注意 本文檔是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”，Microsoft Press，ISBN: 0735609950 改編而來(lái)。

那些熟悉 Internet Information Server 4 清單的客戶將注意到本列表要遠(yuǎn)短于 Internet Information Server 4 的清單。這是因?yàn)橐韵聝牲c(diǎn)原因：

• 許多 Windows 2000 系統(tǒng)范圍的設(shè)置可以通過(guò)提供的安全模板 (hisecweb,inf) 進(jìn)行配置；所以不需要手動(dòng)配置注冊(cè)表設(shè)置。
• 在 Windows 2000 和 IIS 5 的默認(rèn)狀態(tài)下，將禁用 Microsoft Windows NT 4 和 Internet Information Server 4 上的某些低安全級(jí)別的默認(rèn)設(shè)置。

本文檔的其余部分分為以下幾個(gè)部分：

• 一般性安全考慮事項(xiàng)
• Windows 2000 安全考慮事項(xiàng)
• IIS 5 安全考慮事項(xiàng)

本部分內(nèi)容講述一般性安全問(wèn)題。

閱讀您企業(yè)的安全策略

擁有安全策略是十分重要的。對(duì)以下問(wèn)題，您需要有現(xiàn)成的答案：

• 如何對(duì)入侵作出反應(yīng)？
• 備份存儲(chǔ)在何處？
• 允許誰(shuí)訪問(wèn)服務(wù)器？

在 SANS Institute 、 Baseline Software, Inc. 和 Practical Unix & Internet Security (O'Reilly Books, 1996) 中可以找到有關(guān)策略信息的比較好資源。

預(yù)訂 Microsoft 安全通知服務(wù)

您可以在 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 上預(yù)定 Microsoft 安全通知服務(wù)，使自己能夠及時(shí)知道有關(guān) Microsoft 安全問(wèn)題和修補(bǔ)程序的信息。您將通過(guò)電子郵件獲得有關(guān)安全問(wèn)題的自動(dòng)通知。

您還應(yīng)當(dāng)考慮在桌面上放置 Microsoft 安全顧問(wèn)程序的快捷方式。要完成此操作，請(qǐng)執(zhí)行下列步驟：

1. 打開(kāi) Internet Explorer。
2. 導(dǎo)航到http://www.microsoft.com/technet/security/bulletin/notify.asp。
3. 從“收藏”菜單中選擇“添加到收藏夾”。
4. 選中“允許脫機(jī)使用”復(fù)選框。
5. 單擊“自定義”。
6. 在“脫機(jī)收藏夾向?qū)А敝袉螕簟跋乱徊健薄?
7. 選中“是”選項(xiàng)按鈕并指定下載與該頁(yè)鏈接的 2 層網(wǎng)頁(yè)。
8. 單擊“下一步”。
9. 選中“創(chuàng)建新的計(jì)劃”選項(xiàng)按鈕，然后單擊“下一步”。
10. 接受默認(rèn)設(shè)置，再單擊“下一步”。
11. 單擊“完成”。
12. 單擊“確定”。
13. 從“收藏”菜單中選中“整理收藏夾”。
14. 在“整理收藏夾”對(duì)話框中選擇“Microsoft TechNet Security”快捷方式。
15. 單擊“屬性”。
16. 單擊“Microsoft TechNet Security 屬性”對(duì)話框的“下載”選項(xiàng)卡。
17. 取消選中“跟蹤本頁(yè) Web 站點(diǎn)之外的鏈接”復(fù)選框。
18. 單擊“確定”，然后單擊“關(guān)閉”。

現(xiàn)在您可以將 Microsoft TechNet Security 快捷方式從“收藏”菜單拖到桌面上。如果有新的安全消息，圖標(biāo)上將出現(xiàn)一個(gè)小紅標(biāo)記。

要點(diǎn) 如果出現(xiàn)了新的安全問(wèn)題，您必須非常重視它們。這一點(diǎn)再怎么強(qiáng)調(diào)也不為過(guò)。

本部分內(nèi)容專(zhuān)門(mén)講述有關(guān) Windows 2000 的安全問(wèn)題。

檢查、更新及部署提供的 Hisecweb.inf 安全模板

我們已經(jīng)包括了名為 Hisecweb.inf 的安全模板，作為適用于大多數(shù)安全網(wǎng)站的基準(zhǔn)。該模板配置了基本的 Windows 2000 系統(tǒng)范圍策略。

Hisecweb.inf 可以從如下地址下載：
http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe

執(zhí)行下列步驟來(lái)使用模板：

1. 將模板復(fù)制到 %windir%\security\templates 目錄。
2. 打開(kāi)“安全模板”工具，并查看設(shè)置。
3. 打開(kāi)“安全配置和分析”工具，并加載模板。
4. 右鍵單擊“安全配置和分析”工具，并從上下文菜單中選擇“立即分析計(jì)算機(jī)”。
5. 等待工作完成。
6. 檢查查找結(jié)果并按需要更新模板。
7. 如果您對(duì)模板滿意，請(qǐng)右鍵單擊“安全配置和分析”工具，并從上下文菜單中選擇“立即配置計(jì)算機(jī)”。

配置 IPSec 策略

您應(yīng)當(dāng)認(rèn)真考慮在每一個(gè) Web 服務(wù)器上設(shè)置 Internet 協(xié)議安全性 (IPSec) 包篩選器策略。如果您的防火墻被攻破，該策略將提供額外的安全級(jí)別。多級(jí)別安全技術(shù)通常被認(rèn)為是很好的做法。

一般而言，除了那些您明顯希望支持的協(xié)議與希望打開(kāi)的端口以外，應(yīng)當(dāng)阻止其他所有 TCP/IP 協(xié)議。您可以使用 IPSec 管理工具或 IPSecPol 命令行工具來(lái)部署 IPSec 策略。

保護(hù) Telnet 服務(wù)器安全

如果您打算使用包含在 Windows 2000 中的 Telnet 服務(wù)器，您應(yīng)當(dāng)考慮限制能夠訪問(wèn)該服務(wù)的用戶。要完成此操作，請(qǐng)執(zhí)行下列步驟：

1. 打開(kāi)“本地用戶和組”工具。
2. 右鍵單擊“組”節(jié)點(diǎn)，并從上下文菜單中選擇“新建組”。
3. 在“組名”框中輸入 TelnetClients。
4. 單擊“添加”以添加對(duì)該計(jì)算機(jī)有 telnet 訪問(wèn)權(quán)限的用戶。
5. 單擊“創(chuàng)建”，再單擊“關(guān)閉”。

當(dāng)存在 TelnetClients 組時(shí)，Telnet 服務(wù)將僅允許那些在組中定義的用戶訪問(wèn)服務(wù)器。

本部分內(nèi)容專(zhuān)門(mén)講述有關(guān) Internet Information Services 5 的安全問(wèn)題。

為虛擬目錄設(shè)置適當(dāng)?shù)?ACL

雖然此步驟從某種程度上來(lái)說(shuō)取決于應(yīng)用程序，但一些主要規(guī)則仍然適用，如表 F-1 所示。

推薦使用的各文件類(lèi)型的默認(rèn) ACL

與為每一個(gè)文件單獨(dú)設(shè)置 ACL 相比，更好的辦法是為每一種文件類(lèi)型創(chuàng)建新的目錄，在這些目錄上設(shè)置 ACL，并允許 ACL 繼承到文件。例如，目錄結(jié)構(gòu)可能如下所示：

• c:\inetpub\wwwroot\myserver\static (.html)
• c:\inetpub\wwwroot\myserver\include (.inc)
• c:\inetpub\wwwroot\myserver\script (.asp)
• c:\inetpub\wwwroot\myserver\executable (.dll)
• c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)

此外，有兩個(gè)目錄需要特別注意：

• c:\inetpub\ftproot (FTP server)
• c:\inetpub\mailroot (SMTP server)

這兩個(gè)目錄上的 ACL 都是“Everyone（完全控制）”，應(yīng)當(dāng)根據(jù)您的功能級(jí)別覆蓋為更加嚴(yán)格的設(shè)置。如果要支持“Everyone（寫(xiě)入）”，請(qǐng)將該文件夾放置到與 IIS 服務(wù)器不同的卷中，或者使用 Windows 2000 磁盤(pán)空間配額來(lái)限制可以寫(xiě)入這些目錄的數(shù)據(jù)量。

設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL

請(qǐng)確保 IIS 生成的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是：

• Administrators（完全控制）
• System（完全控制）
• Everyone (RWC)

這有助于防止惡意用戶刪除文件以掩飾他們的蹤跡。

啟用日志記錄

當(dāng)您希望確定服務(wù)器是否正受到攻擊時(shí)，日志記錄是非常重要的。應(yīng)當(dāng)通過(guò)下列步驟使用 W3C 擴(kuò)展日志記錄格式：

1. 加載 Internet Information Services 工具。
2. 右鍵單擊懷疑有問(wèn)題的站點(diǎn)，然后從上下文菜單中選擇“屬性”。
3. 單擊“網(wǎng)站”選項(xiàng)卡。
4. 選中“啟用日志”復(fù)選框。
5. 從“活動(dòng)日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。
6. 單擊“屬性”。
7. 單擊“擴(kuò)展屬性”選項(xiàng)卡，然后設(shè)置下列屬性：

• 客戶端 IP 地址
• 用戶名
• 方法
• URI 資源
• HTTP 狀態(tài)
• Win32 狀態(tài)
• 用戶代理
• 服務(wù)器 IP 地址
• 服務(wù)器端口

僅當(dāng)您將多個(gè) Web 服務(wù)器設(shè)置在同一計(jì)算機(jī)上時(shí)，后兩個(gè)屬性才有用。Win32 Status 屬性非常適合于調(diào)試。當(dāng)您檢查日志時(shí)，請(qǐng)注意錯(cuò)誤 5，即被拒絕的訪問(wèn)。您可以通過(guò)在命令行中輸入 net helpmsg err （其中 err 代表您感興趣的錯(cuò)誤號(hào)碼）來(lái)找出其他 Win32 錯(cuò)誤是什么含義。

設(shè)置 IP 地址/DNS 地址限制

這并非要設(shè)置的普通選項(xiàng)，但是如果希望限制某些用戶訪問(wèn)您的網(wǎng)站，這將是一個(gè)有用的選項(xiàng)。請(qǐng)注意如果您輸入域名系統(tǒng) (DNS) 名稱(chēng)，那么 IIS 將必須執(zhí)行 DNS 檢查，這將很費(fèi)時(shí)間。

驗(yàn)證可執(zhí)行內(nèi)容的可信度

要了解可執(zhí)行內(nèi)容是否可信是很難的。有一個(gè)小測(cè)試是用 DumpBin 工具來(lái)查看可執(zhí)行內(nèi)容是否調(diào)用了某些 API。許多 Win32 開(kāi)發(fā)工具都含有 DumpBin。例如，如果您希望查看名為 MyISAPI.dll 的文件是否調(diào)用 RevertToSelf，請(qǐng)使用下列語(yǔ)法：

dumpbin /imports MyISAPI.dll | find "RevertToSelf"


如果屏幕上未出現(xiàn)結(jié)果，MyISAPI.dll 將不直接調(diào)用 RevertToSelf。它將可能通過(guò) LoadLibrary 來(lái)調(diào)用該 API，在此情況下您也可以使用相似的命令來(lái)進(jìn)行查找。

在 IIS 服務(wù)器上更新根目錄的 CA 證書(shū)

該過(guò)程包括兩個(gè)步驟：第一步：添加所有信任的新根目錄證書(shū)頒發(fā)機(jī)構(gòu) (CA) 證書(shū)—尤其是任何通過(guò)使用 Microsoft Certificate Services 2.0 創(chuàng)建的新根目錄 CA 證書(shū)。第二步：刪除所有不信任的根目錄 CA 證書(shū)。請(qǐng)注意如果您不知道發(fā)布根目錄證書(shū)的公司名稱(chēng)，那么就不應(yīng)當(dāng)信任他們！

所有 IIS 使用的根目錄 CA 證書(shū)都存放在計(jì)算機(jī)的機(jī)器存儲(chǔ)中。可以通過(guò)下列步驟來(lái)訪問(wèn)該機(jī)器存儲(chǔ)：

1. 打開(kāi) Microsoft Management Console (MMC)。
2. 從“控制臺(tái)”菜單中選擇“添加/刪除管理單元”，然后單擊“添加”。
3. 選擇“證書(shū)”并單擊“添加”。
4. 單擊“計(jì)算機(jī)帳戶”選項(xiàng)按鈕。
5. 單擊“下一步”。
6. 選中所指機(jī)器。
7. 單擊“完成”。
8. 單擊“關(guān)閉”，再單擊“確定”。
9. 展開(kāi)證書(shū)節(jié)點(diǎn)。
10. 擴(kuò)展信任的根目錄證書(shū)頒發(fā)機(jī)構(gòu)。
11. 選擇證書(shū)。

右窗格將顯示當(dāng)前信任的全部根目錄 CA 證書(shū)。如果需要，可以刪除多個(gè)證書(shū)。

注意： 不要?jiǎng)h除 Microsoft 或 VeriSign 根目錄。操作系統(tǒng)會(huì)大量使用它們。

禁用或刪除所有示例應(yīng)用程序

示例僅僅是示例；默認(rèn)情況下并不安裝它們，并且永遠(yuǎn)不應(yīng)在產(chǎn)品服務(wù)器上安裝。請(qǐng)注意，某些示例是安裝的，使它們只能通過(guò) http://localhost 或 127.0.0.1 進(jìn)行訪問(wèn)，即使這樣也應(yīng)將其刪除。

F-2 表列舉了某些示例的默認(rèn)位置。

包含在 Internet Information Server 5 中的示例文件。

禁用或刪除不需要的 COM 組件

某些 COM 組件對(duì)于多數(shù)應(yīng)用程序都是不需要的，應(yīng)當(dāng)將其刪除。尤其需要考慮禁用“文件系統(tǒng)對(duì)象”組件，但請(qǐng)注意這樣也會(huì)刪除 Dictionary 對(duì)象。請(qǐng)注意某些程序可能需要您禁用的組件。例如：Site Server 3.0 使用“文件系統(tǒng)對(duì)象”。下列命令將禁用“文件系統(tǒng)對(duì)象”：

regsvr32 scrrun.dll /u

刪除 IISADMPWD 虛擬目錄

該目錄允許您重新設(shè)置 Windows NT 和 Windows 2000 密碼。這主要是為 Intranet 方案設(shè)計(jì)的，并且不作為 IIS 5 的一部分來(lái)安裝，但是在 IIS 4 服務(wù)器升級(jí)到 IIS 5 時(shí)將不會(huì)被刪除。如果您不使用 Intranet 或者您將服務(wù)器連接到網(wǎng)站上，則應(yīng)當(dāng)將其刪除。有關(guān)此功能的詳細(xì)信息，請(qǐng)參考 Microsoft Knowledge Base 文章 Q184619。

刪除不使用的腳本映射

IIS 預(yù)配置為支持常見(jiàn)的文件擴(kuò)展名，如 .asp 和 .shtm 文件。當(dāng) IIS 接收到針對(duì)其中某一類(lèi)型文件的請(qǐng)求時(shí)，該調(diào)用由 DLL 進(jìn)行處理。如果您不會(huì)用到其中某些擴(kuò)展名或功能，請(qǐng)按照如下步驟進(jìn)行刪除：

1. 打開(kāi) Internet 服務(wù)管理器。
2. 右鍵單擊 Web 服務(wù)器，并從上下文菜單中選擇“屬性”。
3. 主屬性
4. 選擇“WWW 服務(wù)”|“編輯”|“HomeDirectory”|“配置”

刪除下列引用：

注意： “Internet 打印”可以通過(guò)組策略和 Internet 服務(wù)管理器來(lái)配置。如果組策略設(shè)置和 Internet 管理器設(shè)置有沖突，那么組策略設(shè)置優(yōu)先。如果您通過(guò) Internet 服務(wù)管理器刪除“Internet 打印”，請(qǐng)務(wù)必驗(yàn)證不能通過(guò)本地或域的組策略重新啟用它。（默認(rèn)組策略既不啟用也不禁用“Internet 打印”）。請(qǐng)?jiān)?MMC 組策略管理單元中，選擇“計(jì)算機(jī)配置”|“管理模板”|“打印”|“基于 Web 的打印”。

注意： 除非出于危急任務(wù)的原因要使用 .htr 功能，否則應(yīng)當(dāng)刪除 .htr 擴(kuò)展名。

檢查 ASP 代碼中的 <FORM> 和查詢字符串輸入

許多站點(diǎn)使用從用戶那得到的輸入來(lái)直接調(diào)用其他代碼或創(chuàng)建 SQL 聲明。換句話說(shuō)，它們將該輸入當(dāng)作有效的、格式良好的、無(wú)惡意的輸入。但為了安全起見(jiàn)，卻不應(yīng)當(dāng)這樣。因?yàn)閷?shí)際工作中存在很多這樣的攻擊，其中用戶輸入被錯(cuò)誤的當(dāng)作有效輸入，使用戶能夠獲得服務(wù)器的訪問(wèn)權(quán)限或者產(chǎn)生損害。您應(yīng)當(dāng)在將其傳送給另一個(gè)過(guò)程或方法調(diào)用（它們可能會(huì)使用外部資源，比如文件系統(tǒng)或數(shù)據(jù)庫(kù)）前，檢查每個(gè) <FORM> 輸入和查詢字串。

您可以使用 JScript V5 和 VBScript V5 常規(guī)表達(dá)式功能來(lái)執(zhí)行文本檢查。下列示例代碼將去掉那些只包含無(wú)效字符（不是 0-9a-zA-Z 或 _ 的字符）的字符串：

Set reg = New RegExp
reg.Pattern = "\W+" ' One or more characters which
' are NOT 0-9a-zA-Z or '_'
strUnTainted = reg.Replace(strTainted, "")


下列示例將去掉 | 運(yùn)算符后的所有文本：

Set reg = New RegExp
reg.Pattern = "^(.+)\|(.+)" ' Any character from the start of
' the string to a | character.
strUnTainted = reg.Replace(strTainted, "$1")


同樣，使用“腳本文件系統(tǒng)對(duì)象”打開(kāi)或創(chuàng)建文件時(shí)請(qǐng)小心。如果文件名是基于用戶輸入，那么用戶可能企圖打開(kāi)一系列端口或打印機(jī)。下列 JScript 代碼會(huì)去掉無(wú)效文件名：

var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");


版本 5 腳本引擎中的模式語(yǔ)法與 Perl 5.0 中的相同。請(qǐng)參考位于 http://msdn.microsoft.com/scripting/default.htm 的 V5 腳本引擎文檔獲取詳細(xì)信息，有關(guān)范例請(qǐng)?jiān)L問(wèn) http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp。

禁用父路徑

父路徑允許您在調(diào)用諸如 MapPath 等功能時(shí)使用“..”。默認(rèn)狀態(tài)下，該選項(xiàng)是啟用的，您應(yīng)當(dāng)禁用它。按照以下步驟禁用該選項(xiàng)：

1. 右鍵單擊網(wǎng)站的根目錄，然后從上下文菜單中選擇“屬性”。
2. 單擊“主目錄”選項(xiàng)卡。
3. 單擊“配置”。
4. 單擊“App 選項(xiàng)”選項(xiàng)卡。
5. 取消選中“啟用父路徑”復(fù)選框。

在“內(nèi)容 – 位置”中禁用 IP 地址

“內(nèi)容 – 位置”首部會(huì)暴露通常隱藏在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后的內(nèi)部 IP 地址。