Microsoft đã thiết kế lại IIS từ những nền tảng đã có trước đó và trong suốt quá trình phát triển, nhóm thiết kế IIS đã tập trung vào 5 lĩnh vực lớn: o Bảo mật o Khả năng mở rộng o Cấ
Trang 1Trong bài này chúng ta sẽ tiến hành cài đặt Internet Information Service - IIS đây là một công
cụ Web Server mạnh mẽ Khác với IIS6 có trong Windows Server 2003, IIS7 là một phiên bản
được xem xét một cách tỉ mỉ trong thiết kế từ kinh nghiệm của các phiên bản trước Phiên bản 7 ra đời tạo một nền tảng linh hoạt và an toàn nhất cho việc cấu hình web và các ứng dụng
IIS7 được thiết kế để trở thành một nền tảng Web và ứng dụng linh động và an toàn nhất cho
Microsoft Microsoft đã thiết kế lại IIS từ những nền tảng đã có trước đó và trong suốt quá trình phát triển, nhóm thiết kế IIS đã tập trung vào 5 lĩnh vực lớn:
o Bảo mật
o Khả năng mở rộng
o Cấu hình và triển khai
o Quản trị và chuẩn đoán
o Hiệu suất
Để cài đặt IIS7 bạn nhấp phải vào Computer chọn Manage
Chọn Roles trong Server Manager sau đó click chọn Add roles
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (684x407).
Trang 2Chọn Web Server (IIS) trong màn hình Select Server Roles
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (565x531).
Trang 3Windows sẽ bật màn hình Add Roles Wizard bạn nhấp chọn Add Required Features
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (625x230).
Chọn các dịch vụ cần thiết cho Server của bạn Vì đây tôi giả lập chúng ta là dịch vụ Hosting nên trong phần Applacation Development tôi chọn tất cả dịch vụ có trong này
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (575x507).
Trong phần Management Tools bạn chọn tất cả các dịch vụ này, vì các công cụ này sẽ rất cần thiết để vận hành Plesk Hosting một cách đầy đủ nhất Tuy nhiên bạn không nên cài dịch vụ FTP
Publishing Service mà dịch vụ này chúng ta sẽ cài sau bằng Web Platform
Trang 4Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (564x500).
Quá trình cài đặt diễn ra
Trang 5Sau khi cài đặt hoàn tất bạn sẽ thấy trong Administrative Tools xuất hiện đến 2 dịch vụ IIS đó là
IIS6 và IIS7 Bạn không nên ngạc nhiên mà chỉ quan tâm đến IIS7 mà thôi dịch vụ IIS6 mà thôi
cài chỉ có tác dụng giúp Plesk Hosting quản trị một số tính năng khác mà thôi.
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (685x532).
Trang 6Giao giện màn hình chính của IIS7 hoàn toàn mới lạ và đa dạng hơn so với IIS6
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (801x575).
Để kiểm tra IIS7 có được cài đặt hoàn chỉnh hay chưa bạn vào trình duyệt gõ địa chỉ
http://localhost/ để kiểm tra Khi thấy màn hình chào mừng của IIS7 nghĩa là ta đã cài đặt thành công
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (677x566).
Trang 7Để chuẩn bị dọn đường cho việc cài đặt Plesk Hosting chúng ta chỉ cần cài đặt IIS và DNS Server
mà thôi chính vì thế bạn cần cài đặt thêm dịch vụ DNS Server Bạn vào lại Server Manager chọn
Add Roles
Mặc định Plesk Hosting có hỗ trợ sẵn công cụ DNS tuy nhiên chúng ta nên sử dụng DNS Server
của Windows để có giao diện trực quan dễ quản lý và nếu sau này bạn có nâng cấp hệ thống lên
môi trường Domain Controller thì cũng dễ dàng vào bảo mật tốt hơn.
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (698x361).
Trang 8Chọn DNS Server trong Select Server Roles
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (563x500).
Sau khi cài đặt hoàn tất ta sẽ thấy dịch vụ DNS xuất hiện trong Administrative Tools
Trang 9Hiển nhiên trong này chưa tồn tại bất kỳ Zone nào Bạn không nên tạo Zone trong này mà giữ nguyên giá trị rỗng này Sau này khi cài Plesk tự động Plesk sẽ thêm các giá trị này cho bạn.
Hình ảnh này đã bị thu nhỏ Nhấp vào hình để xem kính thước thật (578x296).
Khuyến cáo:
Vì trong này tôi chỉ sử dụng mô hình Lab là VPS Server nên tất cả dịch vụ tôi đều cài chung lên
một máy, trong thực tế bạn phải tuân thủ các qui định cơ bản sau:
- DNS Server cài lên máy đã lên Domain (nhằm tăng cường chế độ bảo mật cho DNS Server)
- Plesk Hosting và Web Server phải cài chung lên một máy đã Join vào Domain
- Các máy chạy Mail Server, Data Server cài lên các máy riêng lẽ khác
Trang 10Có như vậy hệ thống chúng ta mới thực sự ổn định và xử lý công việc nhanh chóng Tuy nhiên trên
thực tế vì lý do chi phí nên một số nhà cung cấp Hosting nhỏ lẻ cũng buộc các máy phải kiêm đa nhiệm vụ vấn đề này cũng gặp trong các gói VPS Server và như thế tất nhiên hiệu suất sử dụng
cũng bị giảm đi.
OK mình vừa trình bày xong phần cài đặt IIS7 trong Windows Server 2008.
1 Bảo mật máy chủ IIS Server (phần 1)
Bài viết này sẽ giới thiệu chi tiết về bảo mật máy chủ web, từ giới thiệu, cài đặt các dịch vụ, cấu hình các cơ chế bảo mật khi quản trị website
Trong bài viết này tôi giới thiệu với các bạn một cách chi tiết về bảo mật một máy chủ WEB, từ giới thiệu, cài đặt các dịch vụ, cấu hình các cơ chế bảo mật một cách chi tiết nhất giúp các bạn khi quản trị web site có một cái nhìn tổng thể, cách cấu hình một cách chi tiết đảm bảo tính bảo mật cho máy chủ WEB, đây là vấn đề bảo mật mức độ máy chủ không phải bảo mật ở mức độ logic, mặc dù rất nhiều Web site bị tấn công là do lỗi logic trong lập trình
Với trọng tâm hướng dẫn những vấn đề cần thiết giúp bạn nâng cao tính bảo mật cho máy chủ IIS Server Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể kết nối vào chúng Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần phải được bảo mật từ bên trong mạng Intranet của doanh nghiệp hay tổ chức
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định IIS không được cài đặt trên Windows Server 2003 IIS khi được cài đặt sẽ ở trong chế độ bảo mật cao "high secure" hay gọi là "locked mode" Ví dụ IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm Tính năng như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không hoạt động cho đến khi người quản trị kích hoạt nó Tính năng và dịch vụ có thể được kích hoạt là Web Service Extensions và IIS Manager
IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS Nó quản lý tài nguyên các file, directory, và các thiết lập cho các ứng dụng như về security, performance, và các tính năng khác
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web
Trước tiên về Audit Policy Settings
Các bạn phải thiết lâp Audit Policy trên máy chủ IIS Server trong môi trường làm việc đảm bảo toàn bộ thông tin của người dùng khi log vào hệ thống sẽ đều được ghi lại Tất cả những dữ liệu được truy cập và các đều được log lại
Trang 11Thiết lập User Rights Assignments
bạn cần phải thiết lập "Deny access to this computer from the network", với thiết lập này sẽ quyết định những users nào bị cấm truy cập tới máy chủ IIS từ mạng Thiết lập này sẽ cấm một
số các giao thức mạng, bao gồm Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) và Component Object Model Plus (COM+) Với thiết lập này tài khoản người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn dưới đây
là những người dùng cần phải thiết lập:
ANONOYMOUS LOGON, Built-in Administrator, Suport_388945a0, Guest và toàn bộ người dùng không thuộc các tài khoản có sẵn tất cả đều được thực hiện bằng tay trong User Rights
Assignments
Trong Security Options
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu hình tuỳ biến thích hợp nhất
Event Log Settings
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng được truy cập (kể
cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập)
SYSTEM Services
Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các dịch vụ buộc phải kích hoạt Trong đó có các services cần phải để chế độ automatically
Các services có ba trạng thái là Disable, Enable, và Automatically - đây là trạng thái khi hệ thống khởi động sẽ khởi động luôn cả service này
HTTP SSL
Service HTTP SSL được kích hoạt trong IIS để thực hiện Secure Sockets Layer (SSL) SSL là một chuẩn để thiết lập bảo kênh truyền dẫn được bảo mật khi những thông tin nhạy cảm được truyền đi ví như thông tin của Credit Card chẳng hạn Với mục đích chính là kích hoạt nó cho ứng dụng giao dịch điện tử thông qua World Wide Web, và được thiết kế để làm việc cùng với nhiều dịch vụ khác trên Internet
Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL Việc Disable service này dẫn tới một
số service khác phụ thuộc vào nó ảnh hưởng Sử dụng Group Policy để bảo mật và thiết lập trạng thái hoạt động và những điều kiện có thể truy cập vào service này, với thiết lập chỉ có Administrator mới có khả năng truy cập vào service này đảm bảo người bình thường sẽ buộc phải thực hiện giao dịch bảo mật, và không thể chỉnh sửa được Service này cần phải được thiết lập ở chế độ Automatic
IIS Admin Service
IIS Admin Service cho phép quản trị các thành phần trong IIS như FTP, Application Pools, Web Sites, Web Service Extensions và cả NNTP và SMTP
IIS Admin Service cần phải hoạt động để cung cấp Web, FTP, NNTP và SMTP Nếu service này bị disable, IIS sẽ không thể cấu hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị nhưng chệ
Sử dụng Group Policy để đảm bảo rằng việc khởi động của Service này không bị ảnh hưởng từ các user khác, chỉ user Administrator mới có khả năng điều khiển service này và cấu hình service này đều để ở chế độ Automatic
Trang 12World Wide Web Publishing Service
Service này cung cấp kết kết nối Web và quản trị Web site qua IIS Snap-in
Service này buộc phải chạy trên IIS Server để cung cấp kết nối Web và quản trị trên IIS
Manager Sử dụng Group Policy để bảo mật các thiết lập về quá trình khởi động của Service này Ngăn cấm những người không phải Administrator có khả năng truy cập vào Service này để điều khiển quá trình hoạt động của nó Cấu hình chỉ cho phép administrator có quyền điều khiển service này mà thôi WWW cần phải hoạt động trên máy chủ IIS Server và để chế độ Automatic Trong phần tiếp theo của bài viết tôi sẽ giới thiệu với các bạn về cài đặt những component cần thiết cũng như ý nghĩa của từng component và các thiết lập khác nhằm nâng cao bảo mật cho máy chủ IIS, như thiết lập quyền truy cập qua NTFS Permission
