細說高校ＷＥＢ服務器安全

摘要：根據高校WEB服務器的使用特點，以Windows2003為例，從防攻擊、防病毒等各個方面詳細闡述了高校WEB服務器的安全防范措施。

關鍵詞：應用程序池；NTFS權限；目錄安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)26-1689-02

Relates in Detail the University WEB Server Security

WANG Yuan-zhe

(Henan Industrial University， Zhengzhou 450052， China)

Abstract: According to the university WEB server's handling characteristics， take Windows2003 as an example， from against attack， anti-virus and so on each aspect elaborated the university WEB server's safety precaution measure in detail.

Key words: application pool; NTFS permissions; directory security

1 引言

校園網絡作為教育系統乃至全國的教育宣傳陣地，在網絡蓬勃發展的今天，扮演著越來越重要的角色。與門戶網站一樣，教育網絡宣傳的重要手段仍然是通過網站，即WEB發布。然而，隨著計算機技術和網絡技術的不斷發展，計算機網絡病毒和黑客攻擊等破壞性威脅愈加凸顯。同時，由于高校網站，尤其是各個部門的子站，在建設技術上參差不齊、使用網絡上的開放性代碼、管理權限分散、安全意識不足等原因，使其具有先天性的安全隱患。本文就當前高校WEB服務器運行中幾個突出的安全問題，從防攻擊、防病毒等方面給出了實踐中總結出來的一些管理經驗。

2 操作系統安全配置

基本的操作系統安全設置大概包括以下幾個方面的內容：

1） 安裝補丁，安裝好操作系統后連入互聯網之前一定要先安裝完備的補丁程序并保持更新，由于系統本身漏洞造成的不安全是致命的。

2） 設置本機端口保護，只保留需要的端口，并刪除所有盤符的默認共享。

3） 更改系統管理用戶名稱，并設置超長密碼陷阱，禁用GUEST和SUPPORT用戶。

4） 刪除不必要的網絡協議，如NetBEUI和IPX／SPX協議。

5） 安裝殺毒軟件，并及時更新。

以上這些設置是一臺WEB服務器的基本安全設置，沒有這些基本的安全保障，其他再復雜的設置也是無從談起的。

3 目錄安全性設置

由于高校的各部門的二級子站點數量繁多，而網站的搭建技術參差不齊，后臺程序漏洞較多。為了進一步限制來訪者的訪問權限，可通過設置目錄安全性來限制本站點對外的開放權限。設置目錄安全性主要是NTFS的權限設置，前提是在安裝系統的時候將所有系統盤和存放網站的盤設置為NTFS格式。設置目錄安全性的原理是通過限制用戶的權限來限制每一個目錄的訪問權限。具體方法為：

3.1 全局目錄安全性

為系統盤和存放WEB站點的盤設置NTFS權限，盤符上單擊右鍵→屬性→安全，在“組和用戶名稱”中保留超級管理員用戶和系統用戶SYSTEM，并給予完全控制的權限，刪除其他用戶。需要指出的是，如果IIS日志目錄是WINDOWS\\system32\\LogFiles，應該給該目錄添加IIS匿名用戶（下面會提到）的訪問權限，否則IIS日志將失效。

3.2 WEB站點目錄安全性

建立一個WEB用戶專用組，在用戶組中為每一個WEB站點創建一個用戶，即IIS匿名用戶，并設立密碼，勾選“用戶不能更改密碼”及“密碼永不過期”。建立后設置其屬性，在“遠程控制” 選項中把“啟用遠程控制” 前的對勾去掉，在“終端服務配置文件” 中， 勾選“拒絕這個用戶登錄到任何終端服務器”。為每個WEB目錄設置目錄安全，文件上單擊右鍵→屬性→安全，在“組和用戶名稱”中添加WEB專用組中建立的該WEB站點對應的用戶，以test用戶為例，并只給“讀取”權限，這樣保證了除了超級管理用戶和系統用戶外，只有test用戶對該文件夾有訪問權限。

結合IIS為每一個WEB站點建立虛擬目錄，例如該例中的虛擬目錄為vpathtest。修改該虛擬目錄的匿名訪問用戶，虛擬目錄上右鍵→屬性→目錄安全性→編輯，修改匿名訪問用戶為上面為該WEB站點設立的用戶test，并輸入該用戶對應的密碼，如圖1所示：

當用戶訪問該站點的文件的時候，對文件的操作權限，就是這個“IIS匿名用戶”所具有的權限，而這個“IIS匿名用戶”的權限已經收到了限制。

4 提升IIS的安全級別

IIS的安全問題一直是WEB服務器的焦點問題，這里主要從基本的安全設置和應用程序隔離兩個方面來討論。

4.1 基本安全配置

1) 配置IIS組件和服務，只選擇基本的IIS組件和服務。IIS 6.0除了包括WWW服務之外，還包括一些子組件和服務，例如FTP服務和SMTP服務。為了最大限度地降低針對特定服務和子組件的攻擊風險，只選擇網站和Web 應用程序正確運行所必需的服務和子組件。

2) 如果站點內部不需要父目錄的支持，不要啟用父目錄，減少跨站提權攻擊的可能性。

3) 默認的匿名 Internet 用戶帳戶IUSR_ComputerName 是在IIS安裝期間創建的。因為已經為每個WEB站點的虛擬目錄設置獨立的“IIS匿名用戶”，用不到默認的匿名用戶，所以重命名該IUSR 帳戶，并在IIS元數據庫中更改 IUSR 帳戶的值，目的是讓IUSR 帳戶徹底失效。

4) 為了增強 IIS 日志文件的安全，重定向IIS日志目錄，設置IIS日志文件的權限。應將IIS日志重定向到非系統驅動器，此驅動器為NTFS 文件系統。

5) 修改IIS中網站的“自定義錯誤”中常見錯誤的文件和路徑，防止攻擊探測網站的基本信息。

4.2 配置應用程序隔離

使用應用程序池來隔離應用程序。使用IIS 6.0，可以將應用程序隔離到應用程序池內。應用程序池是包含一個或多個URL的一個組，一個工作進程或者一組工作進程對應用程序池提供服務。因為每個應用程序都獨立于其他應用程序運行，因此，使用應用程序池可以提高Web服務器的可靠性和安全性。在 Windows2003 操作系統上運行進程的每個應用程序都有一個進程標識，以確定此進程如何訪問系統資源。每個應用程序池也有一個進程標識，此標識是一個以應用程序需要的最低權限運行的帳戶?？梢允褂么诉M程標識來允許上面為每個站點創建的“IIS匿名用戶”來訪問網站或應用程序。具體配置方法為：

1) 打開“Internet 信息服務(IIS)管理器”。右鍵單擊“應用程序池”，單擊“新建”，然后單擊“應用程序池”。在“應用程序池 ID”框中，為應用程序池鍵入一個新 ID。在“應用程序池設置”下，單擊“Use default settings for the new application pool”然后單擊“確定”。

2) 為網站或應用程序分配到應用程序池，打開“Internet信息服務(IIS)管理器”。右鍵單擊想要分配到應用程序池的網站或應用程序，本文指每個站點的虛擬目錄，然后單擊“屬性”。單擊“主目錄”，在“應用程序名”框中選擇該網站的虛擬目錄名稱，在“應用程序池”列表框中，選擇為該應用程序建立的應用程序池名，然后單擊“確定”。如圖2所示：

使用應用程序池，可有效將應用程序隔離在自己的虛擬目錄內，這樣可以防止病毒程序跨目錄運行，例如當前流行的IFRAME病毒，在配置了應用程序池后就無法大范圍的傳播。

5 組件安全

常見的不安全的組件主要有FSO、XML、STREM、WSH和Shell。其實，只要做好了上面的權限設置，FSO、XML、STREM都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。但是WSH和Shell仍然是危險的，因為它可以運行你硬盤里的EXE等程序。

5.1 卸載最不安全的組件

簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.bat文件

regsvr32/u C:\\WINDOWS\\System32\\wshom.ocx

del C:\\WINDOWS\\System32\\wshom.ocx

regsvr32/u C:\\WINDOWS\\system32\\shell32.dll

del C:\\WINDOWS\\system32\\shell32.dll

然后運行文件，WScript.Shell， Shell.application， WScript.Network，組件自動被卸載。

5.2 修改不安全組件名

組件的名稱和Clsid都要改。下面以Shell.application為例來介紹方法。打開注冊表查找Shell.application可找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改為13709620-C279-11CE-A49E-444553540001

Shell.application 改為 Shell.application_test

這里需要注意，Clsid中只能是十個數字和ABCDEF六個字母。

6 結束語

計算機技術和網絡技術在不斷發展，網站安全也將是一個永無止境話題。本文根據多年來的WEB服務器管理經驗總結了一些實用的安全管理方法。但是安全是沒有絕對的，本文提到的內容也有不完備之處，最好的網站安全管理人員是能根據自己學校的網絡特點制定符合實際情況的安全管理策略。

參考文獻：

[1] 徐方，陶維.動態Web網站安全防范技術探討[J].孝感學院學報，2006，26(6):87-90.

[2] 李璐，校園計算機網絡安全風險的防范與控制[J].網絡安全技術與應用，2006，(8):71-73.

[3] 李新，李成友.基于Windows系統的Web服務器安全研究與實現[J].教育信息化，2006，(07):19-21.