Khi các bạn cài đặt IIS Service, muốn
bảo mật IIS Server bạn cần phải hiểu các Components của nó hoạt động có
chức năng ra sao, và khi nào cần thiết phải cài đặt, khi nào không cần
thiết. Điều đó cũng là một cách bảo mật máy chủ IIS Server tránh xảy ra
những lỗ hổng không cần thiết. Trong phần hai của bài viết tôi sẽ giới
thiệu với các bạn chi tiết các components trong IIS Service cũng như ý
nghĩa và vì sao phải sử dụng nó. Trong phần 3 của bài viết tôi sẽ giới
thiệu với các bạn các phương pháp bảo mật kết hợp, NTFS, User
authentication, IPSec filter nâng cao tính bảo mật cho IIS Server.
.jpg)
Sau khi cài đặt Windows Server 2003 và IIS, IIS với
mặc định chỉ hỗ trợ Web tĩnh. Khi các trang web và ứng dụng cần những và
nội dung Web động, hay cần thêm những thành phần của IIS, mỗi khi thêm
các tính năng cho IIS bạn phải kích hoạt nó hoạt động. Tuy nhiên trong
quá trình bạn thực hiện việc đó phải đảm bảo các yếu tố bảo mật có thể
ảnh hưởng tới toàn bộ IIS Server. Nếu trang web của tổ chức bạn là Web
tĩnh thì bạn không cần phải thêm bất kỳ một tính năng nào cho IIS
Server, với các thiết lập mặc định của IIS sẽ giảm thiểu được các vấn đề
về bảo mật cho tổ chức của bạn.
Dưới đây tôi sẽ trình bày tối ưu hoá việc thêm các
thành phần cho IIS Server, và nâng cao tính bảo mật cho hệ thông, toàn
bộ quá trình thực hiện đều không thực hiện được trên Group Policy mà bạn
cần phải trực tiếp làm việc với IIS Servers.
Chỉ cài đặt những thành phần (components) cần thiết cho IIS.
IIS 6.0 bao gồm các thành phần và các dịch vụ khác
thêm vào hỗ trợ cho World Wide Web Publishing Service, như các dịch vụ
FTP và SMTP. Các thành phần và các dịch vụ của IIS được cài đặt và kích
hoạt sử dụng Windows Components Wizard Application Server - bằng cách
truy cập vào "Add or Remove Programs" trong "Control Panel". Sau khi cài
đặt IIS, toàn bộ những thành phần và các dịch vụ cần thiết cho Websites
đều phải cài đặt và kích hoạt.
Cài đặt Internet Information Services (IIS) 6.0:
1. Trên Control Panel, chọn Add or Remove Programs.
2. Chọn Add/Remove Windows Components .
3. Trong danh sách Components chọn Application Server, tiếp đó chọn Details.
4. Trong Application Server lựa chọn các Subcomponents of Application, chọn Internet Information Services (IIS), sau đó chọn Details.
Server
5. Trong Internet Information Services (IIS) trong danh sách của Subcomponents of
Internet Information Services (IIS) :
- Để lựa chọn các components cần thiết để thêm vào
trong IIS bạn chỉ cần lựa chọn trong dấu check box, để remove nó đi bạn
chỉ cần bỏ dấu check box đó ra.
6. Chọn OK trở lại Windows Component Wizard.
7. Chọn Next, sau đó là Finish.
Một điều cần chú ý là chỉ những thành phần và dịch vụ
nào cần thiết của IIS cho ứng dụng Web và các ứng dụng khác thì mới
được cài đặt và kích hoạt. Khi kích hoạt những thành phần không cần
thiết sẽ tạo ra những lỗ hổng không cần thiết cho các kẻ tấn công lợi
dụng.
Dưới đây là bảng và khuyến cáo của Microsoft để thiết lập với các thành phần trong IIS.
Hình 1: Các subcomponents trong Application Server
Dưới đây là ý nghĩa của các Subcomponents được miêu
tả chi tiết trong Application Server cung cấp giải pháp được khuyến cáo
bởi nhà sản xuất (mặc định khi bạn lựa chọn cài đặt IIS - Bạn có thể
nhìn hình 1 để xem trực tiếp các component nào được kích hoạt và cài
đặt).
Application Server Console - Disabled (mặc định)
Cung cấp một snap-in trong Microsoft Management
Console (MMC) cho phép quản trị toàn bộ các thành phần và các dịch vụ
trên Web Application Server, ứng dụng này mặc định không được cài đặt
bởi trên IIS đã cung cấp khả năng quản trị rồi.
ASP.NET - Disabled (mặc định)
Cung cấp khả năng hỗ trợ các ứng dụng ASP.NET, với
việc kích hoạt thành phần trên khi máy chủ IIS Server chạy các ứng dụng
ASP.NET.
Enable Network COM+ Access - Enabled (mặc định)
Cho phép máy chủ IIS làm máy chủ cung cấp các ứng
dụng COM+, cần thiết cho các dịch vụ như FTP, BITS, World Wide Web, và
IIS Manager.
Enable Network DTC Access - Disable (mặc định)
Cho phép máy chủ IIS host các ứng dụng cụ thể qua
Distributed Transaction Coordinator (DTC). Tắt tính năng này khi không
cần thiết chạy các ứng dụng cần thiết trên IIS Server.
IInternet Information Services - IIS - Enable (mặc định)
Cung cấp các dịch vụ cơ bản: Web, FTP Services. Thành phần này là cần thiết cho IIS Servers.
Message Queuing - Disable (mặc định)
Chú ý một điều là khi thành phần này không được kích hoạt thì toàn bộ các subcomponents của nó cũng bị disabled.
Dưới đây là các subcomponents của Internet Information Services (IIS)
Hình 2 các subcomponents của IIS
Dưới đây là miêu tả chi tiết từng component trong IIS
Background Intelligent Transfer Service (BITS) server extension - Enable (mặc định)
BITS là một giao diện cung cấp khả năng truyền File
sử dụng bởi Windows Update and Automatic Update, thành phần này được cài
đặt là một yêu cầu nhằm đáp ứng khả năng hỗ trợ Automatic Update và sử
dụng để cung cấp các giải pháp update cho toàn bộ hệ thống.
Common Files - Enable (mặc định)
IIS Cần thiết sử dụng các Files nên component này được kích hoạt mặc định.
File Transfer Protocol (FTP) - Disabled (mặc định)
Allow IIS Server cung cấp dịch vụ FTP. Dịch vụ này không nhất thiết được cài đặt trên IIS Servers
FrontPage 2002 Server Extensions - Disabled (mặc định).
Cung cấp hỗ trợ FrontPage, quản trị và public Web
sites. Disable là mặc định trên máy IIS Server khi Web Sites không sử
dụng FrontPage extensions.
Internet Information Service Manager - Enabled (mặc định).
Cung cấp giao diện quản trị cho IIS.Internet Printing - Disabled (mặc định)
Cung cấp nền tảng web cho việc quản trị máy in và cho
phép chia sẻ tài nguyên máy in qua HTTP, nó không phải là một component
được cài đặt mặc định trên IIS Server.
NNTP Service - Disable (mặc định)
Cung cấp, truy vấn, nhận và sử dụng để post các bài
báo trên Internet. Thành phần này không cần thiết nếu IIS không cần
những ứng dụng đó.
SMTP Service - Disable (mặc định)
Hỗ trợ giải pháp truyền thư điện tử, nó là một thành phần không được cài đặt mặc định trên IIS Server
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web: tĩnh hay web động. Thành phần này mặc định buộc phải cài đặt trên IIS Servers
Các subcomponents in the Message Queuing
Hình 3 các subcomponent của Message Queuing và cài đặt theo khuyến cáo của nhà sản xuất (default)
Dưới đây là ý nghĩa của từng subcomponents
Active Directory Integration - Disabled (mặc định)
Cung cấp giải pháp kết hợp với Active Directory khi
một máy chủ IIS thuộc một domain. Thành phần này cần thiết khi Websites
và các ứng dụng chạy trên IIS Server sử dụng Microsoft Message Queuing
(MSMQ).
Common - Disabled (mặc định)
Cần thiết bởi MSMQ. Thành phần này cần thiết khi web site và application chạy trên IIS Server và sử dụng MSMQ
Downlevel Client Support - Disabled (mặc định)
Cung cấp truy cập tới Active Directory và các trang
web cho các clients. Thành phần này cần thiết khi máy chủ IIS với
website và application sử dụng MSMQ.
MSMQ HTTP Support - Disable (mặc định)
Cung cấp khả năng gửi và nhận tin từ giao thức HTTP.
Thành phần này cần thiết khi IIS Server có website và application sử
dụng MSMQ.
Routing Support - Disable - (mặc định)
Cung cấp khả năng lưu trữ và forward thư cho MSMQ.
Thành phần này cần thiết khi Website application chạy trên IIS Server sử
dụng MSMQ
Các Subcomponents trong Background Intelligent Transfer Service (BITS) Server Extensions
Hình 4 các subcomponent trong Background Intelligent Transfer Service (BITS) Server Extensions
Dưới đây là ý nghĩa của các subcomponent của BITS, và lời khuyên cài đặt mặc định từ nhà sản xuất.
BITS management console snap-in - Enable (mặc định)
Cài đặt một MMC snap-in cho quá trình quản trị BITS.
BITS Server Extension ISAPI - Enable (mặc định)
Cài đặt BITS ISAP khi một IIS server có thể truyền
tải sử dụng BITS. Thành phần này cần thiết khi sử dụng Windows Update or
Automatic Update cung cấp giải pháp tự động cho quá trình vá lỗi và
nâng cấp bảo mật từ nhà sản xuất.
Các subcomponent trong World Wide Web service
Hình 5 các subcomponents trong World Wid Web service
Dưới đây là miêu tả chi tiết về các subcomponent và lời khuyến cáo từ nhà sản xuất.
Active Server Page - Disable (mặc định)
Cung cấp hỗ trợ cho ASP. Với mặc định là disable khi
không có web sites hay các ứng dụng nào trên IIS Server sử dụng ASP, hay
không sử dụng nó trong web service extension. Cần thiết phải kích hoạt
trong Web Service Extensions.
Internet Data Connector - Disable (mặc định)
Cung cấp khả năng hỗ trợ các nội dung động (web động)
qua file với đuôi mở rộng .idc. Disabled mặc định thành phần này khi
không có web sites hay ứng dụng nào chạy trên IIS Server bao gồm các
file đuôi .idc nào. Chỉ kích hoạt nó khi cần thiết trong
Web Service ExtensionsRemote Administration - Disabled (mặc định)
Cung cấp giao diệt HTML cho quá trình quản trị IIS.
Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu các
tấn công qua các lỗ hổng không cần thiết. Thành phần này mặc định được
disabled.
Remote Desktop Web Connection - Disabled (mặc định
bao gồm Microsoft ActiveX và một vài trang cho quá
trình hosting các Terminal Service. Sử dụng IIS Manager cung cấp khả
năng quản trị dễ dàng và giảm thiểu tấn công. Cho nên thành phần này mặc
định bị disabled
Server - Side Includes - Disabled (mặc định).
Cung cấp hỗ trợ cácc định dạng file .shtm, shtml và
.stm. Disable thành phần này là mặc định khi không có web site hay ứng
dụng nào cần chạy các định dạng file trên.
WebDAV - Disable (mặc định)
WebDAV mở rộng của giao thức HTTP/1.1 cho phép
clients public, khoá hay quản trị các tài nguyên trên Web. Disable thành
phần này là mặc định khi IIS server không sử dụng Web Service
Extentions
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web, web tĩnh, web động cho clients. Thành phần này được cài đặt là yêu cầu cần thiết của IIS Server
Phần 3 về kết hợp các giải pháp bảo mật từ
NTFS và User Authentication, và sử dụng IPSec Filter để nâng cao tính
bảo mật cho máy chủ IIS Server.
0 nhận xét:
Đăng nhận xét