Giới thiệu một số khái niệm bảo mật máy chủ IIS Server phần 1

Giới thiệu một số khái niệm bảo mật máy chủ IIS Server phần 1

Trong bài viết này tôi giới thiệu với các bạn một cách chi tiết về bảo mật một máy chủ WEB, từ giới thiệu, cài đặt các dịch vụ, cấu hình các cơ chế bảo mật một cách chi tiết nhất giúp các bạn khi quản trị web site có một cái nhìn tổng thể, cách cấu hình một cách chi tiết đảm bảo tính bảo mật cho máy chủ WEB, đây là vấn đề bảo mật mức độ máy chủ không phải bảo mật ở mức độ logic, mặc dù rất nhiều Web site bị tấn công là do lỗi logic trong lập trình.

Với trọng tâm hướng dẫn những vấn đề cần thiết giúp bạn nâng cao tính bảo mật cho máy chủ IIS Server. Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần phải được bảo mật từ bên trong mạng Intranet của doanh nghiệp hay tổ chức.

Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định IIS không được cài đặt trên Windows Server 2003. IIS khi được cài đặt sẽ ở trong chế độ bảo mật cao "high secure" hay gọi là "locked mode". Ví dụ IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm. Tính năng như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không hoạt động cho đến khi người quản trị kích hoạt nó. Tính năng và dịch vụ có thể được kích hoạt là Web Service Extensions và IIS Manager.

IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS. Nó quản lý tài nguyên các file, directory, và các thiết lập cho các ứng dụng như về security, performance, và các tính năng khác.

Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web.

Trước tiên về Audit Policy Settings

Các bạn phải thiết lâp Audit Policy trên máy chủ IIS Server trong môi trường làm việc đảm bảo toàn bộ thông tin của người dùng khi log vào hệ thống sẽ đều được ghi lại. Tất cả những dữ liệu được truy cập và các đều được log lại

Audit log on và Audit Objects Access.

Thiết lập User Rights Assignments

bạn cần phải thiết lập "Deny access to this computer from the network", với thiết lập này sẽ quyết định những users nào bị cấm truy cập tới máy chủ IIS từ mạng. Thiết lập này sẽ cấm một số các giao thức mạng, bao gồm Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) và Component Object Model Plus (COM+). Với thiết lập này tài khoản người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn dưới đây là những người dùng cần phải thiết lập:

ANONOYMOUS LOGON, Built-in Administrator, Suport_388945a0, Guest và toàn bộ người dùng không thuộc các tài khoản có sẵn. tất cả đều được thực hiện bằng tay trong User Rights Assignments.

Trong Security Options

Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu hình tuỳ biến thích hợp nhất.

Event Log Settings

Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập).

SYSTEM Services

Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các dịch vụ buộc phải kích hoạt. Trong đó có các services cần phải để chế độ automatically.

Các services có ba trạng thái là Disable, Enable, và Automatically - đây là trạng thái khi hệ thống khởi động sẽ khởi động luôn cả service này.

HTTP SSL

 

 

Service HTTP SSL được kích hoạt trong IIS để thực hiện Secure Sockets Layer (SSL). SSL là một chuẩn để thiết lập bảo kênh truyền dẫn được bảo mật khi những thông tin nhạy cảm được truyền đi ví như thông tin của Credit Card chẳng hạn. Với mục đích chính là kích hoạt nó cho ứng dụng giao dịch điện tử thông qua World Wide Web, và được thiết kế để làm việc cùng với nhiều dịch vụ khác trên Internet.

Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL. Việc Disable service này dẫn tới một số service khác phụ thuộc vào nó ảnh hưởng. Sử dụng Group Policy để bảo mật và thiết lập trạng thái hoạt động và những điều kiện có thể truy cập vào service này, với thiết lập chỉ có Administrator mới có khả năng truy cập vào service này đảm bảo người bình thường sẽ buộc phải thực hiện giao dịch bảo mật, và không thể chỉnh sửa được. Service này cần phải được thiết lập ở chế độ Automatic.

IIS Admin Service

 

 

IIS Admin Service cho phép quản trị các thành phần trong IIS như FTP, Application Pools, Web Sites, Web Service Extensions và cả NNTP và SMTP.

IIS Admin Service cần phải hoạt động để cung cấp Web, FTP, NNTP và SMTP. Nếu service này bị disable, IIS sẽ không thể cấu hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị nhưng chệ. Sử dụng Group Policy để đảm bảo rằng việc khởi động của Service này không bị ảnh hưởng từ các user khác, chỉ user Administrator mới có khả năng điều khiển service này và cấu hình service này đều để ở chế độ Automatic.

World Wide Web Publishing Service

 

 

Service này cung cấp kết kết nối Web và quản trị Web site qua IIS Snap-in

Service này buộc phải chạy trên IIS Server để cung cấp kết nối Web và quản trị trên IIS Manager. Sử dụng Group Policy để bảo mật các thiết lập về quá trình khởi động của Service này. Ngăn cấm những người không phải Administrator có khả năng truy cập vào Service này để điều khiển quá trình hoạt động của nó. Cấu hình chỉ cho phép administrator có quyền điều khiển service này mà thôi. WWW cần phải hoạt động trên máy chủ IIS Server và để chế độ Automatic .

 

Trong phần tiếp theo của bài viết tôi sẽ giới thiệu với các bạn về cài đặt những component cần thiết cũng như ý nghĩa của từng component và các thiết lập khác nhằm nâng cao bảo mật cho máy chủ IIS, như thiết lập quyền truy cập qua NTFS Permission...

Bạn thấy bài viết này như thế nào?: 
No votes yet
Ảnh của Tommy Tran

Tommy Tran owner Express Magazine

Drupal Developer having 9+ year experience, implementation and having strong knowledge of technical specifications, workflow development. Ability to perform effectively and efficiently in team and individually. Always enthusiastic and interseted to study new technologies

  • Skype ID: tthanhthuy
  • Phone/Zalo: (+84) 944 225 212
  • WhatsApp: (+84) 944 225 212
  • Line Messenger: (+84) 944 225 212
  • Email: asaleotestf@gmail.com
  • Telegram Messenger: https:/t.me/tommytran0401

Quảng cáo việc làm

 

Thích hợp các bạn nữ mảng thợ may làm việc tại nước NGA

Đơn hàng Tuyển dụng 100 Thợ may đi Nga(đợt 1 tháng 3.2021, đợt 2 tháng 5.2021). Lương thực lãnh 800 USD, bao ăn ở, vé máy bay và visa, phí xuất cảnh(1800 USD)trả khi đi làm có lương. Bạn có thể liên hệ CÔNG TY qua Phone/Zalo: (+84) 944 225 212. Công ty sẽ tư vấn cho bạn.

Xem chi tiết: >>> https://bit.ly/3o9NOfR

Advertisement

 

jobsora

Dich vu khu trung tphcm

Dich vu diet chuot tphcm

Dich vu diet con trung

Quảng Cáo Bài Viết

 

10 ứng dụng nằm top chỉnh sửa ảnh tốt nhất năm 2014 sắp tới

Bạn đang cần tìm một phần mềm chỉnh sửa ảnh để cài đặt trên máy tính nhưng không biết phần mềm nào mới là tốt và tốt ở điểm gì? Bài viết dưới đây là 10 ứng dụng chỉnh sửa ảnh tốt nhất năm 2014 được tạp chí uy tín toptenreviews.com công bố dựa theo kết quả bình chọn của người dùng trên khắp thế giới.

20 Drupal Modules tốt nhất cho Website’s Functionality của bạn

20 Drupal Modules tốt nhất cho Website’s Functionality của bạn

Drupal is a robust content management system that can do nearly anything you throw at it. Hundreds of Drupal modules–add-ons that extend the functionality of Drupal core–exist to help you create a powerful website.

Xem qua 15,000 Drupal websites hiện nay ở vị trí top năm 2014

Xem qua 15,000 Drupal websites hiện nay ở vị trí top năm 2014

The source was the top 1,000,000 websites from Alexa, dumped on 13th of November 2014. So the data should be reasonably up-to-date.