Windows Server 2003 安全性指南

第 9 章:網頁伺服器角色

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
匿名存取與 SSLF 設定
稽核原則設定
使用者權利指派
安全性選項
事件記錄設定
其他安全性設定
使用 SCW 建立原則
總結

概觀

本章提供指引,以協助您強化組織中執行 Microsoft® Windows Server™ 2003 SP1 的網頁伺服器。 為提供您的組織內部網路中,網頁伺服器和應用程式週全的安全性,Microsoft 建議您保護每一部 Microsoft Internet Information Services (IIS) 伺服器,和在這些伺服器中執行的每一個網站與應用程式,以防備能與它們建立連線的用戶端電腦。 您也應該保護這些網站與應用程式,避免因組織的內部網路中,其他 IIS 伺服器中執行的網站與應用程式而受害。

為協助防範惡意的使用者與攻擊者,Windows Server 2003 系列的成員預設設定並未安裝 IIS。 IIS 於安裝時會設定為高度安全的「鎖定」模式。 例如,IIS 在預設狀態下只能提供靜態內容。 像是 Active Server Pages (ASP)、ASP.NET、伺服器端引入 (SSI)、WebDAV 發行和 Microsoft FrontPage® Server Extensions 等功能,因為有可能遭受入侵者利用,所以必須等管理員啟用之後才能運作。 這些功能和服務可透過「網際網路資訊服務管理員 (IIS 管理員)」內的「網頁服務延伸」節點來啟用。 「IIS 管理員」採用圖形式使用者介面 (GUI),專為方便管理 IIS 所設計。 包括檔案管理、目錄管理、應用程式庫設定等資源,以及安全性、效能和可靠度等功能。

請考慮實作本章後續各節所說明的設定,以強化組織的內部網路中,裝載 HTML 內容之 IIS 網頁伺服器的安全性。 為了協助保護伺服器,也請實作安全性的監督、偵測與回應程序,以提防新的威脅。

本指南所述大多數設定均透過群組原則來進行設定和套用。 會有補充 MSBP 的增量 GPO 連結到適當的 OU,給網頁伺服器更多的保護。 為增進本章的使用性,因此僅討論與 MSBP 不同的原則設定。

在可能的情況下,這些設定會收集到準備套用到網頁伺服器 OU 的增量群組原則範本中。 本指南所述之部分設定無法透過群組原則來進行套用。 本指南還提供如何手動設定這些設定的詳細資訊。

下表所列的,是本指南所定義的三種環境中,網頁伺服器安全性範本的名稱。 這些網頁伺服器安全性範本可提供增量網頁伺服器範本的原則設定。 您可以使用這個範本建立新的 GPO,連結到適當環境中的網頁伺服器 OU。 第 2 章<Windows Server 2003 強化機制>中提供有逐步指示,協助您建立 OU 和群組原則之後,將適當的安全性範本匯入到每個 GPO 中。

表 9.1 IIS 伺服器安全性範本

傳統用戶端

企業用戶端

專業安全性限制功能

LC-Web Server.inf

EC-Web Server.inf

SSLF-Web Server.inf


如需所有預設值的相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址 http://go.microsoft.com/fwlink/?LinkId=15159。

本指南說明如何以最低限度所安裝與啟用的功能來保護 IIS 的安全。 如果您規劃還要使用 IIS 的其他功能,可能必須調整部分安全性設定。 如果安裝如 SMTP、FTP 或 NNTP 等更多服務,您必須調整隨附的範本與原則。

線上文章 IIS 與內建帳戶 (IIS 6.0) (英文),網址 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx 中解說 IIS 的不同功能所使用的帳戶,以及分別所需的特殊權限。 若要在主控複合應用程式的網頁伺服器實作更多安全設定,請參閱完整的 IIS 6.0 說明文件 (英文),網址 http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/
Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx。

匿名存取與 SSLF 設定

MSBP 中在 SSLF 情況下所明確定義的使用者權利,其中有 4 項是為了破解對 IIS 網站匿名存取所設計。 然而,如果您需要允許在 SSLF 環境中進行匿名存取,則必須對本指南第 2、3、4 章中所說明的 OU 結構與 GPO 作出一些重大變更。 您必須建立不屬於成員伺服器 OU 下方階層的新 OU。 這個 OU 可以直接連接到網域根目錄,也可以是某個其他 OU 階層的子 OU。 然而,在 GPO 中指派的使用者權利不可影響即將放置在這個新 OU 中的 IIS 伺服器。 您可以將 IIS 伺服器移到新的 OU,建立新的 GPO,對它套用 MSBP 設定,再重新設定使用者權利指派,以便由本機原則,而非網域 GPO 所控制。 換句話說,請在這個新 GPO 中,將下列使用者權利設定設為 [尚未定義]。

  • 從網路存取這台電腦

  • 允許本機登入

  • 略過周遊檢查

  • 以批次工作登入

您需要啟用的 IIS 功能可決定您是否也必須將其他的使用者權利指派設定重設為 [尚未定義]。

稽核原則設定

本指南所定義三種環境下,適用於 IIS 伺服器的稽核原則設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保所有相關的安全性稽核資訊均記錄到所有 IIS 伺服器中。

使用者權利指派

本指南所定義三種環境下,適用於 IIS 伺服器的使用者權利指派設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保所有相關的安全性稽核資訊均記錄到所有 IIS 伺服器中。

安全性選項

本指南所定義三種環境下,適用於 IIS 伺服器的安全性選項設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定可確保所有相關的安全性選項能一致地在所有 IIS 伺服器中設定。

事件記錄設定

本指南所定義三種環境下,適用於 IIS 伺服器的事件記錄設定,都是透過 MSBP 加以設定。 如需 MSBP 的更多資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 設定能確保適當的事件記錄設定可一致地在組織的所有 IIS 伺服器中設定。

其他安全性設定

當 IIS 安裝在執行 Windows Server 2003 SP1 的電腦中時,其預設設定僅允許傳輸靜態的網頁內容。 若網站和應用程式包含有動態內容,或需要一個或多個額外的 IIS 元件時,則必須個別啟用每項額外的 IIS 功能。 然而,您必須小心謹慎,使得組織中每一部 IIS 伺服器遭受攻擊的風險降到最低。 如果組織中的網站是由靜態內容組成,並且不需要任何其他的 IIS 元件,則預設的 IIS 設定足以將 IIS 伺服器的受攻擊面縮到最小。

透過 MSBP 套用的安全性設定能替 IIS 伺服器提供絕佳的強化安全性。 然而,您必須考慮加上幾個其他設定。 以下幾節所提及的設定無法透過群組原則加以實作,因此必須在所有的 IIS 伺服器上手動執行。

僅安裝 IIS 的必要元件

除了 World Wide Web 發行服務外,IIS 6.0 也包含其他元件和服務,例如提供 FTP、NNTP 及 SMTP 支援所需的服務。 IIS 的元件及服務是使用「Windows 元件精靈應用程式伺服器」來安裝及啟用。啟動此伺服器的方式是透過 [控制台] 的 [新增或移除程式]。 安裝 IIS 之後,必須啟用您的網站及應用程式所需的所有 IIS 元件與服務。

安裝 Internet Information Services (IIS) 6.0

  1. 在 [控制台] 中,連按兩下 [新增或移除程式]。

  2. 按一下 [新增/移除 Windows 元件] 按鈕,以啟動「Windows 元件精靈」。

  3. 在 [元件] 清單中,依序按一下 [Application Server] 及 [詳細資料]。

  4. 在 [Application Server] 對話方塊的 [Application Server 的子元件] 之下,按一下 [網際網路資訊服務 (IIS)],再按 [詳細資料]。

  5. 在 [網際網路資訊服務 (IIS)] 對話方塊的 [網際網路資訊服務 (IIS) 的子元件] 清單,執行下列其中一項:

    • 若要新增可選用的元件,請選取想要安裝元件旁邊的核取方塊。

    • 若要移除可選用的元件,清除想要移除元件旁邊的核取方塊。

  6. 連續按 [確定],直到返回 Windows 元件精靈。

  7. 按 [下一步],然後再按 [完成]。

請只啟用網站與應用程式所需的基本 IIS 元件與服務。 啟用不必要的元件和服務會擴大 IIS 伺服器的受攻擊面。 下列圖解與表格說明 IIS 元件的位置與建議的設定。

[Application Server] 對話方塊中的子元件如下圖所示:

圖 9.1 內有子元件清單的「應用程式伺服器」對話方塊

圖 9.1 內有子元件清單的「應用程式伺服器」對話方塊

下表簡明描述「應用程式伺服器」的子元件,並對啟用元件的時機提供建議。

表 9.2 應用程式伺服器子元件的建議設定

UI 中的元件名稱

設定

設定邏輯

應用程式伺服器主控台

已停用

提供 Microsoft Management Console (MMC) 嵌入式管理單元,讓您能夠管理所有的「Web 應用程式伺服器」元件。 這個元件在專用的 IIS 伺服器上並非必要,因為也可以使用「IIS 伺服器管理員」。

ASP.NET

已停用

對 ASP.NET 應用程式提供支援。 當 IIS 伺服器執行 ASP.NET 應用程式時,請啟用這個元件。

啟用網路 COM+ 存取

已啟用

讓 IIS 伺服器能夠裝載 COM+ 元件,來處理分散式應用程式。 對於 FTP、BITS 伺服器延伸、全球資訊網服務,以及「IIS 管理員」等來說是必要的。

啟用網路 DTC 存取

已停用

讓 IIS 伺服器能夠裝載透過分散式異動協調器 (DTC) 來參與網路異動的應用程式。 除非 IIS 伺服器上執行的應用程式需要此元件,否則停用。

網際網路資訊服務 (IIS)

已啟用

提供基本的 Web 和 FTP 服務。 此元件對專用的 IIS 伺服器來說是必要的。

注意:若未啟用此元件,則無法使用任何的子元件。

訊息佇列

已停用

Microsoft Message Queuing (MSMQ) 可為企業的網頁應用程式提供訊息路由、儲存與轉送的中介軟體層。


[網際網路資訊服務 (IIS)] 對話方塊中的子元件如下圖所示:

圖 9.2 內有子元件清單的 IIS 對話方塊

圖 9.2 內有子元件清單的 IIS 對話方塊

下表簡明描述 IIS 的子元件,並對啟用元件的時機提供建議。

表 9.3 建議的 IIS 子元件設定

UI 中的元件名稱

設定

設定邏輯

幕後智慧型傳送服務 (BITS) 伺服器延伸

已停用

BITS 伺服器延伸讓用戶端的 BITS 能從幕後將檔案上傳到這部伺服器。 如果您的用戶端中有一個應用程式是以 BITS 上傳檔案到這部伺服器,則請啟用與設定 BITS 伺服器延伸;否則請維持停用。 請注意,Windows Update、Microsoft Update、SUS、WSUS 及「自動更新」均不需執行此元件。 它們需要的是 BITS 用戶端元件,而此元件不是 IIS 的一部分。

共用檔案

已啟用

IIS 需要這些檔案,且它們在 IIS 伺服器上必須一直保持啟用狀態。

檔案轉換通訊協定 (FTP) 服務

已停用

讓 IIS 伺服器能夠提供 FTP 服務。 此服務對專用的 IIS 伺服器來說並非必要。

FrontPage 2002 Server Extensions

已停用

提供網站系統管理與發佈的 FrontPage 支援。 當沒有網站使用 FrontPage 延伸時,請在專用 IIS 伺服器上停用此元件。

網際網路資訊服務管理員

已啟用

IIS 的系統管理介面。

網際網路列印

已停用

提供以 Web 為基礎的印表機管理,並讓印表機能夠透過 HTTP 達到共用的功能。 此元件在專用的 IIS 伺服器上並非必要。

NNTP Service

已停用

在網際網路中散佈、查詢、擷取,以及張貼 Usenet 新聞。 此元件在專用的 IIS 伺服器上並非必要。

SMTP Service

已停用

支援電子郵件的傳送。 此元件在專用的 IIS 伺服器上並非必要。

全球資訊網服務

已啟用

提供 Web 服務、靜態,及動態的內容給用戶端。 此元件在專用的 IIS 伺服器上是必要的。


[訊息佇列] 對話方塊中的子元件如下圖所示:

圖 9.3 內有子元件清單的「訊息佇列」對話方塊

圖 9.3 內有子元件清單的「訊息佇列」對話方塊

下表簡明描述「訊息佇列」的子元件,並對啟用元件的時機提供建議。

表 9.4 訊息佇列子元件的建議設定

UI 中的元件名稱

安裝選項

設定邏輯

Active Directory 整合

已停用

每當 IIS 伺服器屬於某一網域時,提供與 Active Directory® 目錄服務相整合的功能。 當 IIS 伺服器上執行的網站和應用程式使用 Microsoft Message Queuing (MSMQ) 時,此元件是必要的。

通用

已停用

當 IIS 伺服器上執行的網站和應用程式使用 MSMQ 時,此元件是必要的。

下層用戶端支援

已停用

提供 Active Directory 的存取權及站台識別給下層用戶端。 當 IIS 伺服器上的網站和應用程式使用 MSMQ 時,此元件是必要的。

MSMQ HTTP 支援

已停用

提供透過 HTTP 傳輸傳送與接收訊息的功能。 當 IIS 伺服器上的網站和應用程式使用 MSMQ 時,此元件是必要的。

路由支援

已停用

針對 MSMQ 提供存放及轉寄的訊息處理和高效路由服務。 當 IIS 伺服器上執行的網站和應用程式使用 MSMQ 時,此元件是必要的。

觸發程序

已停用

在送入訊息的到達佇列,與 COM 元件或獨立可執行程式的功能之間建立關聯。


[幕後智慧型傳送服務 (BITS) 伺服器延伸] 對話方塊中的子元件如下圖所示:

圖 9.4 內有子元件清單的 BITS 伺服器延伸

圖 9.4 內有子元件清單的 BITS 伺服器延伸

下表簡明描述「BITS 伺服器延伸」的子元件,並對啟用元件的時機提供建議。

表 9.5 BITS 伺服器延伸子元件的建議設定

UI 中的元件名稱

安裝選項

設定邏輯

BITS 管理主控台嵌入式管理單元

已停用

安裝 MMC 嵌入式管理單元來管理 BITS。 當啟用了網際網路伺服器應用程式發展介面 (ISAPI) 的 BITS 伺服器延伸時,請啟用此元件。

BITS 伺服器延伸 ISAPI

已停用

安裝 BITS ISAPI 以讓 IIS 伺服器能使用 BITS 傳輸資料。 BITS 伺服器延伸讓用戶端的 BITS 能從幕後將檔案上傳到這部伺服器。 如果您的用戶端中有一個應用程式是以 BITS 上傳檔案到這部伺服器,則請啟用與設定 BITS 伺服器延伸;否則請維持停用。 請注意,Windows Update、Microsoft Update、SUS、WSUS 及「自動更新」均不需執行此元件。 它們需要的是 BITS 用戶端元件,而此元件不是 IIS 的一部分。


[全球資訊網服務] 對話方塊中的子元件如下圖所示:

圖 9.5 內有子元件清單的「全球資訊網服務」對話方塊

圖 9.5 內有子元件清單的「全球資訊網服務」對話方塊

下表簡明描述「全球資訊網服務」的子元件,並對啟用元件的時機提供建議。

表 9.6 全球資訊網服務子元件的建議設定

UI 中的元件名稱

安裝選項

設定邏輯

動態伺服器網頁

已停用

提供對 ASP 的支援。 當 IIS 伺服器上沒有網站或應用程式使用 ASP 時,請停用此元件,或者使用網頁服務延伸模組來停用它。 如需更多資訊,請參閱本章後面的<只啟用必要的網頁服務延伸>一節。

網際網路資料連接器

已停用

支援由副檔名為 .idc 之檔案所提供的動態內容。 當 IIS 伺服器上沒有網站或應用程式包含副檔名為 .idc 的檔案時,請停用此元件,或者使用網頁服務延伸來停用它。 如需更多資訊,請參閱本章後面的<只啟用必要的網頁服務延伸>一節。

遠端系統管理 (HTML)

已停用

提供 HTML 介面來管理 IIS。 請改為使用「IIS 管理員」來提供更簡易的管理功能,並減少 IIS 伺服器的受攻擊面。 此功能在專用的 IIS 伺服器上並非必要。

遠端桌面網站連線

已停用

包含 Microsoft ActiveX® 控制項和範本網頁,來裝載「終端機服務」用戶端連線。 請改為使用「IIS 管理員」來提供更簡易的管理功能,並減少 IIS 伺服器的受攻擊面。 在專用的 IIS 伺服器上並非必要。

伺服器端引入

已停用

提供對 .shtm、.shtml,以及 .stm 檔案的支援。 當 IIS 伺服器上沒有網站或應用程式使用這些副檔名的包含檔時,請停用此元件。

WebDAV

已停用

WebDAV 可延伸 HTTP/1.1 通訊協定,讓用戶端能夠發佈、鎖定,以及管理網路上的資源。 請在專用的 IIS 伺服器上停用此元件,或者使用網頁服務延伸來停用它。 如需更多資訊,請參閱本章後面的<只啟用必要的網頁服務延伸>一節。

全球資訊網服務

已啟用

提供 Web 服務、靜態,及動態的內容給用戶端。 此元件在專用的 IIS 伺服器上是必要的。

僅啟用基本的網頁服務延伸

許多在 IIS 伺服器上執行的網站和應用程式已將功能延伸超越靜態頁面,包括具有產生動態內容的能力。 任何透過 IIS 伺服器的功能所作用或延伸的動態內容,都是透過網頁服務延伸達成。

IIS 6.0 內強化的安全性功能可允許啟用或停用個別的網頁服務延伸。 如先前所述,IIS 伺服器剛新安裝後只能傳送靜態內容。 動態內容的功能可透過「IIS 管理員」內的 [網頁服務延伸] 節點啟用。 這些延伸包括 ASP.NET、SSI、WebDAV 和 FrontPage Server 等。

為了確保與現有應用程式之間具有儘可能最高的相容性,啟用所有網頁服務延伸是一種方法,但這種方法因為會擴大 IIS 的受攻擊面,所以也會製造安全性的風險。 您只能啟用環境中 IIS 伺服器上所執行網站與應用程式所需的網頁服務延伸。 這種做法可將伺服器的功能降到最低,以縮小每部 IIS 伺服器的受攻擊面。

為了儘可能縮小 IIS 伺服器的受攻擊面,本指南所定義三種環境內的 IIS 伺服器中,只啟用必要的網頁服務延伸。

下表列出預先定義的網頁服務延伸,並提供應於何時啟用各項延伸的詳細資料。

表 9.7 啟用網頁服務延伸

網頁服務延伸

啟用延伸的時機

動態伺服器網頁

在 IIS 伺服器中執行的一或多個網站和應用程式都包含 ASP 內容。

ASP.NET v1.1.4322

在 IIS 伺服器中執行的一或多個網站和應用程式都包含 ASP.NET 內容。

所有未知的 CGI 擴充程式

在 IIS 伺服器中執行的一或多個網站和應用程式都包含未知的 CGI 擴充程式內容。

所有未知的 ISAPI 擴充程式

在 IIS 伺服器中執行的一或多個網站和應用程式都包含未知的 ISAPI 擴充程式內容。

FrontPage Server Extensions 2002

在 IIS 伺服器中執行的一或多個網站都使用 FrontPage 延伸。

網際網路資料連接器 (IDC)

在 IIS 伺服器中執行的一或多個網站和應用程式都是使用 IDC 來顯示資料庫資訊 (此內容包含 .idc 和 .idx 檔案)。

伺服器端引入 (SSI)

在 IIS 伺服器中執行的一或多個網站都是使用 SSI 指示,來命令 IIS 伺服器將可重複使用的內容 (例如,導覽列、網頁頁首或頁尾) 插入不同的網頁。

WebDav

在 IIS 伺服器中 WebDAV 支援是必要的,用戶端才能無障礙地發佈及管理 Web 資源。

將內容置放在專用的磁碟區

IIS 會把預設網站的檔案儲存在 <systemroot> \inetpub\wwwroot 資料夾 (其中 <systemroot> 是安裝 Windows Server 2003 作業系統的磁碟機)。

在本指南所定義的三種環境中,組成網站與應用程式的所有檔案與資料夾都會放置在與作業系統分開的專屬磁碟區。 這種作法可防止攻擊者傳送 IIS 伺服器目錄結構以外所在檔案的要求,達成目錄周遊攻擊。

例如,Cmd.exe 檔是在 <systemroot> \System32 資料夾中。 攻擊者可對下列位置發出要求:

..\..\Windows\system\cmd.exe

以試圖叫出命令提示字元。

如果網站內容是位在分開的磁碟區,有兩個原因可造成這種型態的目錄周遊攻擊失敗。 首先,Windows Server 2003 SP1 的基本建置中已重設對於 Cmd.exe 檔的特殊權限,可將存取權限定為更加少數的使用者群組才能擁有。 其次,Cmd.exe 檔和 Web 根目錄會存放在不同的磁碟區,目前還無人能以這類攻擊進行不同磁碟機的命令存取。

除了安全性方面的好處之外,若將網站和應用程式的檔案及資料夾放置在專用的磁碟區,系統管理工作 (例如備份與還原) 也更便利。 此外,運用個別、專用的實體磁碟機能有助於避免系統磁碟區上的磁碟交錯,增進整體磁碟區的存取效能。

設定 NTFS 權限

執行 Windows Server 2003 SP1 的電腦會檢查 NTFS 檔案系統權限,以判定使用者或程序對於特定檔案或資料夾擁有的存取權類型。 請指派 NTFS 權限,以允許或拒絕特定使用者存取本指南所定義的三種環境內,IIS 伺服器中的網站。

NTFS 權限只會影響已允許或拒絕其存取網站和應用程式內容的帳戶。 請將 NTFS 權限搭配 Web 權限一同使用,不可替代 Web 權限。 網站權限會影響存取網站或應用程式的所有使用者。 如果網站權限和目錄或檔案的 NTFS 權限衝突,會套用限制更大的設定。

因為不宜匿名存取,請明確拒絕存取網站和應用程式中的匿名帳戶。 匿名存取是指讓沒有驗證通過憑證的使用者存取網路資源。 匿名帳戶包括內建的 Guest 帳戶、Guests 群組,及 IIS Anonymous 帳戶。 此外,除了 IIS 系統管理員之外,請刪除所有使用者的寫入權限。

下表針對 IIS 伺服器中的不同檔案類型所應套用的 NTFS 權限提出一些建議。 不同的檔案類型應分類在個別的資料夾,以簡化套用 NTFS 權限的程序。

表 9.8 建議的 NTFS 權限設定

檔案類型

建議的 NTFS 權限

CGI 檔案 (.exe, .dll, .cmd, .pl)

Everyone ( 執行 )

Administrators (完整控制)

System (完整控制)

指令檔 (.asp)

Everyone ( 執行 )

Administrators (完整控制)

System (完整控制)

包含檔案 (.inc, .shtm, .shtml)

Everyone ( 執行 )

Administrators (完整控制)

System (完整控制)

靜態內容 (.txt, .gif, .jpg, .htm, .html)

Everyone (唯讀)

Administrators (完整控制)

System (完整控制)

設定 IIS 網站權限

IIS 會檢查網站權限,以判定網站內所能發生的動作型態,像是允許指令碼來源存取或目錄瀏覽。 請指派網站權限,為本指南所定義的三種環境內,IIS 伺服器中的網站提供更多的安全性。

網站權限可與 NTFS 權限一併使用,也可為特定站台、目錄與檔案設定。 不像 NTFS 權限,網站權限會影響試圖要存取 IIS 伺服器上所執行網站的每個人。 可使用 MMC IIS Manager 嵌入式管理單元套用網站權限。

下表所示為 IIS 6.0 可支援的網站權限,並且提供簡短的說明,以解釋何時應指派網站的特定權限。

表 9.9 IIS 6.0 網站權限

網站權限

已授予的權限

Read (讀取)

使用者可檢視目錄或檔案的內容和屬性。 在預設狀況下會選取本選項。

寫入

使用者可變更目錄或檔案的內容和屬性。

指令碼來源存取

使用者可存取來源檔。 如果啟用 [讀取],可讀取來源檔;如果啟用 [寫入],則可變更指令碼的原始程式碼。 [指令碼來源存取] 包括指令碼的原始程式碼。 如果 [讀取] 或 [寫入] 都未啟用,這個選項就不能使用。

重要:啟用 [指令碼來源存取] 時,使用者或許能檢視敏感資訊,像是使用者姓名和密碼。 也能夠變更在 IIS 伺服器中執行的原始程式碼,嚴重影響伺服器的安全性和效能。

目錄瀏覽

使用者可檢視檔案清單和集合。

記錄查閱

每次拜訪網站,都會建立記錄項目。

索引資源

允許 [索引服務] 建立資源的索引,即可對資源執行檢索。

執行

下列選項決定使用者執行指令碼的層級:

  • 。 不允許指令碼的可執行檔在伺服器中執行。

  • 僅指令碼。 只允許指令碼在伺服器中執行。

  • 指令碼和可執行檔。 允許指令碼與可執行檔兩者在伺服器中執行。

設定 IIS 記錄

Microsoft 建議在本指南所定義的三種環境下,啟用 IIS 伺服器的 IIS 記錄。

每個網站或應用程式可建立個別記錄。 比起 Windows 作業系統所提供的事件記錄與效能監視功能,IIS 能記錄更多資訊。 此 IIS 記錄可包括的資訊像是誰造訪網站、造訪者檢視的內容,以及最後一次檢視資訊的時間。 IIS 記錄可用來評估內容普及度,識別資訊瓶頸,或是用作協助調查攻擊的資源。

MMC IIS Manager 嵌入式管理單元可用來設定記錄的檔案格式、記錄排程,以及要記載的切實資訊。 為限制記錄檔的大小,請以仔細規劃的程序來決定記錄的欄位。

啟用 IIS 記錄時,IIS 會使用 W3C 延伸記錄檔案格式建立在「IIS 管理員」內網站指定目錄內的每日活動記錄檔。 為增進伺服器效能,記錄應儲存在非系統等量,或等量/鏡射的磁碟區。

使用完整的統一命名慣例 (UNC) 路徑也可以透過網路將記錄寫入到遠端共用。 遠端記錄允許系統管理員設定集中式的記錄檔儲存和備份。 然而若透過網路寫入記錄檔,對伺服器的效能有負面影響。

IIS 記錄可設定成使用其他幾個 ASCII 或開放式資料庫連接 (ODBC) 記錄檔格式。 ODBC 記錄檔可儲存 SQL 資料庫的活動資訊。 然而請注意,當啟用 ODBC 記錄時,IIS 會停用核心模式快取,這一點會使整體伺服器效能衰退。

主控數百個網站的 IIS 伺服器能啟用集中式的二進位記錄,以增進記錄效能。 集中式二進位記錄能使 IIS 伺服器中的所有網站將活動資訊寫入到單一記錄檔。 這種方式因為可減少需要個別儲存和分析的記錄數目,所以可大大增進 IIS 記錄程序的管理和擴充性。 如需有關集中二進位記錄的更多資訊,請參閱 IIS 集中二進位記錄 (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/
WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx。

IIS 記錄儲存在 IIS 伺服器時,預設的狀況是唯有伺服器管理員才有存取權限。 如果記錄檔案目錄或檔案擁有者不屬於 Local Administrators 群組,HTTP.sys 檔 (IIS 6.0 中的核心模式驅動程式) 會發佈錯誤到 NT 事件記錄。 這個錯誤會指出目錄或檔案的擁有者不屬於 Local Administrators 群組,該網站的該項記錄暫停,直到擁有者加入到 Local Administrators 群組,或現有目錄或記錄檔刪除為止。

手動將唯一安全性群組新增至使用者權利指派

透過 MSBP 套用的大多數使用者權利指派,在本指南隨附的安全性範本中均已指定適當的安全性群組。 然而,有些帳戶和安全性群組無法包含在範本中,因為它們的安全性識別元 (SID) 是個別 Windows 2003 網域特定的識別碼。 必須手動設定的使用者權利指派,如下表所示。

警告:下表包含內建 Administrator 帳戶的值。 不可將 Administrator 帳戶與內建的 Administrators 安全性群組相混淆。 如果您將 Administrators 安全性群組新增到下列任何一項拒絕存取使用者權利,就必須在本機登入以修正錯誤。

此外,您可能已經依照第 4 章<成員伺服器基準線原則>的建議,將內建的 Administrator 帳戶重新命名。當您將 Administrator 帳戶加入到使用者權利中時,請確定指定重新命名後的帳戶。

表 9.10 手動新增使用者權利指派

成員伺服器預設值

傳統用戶端

企業用戶端

專業安全性限制功能

拒絕從網路存取這台電腦

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶


重要:「所有非作業系統服務帳戶」包括用於企業內特定應用程式的服務帳戶,但不包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帳戶 (作業系統所使用的內建帳戶)。

保護已知帳戶

Windows Server 2003 有一些內建使用者帳戶無法刪除,但可以重新命名。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

此設定變更的值在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。

保護 IIS 伺服器中的已知帳戶

  • 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。

  • 每個伺服器都使用不同的名稱及密碼。 如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限之後,就能存取所有其他伺服器。

  • 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

    注意:您可以透過群組原則重新命名內建的 Administrator 帳戶。 本指南提供的所有安全性範本均未實作此設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 但您可以設定 [帳戶: 重新命名系統管理員帳戶] 設定,以重新命名本指南所定義的三種環境中的系統管理員帳戶。 此原則設定是 GPO 安全性選項設定的一部分。

保護服務帳戶

除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱服務和服務帳戶安全性規劃指南 (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

使用 SCW 建立原則

若要部署必要的安全性設定,您必須使用安全性設定精靈 (SCW) 和本指南之下載版本中所包含的安全性範本來建立伺服器原則。

建立您自己的原則時,請務必略過 [登錄設定] 和 [稽核原則] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,請使用您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

建立 IIS 伺服器原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將電腦加到網域中,這樣將會套用來自上層 OU 的所有安全性設定。

  4. 僅安裝和設定要在每個伺服器上共用此角色的強制應用程式。 例如,特定角色的服務、軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  6. 確保偵測到的伺服器角色適用於您的環境:例如,應用程式伺服器和網頁伺服器角色。

  7. 確保偵測到的用戶端功能適用於您的環境。

  8. 確保偵測到的系統管理選項適用於您的環境。

  9. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  10. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [已停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  11. 確定在 [網路安全性] 區段中未核取 [略過此區段] 核取方塊,然後按一下 [下一步]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。

  12. 在 [登錄設定] 區段中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  13. 在 [稽核原則] 一節中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  14. 納入適當的安全性範本 (例如,EC-IIS Server.inf)。

  15. 以適當的名稱儲存原則 (例如,IIS Server.xml)。

    注意:MSBP 會停用其他幾種 IIS 相關服務,包括 FTP、SMTP 及 NNTP。 如果這些服務的任何一項要在本指南中定義的三種環境內,任何一種環境中的 IIS 伺服器上啟用,必須修改網頁伺服器原則。

使用 SCW 測試原則

建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能讓您在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資料,請參閱安全性設定精靈部署指南 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 安全性設定精靈說明文件 (英文),網址為:http://go.microsoft.com/fwlink/?linkid=43450。

轉換和部署原則

徹底測試原則之後,請完成下列步驟,將原則轉換成 GPO,並進行部署:

  1. 在命令提示字元中,輸入下列命令:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IIS 
    Server.xml" /g:"IIS Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至適當的 OU。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

此時,您應執行最後測試,以確定 GPO 套用了所需的設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。

總結

本章所解說的原則設定,可以用來強化在本指南所定義的三種環境下,執行 Windows Server 2003 SP1 的 IIS 伺服器。 大多數的設定可透過專為補充 MSBP 而設計的群組原則物件 (GPO) 來套用。 GPO 可以連結到含有 IIS 伺服器的適當組織單位 (OU),以提供更多的安全保護。

當然此處所討論的設定,也有一些是無法透過群組原則加以套用的。 本指南亦已提供這些設定的手動設定詳細資料。

其他資訊

下列連結提供的各個主題,有助於強化執行 Windows Server 2003 SP1 的 IIS 網頁伺服器。

  • 如需有關如何在 IIS 中啟用記錄的資訊,請參閱 Microsoft 知識庫文章如何在網際網路資訊服務中啟用記錄 (英文),網址 http://support.microsoft.com/?kbid=313437。

  • 如需關於記錄的更多資訊,請參閱啟用記錄 (IIS 6.0) (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    d29207e8-5274-4f4b-9a00-9433b73252d6.mspx。

  • 如需關於如何記錄網站活動的更多資訊,請參閱記錄網站活動 (IIS 6.0) (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx。

  • 如需關於延伸記錄的更多資訊,請參閱自訂 W3C 延伸記錄 (IIS 6.0) (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx。

  • 如需有關集中式二進位記錄的資訊,請參閱 Microsoft.com 的 IIS 6.0 集中二進位記錄 (IIS 6.0) (英文) 網頁,網址在 www.microsoft.com/technet/prodtechnol/
    WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx。

  • 如需關於遠端記錄的更多資訊,請參閱遠端記錄 (IIS 6.0) (英文) 網頁,網址 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    a6347ae3-39d1-4434-97c9-5756e5862c61.mspx。

  • 如需有關 IIS 6.0 的更多資訊,請參閱網際網路資訊服務 (英文) 網頁,網址 www.microsoft.com/WindowsServer2003/iis/default.mspx。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們



顯示: