首页 电脑 电脑学堂 查看内容

管理Windows IIS Web服务的安全性

2004-11-8 03:54 566 0

摘要: 所有系统都必须被管理 从头开始的安全性 保持系统安全 响应危机Microsoft 咨询服务Web服务器最佳实践 所有系统都必须被管理 最新病毒和蠕虫不断增加的复杂程度和能力证明...
关键词: 系统 安全性 服务器 Microsoft 过程 环境 测试 工具 安全 映像

所有系统都必须被管理 从头开始的安全性 保持系统安全 响应危机Microsoft 咨询服务Web服务器最佳实践 所有系统都必须被管理 最新病毒和蠕虫不断增加的复杂程度和能力证明,即使是少数未受保护的服务器也给对客户环境带来威胁。在每个客户环境中存在着两类系统:被管理的与未被管理的。不幸的是,最新的病毒已经帮助客户识别出未被管理的系统。 未被管理的系统通常可以归类为rogue系统或测试系统。 rogue系统是那些使用非标准过程部署或与公司策略不一致的系统。rogue系统尤为危险,因为企业的安全实现和更新标准无法得以遵循。 测试系统是那些经过准许,作为系统开发和测试工作一部分的系统,在这类系统中没有形式化的支持结构来保证服务被安全的部署并保持安全。 建议:Microsoft推荐客户实现一种积极策略,用来识别在探测器下运行的"无序"系统。 rogue系统允许病毒建立登陆点,让病毒通过有别于Web服务器攻击的方式进行繁殖。这些系统对计算环境稳定性具有严厉、现存的危险,必须被定位和说明。 定位rogue服务器的策略: 进行地址空间的主动端口扫描,识别运行未经批准服务的服务器。很多优秀的扫描工具可以使用,例如Internet安全性系统的Internet安全性扫描程序。 使用网络监视工具进行被动端口扫描,例如远程网络监视程序。这比主动端口扫描对网络的侵入性更小,且工作强度更低。但是在很多情况下,它并不能像主动监视识别出那么多的rogue服务器。 增加人为完成的随机审核次数。这些审核可以自动进行,以增加覆盖到的机器数目。 建议:Microsoft推荐客户实施一个管理计划,用于当前已经核准,但未被管理的测试和开发系统。 用来确保产品Internet和内部网系统安全性的相同的基本原则也应该应用到测试和开发系统中。 针对测试和开发系统的管理策略: 创建专用测试和开发环境,将它们作为产品进行管理,借此建立产品和测试环境清晰的分界。该策略并不便于应用程序开发人员实施,因为他们必须使用测试和开发环境,而不是他们的本地产品系统,但这必须执行。 如果专用测试和开发环境并不可行,那么应该进行一个过程,允许应用程序开发人员和商业单位请求例外情况,这样就可以在单独的网络中建立一个单机的测试环境了。 从头开始的安全性 确保所有能够访问产品和测试网络的系统被安全地配置好了。这个过程,从确保一个内部组织形式能够可靠地创建、配置和维护安全基础IIS映像开始。 建议:Microsoft推荐客户为相关环境建立基础映像,并为映像建立自动安装过程。 Internet和内部网空间要求不同的映像,但是基本安全性机制应该从一开始就集成到设计中。 结合安全性机制的策略: 根据文档“保护Internet Information Services 5检查表”中概述的Microsoft建议,安全的配置IIS 4.0和 5.0。 使用IIS 4.0和5.0的IIS锁合工具。该工具提供了,一种对于IIS 4.0和5.0检查表中概述的建议自动执行的途径。 在基础映像中集成URLScan工具。该工具保证服务器只响应有效请求,并保证无效请求绝不会传输给Web服务器,从而保证对Web服务器的保护。 定期更新基础映像,使其包括最新的服务包和hotfix。 在构建过程结束之时立刻检查服务器,可以在过程的最后一步扫描服务器或运行hotfix检查工具。 保持系统安全 确保安全的系统配置的过程并不随着服务器成功配置的完成而结束。安全性是一个要求安全和操作职员每日关注的过程。 建议:为了确保已部署的服务器保持合适的安全性等级,Microsoft推荐客户执行以下过程: 确保环境中所有被管理系统都应用了最新的hotfix。这个过程可以通过使用HFNetChk工具来简化,这个工具可以使系统管理员从中心位置检查网络中所有机器的补丁状态。这个工具也有一个全功能版本,添加了监视hotfix服从性(compliance)的重要的灵活性。 定期安装从防病毒销售商处得到的更新的防病毒特征文件。 3. 在遍及整个公司的安全管理计划中加入主动扫描和系统随机审核。 鼓励用户使用Microsoft个人安全性顾问Web应用程序。该工具提供信息帮助用户识别具有安全性漏洞的系统。还应该鼓励用户将结果报告给Corporate Information Security。 每天查看Microsoft安全性响应中心发布的安全性公告。安全性响应中心通过电子邮件或在http://www.microsoft.com/security发表文章来警告用户系统的漏洞。 每天查看安全性焦点组维护的开发Internet邮件列表。邮件列表地址是[email protected] 响应危机 客户建立一支与技术账户管理员(如果可能,来自PSS的)相结合的快速反应团队是至关重要的。 建议:Microsoft推荐客户的快速反应团队至少应该包括来自安全性、服务器管理、网络管理、桌面管理和帮助桌面的代表。 应该创建高层次的计划说明以下情况: 什么时候紧急情况要求启用快速反应团队 谁招集团队进入工作状态 可以联系多少团队成员和/或成员替补 一份常备备忘录,说明威胁及相关漏洞、阻碍或减轻损失的战略,重新招集团队的时间及事后剖析。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部