Trong bài viết này tôi giới thiệu với các bạn một cách chi tiết về bảo mật một máy chủ WEB, từ giới thiệu, cài đặt các dịch vụ, cấu hình các cơ chế bảo mật một cách chi tiết nhất giúp các bạn khi quản trị web site có một cái nhìn tổng thể, cách cấu hình một cách chi tiết đảm bảo tính bảo mật cho máy chủ WEB.
Khái niệm bảo mật IIS server
Server là gì?
Server là một máy tính được nối mạng, có IP tĩnh, có năng lực xử lý cao và trên máy đó người ta cài đặt các phần mềm để phục vụ cho các máy tính khác (máy trạm) truy cập để yêu cầu cung cấp các dịch vụ và tài nguyên.
Khái niệm bảo mật IIS server:
Với trọng tâm hướng dẫn những vấn đề cần thiết giúp bạn nâng cao tính bảo mật cho máy chủ IIS Server. Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy clients có thể kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần phải được bảo mật từ bên trong mạng Intranet của doanh nghiệp hay tổ chức.
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định IIS không được cài đặt trên Windows Server 2003. IIS khi được cài đặt sẽ ở trong chế độ bảo mật cao "high secure" hay gọi là "locked mode". Ví dụ IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm. Tính năng như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không hoạt động cho đến khi người quản trị kích hoạt nó. Tính năng và dịch vụ có thể được kích hoạt là Web Service Extensions và IIS Manager.
IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS. Nó quản lý tài nguyên các file, directory, và các thiết lập cho các ứng dụng như về security, performance, và các tính năng khác.
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web.
Trước tiên về Audit Policy Settings
Các bạn phải thiết lâp Audit Policy trên máy chủ IIS Server trong môi trường làm việc đảm bảo toàn bộ thông tin của người dùng khi log vào hệ thống sẽ đều được ghi lại. Tất cả những dữ liệu được truy cập và các đều được log lại
Audit log on và Audit Objects Access.
Thiết lập User Rights Assignments
Bạn cần phải thiết lập "Deny access to this computer from the network", với thiết lập này sẽ quyết định những users nào bị cấm truy cập tới máy chủ IIS từ mạng. Thiết lập này sẽ cấm một số các giao thức mạng, bao gồm Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) và Component Object Model Plus (COM+). Với thiết lập này tài khoản người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn dưới đây là những người dùng cần phải thiết lập:
Anonoymous, Built-in Administrator, Suport_388945a0, Guest và toàn bộ người dùng không thuộc các tài khoản có sẵn. tất cả đều được thực hiện bằng tay trong User Rights Assignments.
Trong Security Options:
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu hình tuỳ biến thích hợp nhất.
Event Log Settings:
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập).
SYSTEM Services
Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các dịch vụ buộc phải kích hoạt. Trong đó có các services cần phải để chế độ automatically.
0 nhận xét:
Đăng nhận xét