基于Windows 2003的Web服務器安全配置管理

梁偉

[摘 要] Windows 2003作為最普遍運用的Web服務器平臺，存在著諸多安全隱患。為提高基于Windows 2003的Web服務器的安全性，從操作系統本身入手，通過重新規劃系統的部分默認配置可以達到所需目的。

[關鍵詞] Web服務器；安全；IIS

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 056

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2018）11- 0126- 02

1 引 言

Web服務器處于網絡系統信息交換和存儲的核心地位，主要功能是為網絡上的用戶提供全面的數據資源共享服務和其他各種網絡服務。為了讓用戶可以訪問提供的信息，Web服務器必須是Internet上任何接入點都可以訪問的，因此，Web 服務器也成為Internet上最暴露的服務器， 正是由于Web服務器比較開放的這個特點，大多數攻擊都是采用合法渠道進入并且進行攻擊的，所以，必須從最基礎的操作系統本身入手進行安全配置。

2 Web服務器面臨的威脅及安全隱患

由于Web服務器主要是以應用為主，作為服務器管理人員來說大部分時間是在做各種應用，對于服務器卻沒有一個詳細的安全規劃。許多人都關注Web應用是否正常運行，卻很少有人關注其安全問題。大多數安全問題都屬于下面四種類型之一：

（1）服務器中的網站信息遭受篡改。

（2）服務器把本應私有的數據放到了可公開訪問的區域。

（3）服務器拒絕服務。

（4）提供不應該提供的服務。

Windows 2003作為主要的Web服務器平臺，被廣泛地運用于Web服務器構架中。但是，由于Windows 2003操作系統本身存在著諸多安全漏洞，給構架安全的Web服務器帶來了極大的隱患，在很大程度上可以被惡意訪問者所利用[1]。

3 Windows 2003系統安全配置

Web服務器所采用的操作系統，必須具有高性能、高可靠性和高安全性等要素。微軟的企業級操作系統中，如果說Windows 2000全面繼承了NT技術，那么Windows 2003則是依據.Net架構對NT技術做了重要發展和實質性改進，凝聚了微軟多年來的技術積累，使得系統安全性方面得以大幅提高。

3.1 采用NTFS磁盤分區格式

NTFS系統提供了性能安全、可靠以及在其他文件系統格式中沒有的高級功能，可以實現文件及文件夾的加密、權限設置、磁盤配額和壓縮等，并可以更好地利用磁盤空間，提高系統的運行速度。自Windows NT系統問世以來，使用NTFS文件系統，進一步打造系統安全已逐漸成為一種共識。NTFS文件系統可以對文件和目錄進行管理，而FAT文件系統只能提供共享安全，所以在安裝Windows 2003時所有的磁盤分區都要采用NTFS分區，并且要將操作系統、Web主目錄、日志分別安裝在不同的分區下。

3.2 關閉系統默認共享

Windows 2003系統開啟默認共享所有磁盤分區，以及讓進程通信而開放的命名管道IPC■和系統工作目錄admin■共享，這就為系統的安全埋下隱患，這時只要禁止Server服務就可以了。

3.3 系統賬戶安全性

（1）刪除未使用的賬戶，因為攻擊者可能發現這些賬戶，然后利用這些賬戶來獲取Web服務器上的數據和應用程序的訪問權。

（2）始終使用強密碼，因為弱密碼增加了成功進行強力攻擊或字典攻擊的可能性。

（3）使用以最低特權運行的賬戶，攻擊者可以通過使用以高級特權運行的賬戶來獲取未經授權資源的訪問權。

Windows 2003有些內置賬戶，它們不能被刪除，但可以重命名。最常見的兩個賬戶是“Guest”和“Administrator”。在成員服務器和域控制器中，Guest賬戶缺省被禁用，不需要改變該設置。內置的Administrator賬戶應被重命名，而且描述也應更改，以防止攻擊者通過該賬戶遠程破壞服務器。

3.4 網絡配置中禁用危險端口

要降低成功攻擊Web服務器上面向Internet的端口的可能性，應禁用除傳輸控制協議（TCP）以外的所有網絡協議。Web服務器中面向Internet的網絡適配器上不需要服務器消息塊（SMB）和NetBIOS。在網絡連接屬性中，取消“Microsoft網絡客戶端”、“Microsoft網絡的文件和打印機共享”和“網絡負載平衡”三個服務組件，只保留“Internet協議（TCP/IP）”協議，并在此協議中禁用TCP/IP上的NetBIOS。這樣，就禁用了SMB使用的139、445端口和NetBIOS使用的137、138、139危險端口。

3.5 軟件限制策略

Windows 2003允許管理員使用策略或強行阻止在某臺計算機上運行可執行程序，也可通過設定來防止運行時遭到病毒感染或惡意攻擊。具體來說，通過軟件限制策略，可以執行以下任務：

（1）控制可以在計算機上運行的程序。例如，如果擔心用戶通過電子郵件收到病毒，可以應用一個策略，不允許一些文件類型在電子郵件附件文件夾中運行。

（2）在多用戶計算機上，僅允許用戶運行特定的文件。例如，如果計算機上有多個用戶，那么就可以設置軟件限制策略，使用戶除了可以訪問必須在工作中使用的特定文件外，不能訪問其他任何文件。

（3）確定誰可以向計算機中添加受信任的發布服務器。

（4）控制軟件限制策略是影響計算機上的所有用戶，還是只影響一些用戶。

（5）阻止任何文件在本地計算機、組織單元、站點或域中運行。例如，如果存在已知病毒，就可以使用軟件限制策略阻止計算機打開包含該病毒的文件[2]。

3.6 注冊表設置

注冊表是一套控制操作系統外表和如何響應外來事件工作的文件，這些“事件”的范圍從直接存取一個硬件設備到接口如何響應特定用戶到應用程序如何運行等等。由于Windows默認情況下，將很多系統配置接口都隱藏于注冊表中，但是出于安全考慮，就必須對注冊表進行挖掘、修改。如：通過修改注冊表隱藏重要文件/目錄，通過修改注冊表防止SYN洪水攻擊，通過修改注冊表禁止響應ICMP路由通告報文，通過修改注冊表防止ICMP重定向報文的攻擊，等等。

3.7 FSO的安全性

出于安全考慮，現在絕大多數的Web服務器都禁用了ASP的標準組件：FSO（FileSystemObject），因為這一組件為ASP提供了強大的文件系統訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作。但是禁止此組件后，引起的后果就是所有利用該組件的網站將無法運行，無法滿足一部分網站的需求。所以對于FSO權限不能完全禁用，但是也不能完全開放，只能通過相關的設置提高其安全性，具體措施如下：

（1）為需要使用FSO組件的網站單獨設置匿名訪問賬戶。

（2）設置新建的系統帳戶對需要使用FSO組件的網站所在文件夾的完全控制權限。

經過以上設置，訪問網站的用戶就以匿名身份訪問文件夾所指向的站點，因為新建的系統賬戶只對此文件夾有安全權限，所以只能在本文件夾下使用FSO，提高了網站的安全性[3]。

4 IIS安全配置

4.1 在專用分區中放置Web站點文件

IIS會將默認Web站點的文件存儲到系統分區的＼inetpub＼wwwroot中，應該將構成Web站點和應用程序的所有文件和文件夾放置到安裝操作系統之外的專用分區中，這樣有助于防止目錄遍歷攻擊。

4.2 只選擇基本的IIS組件和服務

IIS 6.0除了包括WWW服務之外，還包括一些子組件，例如FTP服務和SMTP服務。為了最大限度地降低針對特定服務和子組件的攻擊風險，建議只選擇網站和Web應用程序正確運行所必需的子組件。

4.3 只啟用基本的Web服務擴展

服務于動態內容的Web服務器需要Web服務擴展。由于安全原因，IIS 6.0允許啟用和禁用單獨的Web服務擴展，盡管啟用所有的Web服務擴展可確保最大限度地兼容現有的網站和應用程序，但卻大幅增加了Web服務器的被攻擊面，所以只需啟用必需的Web服務擴展即可。假設配置Web服務器來服務于作為默認網頁的index.asp文件，盡管配置了默認網頁，但還必須啟用Active Server Page的服務擴展才能查看.asp網頁文件[4]。

5 結 語

綜上所述，通過系統地配置可以從根本上解決Web服務器的安全問題，但是由于Windows 2003操作系統本身存在諸多安全漏洞以及人為造成的安全隱患，所以要及時關注最新安全咨詢，及時掌握最新的攻防技術，這樣才能保證Web服務器的安全穩定運行。

主要參考文獻

[1]彭玉忠，王金才，郝榮霞.Web應用系統安全分析與設計[J].計算機安全，2008（9）：45-47.

[2]劉曉東.WINDOWS 2003 SERVER安全性概述[J].信息安全與信息保密，2003（8）：76.

[3]隋濤.基于IIS和ASP的網站系統的安全問題[J].情報探索，2006（11）：62-64.

[4]張淑芬，陳學斌，郭景峰.基于Windows Server 2003的安全性研究[J].計算機應用與軟件，2005，22（8）：122-124.