1、IIS部署及安全加固,服务中国 Smallfish MVP For Windows IIS 严禁翻版 版权必究,IIS (Internet Information Services ),目标:了解IIS的安全性,掌握WEB服务器中的基本概念、配置和管理、IIS加固; 重点:Web站点的配置和管理; 难点:IIS安全和加固。,IIS (Internet Information Services ),IIS 简介 IIS安装和卸载 IIS的配置(重点),1.1 IIS 简介,IIS是Internet Information Services的缩写,它是微软公司主推的Web服务器,通过使用IIS,可
2、以配置一台功能完备的Web服务器。 最新的版本是Windows Server 2003里面包含的IIS 6 。 与Windows操作系统紧密集成。,在Windows Server 2003 中发布,其特性主要为: 1)、改进的体系结构。* 新模式工作进程隔离模式,增强稳定性。* Web园多个进程处理一个应用程序。允许 将工作进程分配给SMP系统上的单个CPU。* IIS 5兼容性可以切换到IIS 5 隔离模式。* 新的配置数据库使用XML格式的文本文件。 2)、增强的安全性。* IIS 6 是以锁定状态而不是开放状态配置安装的,安装完 IIS 6 后需通过WSE( Web 服务器扩展)进一步打
3、开相应的功能。 3)、改进的性能。* 将HTTP侦听程序移到内核中,从而显著提高性能。 4)、改进的管理。* 可以用多种方式来管理IIS 。 5)、其他增强。* FTP用户隔离,增强FTP的安全性。,IIS 6,Internet服务应用程序编程接口 微软创建的、用来代替CGI的处理模型。但需用C+或其他高级语言开发。 ISAPI 应用程序 在站点或虚拟目录级别上配置。 ISAPI 筛选器 只能在站点级别上配置。作用是对HTTP请求进行预处理或后处理,如压缩、加密、重定向、监视安全性等。,1.2 ISAPI (Internet Services Application Programming I
4、nterface),微软为IIS3开发的一个服务器端脚本环境。ASP页面的扩展名通常为.asp,一般是使用VBScript或JScript编写。 工作方式:服务器将客户端的一个ASP请求传送给ASP脚本解释程序名为asp.dll的ISAPI扩展。由这个解释程序处理这个脚本。 IIS6 须在Web服务扩展(是可选性)所以在IIS6当中启用ASP。,1.3 ASP,1.4 IIS 的安全要素,身份验证 访问控制 证书 加密 服务器网关加密 可选的加密服务提供程序 审核 执行的标准,身份验证,Web 方法 匿名身份验证:授予用户对网站公用区域的访问权限,而不提示他们输入用户名或密码。 基本身份验证:
5、要求以前指定的 Windows 帐户的用户名和密码(也称作凭据)。 摘要式身份验证:提供与基本身份验证相同的功能,但在通过网络发送用户凭据的方式方面提供增强的安全性。 高级摘要式身份验证:收集用户凭据并将它们以 MD5 哈希或消息摘要形式存储在域控制器上。 集成 Windows 身份验证:通过一种安全形式的身份验证收集信息,在这种形式中,用户名和密码在通过网络发送之前进行哈希计算。 证书身份验证:通过客户端和/或服务器证书添加安全套接字层 (SSL) 安全。 .NET Passport 身份验证:通过 SSL、HTTP 重定向、Cookie、JavaScript 和强对称密钥加密提供单一登录服
6、务。,访问控制,通过将 NTFS 访问权限用作 Web 服务器的安全基础,您可以定义授予 Windows 用户和组文件和目录访问的级别。 NTFS 权限:使用 NTFS 权限来保护您的 Web 内容 网站权限:设置网站权限以保护Web 内容。 IIS 和内置帐户:IIS 安装过程中创建的帐户以及 IIS 使用的内置帐户。 匿名访问:匿名访问帐户。 配置工作进程标识:配置工作进程标识,以使用 Web 服务器的相应访问权限来运行应用程序。 使用 IP 地址限制保护站点:禁止特定的计算机、一组计算机或整个网络访问Web 内容。 保护虚拟目录:虚拟目录的安全性。 URL 授权:使用基于角色的网站授权方
7、法。,证书,证书是允许服务器和客户彼此验证的数字标识文档。他们请求在服务器和客户端浏览器建立 SSL 连接,通过此连接可以发送加密信息。IIS 中基于证书的 SSL 特性由服务器证书、客户端证书和不同的数字密钥组成。可以使用 Microsoft 证书服务创建这些证书或者从可相互信任的第三方机构获得,该机构称为证书颁发机构 (CA)。,加密,您可以允许用户以一种安全的方法(使用加密)与您的服务器交换个人信息,如信用卡号或电话号码。信息在发送前由加密对其进行“编码”,接收后由解密进行“解码”。IIS 中这种加密的基础是 SSL 3.0 协议,它提供了一种与用户建立加密通讯链接的安全方法。SSL 确
8、认您的网站的真实性同时可有选择地确认正在访问受限制网站用户的身份。证书包括用于建立 SSL 安全连接的“密钥”。“密钥”是在建立 SSL 连接时验证服务器和客户端的唯一值。“,服务器网关加密,服务器网关加密 (SGC) 使用 128 位加密为金融机构提供了全球金融交易解决方案。SGC 是安全套接字层 (SSL) 的扩展,它允许拥有 IIS 出口版本的金融机构可使用强加密,可选的加密服务提供程序,通过使用可选的加密服务提供程序 (CSP),可以选择 Microsoft 或第三方加密提供程序来处理加密和证书管理。每个加密提供程序可以创建一个公钥和私钥来加密发送到 Web 服务器和从中发送的数据。,
9、审核,可以使用安全审核技术监视大范围的用户和 Web 服务器的安全活动。检测可能被未授权访问影响和篡改资源的区域。可以使用集成的 Windows 实用程序、IIS 内置的日志记录功能或 Active Server Pages (ASP) 应用程序创建您自己的审核日志。,执行的标准,IIS 中许多安全功能执行 Internet 通讯标准。这些标准有助于应用程序和信息的一致与跨平台使用。Microsoft 承诺配合 Internet 与计算机委员会,一起协助构建良好的标准。 Secure Sockets Layer (SSL 3.0) 是一个基于公钥的安全协议,该协议是由安全通道 (Schanne
10、l) 安全提供程序实施的。SSL 安全协议在 Internet 浏览器和服务器的验证、信息的完整性和机密性中广泛使用。 基本身份验证是 HTTP 1.0 规范的一部分(它以 Base64 编码格式通过网络发送密码)。大多数浏览器都支持此规范。 摘要式身份验证通过网络将身份验证信息作为“哈希”发送并且与代理服务器兼容。 PKCS #7 描述加密数据的格式,如安全地包含信息的数字签名和数字信封。所有这些都包含在 IIS 的验证特性中。 PKCS #10 描述提交到证书颁发机构的证书申请的格式。,IIS (Internet Information Services ),Intranet 简介 IIS
11、安装和卸载 IIS的配置,Windows2003中IIS6的安装和卸载,IIS (Internet Information Services ),Intranet 简介 IIS安装和卸载 IIS的配置(重点),在“Internet信息服务器”窗口,右击“默认Web站点”,选择“属性”,打开“默认Web站点 属性”对话框 ,即可进行以下配置。1、设置站点标识和IP地址信息每个Web站点都具有唯一的、由端口号、IP地址和主机头名(域名)组成的标识,通过更改其中的一个标识,可以在一台计算机上维护多个站点。,(1)端口号(注有其它方法主机头方法) 通过使用附加端口号,在一台计算机上通过使用一个IP地址
12、即可建立多个Web站点。 例:在IP地址为192.1610.3的主机上建立有3个网站,端口号分别为:80、1050、1051,则访问这3个网站时,应当分别键入: http:/192.1610.3 http:/192.1610.3:1050 http:/192.1610.3:1051,修改主目录在“默认Web站点属性”对话框中,单击“主目录”选项卡,显示如图7所示的对话框,图7 此计算机上的目录,在“主目录”选项卡中我们可以设置有关默认的项目。主目录是一个站点发布信息的中心位置,Web站点的默认主目录是C:Inetpubwwwroot。(1)在“连接到此资源时,内容应该来自于:”选项区,有三个选
13、项,分别可以指定连接到该站点的指向:此计算机上的目录:若站点存放在本地计算机中,即可选择此项,此时可在“本地路径:”文本框中输入主目录的路径,或单击“浏览”按钮改变默认的主目录,如图7所示。,5、设置默认文档默认文档可以是HTML文件或ASP文件,当用户通过浏览器连接至Web站点时,若未指定要浏览哪一个文件,则Web服务器会自动传送该站点的默认文档供用户浏览,例如我们通常将Web站点主页default.htm、default.asp和index.htm设为默认文档,当浏览Web站点时会自动连接到主页上。如果不启用默认文档,则会将整个站点内容以列表形式显示出来供用户自己选择。 在“默认Web站点
14、属性”对话框中,单击“文档”选项卡,如图10所示。文档选项卡提供了两个选项:启用默认文档和启用文档页脚。,图10“文档”选项卡,6、设置用户安全与访问验证(后面重点讲解)在“默认Web站点属性”对话框中,单击“目录安全性”选项卡,如图11所示,使用该选项卡可以设置Web服务器的安全性功能。,图11“目录安全性”选项卡,1.2 虚拟Web站点和虚拟目录,利用虚拟Web站点可以在一台计算机上实现多IP地址和多域名的WWW服务,即可以把一台服务器变幻成几台、几十台Web服务器,并且让每一台虚拟Web服务器都拥有自己的IP地址和域名。(创建虚拟站点时须把站点的IP地址添加到DNS服务器), 建立虚拟W
15、eb站点,IIS名字创建,IP地址和端口设置,网站目录,站点访问权限(下一步完成),IIS安全加固,IIS安全加固,其实是分为两部份:安全、加固;同时两者是相互密切的,安全了才稳固,稳固了才安全;这里我们主要讲解的是前面提到的:基本身份验证,这类安全措施应用得很多,除非站点有特别要求才使用其它的,如果是独立一个网站就用不着使用了,因为我们主要讲的是应用到专业的WEB主机上面。,计算机管理-本地用户与组,创建新的系统帐户,输入用户名和密码,取消“用户下次登录时须更改密码”复选勾,打上下面两者的复选勾。,分配新用户到GUESTS组,删除原有的USERS系统用户组,添加GUESTS系统用户组。,身份
16、验证与访问控制,设置IIS访问身份及权限,选择浏览查找新建的WIN系统帐号,设置WIN系统帐户到IIS,点击高级-立即查找,找到你新建的WIN系统帐户,确定即可。,设置IIS上系统用户密码,注:用户名选择后默认应该计算机名/用户名,需要把计算机名及/删掉,然后输入你添加帐号时的密码,会提示你输入两次,确定即可。,设置网站目录权限,因为站点进行了访问权限的设置,所以网站目录必须同站点的权限同等,这也是限制浏览者访问站点的权限,以使站点更安全;如果两者其中一者没有进行权限设置那么访问您的站点将会出现输入帐号密码提示框!,设置网站目录权限,鼠标反键点击新建站点,选择权限,就会出现此界面。,添加新建系
17、统用户,此步骤添加方法与“设置WIN系统帐户到IIS”步骤一样。,设置目录所属权限,默认权限是允许读取和运行、列出文件目录、读取三者权限,这里我们只选择读取、写入权限即可,多一份权限多一份危险。 确定即可完成所有设置,IIS加固,IIS加固在前面提到过,安全设置也是IIS加固一部份,那么前面的一节文章也是属于加固,这里我就细一点详细详细IIS加固;至所以IIS6的稳定性比IIS5的稳定性强,那是因为IIS6多了一个应用池分配功能,我们就可以利用这个功能对IIS进行加固,多个站点同时享用一个应用池,也就是一个IIS工作进程,如果我们把占用资源比较大的站点进行单独一个工作进程,这样不是处理起来就快
18、多了,同时也不会因为这个站点占用资源大导致站点停止工作而影响到其它站点也停止工作。,新建应用池工作进程,我们首先添加系统用户帐号分配到IIS_WPG用户组,此方法与前面讲到的“创建新的系统帐户”方法一样,我们就不重复讲解。,新建IIS应用池,鼠标反键点击应用程序池,新建应用程序池,输入应用池的名称。,为新建应用池分配工作进程,鼠标反键点击新建应用池属性,选择标识选项。,IIS工作进程加入到应用池,设置方法与前面讲到的“设置WIN系统帐户到IIS”相同,此处不需要把添加的帐号的前面计算机帐号和/删掉。输入密码就可以。,分配新应用池到指定站点,鼠标反键点击新建站点属性,选择主目录选项,最底部有一个应用程序池选择,选择你新建的应用池及可完成。,分配新应用池到指定站点,这里的添加步骤与42-44三个步骤一样,权限设置保持默认即可.,Web站点的启动、停止和删除,Web站点的启动、停止和删除可按以下步骤进行:打开“Internet信息服务”,用鼠标右键单击需要管理的站点,在弹出的快捷菜单中选择“停止”命令,可以将Web服务停止;选择“启动”命令,可以重新启动服务;选择“暂停”命令,可以暂停Web站点服务;选择“删除”命令,可以将Web站点删除。,总结,WEB服务ASPISAPIIIS站点IIS安全与安固,参考资料,
