TRƯỜNG ĐẠI HỌC NÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÀI TẬP LỚN
AN TOÀN THÔNG TIN
Đề tài: Bảo mật máy chủ IIS - IIS Security
Giáo viên hướng dẫn : Nguyễn Văn Hoàng
Nhóm sinh viên thực hiện: Nhóm 20
Vũ Thị Mai Hoa
Nguyễn Thị Sen
Hà Nội 2011
PHẦN I: MỞ ĐẦU
I. Đặt vấn đề
Internet Information Services là một phần mềm cung cấp các dịch vụ dành cho
máy chủ được sử dụng rất rộng rãi trên thế giới được phát triển bởi công ty phần
mềm Microsoft. IIS là web server được sử dụng phổ biến thứ hai trên thế giới, chỉ
đứng sau web server HTTP Apache và theo khảo sát của Netcorft, IIS hiện đang
phục vụ cho 24,47% các website trên toàn thế giới. Cùng với sự phổ biến này, IIS
cũng luôn là một mục tiêu tấn công của các hacker nhằm xâm nhập, phá hoại hệ
thống. Ngày 19 tháng 7 năm 2001, hơn 359,000 máy tính sử dụng webserver IIS
của Microsoft đã bị tấn công bởi một con sâu có tên là Code Red Worm, gây nên
những thiệt hại to lớn. Chính vì vậy vấn đề bảo mật cho web server trở nên vô cùng
quan trọng đối với các nhà phát triển và quản trị hệ thống. Trong bài báo cáo này
chúng ta sẽ cùng tìm hiểu một số kiến thức cơ bản về các thành phần, cách cấu hình
IIS 6.0 để bảo mật máy chủ IIS trên Windows Server 2003.
II. Mục đích và yêu cầu
- Tìm hiểu về IIS
- Cài đặt IIS 6.0
- Bảo mật IIS 6.0 với máy chủ Windows Server 2003
2
PHẦN II: NỘI DUNG
I. Tìm hiểu về IIS
1.a.1. Khái niệm về IIS:
IIS là viết tắt của từ (Internet Information Services )
Microsoft Internet Information Services là một phần mềm cung cấp các dịch vụ
dành cho máy chủ chạy trên nền Hệ điều hành Window nhằm cung cấp và phân tán
các thông tin lên Internet. Ví dụ: sau khi bạn thiết kế xong các trang Web của mình,
nếu bạn muốn đưa chúng lên mạng để mọi người có thể truy cập và xem chúng thì
bạn phải nhờ đến một Web Server, ở đây là IIS. Nếu không thì trang Web của bạn
chỉ có thể được xem trên chính máy của bạn hoặc thông qua việc chia sẻ tệp (file
sharing) như các tệp bất kỳ trong mạng nội bộ.
IIS được phát triển bởi công ty phần mềm Microsoft để làm việc với Microsoft
Windows, IIS thường đính kèm với các phiên bản của Windows.
1.a.2. IIS có thể làm được gì?
Nhiệm vụ của IIS là tiếp nhận yêu cầu của máy trạm và đáp ứng lại yêu cầu đó
bằng cách gửi về máy trạm những thông tin mà máy trạm yêu cầu.
IIS hỗ trợ nhiều dịch vụ khác nhau cùng với các giao thức tương ứng với từng
dịch vụ đó như:
• Web Server, đây là dịch vụ phổ biến nhất của IIS sử dụng giao thức HTTP
để tiếp nhận yêu cầu (Requests) của trình duyệt Web (Web browser) dưới dạng
một địa chỉ URL (Uniform Resource Locator) của một trang Web và IIS phản
hồi lại các yêu cầu bằng cách gửi về cho Web browser nội dung của trang Web
tương ứng
• FTP Server, dịch vụ chia sẻ file dữ liệu thông qua giao thức FTP(File
Transfer Protocol). Cho phép người ở xa có thể truy xuất database của máy
chủ (gọi là Database remote access)
• Dịch vụ gửi thư trên Internet, nó sử dụng SMTP( Simple Mail Transfer
Protocol) giao thức gửi thư điện tử của tầng ứng dụng. SMTP truyền các thông
điệp( thư) từ mail server của người gửi đến mail server của người nhận.
• Dịch vụ truy cập thư trên Internet, sử dụng giao thức lấy thư POP3( Post
Office Protocol- Version 3) hoặc IMAP( Internet Mail Access Protocol). Khi người
3
dùng truy nhập vào hòm thư của họ thì POP3 hay IMAP sẽ được kích hoạt và
chuyển thư tới người dùng đó.
II. Bảo mật IIS trong windows server 2003:
1. Bảo mật máy chủ IIS server:
Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo
mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy
clients có thể kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ
IIS cũng cần phải được bảo mật từ chính bên trong mạng Intranet(mạng nội bộ) của
doanh nghiệp hay tổ chức ấy.
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định
IIS không được cài đặt trên Windows Server 2003. IIS khi được cài đặt sẽ ở trong
chế độ bảo mật cao "high secure" hay gọi là "locked mode".
Ví dụ: IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm. Tính năng
như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and
Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không
hoạt động cho đến khi người quản trị kích hoạt nó. Tính năng và dịch vụ có thể
được kích hoạt là Web Service Extensions và IIS Manager.
IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS. Nó quản lý tài
nguyên các file, directory, và các thiết lập cho các ứng dụng như về security,
performance, và các tính năng khác.
2. Các thiết lập nâng cao tính bảo mật cho máy chủ IIS server
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo
tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web.
b. Audit Policy Settings:
Thiết lập Audit Policy trên máy chủ IIS Server đảm bảo toàn bộ thông tin của
người dùng khi login, logoff hệ thống sẽ đều được ghi lại. Và tất cả những dữ liệu
được người dùng truy cập cũng được lưu lại.
*Audit log on và Audit Objects Access:
Cách thiết lập
Audit log on và Audit object access trong group policy như sau:
4
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies –>
1. Audit logon events đặt chế độ success và fails
2. Audit Policy chọn Audit object access đặt chế độ success và fails
Kiểm tra các thông tin login, logoff của mỗi user sau khi sử dụng hệ thống như
sau: click chuột phải vào My Computer-> manage ->System Tools -> Event Viewer
->security.
Ví dụ: Sau khi logon vào máy tính mở event viewer ra xem và tôi phát hiện ra hệ
thống đã lưu lại như hình vẽ sau:
5
Vậy ý nghĩa của việc xem lại log này là gì: bạn hãy tưởng tượng một dữ liệu
trong máy của bạn đã bị mất và trong log ghi lại là đã được xoá lúc 12h đêm vậy
bạn cần quy trách nhiệm đó cho ai, bạn cần biết trong thời điểm đó những ai đang
online và logon, logoff trong thời gian đó.
c. Thiết lập User Rights Assignments:
Chúng ta phải chọn cách thiết lập "Deny access to this computer from the
network", với thiết lập này sẽ quyết định những users nào bị cấm truy cập tới máy
chủ IIS từ mạng, và cấm một số các giao thức mạng: Server Message Block (SMB),
NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol
(HTTP) và Component Object Model Plus (COM+). Với thiết lập này tài khoản
người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn.
Cách thiết lập:
Mặc định user Suport_388945a0 không được truy cập vào hệ thống. Bạn muốn
cấm những user khác nữa truy cập vào hệ thống bạn làm như sau:
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies -> User Rights Assigment, chọn mục “Deny access to this computer from
the network”. Sau đó add user or group vào.
d. Thiết lập Security Option:
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu
hình tuỳ biến thích hợp nhất.
Cách thiết lập:
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies -> Security Option
e. Event Log Settings:
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất
của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham
số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại
quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng
6
nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong
quá trình đăng nhập).
Cách thiết lập:
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies –>
1. Audit logon events đặt chế độ success và fails
2. Audit Policy chọn Audit object access đặt chế độ success và fails
f. System services:
Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các
dịch vụ buộc phải kích hoạt. Trong đó có các services cần phải để chế độ
automatically.
Các services có ba trạng thái là Disable, Enable, và Automatically - đây là trạng
thái khi hệ thống khởi động sẽ khởi động luôn cả service này.
HTTP SSL
Service HTTP SSL được kích hoạt trong IIS để thực hiện Secure Sockets Layer
(SSL). SSL là một chuẩn để thiết lập kênh truyền dẫn bảo mật khi những thông tin
nhạy cảm được truyền đi ví như thông tin của Credit Card( thẻ tín dụng) chẳng hạn.
Với mục đích chính là kích hoạt nó cho ứng dụng giao dịch điện tử thông qua
World Wide Web, và được thiết kế để làm việc cùng với nhiều dịch vụ khác trên
Internet.
Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL. Việc Disable
service này dẫn tới một số service khác phụ thuộc vào nó ảnh hưởng. Sử dụng
Group Policy để bảo mật và thiết lập trạng thái hoạt động và những điều kiện có thể
truy cập vào service này, với thiết lập chỉ có Administrator mới có khả năng truy
cập vào service này đảm bảo người bình thường sẽ buộc phải thực hiện giao dịch
bảo mật, và không thể chỉnh sửa được. Service này cần phải được thiết lập ở chế độ
Automatic.
7
IIS Admin Service
IIS Admin Service cho phép quản trị các thành phần trong IIS như FTP,
Application Pools, Web Sites, Web Service Extensions và cả NNTP và SMTP.
IIS Admin Service cần phải hoạt động để cung cấp Web, FTP, NNTP và SMTP.
Nếu service này bị disable, IIS sẽ không thể cấu hình , tất cả những yêu cầu cho tới
dịch vụ Web đều bị ngưng chệ. Sử dụng Group Policy để đảm bảo rằng việc khởi
động của Service này không bị ảnh hưởng từ các user khác, chỉ user Administrator
mới có khả năng điều khiển service này và cấu hình service này đều để ở chế độ
Automatic.
World Wide Web Publishing Service
Service này cung cấp kết kết nối Web và quản trị Web site qua IIS Snap-in
Service này buộc phải chạy trên IIS Server để cung cấp kết nối Web và quản trị
trên IIS Manager. Sử dụng Group Policy để bảo mật các thiết lập về quá trình khởi
động của Service này. Ngăn cấm những người không phải Administrator có khả
năng truy cập vào Service này để điều khiển quá trình hoạt động của nó. Cấu hình
chỉ cho phép administrator có quyền điều khiển service này mà thôi. WWW cần
phải hoạt động trên máy chủ IIS Server và để chế độ Automatic .
1.f.1. Cấu hình các thành phần của IIS service đảm bảo tính bảo
mật cao nhất:
Khi cài đặt IIS Service, muốn bảo mật IIS Server cần phải hiểu các Components(
thành phần) của nó hoạt động có chức năng ra sao, và khi nào cần thiết phải cài đặt,
khi nào không cần thiết. Điều này cũng là một cách bảo mật máy chủ IIS Server
tránh xảy ra những lỗ hổng không cần thiết.
Sau khi cài đặt Windows Server 2003 và IIS, IIS với mặc định chỉ hỗ trợ Web
tĩnh. Khi các trang web và ứng dụng cần những và nội dung Web động, hay cần
thêm những thành phần của IIS, mỗi khi thêm các tính năng cho IIS bạn phải kích
hoạt nó hoạt động. Tuy nhiên trong quá trình thực hiện việc đó phải đảm bảo các
yếu tố bảo mật có thể ảnh hưởng tới toàn bộ IIS Server. Nếu trang web của tổ chức
8
bạn là Web tĩnh thì bạn không cần phải thêm bất kỳ một tính năng nào cho IIS
Server, với các thiết lập mặc định của IIS sẽ giảm thiểu được các vấn đề về bảo mật
cho tổ chức của bạn. Để tối ưu hoá việc thêm các thành phần cho IIS Server, và
nâng cao tính bảo mật cho hệ thông, toàn bộ quá trình thực hiện đều không thực
hiện được trên Group Policy mà bạn cần phải trực tiếp làm việc với IIS Servers.
Như vậy chỉ nên cài đặt những components cần thiết cho IIS.
3.1. Các bước cài đặt IIS 6.0:
1. Trên Control Panel, chọn Add or Remove Programs.
2. Chọn Add/Remove Windows Components .
3. Trong danh sách Components chọn Application Server, tiếp đó chọn
Details.
4. Trong Application Server lựa chọn các Subcomponents of Application,
chọn Internet Information Services (IIS), sau đó chọn Details.
Server
5. Trong Internet Information Services (IIS) trong danh sách của Subcomponents
of
Internet Information Services (IIS) :
- Để lựa chọn các components cần thiết để thêm vào trong IIS bạn chỉ cần lựa
chọn trong dấu check box, để remove nó đi bạn chỉ cần bỏ dấu check box đó ra.
6. Chọn OK trở lại Windows Component Wizard.
7. Chọn Next, sau đó là Finish.
3.2. Cấu hình cho các Components của Application Server:
9
Hình 1: Các subcomponents trong Application Server
Dưới đây là ý nghĩa của các Subcomponents được miêu tả chi tiết trong
Application Server cung cấp giải pháp được khuyến cáo bởi nhà sản xuất.
Application Server Console - Disabled (mặc định)
Cung cấp một snap-in trong Microsoft Management Console (MMC) cho phép
quản trị toàn bộ các thành phần và các dịch vụ trên Web Application Server, ứng
dụng này mặc định không được cài đặt bởi trên IIS đã cung cấp khả năng quản trị
rồi.
ASP.NET - Disabled (mặc định)
Cung cấp khả năng hỗ trợ các ứng dụng ASP.NET, với việc kích hoạt thành phần
trên khi máy chủ IIS Server chạy các ứng dụng ASP.NET.
Enable Network COM+ Access - Enabled (mặc định)
Cho phép máy chủ IIS làm máy chủ cung cấp các ứng dụng COM+, cần thiết cho
các dịch vụ như FTP, BITS, World Wide Web, và IIS Manager.
Enable Network DTC Access - Disable (mặc định)
Cho phép máy chủ IIS host các ứng dụng cụ thể qua Distributed Transaction
Coordinator (DTC). Tắt tính năng này khi không cần thiết chạy các ứng dụng cần
thiết trên IIS Server.
IInternet Information Services - IIS - Enable (mặc định)
Cung cấp các dịch vụ cơ bản: Web, FTP Services. Thành phần này là cần thiết
cho IIS Servers.
Message Queuing - Disable (mặc định)
Chú ý một điều là khi thành phần này không được kích hoạt thì toàn bộ các
subcomponents của nó cũng bị disabled.
10
3.3. Cấu hình cho các Components của IIS:
Hình 2: các subcomponents của IIS
Dưới đây là miêu tả chi tiết từng component trong IIS
Background Intelligent Transfer Service (BITS) server extension - Enable
(mặc định)
BITS là một giao diện cung cấp khả năng truyền File sử dụng bởi Windows
Update and Automatic Update, thành phần này được cài đặt là một yêu cầu nhằm
đáp ứng khả năng hỗ trợ Automatic Update và sử dụng để cung cấp các giải pháp
update cho toàn bộ hệ thống.
Common Files - Enable (mặc định)
IIS Cần thiết sử dụng các Files nên component này được kích hoạt mặc định.
File Transfer Protocol (FTP) - Disabled (mặc định)
Cho phép IIS Server cung cấp dịch vụ FTP. Dịch vụ này không nhất thiết được
cài đặt trên IIS Servers
FrontPage 2002 Server Extensions - Disabled (mặc định)
Cung cấp hỗ trợ FrontPage, quản trị và public Web sites. Disable là mặc định
trên máy IIS Server khi Web Sites không sử dụng FrontPage extensions.
11
Internet Information Service Manager - Enabled (mặc định)
Cung cấp giao diện quản trị cho IIS.
Internet Printing - Disabled (mặc định)
Cung cấp nền tảng web cho việc quản trị máy in và cho phép chia sẻ tài nguyên
máy in qua HTTP, nó không phải là một component được cài đặt mặc định trên IIS
Server.
NNTP Service - Disable (mặc định)
Cung cấp, truy vấn, nhận và sử dụng để post các bài báo trên Internet. Thành
phần này không cần thiết nếu IIS không cần những ứng dụng đó.
SMTP Service - Disable (mặc định)
Hỗ trợ giải pháp truyền thư điện tử, nó là một thành phần không được cài đặt
mặc định trên IIS Server
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web: tĩnh hay web động. Thành phần này mặc định buộc phải
cài đặt trên IIS Servers.
3.4. Cấu hình cho các Components của Message Queuing:
Hình 3: các subcomponent của Message Queuing và cài đặt theo khuyến
cáo của nhà sản xuất (default)
12
Dưới đây là ý nghĩa của từng subcomponents:
Active Directory Integration - Disabled (mặc định)
Cung cấp giải pháp kết hợp với Active Directory khi một máy chủ IIS thuộc một
domain. Thành phần này cần thiết khi Websites và các ứng dụng chạy trên IIS
Server sử dụng Microsoft Message Queuing (MSMQ).
Common - Disabled (mặc định)
Cần thiết bởi MSMQ. Thành phần này cần thiết khi web site và application chạy
trên IIS Server và sử dụng MSMQ
Downlevel Client Support - Disabled (mặc định)
Cung cấp truy cập tới Active Directory và các trang web cho các clients. Thành
phần này cần thiết khi máy chủ IIS với website và application sử dụng MSMQ.
MSMQ HTTP Support - Disable (mặc định)
Cung cấp khả năng gửi và nhận tin từ giao thức HTTP. Thành phần này cần thiết
khi IIS Server có website và application sử dụng MSMQ.
Routing Support - Disable - (mặc định)
Cung cấp khả năng lưu trữ và forward thư cho MSMQ. Thành phần này cần thiết
khi Website application chạy trên IIS Server sử dụng MSMQ
3.5. Cấu hình cho các Components của Background Intelligent Transfer
Service (BITS) Server Extensions:
Hình 4: các subcomponent trong Background Intelligent Transfer Service
(BITS) Server Extensions
13
Dưới đây là ý nghĩa của các subcomponent của BITS, và lời khuyên cài đặt mặc
định từ nhà sản xuất.
BITS management console snap-in - Enable (mặc định)
Cài đặt một MMC snap-in cho quá trình quản trị BITS.
BITS Server Extension ISAPI - Enable (mặc định)
Cài đặt BITS ISAP khi một IIS server có thể truyền tải sử dụng BITS. Thành
phần này cần thiết khi sử dụng Windows Update or Automatic Update cung cấp giải
pháp tự động cho quá trình vá lỗi và nâng cấp bảo mật từ nhà sản xuất.
3.6. Cấu hình các components trong World Wide Web service:
Hình 5: các subcomponents trong World Wid Web service
Dưới đây là miêu tả chi tiết về các subcomponent và lời khuyến cáo từ nhà sản
xuất
Active Server Page - Disable (mặc định)
Cung cấp hỗ trợ cho ASP. Với mặc định là disable khi không có web sites hay
các ứng dụng nào trên IIS Server sử dụng ASP, hay không sử dụng nó trong web
service extension. Cần thiết phải kích hoạt trong Web Service Extensions.
Internet Data Connector - Disable (mặc định)
14
Cung cấp khả năng hỗ trợ các nội dung động (web động) qua file với đuôi mở
rộng .idc. Disabled mặc định thành phần này khi không có web sites hay ứng dụng
nào chạy trên IIS Server bao gồm các file đuôi .idc nào. Chỉ kích hoạt nó khi cần
thiết trong
Web Service ExtensionsRemote Administration - Disabled (mặc định)
Cung cấp giao diệt HTML cho quá trình quản trị IIS. Sử dụng IIS Manager cung
cấp khả năng quản trị dễ dàng và giảm thiểu các tấn công qua các lỗ hổng không
cần thiết. Thành phần này mặc định được disabled.
Remote Desktop Web Connection - Disabled (mặc định)
bao gồm Microsoft ActiveX và một vài trang cho quá trình hosting các Terminal
Service. Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu tấn
công. Cho nên thành phần này mặc định bị disabled
Server - Side Includes - Disabled (mặc định)
Cung cấp hỗ trợ cácc định dạng file .shtm, shtml và .stm. Disable thành phần này
là mặc định khi không có web site hay ứng dụng nào cần chạy các định dạng file
trên.
WebDAV - Disable (mặc định)
WebDAV mở rộng của giao thức HTTP/1.1 cho phép clients public, khoá hay
quản trị các tài nguyên trên Web. Disable thành phần này là mặc định khi IIS server
không sử dụng Web Service Extentions
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web, web tĩnh, web động cho clients. Thành phần này được
cài đặt là yêu cầu cần thiết của IIS Server
1.f.2. Giới thiệu các phương pháp bảo mật kết hợp.
Các phương pháp bảo mật kết hợp, NTFS, User authentication, và sử dụng IPSec
Filter để nâng cao tính bảo mật cho máy chủ IIS Server.
g. Chỉ kích hoạt những Web Service Extensions cần thiết
- Nhiều Web sites và các ứng dụng chạy trên IIS Server có những thành phần mở
rộng từ trang tĩnh, bao gồm những nội dung động. Mọi nội dung động, hay các tính
15
năng mở rộng cung cấp bởi một máy chủ IIS được sử dụng bởi Web Service
Extensions
- Tối ưu hoá bảo mật các thành phần trong IIS 6.0 cho phép bạn thực hiện độc
lập trên từng Web Service Extensions có thể thực hiện Enabled hay Disabled. Sau
khi cài đặt, IIS Server sẽ chỉ thực hiện với các nội dung tĩnh. Khi web site hay các
ứng dụng của bạn cần các nội dung động (web động) bạn cần phải kích hoạt một số
tính năng trong Web Service Extensions trong IIS Manager. Các tính năng mở rộng
bao gồm ASP.NET, SSI, WebDAV, và FrontPage Server Extensions.
- Khi bạn kích hoạt toàn bộ các Web Service Extensions chắc chắn một điều nó
sẽ có khả năng tương thích và hỗ trợ cao nhất cho các ứng dụng, tuy nhiên nó cũng
tạo ra một nguy cơ bảo mật bởi toàn bộ các Extensions được kích hoạt. Để đảm bảo
hạn chế nguy cơ bảo mật bạn phải hiểu các Extensions và chỉ những Extensions nào
cần thiết thì bạn mới kích hoạt nó trên máy chủ IIS Server mà thôi.
- Việc chỉ kích hoạt những Extensions cần thiết ngoài việc đáp ứng toàn bộ các
ứng dụng cho tổ chức của bạn, đảm bảo việc nâng cao tính bảo mật và nâng cao
hiệu năng cho máy chủ IIS với việc chạy ít thành phần hơn, giảm thiểu các cuộc tấn
công.
h. Danh sách các Web Service Extensions, chi tiết tác dụng của từng thành
phần
Active Server Pages
Khi một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các
nội dung phát triển bằng ASP
ASP.NET v1.1.4322
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội
dung phát triển bằng ASP.NET
FrontPage Server Extensions 20002
Một hoặc nhiều Web sites chạy trên IIS Server sử dụng FrontPage Extensions
Internet Data Connector (IDC)
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server sử dụng IDS để
hiển thị các thông tin (đuôi mở rộng của các file của nó là dạng *.idc và *.idx)
16
Web Distributed Authoring and Versioning (WebDAV)
WebDAV cần thiết trên IIS Server để các máy clients có thể publish và quản lý
nội dung trên Web.
Chuyển nội dung vào Dedicated Disk Volume
IIS lưu trữ các files cho default Web site tại inetpubwwwroot, trong đó là ổ đĩa
mà bạn cài đặt Windows Server 2003.
Bạn chuyển tất cả các files và folders để xây dựng Web sites và các ứng dụng
vào trong Dedicated Disk Volumes trên IIS Server trong ba môi trường khác nhau.
Chuyển các files và folders trên Dedicated Disk Volume - trên một máy chủ IIS vào
một vùng an toàn nhằm ngăn chặn việc tấn công và nếu có vấn đề gì xảy ra có thể
restore lại một cách dễ dàng. Không để Dedicate Disk Volume trên máy chủ IIS
không cùng partion với Windows Server 2003 được cài đặt, và thay đổi đường dẫn
mặc định, bởi khi đó việc kẻ tấn công sẽ khó có thể biết được chính xác files và
folders của ta ở đâu trên máy chủ IIS Server, từ đó đảm bảo tính bảo mật hơn rất
nhiều.
Ngoài ra bạn có thể bảo mật folder hay các directory chứa Dedicated Disk
Volume, và hạn chế truy cập theo NTFS và một số cơ chế bảo khác.
Bên trên ta đã nói vấn đề phải chuyển nơi lưu trữ mặc định các files và folder nội
dung của web sites và application, trong phần tiếp theo này tôi giới thiệu cách bạn
bảo mật folder đó với NTFS Permissions
i. Thiết lập NTFS Permissions.
Windows Server 2003 hỗ trợ NTFS File System permissions để quyết định files
và folders nào được quyền truy cập dựa trên users và groups - Nói một cách khác
Windows Server 2003 có cơ chế access control cho các files và folders dựa trên
users và groups
NTFS Permissions có thể gán cho phép hay cấm truy cập cho cụ thể những users
cho quá trình truy cập web sites trên IIS Server.
NTFS Permissions có thể sử dụng kết hợp với Web Permissions, không phải là
một phần của Web Permissions. NTFS Permissions chỉ ảnh hưởng tới các accounts
đã được gán cho quyền truy cập hay bị cấm truy cập vào web sites hay các nội dung
khác. Web site permissions ảnh hưởng tới toàn bộ các user truy cập tới web site hay
17
các ứng dụng. Nếu Web permissions xung đột với NTFS permissions trên một file
hay một folder, thì sẽ có nhiều thiết lập bị hạn chế đuợc áp dụng.
Sử dụng tài khoản anonymous để truy cập vào các web site hay các ứng dụng có
thể sẽ bị deny một cách dễ dàng, anonymous là bạn sử dụng tài khoản người dùng
không cần xác thực để truy cập vào các nội dung của web site hay các ứng dụng.
Anonymous bao gồm các tài khoản: Guest account, Guests group và IIS
Anonymous accounts. Thêm vào nữa bạn cần phải thiết lập rằng sẽ cấm toàn bộ tất
cả các users loại trừ IIS Administrators có quyền ghi, chỉnh sửa trên các file hay
folders của IIS Server.
Dưới đây là thiết lập NTFS Permissions được khuyến cáo bảo đảm tính bảo mật
cũng như việc đảm bảo tính thuận lợi cho quá trình truy cập.
Trên đây ta thực hiện NTFS Permissions với thiết lập chỉ ảnh hưởng tới các
accounts đã được gán quyền truy cập hay cấm truy cập, dưới đây ta thực hiện thiết
lập IIS Web Site Permissions thực hiện với mức độ ảnh hưởng tới toàn bộ ai truy
cập vào web sites cũng như ứng dụng khác.
j. Thiết lập IIS Web Site Permissions.
IIS có khả năng thiết lập Web site permissions để quyết định cho phép hay cấm
những hành động nào truy cập vào web site, ví dụ như cho phép truy cập vào các
nguồn script hay directory browing. Web site permissions có thể thực hiện để bảo
mật Web sites trên IIS Server.
Web site permissions có thể sử dụng kết hợp với NTFS permissions. Chúng có
thể cấu hình cho những trang cụ thể, những directories, và files. Không như NTFS
Permissions, Web site permissions ảnh hưởng tới tất cả những ai truy cập tới web
site trên một IIS Server. Web site permissions có thể cung cấp bằng việc sử dụng
IIS Manager snap-in.
Dưới đây là miêu tả chi tiết các quyền bạn có thể gán trong Web Site Permissions
18
Read
Users có thể xem các nội dung và các thuộc tính của các directories hay các files.
Đây là thiết lập mặc định.
Write
Users có khả năng thay đổi nội dung và thuộc tính của directories hay các files.
Script Source Access
Users có thể truy cập tới "source files, nếu quyền Read được cho phép, sau đó
source có thể được đọc, nếu quyền Write được cho phép thì sau đó "script source
code" có thể bị thay đổi. Script Source Access bao gồm "source code - mã nguồn"
cho các đoạn script. Nếu Read hay Write đều không được cho phép thì Script
Source Access không được phép truy cập.
Một điều quan trọng đó là nếu Script Source Access được cho phép, user có thể
xem các thong tin, như tên và password. Và khi họ có thể thay đổi được mã nguồn
chạy trên IIS Server thì bảo mật trên toàn máy chủ sẽ bị ảnh hưởng.
Directory browing
User có thể xem danh sách các files.
Log Visits
Toàn bộ log ghi lại quá trình truy cập của người dùng vào web site
Index this Resource
Cho phép Indexing Service có khả năng index resource. Nó cho phép tìm kiếm
và thực hiện một số tác vụ khác với tài nguyên trên IIS Server.
Excuted.
Có những tuỳ chọn các mức độ chạy scipt cho từng users
none không cho chạy các script trên server
scripts only chỉ cho phép các scripts chạy trên server
scripts and executables cho phép cả scripts và executables trên server.
Việc truy cập vào web site của các user cần phải được lưu lại bởi quá trình đó
cho phép nhà quản trị phân tích quá trình truy cập bất hợp pháp và có những biện
pháp cụ thể.
19
k. Thiết lập cấu hình IIS Logging.
Dưới đây là khuyến cáo kích hoạt IIS Logging trên IIS Server.
Bạn có thể thiết lập cụ thể quá trình ghi lại quá trình truy cập cho mỗi web site
hay ứng dụng cụ thể. IIS ghi lại các thông tin như các event logging hay
performance log cung cấp bởi Microsoft Windows. IIS có thể ghi lại quá trình ai
truy cập vào một trang web, và những tài nguyên nào được người đó truy cập, lần
truy cập sau cùng là bao giờ IIS có thể sử dụng để phân tích các quá trình truy cập
bất hợp pháp, xác định những tính huống bị tắc nghẽn hay các vụ tấn công khác.
IIS Manager snap-in có thể sử dụng để thiết lập dạng file log, lên lịch cho việc
log và chính xác những thông tin nào cần được log như các directory cụ thể cho
web site trên IIS Manager. Để nâng cao hiệu năng, logs có thể không được lưu lại
trên các ổ hỗ trợ RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Khi IIS logging được kích hoạt, IIS sử dụng W3C Exended Log File Format để
ghi lại các thao tác cụ thể trong từng ngày và được lưu lại trên directory cụ thể mà
bạn thiết lập trên IIS Manager. Để nâng cao hiệu năng logs có thể không được lưu
lại trên các ổ hỗ trợ RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Hơn nữa logs có thể ghi lại các dữ liệu được chia sẻ từ các máy tính khác trên
mạng. Remote logging cho phép người quản trị hệ thống có thể tập trung được các
file log để có chính sách cụ thể lưu lại. Tuy nhiên việc ghi lại trên các máy tính từ
xa có thể ảnh hưởng tới hiệu năng của hệ thống.
IIS logging có thể được thiết lập sử dụng bảng mã ASCII hay Open Database
Connectivity (ODBC) file format. Định dạng ODBC logging được kích hoạt trên
IIS và lưu lại các thông tin trong dữ liệu của SQL. Tuy nhiên cần phải chú ý là phải
kích hoạt tính năng ODBC Logging, IIS tắt "kernal -mode cache". Để nâng cao hiệu
năng logging hệ thống cho phép lưu lại dưới dạng số nhị phân và hỗ trợ "remote
logging" bằng "Centralized Binary Logging".
Khi IIS logs được lưu lại trên IIS Server với mặc định thì chỉ quản trị máy chủ đó
mới có quyền truy cập vào chúng. Nếu một file log ở trong một directory không
nằm trên máy chủ IIS thì thông qua HTTP.sys kernel - mode driver trong IIS 6.0
ghi lại NT Event log.
20
1.k.1. Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc
tới việc đưa ra những chính sách bảo mật cụ thể.
- Việc thay đổi tên của user administrator là cần thiết, cũng như việc disable user
guest.
- Password cần phải phức tạp và khó đoán với các tài khoản thông thường cung
cấp cho người dùng truy cập vào web site.
- Lưu lại quá trình thay đổi bảo mật trong một vùng được bảo mật cao
- Thực hiện bảo mật máy chủ IIS bằng IPSec
Blocking Ports với IPSec Filters
Internet Protocol Security (IPSec) Filters có thể cung cấp khả năng tối hưu hoá
bảo mật máy chủ ở mức độ rất cao, và là một mức độ bảo mật cần thiết trên các
máy chủ. Với thiết lập được khuyến cáo hướng dẫn bạn có một môi trường bảo mật
cao hơn, hạn chế các vụ tấn công.
Dưới đây là bảng danh sách toàn bộ IPSec filters có thể tạo ra đảm bảo tính
bảo mật cao trên máy chủ IIS Server.
21
PHẦN III: KẾT LUẬN
Trong bài báo cáo chúng tôi đã tìm hiểu được một số cách cấu hình máy chủ
server, tìm hiểu các thành phần cũng như cách cấu hình các thành phần trong IIS
6.0, tất cả đều nhằm mục đích nâng cao tính bảo mật cho máy chủ web chống lại
những kẻ phá hoại. Hiện nay trên thị trường có rất nhiều phiên bản phần mềm IIS
tương ứng với từng hệ điều hành. IIS cho windows XP, IIS cho windows 7….Do
thời gian tìm hiểu đề tài có hạn nên chúng tôi chưa thể tìm hiểu hết được các cách
bảo mật IIS cho từng hệ điều hành này. Chúng tôi sẽ tiếp tục hoàn thiện bài báo cáo.
Chúng tôi xin chân thành cám ơn!.
22
Tài liệu tham khảo:
Các trang web:
/>1.html
/> />cui.html
Wikipedia: />Phần phân công công việc:
1. Nguyễn Thị Sen :
- Tìm hiểu về IIS
- Tìm hiểu bảo mật IIS trong windows server 2003
- Tìm hiểu các thiết lập nâng cao tính bảo mật cho máy chủ IIS server
- Tìm hiểu cấu hình các thành phần của IIS service đảm bảo tính bảo mật cao nhất.
2. Vũ Thị Mai Hoa :
- Tìm hiểu bảo mật IIS trong windows server 2003
- Tìm hiểu các phương pháp bảo mật kết hợp, NTFS, User authentication, và
sử dụng IPSec Filter để nâng cao tính bảo mật cho máy chủ IIS Server.
- Đưa ra những chính sách bảo mật cụ thể.
Cách thức thực hiện của nhóm:
- Tìm tài liệu trên các trang web, sách và các bài báo.
- Phân chia công việc cụ thể cho từng thành viên trong nhóm.
- Làm bài báo cáo từ những tài liệu thu thập được.
- Thường xuyên họp nhóm để ghép bài và tìm phương pháp giải quyết cho những
vấn đề khó như: Tìm phương pháp bảo mật kết hợp để nâng cao tính bảo mật cho
máy chủ IIS Server, IIS sử dụng các cơ chế bảo mật như thế nào?….
23
Mục Lục
PHẦN I: MỞ ĐẦU 2
I. Đặt vấn đề 2
II. Mục đích và yêu cầu 2
PHẦN II: NỘI DUNG 3
I. Tìm hiểu về IIS 3
1.a.1. Khái niệm về IIS: 3
1.a.2. IIS có thể làm được gì? 3
II. Bảo mật IIS trong windows server 2003: 4
1. Bảo mật máy chủ IIS server: 4
2. Các thiết lập nâng cao tính bảo mật cho máy chủ IIS server 4
1.f.1. Cấu hình các thành phần của IIS service đảm bảo tính bảo mật cao nhất: 8
1.f.2. Giới thiệu các phương pháp bảo mật kết hợp 15
1.k.1. Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra
những chính sách bảo mật cụ thể 21
PHẦN III: KẾT LUẬN 22
Tài liệu tham khảo: 23
1. Nguyễn Thị Sen : 23
2. Vũ Thị Mai Hoa : 23
24