证书服务与Web发布安全指南

### 证书服务与Web发布安全指南 #### 1. 监控证书服务Web注册访问 监控Web访问日志文件有助于跟踪CA Web注册组件的访问情况。默认情况下，/CertSrv虚拟目录日志记录功能是启用的。通过分析日志条目，可以了解Web注册的访问方式、访问服务器的用户以及他们使用的Web浏览器。如果存在连接问题，访问日志文件还能为解决基于Web的CA问题提供线索。此外，启用活动日志记录还能检测是否有未经授权的用户试图访问Web注册支持组件。 IIS 6.0允许通过启用日志记录功能来收集用户访问活动信息，支持以下日志记录格式： | 格式名称 | 说明 | | ---- | ---- | | W3C Extended | 可自定义格式，允许在IIS写入日志条目时配置要收集的信息类型，遵循W3C工作草案规范，可访问www.w3.org/TR/WD-logfile了解详细信息。 | | NCSA Common | 国家超级计算应用中心（NCSA）通用格式，是一种旧的日志文件规范，细节固定且不可自定义，捕获的数据包括远程主机名、日期、时间、请求类型、HTTP状态和服务器发送的字节数。 | | IIS Log | 固定格式，记录的信息比NCSA通用格式更多，额外细节包括处理请求所需的时间、服务器接收的字节数和Win32状态。 | | ODCB Logging | 可以记录到数据库源的一组固定数据。 | IIS 6.0还引入了以下新的日志文件功能： - **UTF - 8日志记录**：早期IIS版本的日志文件以ASCII文本或本地代码页模式记录，而在IIS 6.0中可以配置为通用转换格式（UTF）8模式。UTF - 8模式日志记录允许以UTF - 8编码字符记录每个请求，支持比标准ASCII格式更多的文本字符，例如可以记录包含Unicode文本（如日语内容文件名）的请求日志条目。 - **远程日志记录**：在IIS 6.0中，可以使用通用命名约定（UNC）方法将日志文件重定向到远程共享网络路径，便于配置不同的日志路径以进行集中日志存储，用于备份和分析。 - **集中式二进制日志记录**：此格式允许多个网站将未格式化的二进制日志数据写入单个文件。 - **HTTP错误日志记录**：这种日志文件格式捕获HTTP.SYS驱动程序记录的HTTP API错误。 - **协议子状态**：仅在W3C扩展格式中可用，除了标准协议状态外，还提供更多详细信息，帮助进一步了解请求状态。 建议不要禁用/CertSrv虚拟目录的日志记录功能，因为它能监控Web注册活动，如客户端请求新证书、查看待处理请求、下载已颁发的证书和CA证书等。还可以审核日志文件，检查是否有未经授权的用户试图访问基于Web的CA。同时，要遵循相关指南，使用NTFS权限保护日志文件。 为确保安全，可进行以下配置： - 配置Web注册用户身份验证支持。 - 配置CA的用户访问权限。 - 配置CA服务器与客户端计算机之间的SSL连接。 - 配置IP地址和域名限制。 - 启用Web注册虚拟目录日志记录。 #### 2. 传统Web发布的问题与新解决方案 传统的Web发布通常使用文件传输协议（FTP），用户通过专用的FTP客户端将新内容上传到Web服务器。但这种方法存在诸多缺点，如需要在Web服务器上额外配置FTP服务器、在防火墙中打开额外端口、用户机器上需要专用的FTP客户端，并且无法在服务器上“就地”更新内容，必须先下载到用户机器上进行编辑，然后再上传。 IIS 6.0提供了两种新的Web发布技术来克服这些缺点： - **Web Distributed Authoring and Versioning (WebDAV)**：一种开放协议，由RFC标准2518和3253定义。 - **FrontPage Server Extensions (FPSE)**：一种专有发布机制，比WebDAV更具灵活性。 #### 3. 配置和保护WebDAV发布 WebDAV允许通过HTTP进行编辑，还支持基本的文件锁定系统，可防止两个用户同时写入同一文件。它是一个开放的发布协议，允许通过标准HTTP协议进行发布，并使用与普通网站身份验证相同的强大身份验证机制。由于WebDAV是开放标准，客户端可以使用任何WebDAV客户端，Windows XP和Windows Server 2003都内置了WebDAV客户端，Microsoft Office 2000的产品也支持WebDAV，Internet Explorer v5或更高版本的用户也可以使用WebDAV发布。需要注意的是，在Windows XP或Windows Server 2003中使用WebDAV客户端需要启动Webclient服务，在Windows Server 2003中该服务默认是禁用的。 ##### 安装和启用WebDAV 如果在安装IIS 6.0时未安装和启用WebDAV发布，可以按以下步骤操作： 1. 打开“添加/删除程序”控制面板，选择“添加/删除Windows组件”。 2. 在“应用程序服务器”|“Internet信息服务”|“万维网服务”下，勾选“WebDAV发布”组件。需要注意的是，WebDAV发布始终作为IIS 6.0的一部分安装，此步骤只是启用该组件。 3. 点击“确定”退出对话框，然后点击“下一步”启用WebDAV发布。 也可以通过IIS管理器启用WebDAV发布Web服务扩展： 1. 打开IIS管理器，找到“Web服务扩展”节点。 2. 在右侧窗格中选择“WebDav发布”，然后点击“允许”按钮。 启用WebDAV发布后，需要注意以下几点： - WebDAV发布不能在每个网站的基础上选择性启用或禁用，它是为服务器上的所有网站统一启用或禁用的。但用户的操作受IIS Web权限和NTFS文件权限的限制，如果未启用适当的权限，用户将无法执行发布操作。 - 如果运行URLScan，需要编辑默认的urlscan.ini配置文件，以允许WebDAV发布使用的HTTP动词，除了标准的HTTP头（如PUT、DELETE和GET），还需要允许WebDAV特定的头（如PROPFIND、LOCK、UNLOCK和COPY/MOVE），完整的WebDAV头列表可在www.ietf.org/rfc/rfc2518.txt的第8节中找到。 ##### 配置和保护WebDAV 启用WebDAV后，需要配置适当的安全权限，以允许授权用户获得适当的访问级别，同时拒绝未经授权的用户执行发布操作。这需要配置三组设置： - **