Trong bài viết này tôi giới thiệu với các bạn một cách chi tiết về bảo mật một máy chủ WEB, từ giới thiệu, cài đặt các dịch vụ, cấu hình các cơ chế bảo mật một cách chi tiết nhất giúp các bạn khi quản trị web site có một cái nhìn tổng thể, cách cấu hình một cách chi tiết đảm bảo tính bảo mật cho máy chủ WEB, đây là vấn đề bảo mật mức độ máy chủ không phải bảo mật ở mức độ logic, mặc dù rất nhiều Web site bị tấn công là do lỗi logic trong lập trình.
Với trọng tâm hướng dẫn những vấn đề cần thiết giúp bạn nâng cao tính bảo mật cho máy chủ IIS Server. Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần phải được bảo mật từ bên trong mạng Intranet của doanh nghiệp hay tổ chức.
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định IIS không được cài đặt trên Windows Server 2003. IIS khi được cài đặt sẽ ở trong chế độ bảo mật cao "high secure" hay gọi là "locked mode". Ví dụ IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm. Tính năng như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không hoạt động cho đến khi người quản trị kích hoạt nó. Tính năng và dịch vụ có thể được kích hoạt là Web Service Extensions và IIS Manager.
IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS. Nó quản lý tài nguyên các file, directory, và các thiết lập cho các ứng dụng như về security, performance, và các tính năng khác.
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web.
Trước tiên về Audit Policy Settings
Các bạn phải thiết lâp Audit Policy trên máy chủ IIS Server trong môi trường làm việc đảm bảo toàn bộ thông tin của người dùng khi log vào hệ thống sẽ đều được ghi lại. Tất cả những dữ liệu được truy cập và các đều được log lại
Audit log on và Audit Objects Access.
Thiết lập User Rights Assignments
bạn cần phải thiết lập "Deny access to this computer from the network", với thiết lập này sẽ quyết định những users nào bị cấm truy cập tới máy chủ IIS từ mạng. Thiết lập này sẽ cấm một số các giao thức mạng, bao gồm Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) và Component Object Model Plus (COM+). Với thiết lập này tài khoản người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn dưới đây là những người dùng cần phải thiết lập:
ANONOYMOUS LOGON, Built-in Administrator, Suport_388945a0, Guest và toàn bộ người dùng không thuộc các tài khoản có sẵn. tất cả đều được thực hiện bằng tay trong User Rights Assignments.
Trong Security Options
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu hình tuỳ biến thích hợp nhất.
Event Log Settings
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập).
SYSTEM Services
Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các dịch vụ buộc phải kích hoạt. Trong đó có các services cần phải để chế độ automatically.
Các services có ba trạng thái là Disable, Enable, và Automatically - đây là trạng thái khi hệ thống khởi động sẽ khởi động luôn cả service này.
HTTP SSL
Service HTTP SSL được kích hoạt trong IIS để thực hiện Secure Sockets Layer (SSL). SSL là một chuẩn để thiết lập bảo kênh truyền dẫn được bảo mật khi những thông tin nhạy cảm được truyền đi ví như thông tin của Credit Card chẳng hạn. Với mục đích chính là kích hoạt nó cho ứng dụng giao dịch điện tử thông qua World Wide Web, và được thiết kế để làm việc cùng với nhiều dịch vụ khác trên Internet.
Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL. Việc Disable service này dẫn tới một số service khác phụ thuộc vào nó ảnh hưởng. Sử dụng Group Policy để bảo mật và thiết lập trạng thái hoạt động và những điều kiện có thể truy cập vào service này, với thiết lập chỉ có Administrator mới có khả năng truy cập vào service này đảm bảo người bình thường sẽ buộc phải thực hiện giao dịch bảo mật, và không thể chỉnh sửa được. Service này cần phải được thiết lập ở chế độ Automatic.
IIS Admin Service
IIS Admin Service cho phép quản trị các thành phần trong IIS như FTP, Application Pools, Web Sites, Web Service Extensions và cả NNTP và SMTP.
IIS Admin Service cần phải hoạt động để cung cấp Web, FTP, NNTP và SMTP. Nếu service này bị disable, IIS sẽ không thể cấu hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị nhưng chệ. Sử dụng Group Policy để đảm bảo rằng việc khởi động của Service này không bị ảnh hưởng từ các user khác, chỉ user Administrator mới có khả năng điều khiển service này và cấu hình service này đều để ở chế độ Automatic.
World Wide Web Publishing Service
Service này cung cấp kết kết nối Web và quản trị Web site qua IIS Snap-in
Service này buộc phải chạy trên IIS Server để cung cấp kết nối Web và quản trị trên IIS Manager. Sử dụng Group Policy để bảo mật các thiết lập về quá trình khởi động của Service này. Ngăn cấm những người không phải Administrator có khả năng truy cập vào Service này để điều khiển quá trình hoạt động của nó. Cấu hình chỉ cho phép administrator có quyền điều khiển service này mà thôi. WWW cần phải hoạt động trên máy chủ IIS Server và để chế độ Automatic .
Trong phần tiếp theo của bài viết tôi sẽ giới thiệu với các bạn về cài đặt những component cần thiết cũng như ý nghĩa của từng component và các thiết lập khác nhằm nâng cao bảo mật cho máy chủ IIS, như thiết lập quyền truy cập qua NTFS Permission...