TRƯỜNG ĐẠI HỌC NÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÀI TẬP LỚN
AN TOÀN THÔNG TIN
Đề tài: Bảo mật máy chủ IIS - IIS Security
Giáo viên hướng dẫn : Nguyễn Văn Hoàng
Nhóm sinh viên thực hiện: Nhóm 20
Vũ Thị Mai Hoa
Nguyễn Thị Sen
Hà Nội 2011
PHẦN I: MỞ ĐẦU
I. Đặt vấn đề
Internet Information Services là một phần mềm cung cấp các dịch vụ dành cho
máy chủ được sử dụng rất rộng rãi trên thế giới được phát triển bởi công ty phần
mềm Microsoft. IIS là web server được sử dụng phổ biến thứ hai trên thế giới, chỉ
đứng sau web server HTTP Apache và theo khảo sát của Netcorft, IIS hiện đang
phục vụ cho 24,47% các website trên toàn thế giới. Cùng với sự phổ biến này, IIS
cũng luôn là một mục tiêu tấn công của các hacker nhằm xâm nhập, phá hoại hệ
thống. Ngày 19 tháng 7 năm 2001, hơn 359,000 máy tính sử dụng webserver IIS
của Microsoft đã bị tấn công bởi một con sâu có tên là Code Red Worm, gây nên
những thiệt hại to lớn. Chính vì vậy vấn đề bảo mật cho web server trở nên vô cùng
quan trọng đối với các nhà phát triển và quản trị hệ thống. Trong bài báo cáo này
chúng ta sẽ cùng tìm hiểu một số kiến thức cơ bản về các thành phần, cách cấu hình
IIS 6.0 để bảo mật máy chủ IIS trên Windows Server 2003.
II. Mục đích và yêu cầu
- Tìm hiểu về IIS
- Cài đặt IIS 6.0
- Bảo mật IIS 6.0 với máy chủ Windows Server 2003
2
PHẦN II: NỘI DUNG
I. Tìm hiểu về IIS

dùng truy nhập vào hòm thư của họ thì POP3 hay IMAP sẽ được kích hoạt và
chuyển thư tới người dùng đó.
II. Bảo mật IIS trong windows server 2003:
1. Bảo mật máy chủ IIS server:
Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy chủ IIS được bảo
mật nhất, mỗi ứng dụng từ máy chủ IIS cần phải được bảo mật từ những máy
clients có thể kết nối vào chúng. Ngoài ra Web site và các ứng dụng trên máy chủ
IIS cũng cần phải được bảo mật từ chính bên trong mạng Intranet(mạng nội bộ) của
doanh nghiệp hay tổ chức ấy.
Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ phá hoại, mặc định
IIS không được cài đặt trên Windows Server 2003. IIS khi được cài đặt sẽ ở trong
chế độ bảo mật cao "high secure" hay gọi là "locked mode".
Ví dụ: IIS cài đặt mặc định sẽ chỉ có vài nội dung được cài đặt kèm. Tính năng
như ASP, ASP.NET, Server Side Includes (SSI), Web Distributed Authoring and
Versioning (WebDAV) hay Microsoft FrontPage Server Extensions sẽ không
hoạt động cho đến khi người quản trị kích hoạt nó. Tính năng và dịch vụ có thể
được kích hoạt là Web Service Extensions và IIS Manager.
IIS Manager là một giao diện đồ hoạ được thiết kế để quản trị IIS. Nó quản lý tài
nguyên các file, directory, và các thiết lập cho các ứng dụng như về security,
performance, và các tính năng khác.
2. Các thiết lập nâng cao tính bảo mật cho máy chủ IIS server
Dưới đây là chi tiết các thiết lập nhằm nâng cao bảo mật cho IIS Server, đảm bảo
tính bảo mật cao nhất khi dùng IIS Server làm máy chủ cho các ứng dụng Web.
b. Audit Policy Settings:
Thiết lập Audit Policy trên máy chủ IIS Server đảm bảo toàn bộ thông tin của
người dùng khi login, logoff hệ thống sẽ đều được ghi lại. Và tất cả những dữ liệu
được người dùng truy cập cũng được lưu lại.
*Audit log on và Audit Objects Access:
Cách thiết lập
Audit log on và Audit object access trong group policy như sau:

d. Thiết lập Security Option:
Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó đưa ra những cấu
hình tuỳ biến thích hợp nhất.
Cách thiết lập:
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies -> Security Option
e. Event Log Settings:
Bạn phải thiết lập trên IIS Servers trong các cấu hình khác nhau, quan trọng nhất
của nó là bạn phải lưu lại toàn bộ các sự kiện theo một thể thống nhất với các tham
số bạn cần cấu hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là ghi lại
quá trình đăng nhập hệ thống (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng
6
nhập) ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong
quá trình đăng nhập).
Cách thiết lập:
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập gpedit.msc, OK), vào
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies –>
1. Audit logon events đặt chế độ success và fails
2. Audit Policy chọn Audit object access đặt chế độ success và fails
f. System services:
Dưới đây là những thành phần trong Microsoft Windows Server 2003, với các
dịch vụ buộc phải kích hoạt. Trong đó có các services cần phải để chế độ
automatically.
Các services có ba trạng thái là Disable, Enable, và Automatically - đây là trạng
thái khi hệ thống khởi động sẽ khởi động luôn cả service này.
HTTP SSL
Service HTTP SSL được kích hoạt trong IIS để thực hiện Secure Sockets Layer
(SSL). SSL là một chuẩn để thiết lập kênh truyền dẫn bảo mật khi những thông tin

1.f.1. Cấu hình các thành phần của IIS service đảm bảo tính bảo
mật cao nhất:
Khi cài đặt IIS Service, muốn bảo mật IIS Server cần phải hiểu các Components(
thành phần) của nó hoạt động có chức năng ra sao, và khi nào cần thiết phải cài đặt,
khi nào không cần thiết. Điều này cũng là một cách bảo mật máy chủ IIS Server
tránh xảy ra những lỗ hổng không cần thiết.
Sau khi cài đặt Windows Server 2003 và IIS, IIS với mặc định chỉ hỗ trợ Web
tĩnh. Khi các trang web và ứng dụng cần những và nội dung Web động, hay cần
thêm những thành phần của IIS, mỗi khi thêm các tính năng cho IIS bạn phải kích
hoạt nó hoạt động. Tuy nhiên trong quá trình thực hiện việc đó phải đảm bảo các
yếu tố bảo mật có thể ảnh hưởng tới toàn bộ IIS Server. Nếu trang web của tổ chức
8
bạn là Web tĩnh thì bạn không cần phải thêm bất kỳ một tính năng nào cho IIS
Server, với các thiết lập mặc định của IIS sẽ giảm thiểu được các vấn đề về bảo mật
cho tổ chức của bạn. Để tối ưu hoá việc thêm các thành phần cho IIS Server, và
nâng cao tính bảo mật cho hệ thông, toàn bộ quá trình thực hiện đều không thực
hiện được trên Group Policy mà bạn cần phải trực tiếp làm việc với IIS Servers.
Như vậy chỉ nên cài đặt những components cần thiết cho IIS.
3.1. Các bước cài đặt IIS 6.0:
1. Trên Control Panel, chọn Add or Remove Programs.
2. Chọn Add/Remove Windows Components .
3. Trong danh sách Components chọn Application Server, tiếp đó chọn
Details.
4. Trong Application Server lựa chọn các Subcomponents of Application,
chọn Internet Information Services (IIS), sau đó chọn Details.
Server
5. Trong Internet Information Services (IIS) trong danh sách của Subcomponents
of
Internet Information Services (IIS) :
- Để lựa chọn các components cần thiết để thêm vào trong IIS bạn chỉ cần lựa

3.3. Cấu hình cho các Components của IIS:
Hình 2: các subcomponents của IIS
Dưới đây là miêu tả chi tiết từng component trong IIS
Background Intelligent Transfer Service (BITS) server extension - Enable
(mặc định)
BITS là một giao diện cung cấp khả năng truyền File sử dụng bởi Windows
Update and Automatic Update, thành phần này được cài đặt là một yêu cầu nhằm
đáp ứng khả năng hỗ trợ Automatic Update và sử dụng để cung cấp các giải pháp
update cho toàn bộ hệ thống.
Common Files - Enable (mặc định)
IIS Cần thiết sử dụng các Files nên component này được kích hoạt mặc định.
File Transfer Protocol (FTP) - Disabled (mặc định)
Cho phép IIS Server cung cấp dịch vụ FTP. Dịch vụ này không nhất thiết được
cài đặt trên IIS Servers
FrontPage 2002 Server Extensions - Disabled (mặc định)
Cung cấp hỗ trợ FrontPage, quản trị và public Web sites. Disable là mặc định
trên máy IIS Server khi Web Sites không sử dụng FrontPage extensions.
11
Internet Information Service Manager - Enabled (mặc định)
Cung cấp giao diện quản trị cho IIS.
Internet Printing - Disabled (mặc định)
Cung cấp nền tảng web cho việc quản trị máy in và cho phép chia sẻ tài nguyên
máy in qua HTTP, nó không phải là một component được cài đặt mặc định trên IIS
Server.
NNTP Service - Disable (mặc định)
Cung cấp, truy vấn, nhận và sử dụng để post các bài báo trên Internet. Thành
phần này không cần thiết nếu IIS không cần những ứng dụng đó.
SMTP Service - Disable (mặc định)
Hỗ trợ giải pháp truyền thư điện tử, nó là một thành phần không được cài đặt
mặc định trên IIS Server

định từ nhà sản xuất.
BITS management console snap-in - Enable (mặc định)
Cài đặt một MMC snap-in cho quá trình quản trị BITS.
BITS Server Extension ISAPI - Enable (mặc định)
Cài đặt BITS ISAP khi một IIS server có thể truyền tải sử dụng BITS. Thành
phần này cần thiết khi sử dụng Windows Update or Automatic Update cung cấp giải
pháp tự động cho quá trình vá lỗi và nâng cấp bảo mật từ nhà sản xuất.
3.6. Cấu hình các components trong World Wide Web service:
Hình 5: các subcomponents trong World Wid Web service
Dưới đây là miêu tả chi tiết về các subcomponent và lời khuyến cáo từ nhà sản
xuất
Active Server Page - Disable (mặc định)
Cung cấp hỗ trợ cho ASP. Với mặc định là disable khi không có web sites hay
các ứng dụng nào trên IIS Server sử dụng ASP, hay không sử dụng nó trong web
service extension. Cần thiết phải kích hoạt trong Web Service Extensions.
Internet Data Connector - Disable (mặc định)
14
Cung cấp khả năng hỗ trợ các nội dung động (web động) qua file với đuôi mở
rộng .idc. Disabled mặc định thành phần này khi không có web sites hay ứng dụng
nào chạy trên IIS Server bao gồm các file đuôi .idc nào. Chỉ kích hoạt nó khi cần
thiết trong
Web Service ExtensionsRemote Administration - Disabled (mặc định)
Cung cấp giao diệt HTML cho quá trình quản trị IIS. Sử dụng IIS Manager cung
cấp khả năng quản trị dễ dàng và giảm thiểu các tấn công qua các lỗ hổng không
cần thiết. Thành phần này mặc định được disabled.
Remote Desktop Web Connection - Disabled (mặc định)
bao gồm Microsoft ActiveX và một vài trang cho quá trình hosting các Terminal
Service. Sử dụng IIS Manager cung cấp khả năng quản trị dễ dàng và giảm thiểu tấn
công. Cho nên thành phần này mặc định bị disabled
Server - Side Includes - Disabled (mặc định)

- Việc chỉ kích hoạt những Extensions cần thiết ngoài việc đáp ứng toàn bộ các
ứng dụng cho tổ chức của bạn, đảm bảo việc nâng cao tính bảo mật và nâng cao
hiệu năng cho máy chủ IIS với việc chạy ít thành phần hơn, giảm thiểu các cuộc tấn
công.
h. Danh sách các Web Service Extensions, chi tiết tác dụng của từng thành
phần
Active Server Pages
Khi một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các
nội dung phát triển bằng ASP
ASP.NET v1.1.4322
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội
dung phát triển bằng ASP.NET
FrontPage Server Extensions 20002
Một hoặc nhiều Web sites chạy trên IIS Server sử dụng FrontPage Extensions
Internet Data Connector (IDC)
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server sử dụng IDS để
hiển thị các thông tin (đuôi mở rộng của các file của nó là dạng *.idc và *.idx)
16
Web Distributed Authoring and Versioning (WebDAV)
WebDAV cần thiết trên IIS Server để các máy clients có thể publish và quản lý
nội dung trên Web.
Chuyển nội dung vào Dedicated Disk Volume
IIS lưu trữ các files cho default Web site tại inetpubwwwroot, trong đó là ổ đĩa
mà bạn cài đặt Windows Server 2003.
Bạn chuyển tất cả các files và folders để xây dựng Web sites và các ứng dụng
vào trong Dedicated Disk Volumes trên IIS Server trong ba môi trường khác nhau.
Chuyển các files và folders trên Dedicated Disk Volume - trên một máy chủ IIS vào
một vùng an toàn nhằm ngăn chặn việc tấn công và nếu có vấn đề gì xảy ra có thể
restore lại một cách dễ dàng. Không để Dedicate Disk Volume trên máy chủ IIS
không cùng partion với Windows Server 2003 được cài đặt, và thay đổi đường dẫn

cũng như việc đảm bảo tính thuận lợi cho quá trình truy cập.
Trên đây ta thực hiện NTFS Permissions với thiết lập chỉ ảnh hưởng tới các
accounts đã được gán quyền truy cập hay cấm truy cập, dưới đây ta thực hiện thiết
lập IIS Web Site Permissions thực hiện với mức độ ảnh hưởng tới toàn bộ ai truy
cập vào web sites cũng như ứng dụng khác.
j. Thiết lập IIS Web Site Permissions.
IIS có khả năng thiết lập Web site permissions để quyết định cho phép hay cấm
những hành động nào truy cập vào web site, ví dụ như cho phép truy cập vào các
nguồn script hay directory browing. Web site permissions có thể thực hiện để bảo
mật Web sites trên IIS Server.
Web site permissions có thể sử dụng kết hợp với NTFS permissions. Chúng có
thể cấu hình cho những trang cụ thể, những directories, và files. Không như NTFS
Permissions, Web site permissions ảnh hưởng tới tất cả những ai truy cập tới web
site trên một IIS Server. Web site permissions có thể cung cấp bằng việc sử dụng
IIS Manager snap-in.
Dưới đây là miêu tả chi tiết các quyền bạn có thể gán trong Web Site Permissions
18
Read
Users có thể xem các nội dung và các thuộc tính của các directories hay các files.
Đây là thiết lập mặc định.
Write
Users có khả năng thay đổi nội dung và thuộc tính của directories hay các files.
Script Source Access
Users có thể truy cập tới "source files, nếu quyền Read được cho phép, sau đó
source có thể được đọc, nếu quyền Write được cho phép thì sau đó "script source
code" có thể bị thay đổi. Script Source Access bao gồm "source code - mã nguồn"
cho các đoạn script. Nếu Read hay Write đều không được cho phép thì Script
Source Access không được phép truy cập.
Một điều quan trọng đó là nếu Script Source Access được cho phép, user có thể
xem các thong tin, như tên và password. Và khi họ có thể thay đổi được mã nguồn

ghi lại các thao tác cụ thể trong từng ngày và được lưu lại trên directory cụ thể mà
bạn thiết lập trên IIS Manager. Để nâng cao hiệu năng logs có thể không được lưu
lại trên các ổ hỗ trợ RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Hơn nữa logs có thể ghi lại các dữ liệu được chia sẻ từ các máy tính khác trên
mạng. Remote logging cho phép người quản trị hệ thống có thể tập trung được các
file log để có chính sách cụ thể lưu lại. Tuy nhiên việc ghi lại trên các máy tính từ
xa có thể ảnh hưởng tới hiệu năng của hệ thống.
IIS logging có thể được thiết lập sử dụng bảng mã ASCII hay Open Database
Connectivity (ODBC) file format. Định dạng ODBC logging được kích hoạt trên
IIS và lưu lại các thông tin trong dữ liệu của SQL. Tuy nhiên cần phải chú ý là phải
kích hoạt tính năng ODBC Logging, IIS tắt "kernal -mode cache". Để nâng cao hiệu
năng logging hệ thống cho phép lưu lại dưới dạng số nhị phân và hỗ trợ "remote
logging" bằng "Centralized Binary Logging".
Khi IIS logs được lưu lại trên IIS Server với mặc định thì chỉ quản trị máy chủ đó
mới có quyền truy cập vào chúng. Nếu một file log ở trong một directory không
nằm trên máy chủ IIS thì thông qua HTTP.sys kernel - mode driver trong IIS 6.0
ghi lại NT Event log.
20
1.k.1. Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc
tới việc đưa ra những chính sách bảo mật cụ thể.
- Việc thay đổi tên của user administrator là cần thiết, cũng như việc disable user
guest.
- Password cần phải phức tạp và khó đoán với các tài khoản thông thường cung
cấp cho người dùng truy cập vào web site.
- Lưu lại quá trình thay đổi bảo mật trong một vùng được bảo mật cao
- Thực hiện bảo mật máy chủ IIS bằng IPSec
Blocking Ports với IPSec Filters
Internet Protocol Security (IPSec) Filters có thể cung cấp khả năng tối hưu hoá
bảo mật máy chủ ở mức độ rất cao, và là một mức độ bảo mật cần thiết trên các
máy chủ. Với thiết lập được khuyến cáo hướng dẫn bạn có một môi trường bảo mật

- Tìm hiểu các phương pháp bảo mật kết hợp, NTFS, User authentication, và
sử dụng IPSec Filter để nâng cao tính bảo mật cho máy chủ IIS Server.
- Đưa ra những chính sách bảo mật cụ thể.
Cách thức thực hiện của nhóm:
- Tìm tài liệu trên các trang web, sách và các bài báo.
- Phân chia công việc cụ thể cho từng thành viên trong nhóm.
- Làm bài báo cáo từ những tài liệu thu thập được.
- Thường xuyên họp nhóm để ghép bài và tìm phương pháp giải quyết cho những
vấn đề khó như: Tìm phương pháp bảo mật kết hợp để nâng cao tính bảo mật cho
máy chủ IIS Server, IIS sử dụng các cơ chế bảo mật như thế nào?….
23
Mục Lục
PHẦN I: MỞ ĐẦU 2
I. Đặt vấn đề 2
II. Mục đích và yêu cầu 2
PHẦN II: NỘI DUNG 3
I. Tìm hiểu về IIS 3
1.a.1. Khái niệm về IIS: 3
1.a.2. IIS có thể làm được gì? 3
II. Bảo mật IIS trong windows server 2003: 4
1. Bảo mật máy chủ IIS server: 4
2. Các thiết lập nâng cao tính bảo mật cho máy chủ IIS server 4
1.f.1. Cấu hình các thành phần của IIS service đảm bảo tính bảo mật cao nhất: 8
1.f.2. Giới thiệu các phương pháp bảo mật kết hợp 15
1.k.1. Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra
những chính sách bảo mật cụ thể 21
PHẦN III: KẾT LUẬN 22
Tài liệu tham khảo: 23
1. Nguyễn Thị Sen : 23
2. Vũ Thị Mai Hoa : 23