1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台

使用 IIS 7.0 建置安全站台

全球資訊網的威脅全球資訊網的安全性問題來自三個層面： 1. 用戶端使用安全性問題 2. 網站安全性問題 3. 網頁內容傳輸安全性問題

網站安全性的保護層面網頁應用程式網站伺服器 (Web Server) 作業系統 Operating System 網路環境

作業系統安全性原則 -I 若無安全的作業環境，即無法提供安全的網站實體安全 (Physical Security) 採用高安全性的範本即時更新作業系統的安全性修補檔 ( 自動更新、 WSUS) 強制密碼原則 ( 使用嚴謹不易猜測的密碼 ) 變更 administrator 名稱並設嚴謹密碼停用或移除不必要的帳戶 (guest, service account)

作業系統安全性原則 -II 定期執行 MBSA 掃瞄是否存在弱點關閉不必要及有安全疑慮的服務 ( 最好是專屬的網站伺服器 ) File and print share for Microsoft network NetBIOS Over TCP/IP CIFS 啟用並設定稽核日誌功能並定期檢視

IIS 網站安全性管理策略與技術 - - 網站安全性管理資源存取控制 IP 位址 / 網域名稱網頁權限 NTFS 權限身份驗證提升攻擊難度關閉不用服務防火牆入侵偵測網頁應用程式安全應用程式鎖定原則　程式員定期資安教育應用程式隔離原則　網頁傳輸安全 SSL/TLS 備份備份網頁資料備份網站組態監控稽核記錄存取記錄漏洞稽核

網站存取控制的重要性網站存取控制是一種限制網站資源存取的處理方式及程序，用以保護網站資源不會被非經授權者存取或授權存取者作不當的存取。存取控制最高原則：最低權限賦予原則 (least privilege) 網頁資源只賦予那些被授權存取的使用者為了完成其允許的作業所需要的最低權限即可。

IIS 存取控制機制使用 IPv4 位址來控制存取授權規則（ Authorization Rules ）

使用 IPv4 位址來控制存取 IIS 可針對目錄或檔案資源以下列方式控制存取單一電腦電腦群組方式： Allow Entry ：適合企業網站 Deny Entry ：適合禁止特定機器問題： IP 位址易於假造，無法確保存取控制的目的

授權規則（ Authorization Rules ）

授權規則（ Authorization Rules ）允許所有使用者存取允許匿名存取允許特定群組帳號存取允許特定使用者帳號存取允許特定動作行為

共用網頁權限和 NTFS 使用權限 IIS 網頁權限的權限等級通常不夠細分化，只針對網頁物件。基於更高安全性考量，需搭配 NTFS 檔案系統的使用權限，才足夠建構一個較安全的網站存取環境二者合併使用時，最後的有效權限為二者最嚴謹的權限 ( 取二者允許權限的交集關係 )

不同網頁程式的建議存取權限網頁檔案類型網頁權限 NTFS 權限 CGI 程式 (.exe, .dll, .cmd, .pl) 、 ISAPI 程式讀取指令碼及執行檔讀取及執行指令檔 (.asp .aspx 、 php 、 jsp) 讀取僅指令碼讀取引入檔 (.inc, .shtm, .shtml) 讀取僅指令碼讀取靜態網頁 (.txt, .gif, .jpg, .html) 讀取讀取

設定網頁目錄與檔案權限 +

IIS7 身份驗證方法匿名驗證基本驗證摘要式驗證 Windows 驗證憑證驗證

使用 IIS 驗證方法預設啟用匿名及整合的 Windows 驗證。 Web 伺服器使用「基本」、「摘要式」或 Windows 驗證方法的時機： [ 匿名存取 ] 並沒有被選取。匿名存取失敗或檔案及目錄的存取受到 NTFS 權限的限制驗證方法的使用優先順序：匿名 Windows 驗證摘要式驗證基本驗證

IIS 驗證方法比較驗證方法伺服器需求用戶端需求說明匿名驗證匿名帳戶： IUSR 沒有限制，適用各種瀏覽器一般 Internet 的網站需允許匿名存取、 Intranet 、 ExtraNet 的網站通常會禁止匿名存取基本驗證有效的機器或網域使用者帳戶並具備「登入本機」的權利沒有限制，適用各種流覽器明碼傳送驗證，效率佳、相容性最佳，安全性差需搭配 SSL 才具安全性摘要式驗證需 Active Directory 環境下使用 IIS 5 需設定可回復的密碼 IE 5 以上的流覽器使用雜錯演算法加密傳送，安全性較高，支援代理驗證 Windows 驗證有效的機器或網域使用者帳戶 IE 2 以上的流覽器採用挑戰 / 回應演算法驗證，高安全性，但 NTLM 無法支援代理驗證

IIS 驗證功能比較 Basic Digest NTLM Kerberos X.509 Certs Passport 需要 Windows 帳戶 ? Y Y Y Y N N 支援委派驗證 (delegation)? Y N N Y N N 密碼明文傳送 ? Y N N N N N 支援非 IE 瀏覽器 ? Y Y N N Y Y 易通過防火牆 ? Y Y N N Y Y Seamless user experience? N N Y Y Y Y

設定身份驗證方法匿名基本整合式摘要式憑證

IIS 驗證方法的安全性等級驗證方法安全性等級匿名存取 (Anonymous) 無基本驗證 (Basic) * 摘要式驗證 (Digest) ** WINDOWS 驗證 **** 基本驗證 +SSL **** 用戶端憑證 *****

實務問題若需建構一個高度安全性的商業網站，所以需要執行身份驗證網際網路上也不適合強制用戶端應使用何種瀏覽器管理員該採用何種驗證方法？

SSL (Secure Sockets Layer ) 源自 1994 年 netscape ，架構在 TCP 之上的安全性通訊協定 SSL 為目前最廣泛應用的網頁傳輸安全性協定，即 HTTP+SSL=HTTPS SSL 支援的安全性服務：驗證 (Authentication) ：使用 RSA 、 DSS 和 X.509 憑證等公開金鑰加密技術傳輸的機密性 (Confidentiality) ：使用 IDEA 、 3DES 、 RC4 對稱性加密技術完整性 (Integrity) ：使用 MD5 、 SHA 等雜湊為基礎的訊息確認碼 (MAC) 網站啟用 SSL 並無法提供「不可否認性」證明

SSL 握手協定流程 Client_hello Certificate Certificate_verify Client_key_exchange Finish Change_cipher_spec Server_hello Server_key_exchange Certificate Certificate_request Server_hello_done Change_cipher_spec Finish 用戶端伺服端第一階段：建立安全機制包括協定版本、會談識別碼、加密套件 ( 包括金鑰交換或產生方法 ) 、壓縮方法，起始亂數第二階段：伺服器確認和金鑰交換伺服器送出憑證、金鑰交換訊息或 RSA 公開金鑰、請求憑證訊息，最後伺服器送出“ hello message” 的結束訊息第三階段：用戶端認證和金鑰交換用戶端可能被要求送出憑證，用戶送出金鑰交換或產生之前置之主金鑰 ( 以伺服器之 RSA 公開金鑰加密 ) ，用戶可能送出憑證驗證第四階段：完成雙方產生主金鑰，變更加密套件，完成握手協定

SSL 實作步驟 IIS 管理員向憑證管理中心請求 SSL 伺服憑證利用「網頁伺服器憑證精靈」建立網站使用的憑證請求檔利用產生出來的憑證請求檔向 CA 申請下載憑證將申請下來的憑證安裝在 IIS 網站在需要安全通訊的網站、虛擬或真實目錄或個別網頁檔上啟動「使用安全通道 (SSL) 」大部份的情況均會以目錄為啟動 SSL 的對象考慮是否啟用 128 位元加密連線用戶端必需利用 https 協定存取網頁

※ 使用 SSL 會影響到效率，故通常建議只有必要的目錄才設定啟用 SSL

備份 SSL 憑證與金鑰管理員必需備份 SSL 憑證與金鑰使用伺服器憑證精靈程式使用「憑證」工具

用戶端憑證利用憑證取代傳統的密碼系統來進行驗證一種高度安全性的網頁驗證方法適用在需要高度安全性需求的商業網站使用者需要申請用戶端憑證

使用用戶端憑證用戶端憑證對應位置對應方法 Active Directory IIS 一對一 (1-to-1) 多對一 (many-to-1)

網站應用程式安全性管理只啟用必要的網頁類型、技術與功能移除不必要的應用程式對應選擇工作者處理序隔離模式程式員定期接受資安教育，撰寫安全程式碼

管理 IIS MIME 類型清單原則：關閉不使用的檔案類型、應用程式功能與技術可被攻擊的層面就越小、提升攻擊困難度 IIS 6 只接受副檔名有登錄在 MIME 類型清單的檔案移除不使用的檔案類型管理 MIME 類型清單伺服器層級網站層級目錄層級建議：取消伺服器層級的所有 MIME 類型，只於網站 / 目錄層級加入必要的 MIME 類型

移除不必要的應用程式對應如果不使用請移除對應對應的副檔名重設網頁密碼 .htr Internet Database Connector .idc Server-side Includes .stm, .shtm, and .shtml Internet Printing .printer Index Server .htw, .ida and .idq

建立應用程式集區在某些情況，您可能需要讓某個特定應用程式擁有自已獨立的執行空間與環境，所以您需要替它建立獨立的應用程式集區

設定安全的工作處理序身份識別決定在應用程式集區內的身份識別內建身份識別本機系統 (LocalSystem) - 權限最高，允許存取整部系統，應避免設定此身份識別網路服務 (NetworkService) - 權限低，可以存取網路上的資源 ( 預設 ) 本機服務 (LocalService) - 權限最低，只能存取本機資源，適用於不需存取其它伺服服務的應用程式自訂身份識別必須加入到 IIS_WPG 群組

網頁程式撰寫的基本安全原則不要將使用者及密碼資料直接寫到網頁內不要將隱藏的輸入欄位私密性資料儲存在網頁或 cookies 必需完整確認所有資料輸入的型態檢查、長度檢查並設計正確的查詢方法以降低 SQL Injection 類型的攻擊威脅留意所有資料長度的使用檢查以避免不當的程式碼導致緩衝區溢位的攻擊

其它 IIS 安全性建議備份 Metabase 與網頁應用程式 IIS 記錄與稽核使用虛擬目錄取代真實目錄利用群組原則控制 IIS 的安裝選擇安全性的遠端管理工具與方式

備份 IIS Metabase Metabase 維護 IIS 大部份的組態為了避免不當的組態設定或刪除、毀損的意外，管理員需定期或重大變更後備份 Metabase

IIS 記錄 IIS 記錄連線使用者在網站的活動行為，可用來作為網站與網頁使用量分析及安全性查核工作。

利用群組原則控制 IIS 的安裝透過群組原則可以禁止某些機器安裝 IIS ，以避免被攻擊已安裝 IIS 的機器並不會因此受到限制

選擇安全性的遠端管理工具與方式遠端桌面連線 (Remote Desktop) 使用憑證、設定逾期時間與 128 位元加密網際網路資訊服務 (IIS) 管理員 (MMC) 使用 IPSec 網頁管理工具 (HTTPS) 文字模式設定管理直接編輯 metabase (%systemroot%\system32\inetsrv\metabase.xml 或使用 Metabase Explorer) 命令列指令 (%systemroot\system32\iis*) 自行撰寫程式

IIS 安全管理實務指引即時更新作業系統與 IIS 的安全性修正程式關閉不使用的服務符合最低權限賦予原則的存取控制方法 IP 位址網頁權限 NTFS 權限採用較嚴謹身份驗證方法啟動 IIS 日誌功能，作為安全性查核依據

IIS 安全管理指引 ( 續 ) 移除不必要的應用程式對應、 MIME 檔案類型與網頁延伸服務傳送私密性質網頁需使用 SSL 安全協定使用工作者處理序隔離模式，設定應用程式集區的的身份識別的特權不能超過「網路服務」

在何處取得 TechNet 相關資訊？訂閱 TechNet 資訊技術人快訊 http://www.microsoft.com/taiwan/technet/flash/ 訂閱 TechNet Plus http://www.microsoft.com/taiwan/technet/ 參加 TechNet 的活動 http://www.microsoft.com/taiwan/technet/ 下載 TechNet 研討會簡報與錄影檔 http://www.microsoft.com/taiwan/technet/webcast/

1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台

More Related Content

What's hot (20)

Similar to 1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台 (20)

More from Timothy Chen (20)

1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台

Editor's Notes