II.2.1 Bảo mật máy chủ IIS server Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clien
Trang 1Báo cáo bài tập lớn
An Toàn Thông Tin
Đề tài:
Bảo mật máy chủ IIS - IIS Security
Giáo viên hướng dẫn: Nguyễn Văn Hoàng
Người thực hiện: Vũ Thị Mai Hoa
Lớp: THC-K52
Trang 2IIS Security
Phần I: Mở đầu
Phần II: Nội dung
Phần III: Kết luận
Trang 3Phần I: Mở đầu
I.1 Đặt vấn đề
I.2 Mục đích và yêu cầu
Trang 4I.1 Đặt vấn đề
Internet Information Services(IIS) là một phần mềm cung
cấp các dịch vụ dành cho máy chủ sử dụng rất rộng rãi trên
thế giới, được phát triển bởi công ty phần mềm Microsoft
IIS là web server sử dụng phổ biến thứ hai trên thế giới, chỉ
đứng sau web server HTTP Apache và theo khảo sát của
Netcorft, IIS hiện đang phục vụ cho 24,47% các website trên toàn thế giới
Trang 5I.1 Đặt vấn đề (tiếp)
IIS luôn là một mục tiêu tấn công của các hacker Ngày 19
tháng 7 năm 2001, hơn 359,000 máy tính sử dụng webserver IIS của Microsoft đã bị tấn công bởi Code Red Worm, gây
nên những thiệt hại to lớn
Chính vì vậy, vấn đề bảo mật cho web server trở nên vô cùng
quan trọng đối với các nhà phát triển và quản trị hệ thống
Trong bài báo cáo này chúng ta sẽ cùng tìm hiểu một số kiến thức cơ bản về các thành phần, cách cấu hình IIS 6.0 để bảo mật máy chủ IIS server 2003
Trang 6I.2 Mục đích và yêu cầu
Tìm hiểu về IIS
Cài đặt IIS 6.0
Bảo mật IIS 6.0 với máy chủ windows server 2003
Trang 7Phần II: Nội dung
II.1 Tìm hiểu về IIS
II.2 Bảo mật IIS trong windows server 2003
Trang 8II.1 Tìm hiểu về IIS
II.1.1.Khái niệm về IIS:
IIS (Internet Information Services ), phát triển bởi Microsoft
để làm việc với Microsoft Windows IIS thường đính kèm với các phiên bản của Windows
Cung cấp các dịch vụ dành cho máy chủ chạy trên nền hệ điều hành Window nhằm cung cấp và phân tán các thông tin lên
Internet
Trang 9Ví dụ:
Sau khi thiết kế xong 1 Website, nếu bạn muốn đưa chúng lên mạng để mọi người có thể truy cập và xem chúng thì bạn phải nhờ đến một Web Server, ở đây là IIS
Nếu không Website của bạn chỉ có thể được xem trên chính
máy của bạn hoặc thông qua việc chia sẻ tệp như các tệp bất
kỳ trong mạng nội bộ
IIS được phát triển bởi công ty phần mềm Microsoft để
làm việc với Microsoft Windows, IIS thường đính kèm với
các phiên bản của Windows
Trang 10II.1.2.IIS có thể làm được gì?
Nhiệm vụ của IIS là tiếp nhận yêu cầu của máy trạm và đáp ứng lại yêu cầu đó bằng cách gửi về máy trạm những thông tin
mà máy trạm yêu cầu
IIS hỗ trợ nhiều dịch vụ khác nhau cùng với các giao thức
tương ứng với từng dịch vụ đó như:
Trang 11Các dịch vụ IIS hỗ trợ:
Web Server: sử dụng giao thức HTTP để tiếp nhận yêu cầu và đáp ứng yêu cầu từ Web browser tới máy chủ server
FTP Server: dịch vụ chia sẻ file dữ liệu, cho phép người ở xa
có thể truy xuất database của máy chủ
SMTP: dịch vụ gửi thư trên Internet, SMTP truyền các thư từ mail server của người gửi đến mail server của người nhận
Dịch vụ truy cập thư trên Internet, sử dụng giao thức lấy thư
POP3 hoặc IMAP
Trang 12Windows Server 2003
II.2.1 Bảo mật máy chủ IIS Server
II.2.2 Các thiết lập nâng cao tính bảo mật cho máy chủ IIS server
II.2.3 Cấu hình các thành phần của IIS service đảm bảo tính bảo mật cao nhất
II.2.4 Giới thiệu các phương pháp bảo mật kết hợp
II.2.5 Các chính sách bảo mật cụ thể
Trang 13II.2.1 Bảo mật máy chủ IIS server
Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể kết nối vào
chúng
Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần phải được bảo mật từ chính bên trong mạng Intranet(mạng nội bộ) của doanh nghiệp hay tổ chức ấy
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định IIS không được cài đặt trên Windows
Server 2003 IIS khi được cài đặt sẽ ở trong chế độ bảo mật
cao "high secure" hay gọi là "locked mode"
Trang 14II.2.2 Các thiết lập nâng cao tính bảo mật cho
máy chủ IIS server
2.1 Audit Policy Settings
2.2 Thiết lập User Rights Assignments
2.3 Thiết lập Security Option
2.4 Event Log Settings
2.5 System services
Trang 152.1 Audit Policy Settings
Nội dung: Đảm bảo toàn bộ thông tin của người dùng khi
login, logoff hệ thống sẽ đều được ghi lại Và tất cả những dữ liệu được người dùng truy cập cũng được lưu lại
Cách cấu hình: “Audit log on và Audit Objects Access”
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập
gpedit.msc, OK), vào Computer Configuration -> Windows
Settings -> Security Settings -> Local Policies –> chọn:
1 Audit logon events đặt chế độ success và fails
2 Audit Policy chọn Audit object access đặt chế độ success và
Trang 162.1 Audit Policy Settings
Trang 172.1 Audit Policy Settings
Kiểm tra các thông tin login, logoff của mỗi user sau khi sử
dụng hệ thống như sau: click chuột phải vào My Computer-> manage ->System Tools -> Event Viewer ->security
Ví dụ: Sau khi logon vào máy tính mở event viewer ra xem và
tôi phát hiện ra hệ thống đã lưu lại như hình vẽ sau:
Trang 18 Vậy ý nghĩa của việc xem lại log này là gì:
Bạn hãy tưởng tượng một dữ liệu trong máy của bạn đã bị mất và trong log ghi lại là đã được xoá lúc 12h đêm vậy bạn cần quy trách nhiệm đó cho ai, bạn cần biết trong thời điểm đó những ai đang online và logon, logoff trong thời gian đó
Trang 192.2 Thiết lập User Rights Assignment
Nội dung: Quy định những users nào bị cấm truy cập tới máy
Windows Settings -> Security Settings -> Local Policies ->
User Rights Assigment, chọn mục “Deny access to this
computer from the network” Sau đó add thêm user or group
Trang 202.3 Thiết lập Security Option
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó
đưa ra những cấu hình tuỳ biến thích hợp nhất
Trang 212.4 Event Log Settings
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác
nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các
sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá
trình đăng nhập)
Thiết lập giống như thiết lập Audit policy
Trang 222.5 System services
Dưới đây là những thành phần trong Microsoft Windows
Server 2003, với các dịch vụ buộc phải kích hoạt Trong đó có các services cần phải để chế độ automatically Chúng ta không phải cấu hình các dịch vụ này
Các services có ba trạng thái là Disable, Enable, và
Automatically - đây là trạng thái khi hệ thống khởi động sẽ
khởi động luôn cả service này
Trang 232.5 System services
1 HTTP SSL
2 IIS Admin Service
3 World Wide Web Publishing Service
Trang 245.1 HTTP SSL
HTTP SSL được kích hoạt trong IIS để thiết lập kênh truyền
dẫn bảo mật khi những thông tin nhạy cảm được truyền đi ví
như thông tin của Credit Card
Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL
Việc Disable service này dẫn tới một số service khác phụ thuộc vào nó ảnh hưởng
Thiết lập chỉ có Administrator mới có khả năng truy cập vào
service này đảm bảo người bình thường sẽ buộc phải thực hiện giao dịch bảo mật, và không thể chỉnh sửa được Service này
cần phải được thiết lập ở chế độ Automatic
Trang 255.2 IIS Admin Service
IIS Admin Service cho phép quản trị các thành phần trong IIS như FTP, Application Pools, Web Sites, Web Service
Extensions và cả NNTP và SMTP
IIS Admin Service cần phải hoạt động để cung cấp Web, FTP, NNTP và SMTP Nếu service này bị disable, IIS sẽ không thể cấu hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị
ngưng chệ
Thiết lập chỉ có Administrator mới có khả năng điều khiển
service này và cấu hình service này đều để ở chế độ Automatic
Trang 26 Service này cung cấp kết kết nối Web và quản trị Web site
qua IIS Snap-in
Service này buộc phải chạy trên IIS Server để cung cấp kết
nối Web và quản trị trên IIS Manager
Cấu hình chỉ cho phép administrator có quyền điều khiển
service này mà thôi WWW cần phải hoạt động trên máy chủ IIS Server và để chế độ Automatic
Trang 27II.2.3.Cấu hình các thành phần của IIS service đảm
bảo tính bảo mật cao nhất
Khi cài đặt IIS Service, muốn bảo mật IIS Server cần phải hiểu các Components( thành phần) của nó hoạt động có chức năng
ra sao, và khi nào cần thiết phải cài đặt, khi nào không cần
Trang 28bảo tính bảo mật cao nhất
3.1 Các bước cài đặt IIS 6.0
3.2 Cấu hình các Components của Application Server
3.3 Cấu hình cho các Components của IIS
3.4 Cấu hình cho các Components của Message Queuing
3.5 Cấu hình cho các Components của Background Intelligent
Transfer Service (BITS) Server Extensions
3.6 Cấu hình các components trong World Wide Web service
Trang 293.1 Các bước cài đặt IIS 6.0
1 Trên Control Panel, chọn Add or Remove Programs.
2 Chọn Add/Remove Windows Components
3 Trong danh sách Components chọn Application Server, tiếp
đó chọn Details.
4 Trong Application Server lựa chọn các Subcomponents of
Application, chọn Internet Information Services (IIS), sau đó
6 Chọn OK trở lại Windows Component Wizard.
Trang 30Server
Trang 313.2 Cấu hình các Components của Application Server
Application Server Console - Disabled (mặc định)
Cung cấp một snap-in trong Microsoft Management Console
(MMC) cho phép quản trị toàn bộ các thành phần và các dịch
vụ trên Web Application Server, ứng dụng này mặc định
không được cài đặt bởi trên IIS đã cung cấp khả năng quản trị rồi
ASP.NET - Disabled (mặc định)
Cung cấp khả năng hỗ trợ các ứng dụng ASP.NET, với việc
kích hoạt thành phần trên khi máy chủ IIS Server chạy các ứng dụng ASP.NET
Trang 32 Enable Network COM+ Access - Enabled (mặc định)
Cho phép máy chủ IIS làm máy chủ cung cấp các ứng dụng COM+, cần thiết cho các dịch vụ như FTP, BITS, World
Wide Web, và IIS Manager
Enable Network DTC Access - Disable (mặc định)
Cho phép máy chủ IIS host các ứng dụng cụ thể qua
Distributed Transaction Coordinator (DTC) Tắt tính năng
này khi không cần thiết chạy các ứng dụng cần thiết trên IIS Server
Trang 333.2 Cấu hình các Components của Application
Server
IInternet Information Services - IIS - Enable (mặc định)
Cung cấp các dịch vụ cơ bản: Web, FTP Services Thành
phần này là cần thiết cho IIS Servers
Message Queuing - Disable (mặc định)
Chú ý một điều là khi thành phần này không được kích hoạt thì toàn bộ các subcomponents của nó cũng bị disabled
Trang 343.3 Cấu hình cho các Components của IIS
Trang 35 Background Intelligent Transfer Service (BITS) server
extension - Enable (mặc định)
BITS là một giao diện cung cấp khả năng truyền File sử
dụng bởi Windows Update and Automatic Update, thành
phần này được cài đặt là một yêu cầu nhằm đáp ứng khả
năng hỗ trợ Automatic Update và sử dụng để cung cấp các giải pháp update cho toàn bộ hệ thống
Common Files - Enable (mặc định)
IIS Cần thiết sử dụng các Files nên component này được
kích hoạt mặc định
3.2 Cấu hình các Components của Application
Server
Trang 36 File Transfer Protocol (FTP) - Disabled (mặc định)
Cho phép IIS Server cung cấp dịch vụ FTP Dịch vụ này
không nhất thiết được cài đặt trên IIS Servers
FrontPage 2002 Server Extensions - Disabled (mặc định).
Cung cấp hỗ trợ FrontPage, quản trị và public Web sites
Disable là mặc định trên máy IIS Server khi Web Sites không
Trang 373.2 Cấu hình các Components của Application
Server
Internet Printing - Disabled (mặc định)
Cung cấp nền tảng web cho việc quản trị máy in và cho phép chia sẻ tài nguyên máy in qua HTTP, nó không phải là một
component được cài đặt mặc định trên IIS Server
NNTP Service - Disable (mặc định)
Cung cấp, truy vấn, nhận và sử dụng để post các bài báo trên Internet Thành phần này không cần thiết nếu IIS không cần những ứng dụng đó
Trang 38 SMTP Service - Disable (mặc định)
Hỗ trợ giải pháp truyền thư điện tử, nó là một thành phần
không được cài đặt mặc định trên IIS Server
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web: tĩnh hay web động Thành phần này mặc định buộc phải cài đặt trên IIS Servers
Trang 393.4 Cấu hình cho các Components
của Message Queuing
Trang 40của Message Queuing
Active Directory Integration - Disabled (mặc định)
Cung cấp giải pháp kết hợp với Active Directory khi một
máy chủ IIS thuộc một domain Thành phần này cần thiết
khi Websites và các ứng dụng chạy trên IIS Server sử dụng Microsoft Message Queuing (MSMQ)
Common - Disabled (mặc định)
Cần thiết bởi MSMQ Thành phần này cần thiết khi web site
và application chạy trên IIS Server và sử dụng MSMQ
Trang 413.4 Cấu hình cho các Components
của Message Queuing
Downlevel Client Support - Disabled (mặc định)
Cung cấp truy cập tới Active Directory và các trang web cho
các clients Thành phần này cần thiết khi máy chủ IIS với
website và application sử dụng MSMQ
MSMQ HTTP Support - Disable (mặc định)
Cung cấp khả năng gửi và nhận tin từ giao thức HTTP Thành phần này cần thiết khi IIS Server có website và application sử dụng MSMQ
Routing Support - Disable - (mặc định)
Cung cấp khả năng lưu trữ và forward thư cho MSMQ Thành
Trang 42Intelligent Transfer Service (BITS) Server Extensions
Trang 433.5 Cấu hình cho các Components của (BITS)
Server Extensions
BITS management console snap-in - Enable (mặc định)
Cài đặt một MMC snap-in cho quá trình quản trị BITS
BITS Server Extension ISAPI - Enable (mặc định)
Cài đặt BITS ISAP khi một IIS server có thể truyền tải sử
dụng BITS Thành phần này cần thiết khi sử dụng Windows Update or Automatic Update cung cấp giải pháp tự động cho quá trình vá lỗi và nâng cấp bảo mật từ nhà sản xuất
Trang 44trong Web Service
Trang 453.6 Cấu hình các components
trong Web service
Active Server Page - Disable (mặc định)
Cung cấp hỗ trợ cho ASP Với mặc định là disable khi không có web sites hay các ứng dụng nào trên IIS Server sử dụng ASP,
hay không sử dụng nó trong web service extension Cần thiết
phải kích hoạt trong Web Service Extensions
Internet Data Connector - Disable (mặc định)
Cung cấp khả năng hỗ trợ các nội dung động (web động) qua file với đuôi mở rộng idc Disabled mặc định thành phần này khi
không có web sites hay ứng dụng nào chạy trên IIS Server bao
Trang 46trong Web service
Web Service ExtensionsRemote Administration - Disabled (mặc định)
Cung cấp giao diệt HTML cho quá trình quản trị IIS Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm
thiểu các tấn công qua các lỗ hổng không cần thiết Thành
phần này mặc định được disabled
Remote Desktop Web Connection - Disabled (mặc định
bao gồm Microsoft ActiveX và một vài trang cho quá trình
hosting các Terminal Service Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu tấn công Cho nên
thành phần này mặc định bị disabled
Trang 473.6 Cấu hình các components
trong Web service
Server - Side Includes - Disabled (mặc định).
Cung cấp hỗ trợ cácc định dạng file shtm, shtml và stm
Disable thành phần này là mặc định khi không có web site hay ứng dụng nào cần chạy các định dạng file trên
WebDAV - Disable (mặc định)
WebDAV mở rộng của giao thức HTTP/1.1 cho phép clients
public, khoá hay quản trị các tài nguyên trên Web Disable
thành phần này là mặc định khi IIS server không sử dụng Web Service Extentions
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web, web tĩnh, web động cho clients Thành phần này được cài đặt là yêu cầu cần thiết của IIS Server