Khi các bạn cài đặt IIS Service, muốn bảo mật IIS Server bạn cần phải hiểu các Components của nó hoạt động có chức năng ra sao, và khi nào cần thiết phải cài đặt, khi nào không cần thiết. Điều đó cũng là một cách bảo mật máy chủ IIS Server tránh xảy ra những lỗ hổng không cần thiết. Trong phần hai của bài viết tôi sẽ giới thiệu với các bạn chi tiết các components trong IIS Service cũng như ý nghĩa và vì sao phải sử dụng nó. Trong phần 3 của bài viết tôi sẽ giới thiệu với các bạn các phương pháp bảo mật kết hợp, NTFS, User authentication, IPSec filter nâng cao tính bảo mật cho IIS Server.
>> Giới thiệu một số khái niệm bảo mật máy chủ IIS Server phần 1
Sau khi cài đặt Windows Server 2003 và IIS, IIS với mặc định chỉ hỗ trợ Web tĩnh. Khi các trang web và ứng dụng cần những và nội dung Web động, hay cần thêm những thành phần của IIS, mỗi khi thêm các tính năng cho IIS bạn phải kích hoạt nó hoạt động. Tuy nhiên trong quá trình bạn thực hiện việc đó phải đảm bảo các yếu tố bảo mật có thể ảnh hưởng tới toàn bộ IIS Server. Nếu trang web của tổ chức bạn là Web tĩnh thì bạn không cần phải thêm bất kỳ một tính năng nào cho IIS Server, với các thiết lập mặc định của IIS sẽ giảm thiểu được các vấn đề về bảo mật cho tổ chức của bạn.
Dưới đây tôi sẽ trình bày tối ưu hoá việc thêm các thành phần cho IIS Server, và nâng cao tính bảo mật cho hệ thông, toàn bộ quá trình thực hiện đều không thực hiện được trên Group Policy mà bạn cần phải trực tiếp làm việc với IIS Servers.
Chỉ cài đặt những thành phần (components) cần thiết cho IIS.
IIS 6.0 bao gồm các thành phần và các dịch vụ khác thêm vào hỗ trợ cho World Wide Web Publishing Service, như các dịch vụ FTP và SMTP. Các thành phần và các dịch vụ của IIS được cài đặt và kích hoạt sử dụng Windows Components Wizard Application Server - bằng cách truy cập vào "Add or Remove Programs" trong "Control Panel". Sau khi cài đặt IIS, toàn bộ những thành phần và các dịch vụ cần thiết cho Websites đều phải cài đặt và kích hoạt.
Cài đặt Internet Information Services (IIS) 6.0:
1. Trên Control Panel, chọn Add or Remove Programs.
2. Chọn Add/Remove Windows Components .
3. Trong danh sách Components chọn Application Server, tiếp đó chọn Details.
4. Trong Application Server lựa chọn các Subcomponents of Application, chọn Internet Information Services (IIS), sau đó chọn Details.
Server
5. Trong Internet Information Services (IIS) trong danh sách của Subcomponents of
Internet Information Services (IIS) :
- Để lựa chọn các components cần thiết để thêm vào trong IIS bạn chỉ cần lựa chọn trong dấu check box, để remove nó đi bạn chỉ cần bỏ dấu check box đó ra.
6. Chọn OK trở lại Windows Component Wizard.
7. Chọn Next, sau đó là Finish.
Một điều cần chú ý là chỉ những thành phần và dịch vụ nào cần thiết của IIS cho ứng dụng Web và các ứng dụng khác thì mới được cài đặt và kích hoạt. Khi kích hoạt những thành phần không cần thiết sẽ tạo ra những lỗ hổng không cần thiết cho các kẻ tấn công lợi dụng.
Dưới đây là bảng và khuyến cáo của Microsoft để thiết lập với các thành phần trong IIS.
Hình 1: Các subcomponents trong Application Server
Dưới đây là ý nghĩa của các Subcomponents được miêu tả chi tiết trong Application Server cung cấp giải pháp được khuyến cáo bởi nhà sản xuất (mặc định khi bạn lựa chọn cài đặt IIS - Bạn có thể nhìn hình 1 để xem trực tiếp các component nào được kích hoạt và cài đặt).
Application Server Console - Disabled (mặc định)
Cung cấp một snap-in trong Microsoft Management Console (MMC) cho phép quản trị toàn bộ các thành phần và các dịch vụ trên Web Application Server, ứng dụng này mặc định không được cài đặt bởi trên IIS đã cung cấp khả năng quản trị rồi.
ASP.NET - Disabled (mặc định)
Cung cấp khả năng hỗ trợ các ứng dụng ASP.NET, với việc kích hoạt thành phần trên khi máy chủ IIS Server chạy các ứng dụng ASP.NET.
Enable Network COM+ Access - Enabled (mặc định)
Cho phép máy chủ IIS làm máy chủ cung cấp các ứng dụng COM+, cần thiết cho các dịch vụ như FTP, BITS, World Wide Web, và IIS Manager.
Enable Network DTC Access - Disable (mặc định)
Cho phép máy chủ IIS host các ứng dụng cụ thể qua Distributed Transaction Coordinator (DTC). Tắt tính năng này khi không cần thiết chạy các ứng dụng cần thiết trên IIS Server.
IInternet Information Services - IIS - Enable (mặc định)
Cung cấp các dịch vụ cơ bản: Web, FTP Services. Thành phần này là cần thiết cho IIS Servers.
Message Queuing - Disable (mặc định)
Chú ý một điều là khi thành phần này không được kích hoạt thì toàn bộ các subcomponents của nó cũng bị disabled.
Dưới đây là các subcomponents của Internet Information Services (IIS)
Hình 2 các subcomponents của IIS
Dưới đây là miêu tả chi tiết từng component trong IIS
Background Intelligent Transfer Service (BITS) server extension - Enable (mặc định)
BITS là một giao diện cung cấp khả năng truyền File sử dụng bởi Windows Update and Automatic Update, thành phần này được cài đặt là một yêu cầu nhằm đáp ứng khả năng hỗ trợ Automatic Update và sử dụng để cung cấp các giải pháp update cho toàn bộ hệ thống.
Common Files - Enable (mặc định)
IIS Cần thiết sử dụng các Files nên component này được kích hoạt mặc định.
File Transfer Protocol (FTP) - Disabled (mặc định)
Allow IIS Server cung cấp dịch vụ FTP. Dịch vụ này không nhất thiết được cài đặt trên IIS Servers
FrontPage 2002 Server Extensions - Disabled (mặc định).
Cung cấp hỗ trợ FrontPage, quản trị và public Web sites. Disable là mặc định trên máy IIS Server khi Web Sites không sử dụng FrontPage extensions.
Internet Information Service Manager - Enabled (mặc định).
Cung cấp giao diện quản trị cho IIS.
Internet Printing - Disabled (mặc định)
Cung cấp nền tảng web cho việc quản trị máy in và cho phép chia sẻ tài nguyên máy in qua HTTP, nó không phải là một component được cài đặt mặc định trên IIS Server.
NNTP Service - Disable (mặc định)
Cung cấp, truy vấn, nhận và sử dụng để post các bài báo trên Internet. Thành phần này không cần thiết nếu IIS không cần những ứng dụng đó.
SMTP Service - Disable (mặc định)
Hỗ trợ giải pháp truyền thư điện tử, nó là một thành phần không được cài đặt mặc định trên IIS Server
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web: tĩnh hay web động. Thành phần này mặc định buộc phải cài đặt trên IIS Servers
Các subcomponents in the Message Queuing
Hình 3 các subcomponent của Message Queuing và cài đặt theo khuyến cáo của nhà sản xuất (default)
Dưới đây là ý nghĩa của từng subcomponents
Active Directory Integration - Disabled (mặc định)
Cung cấp giải pháp kết hợp với Active Directory khi một máy chủ IIS thuộc một domain. Thành phần này cần thiết khi Websites và các ứng dụng chạy trên IIS Server sử dụng Microsoft Message Queuing (MSMQ).
Common - Disabled (mặc định)
Cần thiết bởi MSMQ. Thành phần này cần thiết khi web site và application chạy trên IIS Server và sử dụng MSMQ
Downlevel Client Support - Disabled (mặc định)
Cung cấp truy cập tới Active Directory và các trang web cho các clients. Thành phần này cần thiết khi máy chủ IIS với website và application sử dụng MSMQ.
MSMQ HTTP Support - Disable (mặc định)
Cung cấp khả năng gửi và nhận tin từ giao thức HTTP. Thành phần này cần thiết khi IIS Server có website và application sử dụng MSMQ.
Routing Support - Disable - (mặc định)
Cung cấp khả năng lưu trữ và forward thư cho MSMQ. Thành phần này cần thiết khi Website application chạy trên IIS Server sử dụng MSMQ
Các Subcomponents trong Background Intelligent Transfer Service (BITS) Server Extensions
Hình 4 các subcomponent trong Background Intelligent Transfer Service (BITS) Server Extensions
Dưới đây là ý nghĩa của các subcomponent của BITS, và lời khuyên cài đặt mặc định từ nhà sản xuất.
BITS management console snap-in - Enable (mặc định)
Cài đặt một MMC snap-in cho quá trình quản trị BITS.
BITS Server Extension ISAPI - Enable (mặc định)
Cài đặt BITS ISAP khi một IIS server có thể truyền tải sử dụng BITS. Thành phần này cần thiết khi sử dụng Windows Update or Automatic Update cung cấp giải pháp tự động cho quá trình vá lỗi và nâng cấp bảo mật từ nhà sản xuất.
Các subcomponent trong World Wide Web service
Hình 5 các subcomponents trong World Wid Web service
Dưới đây là miêu tả chi tiết về các subcomponent và lời khuyến cáo từ nhà sản xuất.
Active Server Page - Disable (mặc định)
Cung cấp hỗ trợ cho ASP. Với mặc định là disable khi không có web sites hay các ứng dụng nào trên IIS Server sử dụng ASP, hay không sử dụng nó trong web service extension. Cần thiết phải kích hoạt trong Web Service Extensions.
Internet Data Connector - Disable (mặc định)
Cung cấp khả năng hỗ trợ các nội dung động (web động) qua file với đuôi mở rộng .idc. Disabled mặc định thành phần này khi không có web sites hay ứng dụng nào chạy trên IIS Server bao gồm các file đuôi .idc nào. Chỉ kích hoạt nó khi cần thiết trong
Web Service ExtensionsRemote Administration - Disabled (mặc định)
Cung cấp giao diệt HTML cho quá trình quản trị IIS. Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu các tấn công qua các lỗ hổng không cần thiết. Thành phần này mặc định được disabled.
Remote Desktop Web Connection - Disabled (mặc định
bao gồm Microsoft ActiveX và một vài trang cho quá trình hosting các Terminal Service. Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu tấn công. Cho nên thành phần này mặc định bị disabled
Server - Side Includes - Disabled (mặc định).
Cung cấp hỗ trợ cácc định dạng file .shtm, shtml và .stm. Disable thành phần này là mặc định khi không có web site hay ứng dụng nào cần chạy các định dạng file trên.
WebDAV - Disable (mặc định)
WebDAV mở rộng của giao thức HTTP/1.1 cho phép clients public, khoá hay quản trị các tài nguyên trên Web. Disable thành phần này là mặc định khi IIS server không sử dụng Web Service Extentions
World Wide Web Service - Enable (mặc định)
Cung cấp dịch vụ Web, web tĩnh, web động cho clients. Thành phần này được cài đặt là yêu cầu cần thiết của IIS Server
Phần 3 về kết hợp các giải pháp bảo mật từ NTFS và User Authentication, và sử dụng IPSec Filter để nâng cao tính bảo mật cho máy chủ IIS Server.
Bình luận (0)
Add Comment