基于Ｗｉｎｄｏｗｓ Ｓｅｒｖｅｒ ２００３的Ｗｅｂ服務器安全技術探討

摘要：基于Windows Server 2003+IIS6.0技術的服務器安全設置技術，包括目錄權限設置、文件權限設置、服務設置、IIS安全設置及服務器日常維護注意事項，確保服務器及WEB網(wǎng)站安全穩(wěn)定的運行。

關鍵詞：Web；安全；Windows2003 server；IIS6.0

中圖法分類號：TP311.53文獻標識碼：A文章編號：1009-3044(2008)32-1103-04

Security Technique Discussion Based on Web Server of Windows Server 2003

SUN Da-quan

(Network Information Center of Nanjing Medical University Library， Nanjing 210029， China)

Abstract: Security setting technique based on server of Windows Server 2003+IIS6.0， which including catalog purview setting， document purview setting， service setting， IIS security setting and server daily maintenance notice in order to ensure server and Web's security and steady running.

Key words: Web; Security; Windows2003 server; IIS6.0

Windows Server 2003作為微軟宣稱的“迄今為止微軟最強大的Windows服務器操作系統(tǒng)”，在安全性能方面有較大的改進和增強。Internet Information Server（簡稱IIS）6.0與Windows Server 2003結合由于容易上手、維護方便、功能全面等諸多優(yōu)勢成為了大部分網(wǎng)絡管理員進行網(wǎng)頁發(fā)布的首選。但是網(wǎng)絡惡意攻擊、黑客行為日益猖獗，黑客工具大肆傳播。因此網(wǎng)絡安全策略設置和日常安全維護是網(wǎng)絡管理員需要研究的重要課題。

1 環(huán)境概述

1.1 Windows Server 2003概況

Windows Server 2003是在可靠的 Windows 2000 Server系列的基礎上生成的，可以說它是Windows 2000 Server的升級產(chǎn)品，它集成了功能強大的應用程序環(huán)境以開發(fā)全新的XML Web服務和改進的應用程序，這些程序將會顯著提高程序和進程的執(zhí)行效率。Windows Server 2003新增了IIS6.0、集成的.NET框架、Active Directory改進、組策略管理控制臺、策略結果集、卷影子副本恢復、命令行管理、集群及緊急管理服務等。可以說Windows Server 2003是迄今為止最快、最可靠和最安全的Windows服務器操作系統(tǒng)。

Windows Server 2003有多種版本，每種都適合不同的需求：Windows Server 2003 Web版、Windows Server 2003標準版、Windows Server 2003企業(yè)版、Windows Server 2003數(shù)據(jù)中心版等。本文探討的安全技術問題是在Windows Server 2003標準版（Windows Server 2003 Standard Edition）環(huán)境下進行的。

1.2 Web服務器

WEB服務器也稱為WWW(World Wide Web)服務器，主要功能是提供網(wǎng)上信息瀏覽服務。簡單地講，HTTP Web服務是指以編程的方式直接使用HTTP操作從遠程服務器發(fā)送和接收數(shù)據(jù)。與FTP服務，EMAIL服務相比，Web服務占據(jù)了目前互聯(lián)網(wǎng)應用大半壁江山。

1.3 IIS 6.0

IIS是Internet Information Server（因特網(wǎng)信息服務器）的縮寫，作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能。

IIS6.0 是啟用了Web應用程序和XML Web服務的全功能的Web服務器。IIS 6.0是使用新的容錯進程模型完全重新搭建的，此模型很大程度上提高了Web站點和應用程序的可靠性。IIS 6.0可以將單個的Web應用程序或多個站點分隔到一個獨立的進程（稱為應用程序池）中，該進程與操作系統(tǒng)內核直接通信。當在服務器上提供更多的活動空間時，此功能將增加吞吐量和應用程序的容量，從而有效地降低硬件需求。這些獨立的應用程序池將阻止某個應用程序或站點破壞服務器上的XML Web服務或其他Web應用程序。

IIS6.0還提供狀態(tài)監(jiān)視功能以發(fā)現(xiàn)、恢復和防止Web應用程序故障。在Windows Server 2003上，Microsoft ASP.NET本地使用新的IIS進程模型。

2 Windows Server 2003服務器安全設置

2.1 目錄權限設置

服務器安全設置過程中“最小的權限+最少的服務=最大的安全”。這就意味著要加強服務器系統(tǒng)的安全性就需要在不影響WEB功能的前提下給最小的權限，并盡量關閉一些不需要使用的服務。

為了加強數(shù)據(jù)的安全性，需要將硬盤格式設置為NTFS格式，并配置相關的目錄權限。NTFS系統(tǒng)權限設置 在使用之前將每個硬盤根加上Administrators用戶組為全部權限，可選加入System用戶，刪除其它用戶（如圖1）。進入系統(tǒng)盤，設置權限如下：

1) C:\\WINDOWS 賦予Administrators、System用戶全部權限，Users 用戶默認權限不作修改；

2) 其它目錄刪除Everyone用戶；

3) C:\\Documents and Settings下All Users\\Default User目錄及其子目錄；如C:\\Documents and Settings\\All Users\\Application Data 目錄默認配置保留了Everyone用戶權限

4) C:\\WINDOWS 目錄下面的權限也得注意，如 C:\\WINDOWS\\PCHealth、C:\\windows\\Installer也是保留了Everyone權限；

5) 刪除C:\\WINDOWS\\Web\\printers目錄，此目錄的存在會造成IIS里加入一個.printers的擴展名，可溢出攻擊；

6) 刪除C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500錯誤的時候使用OWA或Iisadmpwd修改同步密碼，但在這里可以刪掉。

2.2 文件權限設置

打開C:\\Windows搜索下列文件：

net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，format.com，regsvr32.exe，xcopy.exe，wscript.exe，cscript.exe，ftp.exe，telnet.exe，arp.exe，edlin.exe，ping.exe，route.exe，finger.exe，posix.exe，rsh.exe，atsvc.exe，qbasic.exe，runonce.exe，syskey.exe，修改權限這些文件的權限，刪除所有的用戶，僅保存Administrators所有權限（如圖2）。

2.3 端口及注冊表設置

1) 關閉445端口

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\etBT\\Parameters

新建“DWORD值”值名為“SMBDeviceEnabled”數(shù)據(jù)為默認值“0”

2) 禁止建立空連接

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa

新建“DWORD值”值名為“RestrictAnonymous” 數(shù)據(jù)值為“1” [2003默認為1]

3) 禁止系統(tǒng)自動啟動服務器共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建“DWORD值”值名為“AutoShareServer”數(shù)據(jù)值為“0”

4) 禁止系統(tǒng)自動啟動管理共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建“DWORD值”值名為“AutoShareWks”數(shù)據(jù)值為“0”

5) 通過修改注冊表防止小規(guī)模DDOS攻擊

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

新建“DWORD值”值名為 “SynAttackProtect” 數(shù)據(jù)值為“1”

6) 禁止dump file的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。控制面板>系統(tǒng)屬性>高級>啟動和故障恢復把“寫入調試信息”改成無。

7) 關閉華醫(yī)生Dr.Watson

在開始-運行中輸入“drwtsn32”，或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調出系統(tǒng)里的華醫(yī)生Dr.Watson，只保留“轉儲全部線程上下文”選項，否則一旦程序出錯，硬盤會讀很久，并占用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節(jié)省幾十MB空間。

2.4 本地安全策略配置

安全策略設置方法是，開始>程序>管理工具>本地安全策略，下面是我的推薦安全設置策略：

1) 賬戶策略>密碼策略>密碼最短使用期限改成0天，即密碼不過期。

2) 賬戶策略>賬戶鎖定策略>賬戶鎖定閾值5次，賬戶鎖定時間10分鐘。

3) 本地策略>審核策略>。

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務訪問 失敗

賬戶登錄事件 成功 失敗

4) 本地策略>安全選項>清除虛擬內存頁面文件，更改為“已啟用”。

不顯示上次的用戶名，更改為“已啟用”。

不需要按CTRL+ALT+DEL，更改為“已啟用”。

不允許 SAM 賬戶的匿名枚舉，更改為“已啟用”。

不允許 SAM賬戶和共享的匿名枚舉，更改為“已啟用”。

重命名來賓賬戶，更改成一個復雜的賬戶名。

重命名系統(tǒng)管理員賬號，更改一個自己用的賬號，同時可建立一個無用戶組的Administrator賬戶。

2.5 組策略編輯器

運行gpedit.msc計算機配置，在管理模板“系統(tǒng)”中，顯示“關閉事件跟蹤程序”，更改為已禁用。

2.6 卸載不安全組件

WScript.Shell、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。下面兩種卸載方法選擇其中一種就可以。

卸載方法一：

regsvr32 /u wshom.ocx 卸載WScript.Shell 組件

regsvr32 /u shell32.dll 卸載Shell.application 組件

卸載方法二：

刪除注冊表

HKEY_CLASSES_ROOT\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8}

對應 WScript.Shell

刪除注冊表

HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540000}

對應 Shell.application

2.7 關閉不需要的服務

根據(jù)實際使用情況，將不需要或危險的的服務設為禁用，比如下列服務可設為禁用：

Alerter

ClipBook

Distributed Link Tracking Server

File Replication

Help and Support

IMAPI CD-Burning COM Service

Indexing Service

Intersite Messaging

IPSEC Services （如果使用了IP安全策略則設為自動）

Kerberos Key Distribution Center

License Logging

Messenger

NetMeeting Remote Desktop Sharing

Network DDE

Network DDE DSDM

Portable Media Serial Number Service （微軟反盜版工具，目前只針對多媒體類）

Print Spooler

Remote Registry

Routing and Remote Access

Secondary Logon

Shell Hardware Detection

Task Scheduler

TCP/IP NetBIOS Helper

Telnet

Terminal Services Session Directory

Themes

WebClient

Windows Audio

Windows Firewall/Internet Connection Sharing (ICS)

Windows Image Acquisition (WIA)

Windows Time

另外還有一些服務沒有必要在系統(tǒng)啟動時自動啟動，可設為手動啟動。

3 IIS6.0的安全設置

1) 為了保證IIS站點目錄安全，在計算機管理中設定一個新的用戶（例如，新建用戶為：lib2），去除其隸屬的User組，并將其分配給Guests這個用戶組。

2) 在IIS6.0中的目錄安全性中“身份驗證和訪問控制”里，選擇啟用匿名訪問，并設置用戶名lib2，輸入該用戶的密碼，并集成Windows身份驗證（如圖3）。

3) 在站點對應的目錄，設置改站點的權限，除Administrators和System賦予全部權限外，賦予lib2讀取和運行權限。

4) 在IIS6.0站點屬性中主目錄“配置”選項中，開啟站點父路徑。

5) 若同一臺Windows Server 2003上有多個站點，可以為各站點設置不同的用戶，以確保個站點之間的相對安全。也可以設置不同的應用程序池，讓各站點運行從進程上分開，互不干擾，這是IIS5.0以前的版本所沒有的功能。應用程序池是將一個或多個應用程序鏈接到一個或多個工作進程集合的配置。因為應用程序池中的應用程序與其他應用程序被工作進程邊界分隔，所以某個應用程序池中的應用程序不會受到其他應用程序池中應用程序所產(chǎn)生的問題的影響。

4 服務器日常維護中的安全問題

4.1 及時安裝Windows補丁

安裝完Windows Server 2003應及時打上SP2補丁，并開啟自動升級，在Microsoft提供最新補丁時自動下載并安裝。確保機器處于較為安全的狀態(tài)。

4.2 安裝殺毒軟件及防火墻

服務器端應安裝有正版的殺毒軟件及防火墻，并設置好自動升級，一個靈敏的殺毒軟件可以查殺70%以上的病毒和黑客上傳的木馬程序，也就可以大大降低服務器的安全風險。一個強大防火墻加上嚴密的策略設置可以有效地阻擋非法入侵和攻擊。

4.3 開啟日志記錄

盡管系統(tǒng)漏洞及時更新，但是系統(tǒng)漏洞仍然層出不窮，這包括操作系統(tǒng)漏洞，也包括Web程序漏洞。因此需要對系統(tǒng)的運行狀況實時監(jiān)視，以便針對各種不同的情況及時作出判斷并采取補救措施。

4.4 定期備份數(shù)據(jù)

如果數(shù)據(jù)在磁盤陣列等存儲設備上，對于一些重要數(shù)據(jù)應采取雙機熱備或鏡像克隆。對于本地數(shù)據(jù)可以備份至其他服務器，如果是sql數(shù)據(jù)庫或mysql數(shù)據(jù)庫，可使用批處理文件添加Windows計劃任務，定時執(zhí)行備份。其他數(shù)據(jù)還可以借助網(wǎng)上的備份軟件或備份工具完成日常備份。如果一些磁盤做過RAID，要定期查看磁盤是否在線，有無異常情況。

4.5 修改遠程桌面端口

配置遠程服務器時候有一個非常重要的工作，為了遠程控制方便經(jīng)常要啟用Windows Server 2003的遠程桌面終端，自己使用是方便了，但也給系統(tǒng)留下了隱患，如果系統(tǒng)安全策略配置不好很有可能被人利用而入侵，一般情況下把默認的3389端口改成其它端口可以降低風險，使入侵者不容易利用。

4.6 Serv-U權限設置

很多管理員為了存儲和傳送數(shù)據(jù)的需要會在服務器上開設FTP功能，作為一款精典的FTP服務器軟件，SERV－U一直被大部分管理員所使用，它簡單的安裝和配置以及強大的管理功能的人性化也一直被管理員們稱頌。但是隨著使用者越來越多，該軟件的安全問題也逐漸顯露出來。首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一個賬號可以輕易的得到SYSTEM權限。其次是Serv-u的本地溢出漏洞，即Serv-U有一個默認的管理用戶（用戶名：localadministrator，密碼：#|@$ak#.|k;0@p），任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執(zhí)行任意內部和外部命令。因此需要加強對SERV-U的設置，諸如設置密碼，更改安裝目錄，設置目錄訪問權限等。

5 結束語

上述設置只能概況服務器安全設置中的一小部分，隨著網(wǎng)絡技術的普及和發(fā)展，病毒、木馬、黑客的更是層出不窮，正所謂“道高一尺，魔高一丈”，要管理好身邊的服務器，必須要求網(wǎng)絡管理員加強學習，提高辨別能力。

參考文獻：

[1] 曾振河.Windows 2003安全設置及分析[J].漳州職業(yè)技術學院學報，2005(2):44-48.

[2] 馬鵬衛(wèi).基于Serv-U的FTP服務器三個關鍵設置[J].法制與經(jīng)濟，2006(7):102-103.

[3] 許順雄.加強IIS的安全管理 確保web服務器安全[J].科技情報開發(fā)與經(jīng)濟，2006(16):257.

[4] 黃海廣.基于Win 2000 server的web服務器安全技術探討[J].網(wǎng)絡通訊與安全，2006(32):56-57.

[5] 涂心環(huán).web服務器安全問題的探討[J].科技咨詢導報，2007(27):15.

[6] 徐泓.web站點的WinNT(2000)服務器安全解決方案[J].科技咨詢導報，2007(07):16.

[7] 巫廣彥.WIN2003服務器安全加固方案[J].計算機安全，2007(11):97-98.