有哪些用户在什么时间访问IIS服务器?哪些用户的访问是合法的?是否存在一些失败的访问?等等。对于不少IIS服务管理人员来说,这可能是一比糊涂帐。“绝对的权利,导致绝对的腐败”。这句名言不仅在官场上有效,在IIS安全方面也是言之有理。随着信息化应用的普及,互连网上的安全隐患越来越多。加强对IIS服务器的访问审计、提高其安全等级,已经迫在眉睫。在这篇文章中,就以Windows2008+IIS7为例,介绍一下如何的 IIS服务器进行访问审计的技巧以及相关注意事项。
一、前提条件:NTFS文件系统
众所周知,NTFS文件系统比起传统的FAT32来说,在安全性方便增强了许多。简单的说,在NTFS文件系统的帮助下,使得服务器可以在操作系统的层面上提供文件级的安全性。如NTFS文件系统对于其引用的每一个对象(包括文件或者文件夹),都会标记一个访问控制项以便在物理上限制某些人能够或者不能够访问资源,也能够记录下什么人在什么时间以什么方式访问了某个文件、以及访问是否成功等等重要的信息。这些信息对于安全人员制定对应的安全措施,具有很大的参考价值。
如果要在IIS服务器上实现访问审计,那么有一个前提条件就是必须要是NTFS文件系统。管理员可以通过两种方式来判断服务器所采用的文件系统是否是NTFS。第一种方法是选择服务器目录所在的分区,右键选择属性,然后可以看到这个分区所采用文件系统格式。第二种方式是选择IIS服务器文件存储的具体目录,如IIS,然后右键单击属性,会弹出如下的对话框:
在这个对话框中,如果有“安全”或者“以前版本”等选项卡的,就表示这个目录所在的分区采用的是NTFS文件系统,能够支持“访问审计”这个功能。否则的话,就不支持。此时如果用户需要这个功能的话,必须对目录所在分区的文件系统格式进行转换。在Windows操作系统中提供了一个转换命令,可以在不格式化分区的情况下将文件系统从FAT32转换到NTFS。这里需要注意一点,只有在将FAT32转换为NTFS的时候不需要格式化原有的分区。但是如果进行逆转,就是从NTFS转换为FATA32的时候,必须要对文件系统进行格式化。虽然两种文件系统格式Windows操作系统都是支持的,但是在转换的时候,还是需要考虑到,现在已有的应用程序是否会对文件系统敏感。
二、配置过程以及注意事项
提高服务器安全性,一个推荐的做法是在特定的服务器、目录或者文件上设置相关的审计功能。这就好象政府有审计部门一样,可以确保相关的作业在以即定的规则运行。对NTFS文件系统或者下面特定的目录进行审计可以让管理员了解是谁在访问或者试图访问相关的资源。要实现这个配置也比较简单,只需要按照向导来完成即可。这里篇幅有限,就几个重点内容进行说明。
第一步:打开“审核”页签。
选择所需要设置“审计”的目录,然后右键单击选择“属性”。在弹出来的对话框中单击“安全”选项开,然后在单击“高级”按纽,就可以打开如上的窗口。这个步骤操作比较简单。主要需要注意两个问题。一是如上所述,必须在NTFS文件系统上进行操作。否则的话,是没有“安全”选项卡的。二是在配置之前,需要想一下对哪些资源需要设置审计访问。如果设置的过多,那么日志中将会记录大量的信息,对于后续的跟踪不利。相反,如果设计的过少的话,则不能够掌握每个重要文件的访问信息,可能会留下安全隐患。为此在确定对于哪些IIS资源需要审计访问的时候,需要在“性能”与“安全”性之间取得一个均衡。一般来说,需要考虑“重要性”原则,而不建议对每个文件或者目录都设置“审核”功能。
第二步:设置需要审核的“人员”与“事件”。
确认好需要进行“审计”的对象之后,接下去要做的就是设置“对哪些人的访问进行审计”以及进行“审核的项目”。因为IIS服务器的访问者很多,如果对所有用户的访问信息都进行记录,那么就一天时间就可能有上万条记录。这无论是对安全人员的精力还是对服务器的存储都是一种挑战。故在实际工作中,我们往往只是针对一些关键的事件进行审计。这种策略我们叫它“抓大放小”。
首先需要考虑的是对“哪些人”进行审计。在第一步中打开的审核页签中选择编辑,可以打开“高级安全设置”对话筐。在这个对话框中选择“添加”或者“编辑”,就可以指定具体需要对哪些人进行审计。如上图所示,如果选择“everyone”的话,就表示对所有人的访问都进行审计。通常情况下笔者不建议这么做。跟现实生活中一样,对“小锣锣”进行审计的话,基本上没有必要。因为其受到权限的限制,往往不会做违规的事情。故只需要对那些“有权”的用户进行审计即可。
其次对项目也需要进行设置。如上图所示,NTFS文件系统提供了很多的审核项目。包括“查看文件夹或者执行文件”、“读取属性”、“创建文件或者写入数据”等等。跟上面的道理相似,一般只需要对关键的项目进行审计即可。如针对更改文件或者目录的事件进行审计。而审机的规则又分为“成功”与“失败”两类。成功表示访问成功了进行记录,而失败表示访问失败时进行记录。这两类审计信息在不同的情况下往往有不同的用途。如对于“失败”的信息,安全管理人员可以凭借这些信息来判断是否有潜在的攻击者存在。如果发现某个文件被恶意的更改,则可以查看“成功”信息来判断这个文件是在什么情况下被什么人在什么时候更改的。
总之,加强对IIS服务器相关目录的审计,,可以帮助系统管理员发现系统的安全隐患。并在攻击之后进行后续的追踪。即使在设置了防火墙等安全措施之后,笔者还是强烈建议对于关键服务器开启审计功能。当然在配置时,需要在性能与安全之间取得一种均衡。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国