠端管理工具與方式遠端桌面連線 (Remote Desktop)使用憑證、設定逾期時間與128位元加密網際網路資訊服務(IIS)管理員 (MMC)使用IPSec網頁管理工具 (HTTPS)文字模式設定管理直接編輯 metabase (%systemroot%system32inetsrvmetabase.xml或使用Metabase Explorer)命令列指令 (%systemrootsystem32iis*)自行撰寫程式46IIS 安全管理實務指引即時更新作業系統與IIS的安全性修正程式關閉不使用的服務符合最低權限賦予原則的存取控制方法IP位址網頁權限NTFS權限採用較嚴謹身份驗證方法啟動II

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论