Trong bài viết này tôi giới thiệu với
các bạn một cách chi tiết về bảo mật một máy chủ WEB, từ giới thiệu, cài
đặt các dịch vụ, cấu hình các cơ chế bảo mật một cách chi tiết nhất
giúp các bạn khi quản trị web site có một cái nhìn tổng thể, cách cấu
hình một cách chi tiết đảm bảo tính bảo mật cho máy chủ WEB, đây là vấn
đề bảo mật mức độ máy chủ không phải bảo mật ở mức độ logic, mặc dù rất
nhiều Web site bị tấn công là do lỗi logic trong lập trình.
.jpg)
Với trọng tâm hướng dẫn những vấn đề cần thiết giúp
bạn nâng cao tính bảo mật cho máy chủ IIS Server. Đảm bảo cung cấp các
dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng
dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể
kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ IIS
cũng cần phải được bảo mật từ bên trong mạng Intranet của doanh nghiệp
hay tổ chức.
Trong mức độ nào đó thì việc này nhằm ngăn chặn những
kẻ phá hoại, mặc định IIS không được cài đặt trên Windows Server 2003.
IIS khi được cài đặt sẽ ở trong chế độ bảo mật cao "high secure" hay gọi
là "locked mode". Ví dụ IIS cài đặt mặc định sẽ chỉ có vài nội dung
được cài đặt kèm. Tính năng như ASP, ASP.NET, Server Side Includes
(SSI), Web Distributed Authoring and Versioning (WebDAV) hay Microsoft
FrontPage Server Extensions sẽ không hoạt động cho đến khi người quản
trị kích hoạt nó. Tính năng và dịch vụ có thể được kích hoạt là Web
Service Extensions và IIS Manager.
IIS Manager là một giao diện đồ hoạ được thiết kế để
quản trị IIS. Nó quản lý tài nguyên các file, directory, và các thiết
lập cho các ứng dụng như về security, performance, và các tính năng
khác.
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo
mật cho IIS Server, đảm bảo tính bảo mật cao nhất khi dùng IIS Server
làm máy chủ cho các ứng dụng Web.
Trước tiên về Audit Policy Settings
Các bạn phải thiết lâp Audit Policy trên máy chủ IIS
Server trong môi trường làm việc đảm bảo toàn bộ thông tin của người
dùng khi log vào hệ thống sẽ đều được ghi lại. Tất cả những dữ liệu được
truy cập và các đều được log lại
Audit log on và Audit Objects Access.
Thiết lập User Rights Assignments
bạn cần phải thiết lập "Deny access to this computer
from the network", với thiết lập này sẽ quyết định những users nào bị
cấm truy cập tới máy chủ IIS từ mạng. Thiết lập này sẽ cấm một số các
giao thức mạng, bao gồm Server Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) và
Component Object Model Plus (COM+). Với thiết lập này tài khoản người
dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn dưới đây là những
người dùng cần phải thiết lập:
ANONOYMOUS LOGON, Built-in Administrator,
Suport_388945a0, Guest và toàn bộ người dùng không thuộc các tài khoản
có sẵn. tất cả đều được thực hiện bằng tay trong User Rights
Assignments.
Trong Security Options
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu hình tuỳ biến thích hợp nhất.
Event Log Settings
Bạn phải thiết lập trên IIS Servers trong các cấu
hình khác nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các
sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào
yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng
nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng
nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi
xảy ra trong quá trình đăng nhập).
SYSTEM Services
Dưới đây là những thành phần trong Microsoft Windows
Server 2003, với các dịch vụ buộc phải kích hoạt. Trong đó có các
services cần phải để chế độ automatically.
Các services có ba trạng thái là Disable, Enable, và
Automatically - đây là trạng thái khi hệ thống khởi động sẽ khởi động
luôn cả service này.
HTTP SSL
Service HTTP SSL được kích hoạt trong IIS để thực
hiện Secure Sockets Layer (SSL). SSL là một chuẩn để thiết lập bảo kênh
truyền dẫn được bảo mật khi những thông tin nhạy cảm được truyền đi ví
như thông tin của Credit Card chẳng hạn. Với mục đích chính là kích hoạt
nó cho ứng dụng giao dịch điện tử thông qua World Wide Web, và được
thiết kế để làm việc cùng với nhiều dịch vụ khác trên Internet.
Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với
SSL. Việc Disable service này dẫn tới một số service khác phụ thuộc vào
nó ảnh hưởng. Sử dụng Group Policy để bảo mật và thiết lập trạng thái
hoạt động và những điều kiện có thể truy cập vào service này, với thiết
lập chỉ có Administrator mới có khả năng truy cập vào service này đảm
bảo người bình thường sẽ buộc phải thực hiện giao dịch bảo mật, và không
thể chỉnh sửa được. Service này cần phải được thiết lập ở chế độ
Automatic.
IIS Admin Service
IIS Admin Service cho phép quản trị các thành phần
trong IIS như FTP, Application Pools, Web Sites, Web Service Extensions
và cả NNTP và SMTP.
IIS Admin Service cần phải hoạt động để cung cấp Web,
FTP, NNTP và SMTP. Nếu service này bị disable, IIS sẽ không thể cấu
hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị nhưng chệ. Sử
dụng Group Policy để đảm bảo rằng việc khởi động của Service này không
bị ảnh hưởng từ các user khác, chỉ user Administrator mới có khả năng
điều khiển service này và cấu hình service này đều để ở chế độ
Automatic.
World Wide Web Publishing Service
Service này cung cấp kết kết nối Web và quản trị Web site qua IIS Snap-in
Service này buộc phải chạy trên IIS Server để cung
cấp kết nối Web và quản trị trên IIS Manager. Sử dụng Group Policy để
bảo mật các thiết lập về quá trình khởi động của Service này. Ngăn cấm
những người không phải Administrator có khả năng truy cập vào Service
này để điều khiển quá trình hoạt động của nó. Cấu hình chỉ cho phép
administrator có quyền điều khiển service này mà thôi. WWW cần phải hoạt
động trên máy chủ IIS Server và để chế độ Automatic .
Trong phần tiếp theo của bài viết tôi sẽ giới thiệu
với các bạn về cài đặt những component cần thiết cũng như ý nghĩa của
từng component và các thiết lập khác nhằm nâng cao bảo mật cho máy chủ
IIS, như thiết lập quyền truy cập qua NTFS Permission...
0 nhận xét:
Đăng nhận xét