Безопасность IIS

         

Дополнительные процедуры


Приведем еще несколько рекомендаций по укреплению системы. Некоторые из них несовместимы с вашей конфигурацией в зависимости от того, выполнялось ли обновление программного обеспечения предыдущих версий или установка последних надстроек безопасности и сервис-пакетов. Несмотря на то, что данные процедуры повышают степень защищенности IIS, они не играют особой роли в средах с низким и средним уровнями безопасности.

Удаление старых каталогов. При обновлении сервера с системы NT удалите каталог с именем IISADMPWD из папки IIS в корневом каталоге. Согласно перечню угроз Microsoft Security Checklist для IIS 5.0 данная директория позволяет восстанавливать пароли Windows NT и Windows 2000.

Каталог IISADMPWD служит для внутренних сетей, он не создается при установке IIS 5, не удаляется при обновлении IIS 4 до IIS 5. Удалите данный каталог, если не используете внутреннюю сеть или подключаете сервер к интернету.

После обновления сервера остаются еще некоторые каталоги, которые также следует удалить:

<System Root>\DOS;<System Root>\Cookies;<System Root>\History;<System Root>\Temporary Internet Files.

Удаление файла SAM из каталога WINNT\REPAIR. База данных Security Accounts Manager (SAM) (Диспетчер безопасности учетных записей) представляет собой хранилище паролей пользователей в Windows 2000. При установке сеанса связи на сервере Windows SAM подтверждает подлинность аутентификационных данных пользователя. Пароли Windows безопасны ровно настолько, насколько защищен файл базы данных SAM. Поэтому в Windows 2000 безопасность этого файла обеспечивается с помощью ограничения разрешений на доступ к нему и шифрования с использованием защищенного ключа, хранимого в системном реестре. Обеспечьте безопасность SAM с помощью настройки локальной политики безопасности сервера на очистку файла подкачки.

Пароли защищаются посредством удаления лишней копии файла SAM, расположенной в каталоге (%Sys Volume% является корневым каталогом загрузочного диска):

%Sys Volume%\WINNT\Repair


По умолчанию файл SAM вместе с ключами реестра Windows и журналом остальных системных файлов копируется в этот каталог для создания диска экстренного восстановления (Emergency Repair Disk, ERD). После создания ERD с помощью команды Backup (Резервное копирование) храните этот диск в надежном месте и удалите файл SAM из каталога восстановления. Повторяйте эту процедуру при каждом обновлении ERD.

Отключение подсистем MS DOS, POSIX и OS/2. Руководство NSA по конфигурации Windows 2000 предлагает удалить подсистемы для операционных систем OS/2 и POSIX. Рекомендации по работе с Microsoft IIS содержат инструкции по удалению наследуемых утилит, связанных с DOS, которые являются подсистемой DOS. Подсистема – это условное название различных команд и утилит Windows 2000, обеспечивающих совместимость с более старым программным обеспечением и дающих возможность управления системой из командной строки DOS. Эти подсистемы представляют потенциальную угрозу безопасности для веб-сервера, поэтому следует отключить их и удалить соответствующие команды.

Совет. Редактирование реестра Windows – занятие не для новичков. Если допущена ошибку, то следствием может стать отключение сервера. Перед редактированием реестра создайте диск экстренного восстановления системы (см. лекции 6).

Отключите подсистемы посредством удаления их строк из реестра Win2000. Запустите утилиту Windows 2000 REGEDIT и выполните следующие процедуры.

В меню Пуск (Start) выберите команду Run (Выполнить) и введите Regedit, после чего откроется приложение (см. рисунок ниже). Откройте папку HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT.



Удалите все параметры в папке \HKEY_LOCAL_MACHINE\SOFT-WARE\MICROSOFT\OS/2.

Откройте папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont-rolSet\ Control. В папке Control выполнитe следующие действия.

Откройте папку Session Manager\Environment. Удалите значение Os2LibPath.Откройте папку Session Manager\Subsystems. Удалите подпараметры Os/2 и Posix.



Изменения вступят в силу после перезагрузки системы.



Теперь удалите команды подсистемы, так как они обеспечивают совместимость приложений на файловом сервере. Не следует запускать на сервере старые приложения, которым нужна эта совместимость. Место расположения описанных файлов в папке %Sys Volume%\ (%SystemRoot%\system32):

os2.exe;os2ss.exe;os2srv.exe;psxss.exe;posix.exe;psxdll.dll;все файлы в папке \os2. (Оставьте вложенную папку DLL и все ее содержимое. При ее удалении перестанет работать исполнитель команд Windows 2000 Command.exe.)

После этого удалите старые утилиты командной строки DOS, Win98, NT и Windows 2000, находящиеся в системном каталоге сервера, иначе они станут орудиями хакеров, пытающихся получить доступ на сервер. Эти утилиты расположены в папке установки Windows 2000 %System Root\system32, где %System Root% – корневой каталог на загрузочном диске сервера. После запуска IIS Lock права на системную папку будут ограничены для исключения возможности доступа к ним обычных пользователей интернета, но это не поможет, если кто-либо завладеет привилегиями на доступ к серверу более высокого уровня. Повысьте уровень безопасности, удалив с сервера указанные элементы.

Имеется ли у вас дискета с набором утилит для экстренного восстановления системы? Такая дискета идеально подходит для расположения этих утилит. Ниже приведен перечень команд, которые следует удалить.

AT.EXE DEBUG.EXE ISSYNC.EXE CACLS.EXE EDLIN.EXE NBTSTAT.EXE CMD.EXE FINGER.EXE NET.EXE CSCRIPT.EXE FTP.EXE NETSH.EXE POLEDIT.EXE REXEC.EXE TELNET.EXE RCP.EXE RSH.EXE TFTP.EXE REGEDIT.EXE RUNAS.EXE TSKILL.EXE REGEDIT32.EXE RUNONCE.EXE WSCRIPT.EXE REGINI.EXE TRACERT.EXE XCOPY.EXE REGSRV32.EXE

Необходимо произвести действия с файлами в двух местах. Windows 2000 содержит функцию самовосстановления, называемую System File Checker (Проверка системных файлов), которая в случае удаления системных файлов восстанавливает их из резервной папки \%System Root%\system32\dllcache. Удалите файлы из папки system32 и из этой резервной папки, не перемещайте и не переименовывайте их.



Совет. Если слишком рано удалить команду Regedit.exe, то невозможно будет редактировать реестр для устранения подсистем OS/2 и DOS. Неизвестно, когда эти команды понадобятся вновь, поэтому команды в папке system32 следует лишь переместить и/или переименовать, а не удалить. По возможности переместите их на дискету, чтобы не переименовывать.

Перемещение метабазы и изменение параметра реестра. В руководстве NSA имеется рекомендация по обеспечению защиты альтернативы IIS системному реестру Windows 2000. IIS хранит большую часть информации системного реестра Windows 2000 в специальном хранилище данных, называемом метабазой. Метабаза содержит значения конфигурационных параметров в резидентном хранилище. Метабаза специально создана для работы с IIS и является более быстрой, гибкой и расширяемой, нежели системный реестр Windows 2000.

Предупреждение. Обратитесь к рекомендациям NSA по адресу, указанному в табл. 3.1, для получения советов и инструкций по данной процедуре. Ее выполнение представляет большую опасность для работы сервера, если только не осуществляется системными администраторами с большим опытом.


Физическая безопасность, безопасность загрузки и параметры безопасности носителей


Последними (но немаловажными) связанными с безопасностью параметрами веб-сервера, которые нужно защитить как часть процесса установки, являются атрибуты, управляющие загрузкой сервера. После того как сервер расположен в защищенном месте, внесены изменения в IIS и Windows 2000, будет очень обидно, если все усилия сведутся к нулю хакером, получившим физический доступ к серверу и загрузившим его под другой операционной системой, в которой он является администратором и может делать все, что захочет.

Это относится не только к веб-серверам. Организации с серьезным отношением к вопросам безопасности, скорее всего, сразу предотвратят такой сценарий, указав приведенные ниже параметры в политике безопасности Windows 2000 и применив данные рекомендации к другим серверам.



Изменение среды сервера IIS по умолчанию


Для обеспечения защищенности веб-сервера не рекомендуется устанавливать ряд параметров конфигурации Windows 2000 по умолчанию. Ниже приводятся инструкции, объясняющие, как внести соответствующие изменения.

Создание нового сайта и корневого каталога для веб-содержимого. Для противостояния атакам типа "прохождение по каталогам" (см. лекции 2) рекомендуется располагать корневой каталог содержимого веб-сайта на диске (или логическом диске), отличном от диска, содержащего операционную систему сервера. Если на сервере будет работать несколько сайтов, желательно располагать каждый веб-сайт на отдельном диске или разделе.

При установке IIS создает веб-сайт по умолчанию. Некоторые специалисты рекомендуют (даже если на сервере будет лишь один сайт) создать новый сайт с другим именем, который будет работать как активный веб-сайт (т.е. не использовать веб-сайт по умолчанию), и использовать другое размещение для корневого каталога сайта. Это дельный совет. С точки зрения безопасности создание другого сайта и неактивное состояние сайта по умолчанию необходимо для предотвращения возможных автоматизированных атак, направленных на веб-сайт по умолчанию.

Совет. Следует оставить настройки по умолчанию в качестве отвлекающего маневра, но нужно создать новый сайт и сделать его активным.

Процедура создания нового сайта с новым размещением корневого каталога заключается в следующем.

Отключите веб-сайт, чтобы изменить его настройки с помощью Internet Services Manager (Диспетчер служб интернета), который находится в окне Start\Administration Tools (Пуск\Администрирование) или в окне My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование).Выберите веб-сайт под именем компьютера в окне Internet Information Services Manager. Если на сервере работает только один сайт, то этим сайтом будет веб-сайт по умолчанию, как показано на рисунке.


увеличить изображение

Щелкните правой кнопкой на имени сайта и в ниспадающем меню выберите Stop (Стоп), чтобы отключить веб-сайт по умолчанию.Создайте новый сайт с содержимым, которое хранится в другом каталоге, не в каталоге по умолчанию.
Будет лучше, если будет заблаговременно создан каталог в соответствующем разделе. Компания Microsoft рекомендует создавать отдельную директорию для файлов каждого типа, чтобы упростить установку разрешения Access Control (Контроль доступа). Рекомендуется использовать этот подход. Например, можно настроить веб-сайт следующим образом:

Root = D:\my_website D:\my_website\static (.html) D:\my_website\include (.inc) D:\my_website\script (.asp) D:\my_website\executable (.dll) D:\my_website\images (.gif, .jpeg) Совет. Если не нужно создавать новый сайт, все равно измените содержимое по умолчанию корневого каталога сайта, щелкнув правой кнопкой мыши на имени Default Site (Сайт по умолчанию) в окне Services Manager (Диспетчер служб) и выбрав в ниспадающем меню пункт Properties (Свойства). Каталог по умолчанию можно изменить на вкладке Home Directory (Домашний каталог).

Для создания нового веб-сайта выполните следующие инструкции.

В окне Internet Information Services Manager (Диспетчер IIS) выберите пункт Default Web Site (см. предыдущий рисунок) и щелкните на нем правой кнопкой мыши. В ниспадающем меню выберите New Site (Новый сайт), чтобы запустить Site Creation Wizard (Мастер создания сайта). В первом окне мастера введите имя веб-сайта в поле Description (Описание), когда этого потребует мастер. Нажмите на кнопку Next (Далее).Появится окно настроек IP-адреса и портов, показанное на рисунке.



Выберите заранее сконфигурированный IP-адрес в ниспадающем меню вверху экрана. Выберите адрес, соответствующий пограничному с интернетом интерфейсу (подразумевается, что на сервере установлены две сетевых карты). Можете продолжить работу, выбрав опцию All Unassigned (Отключить все), если сетевые интерфейсы настроены заранее.Укажите адрес порта TCP для сервера. Если сайт расположен в интернете, то не следует изменять значение порта 80, если только веб-сайт не используется для работы специального приложения. Пропустите информацию о заголовке узла, так как она не требуется. По завершении всех действий нажмите на кнопку Next.В окне Web Site Home Directory (Домашний каталог веб-сайта) укажите расположение каталога, в котором будет находиться содержимое нового веб-сайта.


Выберите место размещения в другом разделе, не в разделе с операционной системой сервера! Совет. Убедитесь в том, что выбранное имя отличается от имени по умолчанию Inetpub. Зачем облегчать задачу хакеру, осуществляющему автоматизированную атаку?Если сайт находится в интернете, оставьте выделенной опцию Allow Anonymous Access To This Web Site (Разрешить анонимный вход на этот веб-сайт). Это исключит вход в систему пользователей, посещающих сайт. Отключите опцию, если необходима авторизация пользователей при входе на сайт. Довольно распространенным решением является авторизация пользователей на сервере в интранет-сети. Нажмите на кнопку Next.Установите разрешения для нового каталога в окне Web Site Access Permissions (Разрешения на доступ к веб-сайту), показанном на рисунке. Установите разрешения на самый ограниченный уровень. Если на сайте не будет использоваться технология ASP, то не включайте разрешение для страниц этого типа. То же самое относится к программам общего шлюзового интерфейса (CGI). Если планируется включить их в содержимое сайта в будущем, установите их позже, когда это будет необходимо.



Нажмите на кнопку Next, чтобы применить изменения, после чего нажмите на Finish (Готово), чтобы закрыть мастер. Повторите все приведенные выше (и последующие) шаги для остальных веб-сайтов на сервере IIS. Совет. Теперь, когда создан новый веб-сайт, удалите веб-сайт по умолчанию Default Web Site из диспетчера IIS. Однако, как уже говорилось ранее, его можно оставить в качестве обманного маневра, но при перезагрузке следите, чтобы сайт по умолчанию не включился снова.



К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы. Именно поэтому следует отключать родительские пути.

Родительские пути отключаются в окне Web Site Properties (Свойства веб-сайта). Выполните следующее.

Запустите IIS Manager. В левой панели окна Internet Information Servces (IIS), показанном на рисунке, щелкните правой кнопкой на имени веб-сайта и выберите пункт Properties (Свойства).



Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта), показанном на рисунке, после чего нажмите на кнопку Configuration (Настройка) для открытия окна Configuration.



В окне Application Configuration (Настройка приложений) имеется набор вкладок. Во вкладке App Options (Свойства приложения) имеется опция Enable Parent Paths (Включить родительские пути), как показано на рисунке. Отключите данную опцию и нажмите на OK.



Если установлены другие службы IIS (IIS Help или FTP), то примите решение о наследовании отключенных родительских путей. В этом случае после закрытия окна Application Configuration отобразится диалоговое окно Inheritance (Наследование) с вопросом о том, нужно ли применить опцию родительских путей ко всем службам, связанным с веб-сайтом. Следует положительно ответить на этот вопрос и нажать на OK для закрытия окна и подтверждения указанных настроек.

Отключение поддержки ненужных приложений. По умолчанию IIS настроен на поддержку многих файловых расширений. Например, файл .idc представляет собой соединитель с базой данных, используемый для передачи данных между базой данных и службой или формой интернета. При настройке приложений, связывающих файл .idc с поддерживающим HTTP драйвером IIS ODBC httpodbc.dll, IIS считывает информацию о формате из соединителя с базой данных для правильной передачи данных.

Информация в таблице 3.3 взята из руководства NSA по защите IIS.


Здесь приведены данные о поддержке некоторых общих файловых расширений приложений, описание каждого расширения.

Таблица 3.3. Общие параметры поддержки приложенийРасширениеОписание
.aspСтраницы Active Server Page (ASP).
.htrВосстановление паролей в интернете.
.idcПодключение баз данных в интернете.
.stm, .shtm, .shtmlКод серверной части.
.printerПечать в интернете.
.cerСертификат.
.cdxФайл определения активного канала.
.asaПриложение активного сервера.
.htw, .ida, .idqСервер индексации.
На некоторых веб-сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

Откройте Internet Information Services Manager (Диспетчер IIS).В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.




Компоненты IIS


Существует лишь одна служба, действительно необходимая для работы веб-сервера. Это Internet Information Services (IIS) (Информационные службы интернета). IIS состоит из набора компонентов. Если при установке нажать на кнопку Details (Состав) в окне мастера Internet Information Services, появится новое диалоговое окно, показанное ниже, с перечнем всех служб IIS.


В состав IIS входят следующие службы.

Common Files (Основные файлы). Основные общие файлы, используемые компонентами IIS.Documentation (Документация). Документация и справка по IIS.File Transfer Protocol (FTP) Server (Сервер протокола передачи файлов). Обеспечивает передачу файлов по протоколу FTP на веб-сервере.FrontPage 2000 Server Extensions (Серверные расширения FrontPage 2000). Осуществляют динамическое управление и обновление веб-содержимого с помощью Microsoft FrontPage.Internet Information Services Snap-in (Надстройка Internet Information Services). Компонент веб-управления для консоли управления Microsoft Windows 2000 (MMC).Internet Services Manager (HTML) (Диспетчер служб интернета). Интерфейс администрирования на базе веб-браузера для управления веб-сервером из удаленного расположения.NNTP Service (Служба NNTP). Сервер новостей интернета.SMTP Service (Служба SMTP). Протокол передачи сообщений электронной почты, обеспечивающий соединения электронной почты в сетевой среде.Visual InterDev RAD Remote Deployment Support (Поддержка удаленного развертывания средства быстрой разработки приложений Visual InterDev RAD). Используется для удаленной разработки приложений.World Wide Web Server (Сервер World Wide Web). Обеспечивает поддержку HTTP для доступа браузера к HTML.

При выборе компонента World Wide Web Server программа установки выберет компоненты Internet Information Services и Common Files, так как работа веб-сервера зависит от наличия данных ресурсов. Этого достаточно для работы базового веб-сервера. Обеспечение безопасности работы с другими службами IIS (например, FTP) будет обсуждаться в лекции 10, а сейчас рассмотрим принципы работы базового сервера World Wide Web.



Обзор процедуры укрепления системы


После загрузки вышеупомянутых средств можно приступать к работе. Инструкции NSA и перечень Microsoft представляют собой тематические рекомендации, упорядоченные в виде меню, используемых для выполнения задач.

Работа с инструкциями потребует определенной интуиции, так как они мало информативны. Все параметры, которые следует изменить, описываются в отдельном окне независимо от стадии процесса. Нужно просто выполнять инструкции при переходе от одного меню к другому, и не совсем понятно, по какой причине выполняется то или иное действие. В этом разделе изложение инструкций организовано по процессам. С помощью такого подхода можно переходить от заголовка к заголовку, если последовательность задач имеет другой порядок, не теряя из виду причин выполнения отдельных действий.

Мы приводим некоторые рекомендации, не включенные в списки Microsoft и NSA, взятые из различных источников. Ниже приведены наиболее важные действия, упорядоченные по типам процессов, которые следует выполнить перед размещением сервера в сети интернет.

Мы рассмотрим следующие процедуры.

Остановка или отключение всех ненужных служб Windows 2000.Изменение серверной среды IIS по умолчанию для подготовки конечного состояния веб-сайта. Сюда входит модификация каталога веб-сервера, отключение или удаление ненужного системного содержимого, такого как демонстрационный код, командные утилиты, сценарии и т.д.Изменение дополнительных параметров Windows 2000 для снижения числа известных и теоретически возможных слабых мест.



Основные рекомендации


Многие обычно пренебрегают планированием и сразу приступают к делу. Имейте в виду, что стоит допустить лишь одну неточность – и вся защита рухнет. Работа по плану снизит вероятность ошибки. Перед началом работы ознакомьтесь с рекомендациями по установке защищенного веб-сервера.

Располагайте сервер в безопасном месте. Многие технические меры безопасности окажутся бесполезными, если злоумышленник получит физический доступ к серверу.По возможности сделайте веб-сервер монофункциональным сервером. Иными словами, не пытайтесь разместить веб-сервер на компьютере, который является также файловым сервером или другим компонентом. Чем больше функций имеет сервер, тем больше его уязвимость из-за ошибок конфигурации или наличия определенных программных компонентов. С увеличением комплексности сервера увеличивается риск нежелательных последствий в случае нарушения безопасности. Самым безопасным вариантом считается тот, когда сервер предназначен для выполнения одной цели.Ни при каких обстоятельствах не устанавливайте Microsoft IIS на контроллере домена сети. Контроллер домена сети Windows осуществляет управление безопасностью учетных записей для всего сетевого домена Windows. Уязвимость веб-сервера используется для перехвата управления веб-сервером, что предоставит хакеру доступ к контроллеру домена и сети.Используйте две карты сетевого интерфейса. Одну карту сетевого интерфейса соедините с сетью интернет, а другую подключите к внутренней сети. Вы сможете использовать интерфейс внутренней сети для управления сервером и обеспечить доступ интернет-трафика к компьютеру через другой интерфейс. С помощью интерфейса интранет-сети вы будете выполнять задачи по управлению сайтом в процессе его работы. Никогда не пытайтесь управлять работающим сервером через интерфейс, используемый интернет-трафиком.Если веб-сервер расположен в интернете, разработайте план его изоляции от интранет-сети. Не устанавливайте веб-сервер в рабочей группе или доверяемом домене. Не включайте маршрутизацию между двумя интерфейсами на сервере.
Используйте маршрутизатор и/ или сетевой экран для фильтрации трафика между веб-сервером и интранет-сетью (см. лекции 6).Установите на веб-сервере несколько дисков или разделов, чтобы располагать веб-папки не на системном диске. Это уменьшит вероятность успеха атак с использованием уязвимости стандарта Unicode (см. лекции 2). В случае осуществления атаки на прохождение каталогов ее воздействие распространится на остальные диски. Рекомендуется устанавливать большее количество дисков или создавать больше разделов, чем требуется, так как наличие дополнительного диска может оказаться полезным.Используйте файловую систему NTFS на всех жестких дисках IIS. Устройства Windows 2000 с файловой системой NTFS имеют большой набор возможностей по обеспечению безопасности. Файловые системы FAT32 и FAT16 не обеспечивают такие возможности, поэтому не используйте их на жизненно важных системах, особенно на тех, которые являются частью сети интернет.Не устанавливайте на веб-сервере приложения или средства разработки. Средства разработки обеспечивают широкие возможности по управлению данными и обладают высокими системными привилегиями. Если хакер сможет проникнуть в систему и запустить средство разработки, то он нанесет серьезный ущерб системе. Осуществляйте разработку веб-страницы и ее тестирование на другом компьютере и по окончании работы перепишите результат на веб-сервер.Не устанавливайте принтер на компьютер с сервером IIS. Переполнение буфера печати является классическим слабым местом. Эта атака популярна среди хакеров, так как она позволяет получить администраторские привилегии управления. Так как принтер на сервере не приносит никакой реальной пользы посетителям сайта, нет причин для его установки. Не стоит идти на неоправданный риск.Создайте список пользователей, которые получат доступ системного уровня к серверу для обновления содержимого сайта и резервирования данных. Обдумайте, кому еще следует разрешить создание и управление учетными записями пользователей на сервере.Не предоставляйте пользователям больше полномочий, чем необходимо. Далеко не каждому из них потребуются администраторские привилегии!


Отключение ненужных служб


Программа установки Microsoft Windows 2000 инсталлирует выбранные вами службы, после чего они настраиваются на автоматический запуск при каждой загрузке системы. Некоторые из служб необходимы для работы IIS, а некоторые – нет. На автоматический запуск должны быть настроены только необходимые службы.

Управление службами осуществляется с помощью надстройки Services (Службы) MMC, которая находится в окне Start\Programs\ Administrative Tools\Services (Пуск\Программы\Администрирование\Службы).

Консоль управления Services (Службы) (см. рис. ниже) представляет собой перечень всех служб, установленных в системе, с описанием, состоянием, настройками запуска и уровнем пользователя при входе в систему для каждой из служб. Она используется для остановки и отключения ненужных служб.


увеличить изображение

Таблица 3.2 содержит перечень служб, устанавливаемых даже в том случае, если вы следовали нашим рекомендациям относительно минимальной установки Internet Information Services. Этот перечень будет пополнен другими службами; некоторые из отключенных служб понадобится активировать при установке дополнительных компонентов IIS.

Для правильного функционирования серверу IIS не нужны службы, перечисленные в левом столбце таблицы, поэтому отключите их на создаваемом веб-сервере. (Тем не менее, можете оставить эти службы работающими на тестовом сервере, сервере разработки или на стандартном файловом сервере Windows.) При отключении этих служб измените параметр Startup (Запуск) на значение Manual (Вручную), чтобы при следующей загрузке сервера они не запустились автоматически. Службы, которые действительно необходимы, перечислены в правом столбце таблицы.

Для отключения службы в консоли MMC Services (Службы) выполните следующие инструкции.

Щелкните правой кнопкой мыши на службе, которую требуется отключить, в контекстном меню выберите команду Properties (Свойства). Откроется окно Properties (см. рис. 3.5). Нажмите на кнопку Stop (Стоп), чтобы отключить службу.В ниспадающем меню Startup Type (Тип запуска) нажмите на кнопку со стрелкой и в появившемся списке выберите Manual (Вручную).
После этого нажмите на OK.

Таблица 3.2. Обязательные и необязательные службы Необязательные службы Windows 2000Службы, необходимые для работы IIS


Alerter (Оповещатель)

ClipBook Server (Сервер папки обмена)

Computer Browser (Обозреватель компьютеров)

DHCP Client (Клиент DHCP)

Distributed File System (Распределенная файловая система)

Distributed Link Tracking (Client and Server) (Отслеживание распределенного подключения)

Distributed Transaction Coordinator (Координатор распределенных транзакций)

DNS Client (Клиент DNS)

FTP Publishing Service (Служба публикации FTP) (если пользователям не потребуются службы FTP)

Licensing Logging Service (Служба лицензированного ведения журналов)

Logical Disk Manager Administrator Service (Служба администрирования диспетчера логических дисков)

Messenger (Служба сообщений)

Net Logon * (Сетевой вход в систему)

Network DDE (Служба сетевого DDE)

Network DDE DSDM (Диспетчер сетевого DDE)

Print Spooler (Диспетчер очереди печати)

Removable Storage (Съемное хранилище)

Remote Access Connection Manager (Диспетчер подключений удаленного доступа)

Routing And Remote Access (Маршрутизация и удаленный доступ)

RPC Locator (Локатор удаленного вызова процедур) (необходим, если пользователь осуществляет удаленное администрирование)

RunAS Service (Служба RunAS)

Server Service (Служба сервера) (если на сервере не будут работать службы SMTP или NNTP)

Task Scheduler (Планировщик задач)

TCP/IP NetBIOS Helper (Модуль поддержки NetBIOS через TCP/IP)

Telephony (Телефония)

Telnet

Windows Installer (Программа установки Windows)

Windows Time (Служба времени Windows)

Workstation * (Рабочая станция)


COM+ Event System (Система событий COM+).

Event Log (Журнал событий).

IIS Admin Service (Служба администрирования IIS).

IPSEC Policy Agent (Службы IPSEC).

Logical Disk Manager (Диспетчер логических дисков).

Network Connections (Сетевые подключения).

Perfomance Logs and Alerts (Журналы и оповещения производительности).

Plug and Play.

Protected Storage (Защищенное хранилище).

Remote Procedure Call (RPC) (Удаленный вызов процедур).

Remote Registry Service (Служба удаленного реестра).

Security Accounts Manager (Диспетчер безопасности учетных записей).

System Event Notification (Уведомление о системных событиях).

Uninterruptible Power Supply (Источник бесперебойного питания).

Windows Management Instrumentation (WMI) (Инструментарий управления Windows).

WMI Driver Extensions (Расширения драйвера WMI).

World Wide Web Publishing Service (Служба публикации WWW).
* Службы, необходимые при работе сервера в качестве части домена Windows (в интранет-сети).


Рис. 3.5.  Используйте окно Service Properties для отключения служб


Отключение родительских путей


  Лекции

Безопасность IIS

0.   Введение

1.   Угрозы безопасности в интернете

2.   Удаление, повреждение и отказ в ...

3.   Подготовка и укрепление веб-сервера

4.   Учетные записи, аутентификация и...

5.   Аудит и журналы безопасности

6.   Особенности процесса разработки

7.   Жизненный цикл управления безопа...

8.   Применение шифрования

9.   Сторонние средства обеспечения б...

10.   Безопасность FTP, NNTP и других ...

11.   Безопасность активного содержимо...

12.   Секретность данных в интернете

    Экзамен
    Сдать экзамен экстерном
  Дополнительные материалы
  Приложение А. Источники информац...

  Приложение В. Глоссарий

  Приложение С. Справочные таблицы

  Приложение D. Методы аутентифика...

  Вкладки с рисунками

    Примеры

Безопасность IIS версия для локальной работы

3. Лекция: Подготовка и укрепление веб-сервера

Страницы:

« |

1

|

2

|

3

|

4

|

5

|

6

|

7

|

8

|

9

|

10

|

вопросы | »

|

для печати и PDA

  Если Вы заметили ошибку - сообщите нам.  

Включить комментарии

|| Настройки

|| Модерация

|| Помощь

Отключение родительских путей. Родительские пути представляют собой свойство операционной системы Windows, позволяющее инструкциям командной строки и программам обращаться к родительскому каталогу с помощью двух точек (".."). Это удобный способ перехода по иерархии каталогов для системных администраторов и программистов независимо от того, в каком месте дерева каталогов они находятся. Команде или программе не требуется указывать имя родительского каталога, вместо имени каталога используются две точки.

К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы.
На некоторых веб- сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

Откройте Internet Information Services Manager (Диспетчер IIS).В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.




Пакеты обслуживания и надстройки безопасности


Сразу по окончании установки Windows 2000 следует установить все сервис-пакеты и "заплатки", предоставляемые Microsoft. Эти компоненты являются жизненно необходимыми! Они содержат исправления обнаруженных ошибок и уязвимых мест.

Совет. Сервис-пакеты можно загрузить с сайта www.microsoft.com/technet/ или http://vx.windowsupdate.microsoft.com, установить с другого сетевого сервера или с приобретенных компакт-дисков.

Так называемые "горячие исправления" (hot fixes) и надстройки для укрепления системы представляют собой механизмы, используемые Microsoft для устранения ошибок, обнаруживаемых между выпуском соседних версий сервис-пакетов. "Горячие исправления", регулярно размещаемые Microsoft на веб-сайте, представляют собой патчи, связанные с конкретными аспектами безопасности для конкретных конфигураций системы. Надстройки безопасности представляют собой обновления всех отдельных исправлений, издаваемых Microsoft. Они доступны на веб-сайте Microsoft Technet. Следует регулярно посещать веб-сайт www.microsoft.com/technet/security для проверки наличия свежих патчей при каждой установке сервис-пакетов. На сайте можно подписаться на рассылку информации, связанной с безопасностью, а также на автоматическое уведомление о новых исправлениях. Следует устанавливать каждое появляющееся исправление, связанное с безопасностью.

На веб-сайте Microsoft перейдите по ссылке Recommended Updates (Рекомендуемые обновления) для проверки патчей или обновлений, требуемых для конфигурирования системы, но отсутствующих в последней версии сервис-пакета или не являющихся надстройками безопасности. Например, на протяжении долгого времени пакет Windows 2000 High Encryption Pack не являлся частью какого-либо сервис-пакета или надстройки обновления. Он устанавливался в случае 128-битного шифрования. Теперь пакет High Encryption Pack включен в Windows 2000 Service Pack 2.



Параметры носителей


Следует настроить Windows 2000 для предотвращения физических атак, ограничив доступ к гибким дискам или CD-ROM, если пользователь не осуществил локальный вход в систему. Для обеспечения безопасности носителей следует выполнить две процедуры.

Ограничить доступ к CD-ROM пользователей, локально вошедших в систему.Ограничить доступ к гибким дискам пользователей, локально вошедших в систему.

Параметры управления носителями являются частью локальной политики безопасности. Для создания политики безопасности или настройки параметров локальной политики безопасности выполните следующие шаги.

Выберите оснастку Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование).Откройте окно Local Security Policy\Local Policies\Security Options (Локальная политика безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.


увеличить изображение

В окне Security Options область справа содержит перечень параметров. Следует по очереди установить необходимые ограничения на доступ к носителям. Откройте параметр Restrict CD-ROM Access To Locally Logged On Users (Ограничить доступ к CD-ROM пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.Выберите опцию Enabled (Включено), после чего нажмите на OK.Откройте параметр Restrict Floppy Access To Locally Logged On Users (Ограничить доступ к гибким дискам пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.Выберите опцию Enabled (Включено), после чего нажмите на OK.



Параметры загрузки BIOS


Изменить параметры загрузки BIOS сервера для предотвращения загрузки со съемного носителя под другой операционной системой, которая используется некоторыми хакерами при проведении физических атак. Если хакер выполнит такую атаку, то он обойдет контроль доступа к файловой системе.

Процедура изменения параметров BIOS является индивидуальной для каждой конфигурации компьютеров (в зависимости от версии BIOS и производителя оборудования). Основные этапы заключаются в следующем.

Ознакомьтесь с информацией, отображаемой после включения компьютера до начала загрузки Windows 2000. Нажмите клавишу, предназначенную для входа в программу BIOS Setup компьютера (как правило, это клавиша Del).В меню настроек BIOS установите пароль администратора либо на загрузку компьютера, либо на изменение параметров меню в зависимости от используемого метода защиты. При желании примените тот же пароль администратора, который вводится при входе в Windows 2000. Если на компьютере имеется такая возможность, отключите пароль пользователя. Имейте в виду, что не нужно устанавливать пароль на включение питания, так как этот пароль не позволит автоматически перезагрузить систему при сбое в сети питания.По возможности настройте CMOS компьютера на запрет загрузки со съемных носителей. Если в системе недоступны параметры, определяющие загрузочное устройство, то, по крайней мере, у вас будет достаточно весомый уровень защиты в виде пароля на загрузку компьютера.



План работы


Как и для любого проекта, следует заранее спланировать установку и настройку безопасности веб-сервера. Разделите этот процесс на несколько этапов.

Определение и сбор необходимых компонентов установки. Обеспечьте оборудование, программы, персонал, поддержку, время и другие ресурсы, которые понадобятся для успешного выполнения установки. Нужен компьютер, который станет веб-сервером, а также защищенное место, в котором он будет расположен. Понадобятся программные продукты Microsoft и лицензии, сетевое оборудование для подключения сервера к сети, а также достаточное количество времени для настройки всех этих компонентов. Количество затрачиваемого времени зависит от вашего опыта. Если вы новичок, отведите для настройки сервера два дня и не спешите при выполнении процедур.Установка и настройка компонентов. Выполните инсталляцию. Для Microsoft IIS установку можно производить с компакт-диска непосредственно на сервере либо через сеть с сервера, на дисках которого находятся исполняемые файлы, либо выполнять установку, комбинируя два метода. Для максимальной безопасности установите особую конфигурацию вместо конфигурации по умолчанию посредством выбора нужных компонентов. В данной лекции приводятся инструкции о том, какие компоненты следует выбирать, и на что влияет наличие или отсутствие отдельных компонентов.Укрепление системы. Устраните слабые места, чтобы не стать жертвой хакера. Укрепление системы включает в себя отключение или удаление служб, которые не должны запускаться в выбранной конфигурации, а также правильную настройку политик, прав и разрешений.Включение аудита и возможностей по восстановлению. Защищенные вычислительные системы, такие как Windows 2000 и IIS, комплектуются набором системных журналов и журналов событий. Их нужно правильно сконфигурировать для определения фактов нарушения защиты и обеспечения возможности восстановления повреждений.

Процесс инсталляции и конфигурации всегда должен завершаться тестированием. Процедуры тестирования описываются в лекции 7.



ПРОБЛЕМА. Работа с поддержкой приложений


Приложения интернета (т.е. приложения, выполняющиеся на веб-сервере) разрабатываются с использованием целого ряда языков программирования и сценариев. Веб-приложения осуществляют интерактивный поиск данных и сбор информации о клиенте.

IIS использует расширение имени файла запрошенного ресурса, чтобы выбрать интерфейс ISAPI или программу CGI для обработки запроса. Например, запрос файла с расширением .asp вызовет запуск на веб-сервере программы ASP (Asp.dll) для обработки этого запроса. Связь файлового расширения с ISAPI или программой CGI называется поддержкой приложения.

Поддержка приложений представляет угрозу для веб-сайта. Хакер может осуществить выполнение одного из приложений, передав ему файл с соответствующим типом расширения. Хакер попытается осуществить переполнение буфера при загрузке файла приложением или другое действие, позволяющее получить доступ в систему для захвата управления. Отключив поддержку приложений, можно ограничить использование этого слабого места.

Откройте Internet Information Services Manager (Диспетчер IIS).Выделите имя веб-сайта в левой панели. Папки сайтов появятся в правой панели.Удалите виртуальную папку Printers (Принтеры), если она существует (см. рисунок вверху следующей страницы).

Папка Printers (Принтеры) является виртуальной папкой. Виртуальные папки скрывают непосредственное расположение информации от веб-браузеров, отображая псевдоним в адресах URL вместо реального имени каталога. Текущим размещением папки Printers (Принтеры) является папка winnt\web\printers на загрузочном системном диске сервера. (Системный диск в документации Windows 2000 указывается в виде %systemdrive%, поэтому данная папка будет обозначена как %systemdrive%\winnt\web\printers.)


Откройте Internet Services Manager (Диспетчер служб интернета), в левой панели выделите имя веб-сайта. Папки веб-сайта появятся в правой области окна.Удалите соответствующие папки. В Internet Services Manager можно удалить виртуальные папки. В табл. 3.4 приведены имена и размещение папок, которые восстанавливаются при перезагрузке и которые следует удалить.Совет. В табл. 3.4 %webroot% представляет собой корневой каталог с веб-содержимым, а %systemdrive% означает загрузочный диск с установленной операционной системой.

Таблица 3.4. Каталоги демонстрационных файлов, сценариев и их размещение

КаталогРасположение
IIS Samples%webroot%\iissamples
IIS SDK%webroot%\iissamples\sdk
Admin Scripts%webroot%\AdminScripts
Scripts%webroot%\scripts
Data accessc:\Program Files\Common Files\System\msadc\Samples
IIS HELP%systemroot%\help\iishelp
IIS adpwd%systemroot%\system32\inetsrv\iisadmpwd
<
Отключение IP-адреса в заголовке расположения содержимого. При использовании статических страниц HTML (например, Default.htm) к ответу на запрос страницы веб-браузером добавляется заголовок расположения содержимого. По умолчанию расположение содержимого ссылается на IP-адрес сервера, а не на доменное имя (FQDN) или имя узла. Этот заголовок может раскрыть внутренние IP-адреса, скрытые или замаскированные брандмауэром сетевой трансляции адресов (NAT) или прокси-сервера.

Ниже приведены инструкции, взятые из статьи Microsoft Knowledge Base (#Q218180) (База знаний Microsoft), описывающей отключение заголовка расположения содержимого в Internet Information Services 5.0.

Откройте окно командной строки Start (Пуск)\Accessories (Стандартные)\ Command Prompt (Командная строка).

Перейдите в каталог сценариев администратора при помощи команды:

сd c:\inetpub\adminscripts

Если имя домашнего каталога изменено, путь к данному каталогу будет содержать измененное имя каталога.



Введите следующую команду:

adsutil set w3svc/UseHostName True

По умолчанию данный параметр установлен на значение False (Ложь), поэтому он возвращает только IP-адрес компьютера, на котором установлен сервер IIS. Установка данного параметра на значение True (Истина) выводит имя FQDN компьютера IIS.



Рекомендуется перезагрузить службу Inetinfo после внесения данного изменения. Для остановки и запуска процесса Inetinfo без перезагрузки введите следующую команду в командной строке:

net stop iisadmin /y

Для перезапуска введите:

Net start w3svc

Конфигурация поддержки системных данных. Функции Recycle Bin (Корзина) и Virtual Memory (Виртуальная память) операционной системы Windows 2000 могут обнаруживать данные, несмотря на то, что настроены на немедленное удаление.

По умолчанию Recycle Bin настроена на сохранение копии каждого удаляемого файла. Данное обстоятельство нас не устраивает, поэтому изменим параметры для немедленного удаления содержимого. Ниже приведены инструкции по настройке Recycle Bin.

На рабочем столе сервера щелкните правой кнопкой мыши на значке Recycle Bin (Корзина) и выберите пункт Properties (Свойства).Выберите опцию Use One Setting For All Drives (Единые параметры для всех дисков) и опцию Do Not Move Files To The Recycle Bin (Уничтожать файлы сразу после удаления, не помещая их в корзину), после чего нажмите на OK.



Уязвимость данных в виртуальной памяти Windows 2000 возникает из-за настройки по умолчанию системного файла подкачки, используемого для хранения данных в режиме оперативной памяти при записи и удалении данных с диска. Windows 2000 содержит параметр безопасности, который должен быть включен для удаления всех данных в системном файле подкачки при выключении Windows 2000.

Процедура включения данного параметра заключается в следующем.

Откройте окно Start\Administrative Tools\Local Security Policy (Пуск \Администрирование\Локальная политика безопасности) или окно My Computer\Administrative Tools\Local Security Policy (Мой компьютер\Администрирование\Локальная политика безопасности).Откройте окно Local Security Settings\Local Policies\Security Options (Настройка локальной безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.


увеличить изображение

В правой области отображается перечень параметров. Дважды щелкните на параметре Clear Virtual Memory Pagefile When System Shuts Down (Очищать файл виртуальной памяти при выключении компьютера), после чего откроется диалоговое окно Local Security Policy Setting (Настройка локальной политики безопасности).Выберите опцию Enabled (Включено), как показано ниже. Нажмите на OK для закрытия окна.






Процедуры укрепления системы, проводимые вручную


Настало время приступить к повышению безопасности системы. В процессе работы может выясниться, что некоторые настройки уже сделаны с помощью инструмента IIS Lock. Некоторые настройки потребуется изменить после изучения приводимой здесь информации. В любом случае будет ошибкой полагать, что вся работа успешно завершится после запуска программы IIS Lock.

Для ручной настройки параметров необходимо поработать с большим набором инструментов через консоль управления Microsoft Management Console (MMC). MMC представляет собой основное приложение для управления платформой Windows 2000 и компонентом IIS, установленное наряду с другими надстройками (здесь вы не можете выбирать, что следует устанавливать, а что – нет) при инсталляции Windows 2000 и IIS. Модули MMC и надстройки по умолчанию MMC доступны в окне Start\Administrative Tools (Пуск\Администрирование).


Набор модулей и надстроек по умолчанию, связанных с безопасностью, состоит из следующих компонентов.

Computer Management (Управление компьютером). Используется для создания и конфигурирования учетных записей, групп, хранилищ данных и съемных носителей, для отслеживания информации о системе.Event Viewer (Просмотр событий). Используется для ведения системных журналов, журналов событий и журналов безопасности.Internet Services Manager (Диспетчер служб интернета). Предназначен для настройки параметров безопасности IIS.Local Security Policy (Локальная политика безопасности). Используется для настройки параметров безопасности Windows 2000.Services (Службы). Используется для управления службами, работающими на сервере.



Простота – залог успеха


Защищенный веб-сайт нужно настроить на минимальную конфигурацию. Принцип безопасности, лежащий в основе этого правила, заключается в том, что службы, не являющиеся жизненно необходимыми, представляют собой точки будущих атак хакеров. Поэтому при инсталляции системы следует указать выборочную установку базового набора компонентов, необходимого для функционирования.



Работа с инструментом Microsoft IIS Lockdown Tool


Инструмент IIS Lockdown Tool (IIS Lock) представляет собой утилиту Microsoft, автоматизирующую настройку параметров безопасности для веб-сервера. В его окнах можно описывать нужную конфигурацию. В конце работы создается шаблон политики Windows 2000/IIS Policy (Политики IIS), и к веб-серверу применяются настройки этого шаблона.

Далее мы узнаем, как с ним работать, однако это не означает, что будет сгенерирована корректная конфигурация. Настройки IIS необходимо выполнить вручную, так как нет никаких гарантий того, что сконфигурированные параметры соответствуют конкретным требованиям. В некоторых случаях требуется тонкая настройка конфигурации для ее оптимизации.

Основные процедуры, выполняемые при работе с инструментом IIS Lockdown Tool, следующие.

Запустите программу для открытия мастера, выберите конфигурацию, наиболее точно описывающую будущий сервер (см. рис. ниже). Отметьте опцию View Template Settings (Просмотреть параметры шаблона) в нижней части окна, чтобы просматривать все параметры при работе с мастером. Нажмите на кнопку Next (Далее) для открытия окна Internet Services (Службы интернета).


В окне Internet Services (изображение не приводится) выберите службы, которые следует включить и отключить (некоторые службы, которые рекомендовано отключить, затемнены, если вы последовали совету в разделе "Установка компонентов"). Разумеется, должна быть отмечена опция HTTP Service. В левом нижнем углу находится опция Remove Unselected Services (Удалить невыбранные службы), которую можно использовать для удаления служб на данном этапе. Нажмите на кнопку Next.Появится окно Script Maps (Поддержка сценариев), показанное на рисунке. Выберите нужные элементы, соответствующие сценариям, поддержку которых необходимо отключить. Перейдите к разделу "Отключение поддержки ненужных приложений", если не знаете, что означают приводимые в окне элементы. После указания нужных элементов нажмите на кнопку Next.


Совет. В данном примере устанавливается сервер, содержащий страницы Active Server Pages, поэтому поддержка этой технологии не отключается.В окне Additional Security (Дополнительные параметры безопасности) (см.
рисунок вверху следующей страницы) укажите дополнительные опции для удаления виртуальных каталогов и демонстрационных сценариев. Можно установить некоторые файловые разрешения на учетную запись анонимного гостевого пользователя и отключить возможность удаленной разработки веб-содержимого. В лекции 4 более подробно будет рассказано об учетной записи Internet Guest, и указываемые сейчас настройки могут стать неподходящими; тем не менее, отметьте все опции в данном окне и нажмите на кнопку Next.В последнем окне мастера конфигурации появится вопрос о том, следует ли устанавливать URL Scan (изображение этого окна отсутствует). Не устанавливайте этот компонент, если не знаете, как его использовать. О нем мы расскажем в лекции 7. Отключите опцию рядом с надписью Install URL Scan? (Установить URL Scan?), после чего нажмите на кнопку Next.В последний раз просмотрите настройки и убедитесь в их корректности. Нажмите на кнопку Next для отображения окна Applying Security Settings (Применение параметров безопасности) с отчетом о выбранных настройках. Нажмите на кнопку Next для применения всех параметров, после чего нажмите на Finish (Готово) для сохранения изменений и выхода из мастера.






Сетевые компоненты


Программа установки Microsoft предложит ввести имя компьютера, после чего нужно указать, находится ли данный компьютер в сети. Если веб-сервер размещен в интернете, выберите опцию Is On A Network Without A Domain (Находится в сети без домена), так как следует отделить веб-сервер от интранет-сети. Укажите любое предпочтительное имя рабочей группы.

В ходе работы мастера установки или сразу после ее завершения можно настроить интерфейсы для сетевых служб, используемых веб-сервером. Диалоговое окно настройки сетевого подключения показано на рис. 3.1. Это окно открывается выбором пункта Network Dialup and Connections (Удаленный доступ к сети и сетевые подключения) в подменю Settings (Настройка) меню Start (Пуск).


Рис. 3.1.  Диалоговое окно Connection Properties (Свойства подключения) используется для выбора сетевых служб

Совет. Для изменения имени компьютера и настройки домена Windows используется диалоговое окно My Computer (Мой компьютер)\Properties (Свойства), для изменения параметров TCP/IP – диалоговое окно My Network Places (Сетевое окружение)\Properties (Свойства)

Единственными службами, необходимыми для работы IIS в сети, являются Client For Microsoft Networks (Клиент для сетей Microsoft) и Internet Protocol (TCP/IP) (Протокол интернета TCP/IP), поэтому нужно отметить эти элементы. Отключите остальные протоколы и службы, такие как File And Printer Sharing For Microsoft Networks (Общие файлы и принтеры для сетей Microsoft), если нет основания для их использования на веб-сервере. Не открывайте общий доступ к интернет-соединению и никогда не используйте общий доступ к файлам в интернете.

Далее настройте стек протоколов TCP/IP сервера. Нужно указать IP-адреса, используемые сервером. Несмотря на то, что внутренняя сеть Windows 2000 содержит клиент DHCP, для веб-сервера используется фиксированный IP-адрес. Если возникнут неполадки в конфигурации внутренних DNS или WINS, доступ к серверу можно будет осуществить по его фиксированному адресу.
Этот адрес нужен для работы Windows 2000 Server и для обеспечения безопасности. Убедитесь, что адрес представляет соответствующую подсеть доверяемой сети, из которой будет осуществляться администрирование веб-сайтом.

Выберите Internet Protocol (TCP/IP) (Протокол интернета TCP/IP) и нажмите на кнопку Properties (Свойства), чтобы отобразить диалоговое окно (см. рис. 3.2). Введите адрес и маску подсети, предоставляемые поставщиком услуг интернета или сетевым администратором. Дополнительную справочную информацию можно найти на веб-сайте Microsoft Technet (www.microsoft.com/technet).

Если веб-сервер расположен в интернете (надеемся, что имеется карта сетевого интерфейса), используйте на интерфейсе фиксированный IP-адрес, относящийся к интернету. На рисунке 3.3 изображена схема конфигурации веб-сервера интернета с использованием двух интерфейсных карт при размещении его в подсетях интранет и интернет. В этом случае веб-сервер интернета является наиболее защищенным. При настройке адресов позаботьтесь о выборе нужной карты интерфейса для конфигурируемого адреса, проверив имя, отображаемое в верхней части диалогового окна (см. рис. 3.1).

Для обеспечения безопасности выполните некоторые процедуры с сетевой картой, граничащей с интернетом. В окне Connection Properties (Свойства подключения) этой карты (см. рис. 3.1) удалите компонент Client for Microsoft Networks (Клиент для сетей Microsoft), так как его копии, уже установленной для интерфейса интранета, достаточно для работы IIS.


Рис. 3.2.  Диалоговое окно Internet Protocol TCP/IP Properties предназначено для настройки адресов и маски подсети


увеличить изображение
Рис. 3.3.  Конфигурация веб-сервера интернета с использованием двух сетевых карт

Следует отключить протокол NetBIOS для интерфейса интернета (протокол, используемый Microsoft для общего доступа к файлам). Для этого нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна TCP/IP Properties (Свойства протокола интернета) (см.рис. 3.2), откройте вкладку WINS и выберите опцию Disable NetBIOS Over TCP (Отключить NetBIOS через TCP) (см. рис. 3.4). NetBIOS, использующий порты 137 и 139, нужен Windows при работе в интранет-сети для поддержки разрешения имен WINS и общего доступа к файлам и принтерам. Хакер, как правило, в первую очередь проверяет возможность атаки на эти порты при сканировании системы. Если они находятся в состоянии ожидания, то ему станет известно, что на узле используется операционная система Microsoft.


Рис. 3.4.  Диалоговое окно Advanced TCP/IP Settings предназначено для настройки дополнительных параметров конфигурации


Средства укрепления систем


Общепринятая практика при укреплении системы заключается в ограничении всех системных функций, служб, учетных записей и прав доступа для обеспечения максимального уровня безопасности, который, в то же время, позволит эффективно использовать систему. Необходимые настройки зависят от конкретного приложения, а также от понимания "эффективной работы" администраторами и пользователями. Например, политика безопасности некоторых организаций предусматривает фиксирование в журнале каждого события, происходящего на сервере. Это полезно для использования в системах с небольшим трафиком, но такой подход неразумен для веб-сайта общего доступа, так как его производительность значительно снижается. Необходимо найти оптимальное соотношение между уровнем безопасности и возможностями системы.

Компания Microsoft выпустила рекомендации для достижения этого баланса в виде инструкций по администрированию IIS, доступных на сайте Technet. Управление национальной безопасности США (NSA) разработало свои инструкции по укреплению систем. Эти средства расположены по адресам, указанным в табл. 3.1.

Таблица 3.1. Полезные инструменты для укрепления системы

Название Расположение
HisecwebSecurity Template (Hisecweb.inf)support.microsoft.com/support/misc/kblookup.asp?id=Q316347
IIS Lockdown Toolwww.Microsoft.com/technet/security/
IIS 5.0 Baseline Security Checklistwww.Microsoft.com/technet/security/
Secure Internet Information Services 5 Checklistwww.Microsoft.com/technet/security/
NSA Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 (Рекомендации NSA по настройке защиты и администрированию Microsoft IIS 5.0) http://nsa2.www.conxion.com/win2k/download.htm



Сводный перечень рекомендаций по укреплению системы


Установите сервис-пакеты, надстройки и исправления.Выполните IIS Lock.Создайте новый сайт и отключите сайт по умолчанию.Создайте новый каталог для содержимого.Убедитесь в безопасности конфигурации посредством проведения процедуры укрепления системы вручную.Отключите родительские пути.Отключите поддержку ненужных приложений.Удалите виртуальный каталог IIS Internet Printing.Удалите демонстрационные каталоги и сценарии.Удалите IP-адрес в заголовке расположения содержимого.Измените параметры Recycle Bin (Корзина) и политику системных данных файла подкачки.Удалите старые каталоги (требуется только после обновления программного обеспечения).Установите защиту на настройки CMOS.Обеспечьте безопасность физических носителей (привод гибких дисков, привод CD-ROM и т.д.)



Сводный перечень рекомендаций по установке


Располагайте сервер в физически безопасном месте.Не устанавливайте сервер на контроллере домена Windows; установите его на отдельном компьютере.Используйте несколько дисков или разделов, не устанавливайте домашний каталог веб-сервера в том же томе, что и папки операционной системы.Используйте на сервере две сетевых платы: одну – для администрирования, другую – для сети.Максимально упростите конфигурацию: установите минимальное число служб, отказавшись от установки необязательных компонентов. Не устанавливайте принтер.Не устанавливайте компоненты доступа к данным, если они не требуются.Не устанавливайте HTML-версию Internet Services Manager (Диспетчер служб интернета).Не устанавливайте MS Index Server.Не устанавливайте серверные расширения MS FrontPage на создаваемом сервере.



Требования к безопасной установке


У каждой организации имеется свой набор требований. Некоторые организации используют веб-сервер для распространения информации, для них безопасность не является основным вопросом. Другим требуется защита даже во внутренней интранет-сети, так как их сайты используются для управления информацией о сотрудниках и их заработной плате. Третьи имеют сайты в интернете для осуществления маркетинга, электронной коммерции и поддержки продукции. Каждому случаю соответствуют свои требования к настройке и защите систем.

Важно. Компьютер, на который инсталлируется IIS, ни в коем случае не должен подключаться к интернету до полного завершения установки и подтверждения защищенности сервера. Будем считать, что сервер расположен в защищенной интранет-среде (не в интернете) или вовсе не подключен к сети при установке.



Укрепление системы


Сервис-пакеты и надстройки, несомненно, устранят некоторые очевидные угрозы. Тем не менее, с помощью одних лишь надстроек нельзя предотвратить неприятности, связанные с безопасностью сервера. Мир информационных технологий не стоит на месте. Обновления, о которых идет речь, являются "заплатками" для тех "дыр", которые обнаружены. Можете быть уверены: тысячи пользователей работают на системах с такими надстройками и пытаются найти новые слабые места.

Перед размещением в информационной среде общего пользования все системы должны быть укреплены. Данный процесс заключается в удалении ненужных служб операционной системы для ликвидации слабых мест в компоненте, который даже не используется. Это обеспечит наибольший уровень безопасности.

Возможно ли устранение всех потенциальных угроз? Вероятно, нет, так как существует слишком много уязвимых мест. Но это не должно помешать вам создать систему, настолько устойчивую к атакам, чтобы цена и усилия, затрачиваемые хакером, были большими, нежели степень его потенциального успеха.



Установка компонента


Сервер Microsoft IIS интегрирован с операционной системой Windows 2000. Программа установки одновременно устанавливает Windows 2000 и IIS. Инсталляционная программа упрощает процесс установки, однако не является универсальной. Чтобы выполнить инсталляцию согласно требованиям к защищенности системы, необходимо вручную контролировать этот процесс.



Выбор компонентов служб


На рисунке показано окно Windows Components Wizard (Мастер компонентов Windows), предназначенное для выбора компонентов. Если система уже установлена, и требуется добавить или удалить компоненты, щелкните на значке Add/Remove Software Wizard (Мастер установки и удаления программ) в папке Control Panel (Панель управления) Windows 2000.


Ниже приведен полный перечень компонентов и их назначение.

Accessories and Utilities (Стандартные и служебные программы). Содержат стандартные игры Windows, приложения и утилиты: калькулятор, номеронабиратель, программа рисования, проигрыватель компакт-дисков и т.д. Эти компоненты не являются необходимыми для веб-сервера.Certificate Services (Службы сертификатов). Сервер сертификатов используется при создании сертификатов для приложений и служб, обеспечивающих безопасность посредством шифрования с открытым ключом, например, в протоколе защищенных сокетов SSL. Вам могут понадобиться и SSL, и сертифицированные права, но не следует устанавливать этот компонент на веб-сервер. Сервер сертификатов представляет отдельную защищенную систему, так как он подтверждает доверие к другим серверам. Службы сертификатов будут подробно рассматриваться в лекции 8.Indexing Information Services (Служба индексации). Индексация представляет собой метод каталогизации хранимых данных и используется для поиска на веб-сайте. Индексация должна выполняться только на диске Windows 2000 NTFS, чтобы соблюдалась безопасность разрешений NTFS. Сервер базы данных использует службы индексации для улучшения производительности, а на веб-сервере они, как правило, не нужны.Internet Information Services (Информационные службы интернета). Предназначены для управления веб-сайтом, публикациями или подключением к другим информационным службам в интернете, таким как Web, FTP, новости, электронная почта и т.д. Выберите этот компонент при установке веб-сервера IIS. Для повышения уровня безопасности установите отдельные службы на другой сервер Management and Monitoring Tools (Средства управления и наблюдения).
Предназначены для слежения за сетью и улучшения ее производительности. Протокол Simple Network Management Protocol (SNMP), используемый для передачи информации с сервера Microsoft в консоль управления SNMP Tivoli (средство управления большими и сложными сетями), не является безопасным. Не используйте SNMP на веб-сервере, если не осуществляется сложное управление, оправдывающее риск нарушения безопасности.Message Queuing Services (Службы очереди сообщений). Выполняет работу с сообщениями, используется приложением, асинхронно соединенным с компонентами клиента и сервера или с другими приложениями. При создании собственного веб-приложения на базе IIS этот компонент может понадобиться. Однако его установка вызовет угрозу успешного выполнения атаки, основанной на сообщениях. Если нет необходимости, то не устанавливайте этот компонент.Networking Services (Сетевые службы). Содержит набор сетевых служб и протоколов, таких как система имен доменов DNS, протокол динамической конфигурации узла DHCP и прокси-сервер служб интернета. Все эти компоненты нужны для функционирования сети, но их следует устанавливать на другом сервере.Other Network File and Print Services (Другие службы доступа к файлам и принтерам сети). Позволяют открывать общий доступ к файлам и принтерам сети для компьютеров, на которых установлена операционная система, отличная от Windows. Эти службы на веб-сервере не нужны, так как веб-протоколы HTML и HTTP совместимы с другими операционными системами.Remote Installation Services (Службы удаленной установки). Обеспечивают удаленную установку Windows 2000 Professional на компьютерах-клиентах с возможностью удаленной загрузки. Используются для управления большой и географически протяженной сетью. В этом случае у вас будет широкий выбор других серверов, на которые можно установить данные службы. Не инсталлируйте этот компонент на веб-сервер.Remote Storage (Удаленное хранилище). Позволяет серверу Windows 2000 осуществлять копирование файлов на диск или ленточный накопитель для хранения редко используемых файлов.


Используется на файловых серверах, хранящих файлы пользователей, занимающих в совокупности большое пространство; он позволяет освободить место на жестких дисках, переместив файлы на отдельный накопитель. Веб-сервер используется для совершенно других целей, вы будете постоянно работать с его содержимым, поэтому данный компонент не понадобится.Script Debugger (Отладчик сценариев). Диагностирует неполадки, связанные со сценариями сервера. Используйте его в системе, предназначенной для разработки, но не устанавливайте на веб-сервер.Terminal Services (Службы терминала). Обеспечивает среду терминала, позволяющую серверу Windows 2000 поддерживать многопользовательскую работу клиентов с приложениями Windows. В распределенной сетевой среде службы терминала используются для удаленного управления. Работа этой службы представляет собой опасность, так как она открывает дополнительный порт. О том, как использовать данную службу, соблюдая меры безопасности, говорится в лекции 6. При установке сервера ее следует отключить. Совет. Не выбирайте компонент Terminal Services Licensing (Лицензирование службы терминала): лицензии предназначены для использования Windows 2000 в качестве удаленного сервера приложений. Службы терминала нужны для удаленного управления, а для его осуществления на веб-сервере данный компонент не требуется. Windows Media Services (Службы Windows Media). Осуществляют потоковую передачу мультимедийного содержимого через сеть. Данные доставляются как в "прямом эфире", так и в записанном виде на один или несколько компьютеров одновременно. При использовании этого компонента имейте в виду, что в нем присутствуют слабые места, для устранения которых потребуется настройка безопасности Microsoft (см. лекции 10).


Аутентификация


Домены Windows (и Active Directory) облегчают работу пользователей при аутентификации. Аутентификация – это процесс подтверждения подлинности пользователя компьютера, осуществляемый посредством ввода имени пользователя и пароля. Централизованный контроль над учетными записями и паролями в домене Windows (в Active Directory) исключает необходимость входа пользователей на каждый сервер по отдельности.



Доверительные отношения


Безопасность Windows 2000/IIS основывается на правилах и параметрах, определяющих разрешенные и запрещенные действия в системе. Жизненно важной частью данной системы являются механизмы уникальной идентификации для отдельных пользователей, компьютеров и ресурсов. В Windows 2000 сетевые IP-адреса, имена пользователя, сертификаты (цифровые идентификаторы) и идентификационные данные Kerberos являются способами проведения идентификации. Между компьютерами и отдельными пользователями или другими компьютерами устанавливаются правила доверия, зависящие от степени доверия, имеющей место в процессе идентификации. В Windows 2000 при наивысшем уровне доверия на взаимодействующих компьютерах считается легальным любой вход в систему и обмен информацией.



Фильтры


Фильтры представляют собой параметры, дополняющие списки ACL. Они усиливают ограничения на доступ. Хотя фильтры не очень распространены, они являются важной частью политики безопасности, так как устанавливают правила, не поддерживаемые списками ACL. Например, фильтр IP используется для ограничения доступа всех посетителей, пытающихся получить доступ к сайту с определенного IP-адреса или домена DNS. Ограничения, налагаемые фильтрами, представляют собой нечто, являющееся обратным разрешениям. Фильтры повсеместно используются в брандмауэрах, о которых пойдет речь в лекции 6 и в лекции 9. Например, одним из распространенных правил фильтрации является блокировка брандмауэром всего трафика, поступающего на веб-сервер, за исключением трафика HTTP через порт 80.



Фильтры IP-адресов и доменов


На вкладке Directory Security (Безопасность папки) присутствуют еще две категории параметров безопасности. Область Secure Communications (Безопасные соединения) позволяет настраивать сертификаты, используемые в технологиях VPN и SSL (см. лекции 8). Ограничения IP-адресов и доменов устанавливают правила фильтрации, налагающие запрет на доступ к сайту с определенных IP-адресов или доменов DNS (см. лекции 6).



Главные свойства


Откройте вкладку Security Properties Master (Главные параметры безопасности) консоли MMC Internet Services Manager (Диспетчер служб интернета) окна Adinistration Tools (Администрирование). Затем в дереве консоли щелкните правой кнопкой мыши на сайте сервера (не на веб-сайте), который необходимо настроить, и в появившемся меню выберите Properties (Свойства) (см. рисунок).


увеличить изображение

Окно Master Properties (Главные свойства) содержит десять вкладок, предназначенных для изменения различных параметров сайта. Для нескольких сайтов придется настроить параметры каждого отдельно.



Интранет против интернета


По иронии судьбы некоторые правила безопасности веб-сервера нередко конфликтуют с преимуществами, обеспечиваемыми доменами Windows и технологией Active Directory. Например, если веб-сервер расположен в интернете, он не должен иметь доверительных отношений с другими системами. В таком случае, стоит ли делать веб-сервер частью домена Windows? Да, при наличии соответствующих мер защиты. По другую сторону от брандмауэра, т.е. в сети интранет, организация может расположить веб-сервер в домене, если при входе на веб-сервер будет затребована аутентификация. Домен исключает повторный ввод на сервере идентификационных данных пользователей, паролей и т.д. (это очень существенно для крупных сетей), уже имеющихся в базе данных контроллера домена.

Каждый раз при создании доверительных отношений между системами повышается степень их уязвимости до уровня ошибки системы безопасности лишь в одном из компьютеров, поэтому управление веб-сервером интернета безопаснее всего осуществлять в отдельных системах. Веб-серверы настраиваются на специальный тип аутентификации, называемый анонимным входом, при котором не указывается уникальный идентификатор учетной записи. Использование анонимного входа в систему является различием в конфигурациях веб-серверов интернета и интранета. В остальном параметры безопасности довольно похожи.

Совет. Для любого правила можно найти исключения. На некоторых веб-серверах интранет используется анонимный вход без указания идентификатора и пароля. С другой стороны, некоторые веб-серверы интернета требуют аутентификацию. В этом случае, если управляющая сервером организация использует серверы FTP, серверы новостей и другие, она может объединить их в изолированный домен управления. Сейчас мы не будем рассматривать эти исключения.



Изменение и применение шаблонов безопасности


Добавленные в консоли MMC оснастки Security Templates и Security Configuration and Analysis используются для изменения и применения параметров шаблона к серверу.

Для проверки и изменения настроек шаблона откройте его с помощью оснастки Security Templates. Выполните следующие процедуры.

Откройте консоль MMC, содержащую оснастку Security Templates (Шаблоны безопасности).Щелкните на оснастке для отображения вложенных элементов. Щелкните на папке Security Templates для отображения шаблонов, находящихся в папке. Дважды щелкните на шаблоне с именем hisecweb (или щелкните на нем правой кнопкой мыши и выберите Open), чтобы открыть его.


Сохраните шаблон под новым именем, чтобы можно было изменять его параметры. Щелкните правой кнопкой мыши на значке hisecweb и выберите Save As (Сохранить как). Укажите нужное имя и нажмите на кнопку Save (Сохранить). После этого в папке шаблонов появится файл новой политики безопасности.

Для просмотра и редактирования новой политики безопасности найдите соответствующий файл, щелкните на нем правой кнопкой мыши и выберите команду Open (Открыть), чтобы отобразить параметры политики в правой области окна MMC. Щелкните правой кнопкой мыши на любой политике, которую необходимо изменить, и выберите команду Change (Изменить). Таким способом изменяются любые параметры шаблонов.

Теперь можно работать с шаблоном. Перед запуском средства конфигурирования проведите сопоставление созданных настроек шаблонов и текущих параметров сервера для выяснения различий. Для этого используйте средство Security Configuration and Analysis (Анализ и настройка безопасности), которое запишет результирующие данные в файл журнала (в контексте оснастки используется термин "база данных"). Ниже приведены соответствующие инструкции.

В консоли MMC, содержащей оснастку Security Configuration and Analysis, щелкните правой кнопкой мыши на оснастке и выберите команду Open Database (Открыть базу данных), как показано на рисунке.


увеличить изображение

Откроется диалоговое окно Open Database, в котором укажите название базы данных для сохранения результатов сравнения.
Введите любое предпочитаемое имя. Если в окне присутствуют файлы баз данных, созданные в результате предыдущих сравнений, их можно проигнорировать. В данном случае подойдет имя "test" (файлу базы данных будет присвоено расширение .sdb). После этого нажмите на кнопку Open.Появится диалоговое окно Import Template (Импорт шаблона) (см. рисунок). В центральном окне отобразится список шаблонов. Выделите созданный шаблон и нажмите на кнопку Open, чтобы вернуться в консоль MMC. На первый взгляд никаких изменений не произойдет, однако, если новый шаблон теперь находится среди шаблонов Microsoft по умолчанию, то можно провести процедуру сравнения.



Откройте меню Action (Действие) в консоли MMC и выберите команду Analyze Computer Now (Анализировать компьютер). Запустится сравнение параметров шаблонов с текущими параметрами сервера, результат которого сохранится в созданной базе данных. Результирующие данные появятся в правом окне консоли. Все настройки сервера, отличные от настроек в шаблоне, отобразятся с символами "X" на своих значках (см. рисунок вверху следующей страницы) на примере политики Password Policy (Политика паролей). Совет. При выполнении анализа появится запрос на расположение файла журнала ошибок. Этот журнал поможет в отслеживании изменений настроек. Самостоятельно выберите его место расположения. Совет. При выполнении конфигурирования без всяких предупреждений изменяются параметры конфигурации, а также отключаются ненужные службы (см. лекции 3). Редактор данной книги сконфигурировал сетевой сервер, в результате чего отключился клиентский процесс DHCP, а это совершенно не требовалось. Поэтому внимательно просмотрите шаблон, если система не является изолированным компьютером с минимальной конфигурацией (согласно рекомендациям предыдущей лекции), а потом выполняйте настройку.



Выполните конфигурацию. Щелкните правой кнопкой мыши на оснастке Security Configuration and Analysis в левом окне консоли MMC и выберите команду Configure Computer Now (Настроить компьютер).Начнется процедура настройки, по окончании которой конфигурация будет завершена.

Если повторно запустить сравнение, приводимое в шаге 4, на значках параметров исчезнут красные кресты, так как задействуются все настройки шаблона.


Изменение имени учетной записи Administrator и создание устойчивого пароля


Поскольку Administrator является учетной записью по умолчанию, она часто используется при проведении атак, так как о ней известно большинству хакеров. Вы будете сильно удивлены, когда узнаете о том, насколько часто эти атаки заканчивались успехом в случае недостаточно стойких паролей. Одним из способов защиты является переименование учетной записи. Следует делать пароль администратора устойчивым (т.е. пароль должен представлять собой комбинацию букв, цифр и знаков препинания длиной не менее восьми символов) для противостояния атакам грубой силы и словарным атакам, направленным на взлом парольной защиты. Обе процедуры выполнить достаточно легко.

В консоли MMC Computer Management (Управление компьютером) найдите папку Local Users and Groups (Локальные пользователи и папки) в дереве ресурсов консоли и откройте ее, чтобы отобразить показанный на рисунке список.


увеличить изображение

Щелкните на пункте Users (Пользователи) для отображения списка учетных записей пользователей сервера в правом окне.Щелкните правой кнопкой мыши на учетной записи Administrator и выберите команду Rename (Переименовать). Присвойте учетной записи предпочитаемое имя.Если применен шаблон Hisec.web, то сервер предъявит повышенные требования к стойкости парольной защиты. Даже при отсутствии принудительной политики в учетной записи Administrator следует использовать пароль с высокой степенью устойчивости. Щелкните правой кнопкой мыши на переименованной учетной записи Administrator и выберите команду Set Password (Установить пароль), чтобы изменить текущий пароль на более устойчивый. Нажмите на OK для сохранения изменений.



Изменение настроек по умолчанию для учетных записей пользователей


Учетные записи по умолчанию, устанавливаемые при инсталляции Windows 2000 и IIS, следует проверить на соответствие политике безопасности и адаптировать при необходимости. Ниже приведены соответствующие рекомендации.



Консоль Microsoft Management Console


Инструменты пакета MMC находятся в папке Administrative Tools (Администрирование) в меню Start (Пуск). На отдельном сервере все локальные учетные записи пользователей, группы, пароли и другие настройки управляются посредством MMC и хранятся локально в файле диспетчера безопасности учетных записей (SAM).

Некоторые средства управления безопасностью в Active Directory MMC несколько отличаются от аналогичных инструментов отдельного сервера. Например, для управления пользователями и группами на отдельном сервере используются папки Local Users (Локальные пользователи) и Groups (Группы) в компоненте MMC Computer Management (Управление компьютером). В среде домена/Active Directory используется компонент Active Drectory Users and Computers (Пользователи и компьютеры Active Directory). Active Directory хранит информацию о домене в отдельном файле, который называется NTDS.DIT и имеется на других контроллерах доменов.

Те читатели, чьи веб-сайты соединены только с интернетом, при выполнении рекомендаций (см. лекции 3) не должны были включать свои веб-серверы в домен и, следовательно, использовали локальные средства управления MMC для Windows 2000 и IIS. Обратите внимание, что большая часть параметров локальной безопасности веб-сайта, находящегося в домене, настраивается с помощью локальных инструментов управления MMC. Исключением является управление пользователями и группами интранет-сети, осуществляемое инструментами MMC Active Tools. Причиной заключается в том, что пользователи и группы могут быть общими для всех серверов сети интранет. Однако в этой лекции мы не будем рассказывать о средствах Active Directory. В дальнейшем речь пойдет только об управлении локальной политикой безопасности сервера. Таблица 4.2 содержит перечень средств MMC, предназначенных для управления локальной безопасностью Windows 2000/IIS.

Таблица 4.2. Инструменты управления локальной безопасностью для IIS

СредствоФункция
Computer Management (Управление компьютером)Управляет локальными или удаленными компьютерами. Содержит функции по управлению атрибутами сервера, такими как системные события, свойства хранилищ, пользователи и группы, параметры устройств и службы.
Internet Services Manager (Диспетчер служб интернета)Управляет параметрами безопасности веб-сервера IIS, включая разрешения домашних каталогов, методы аутентификации, анонимный доступ и права оператора.
Local Security Policy (Локальная политика безопасности)Управляет локальной политикой безопасности на сервере по отношению к таким параметрам, как свойства IPSec, свойства паролей, свойства группы и свойства блокировки.
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности)Осуществляет анализ и конфигурирование прав пользователя локального компьютера, ограниченных групп, реестра, файловой системы и системных служб с использованием шаблона политики безопасности.
Оснастка Security Templates (Шаблоны безопасности)Определяет политику безопасности, применяемую к группе или компьютеру.



Наследование


После установки прав и разрешений для папки новые файлы и подпапки, созданные в ней, по умолчанию наследуют параметры ACL. Другими словами, новым файлам и папкам (именуемым дочерними объектами) присваиваются те же права и разрешения учетных записей и групп, что и для папки, в которой они созданы (эта папка называется родительской). Данное условие можно изменить при необходимости обхода параметров наследования. В процессе изучения материала вы узнаете, как это делается.



Настройка атрибутов и параметров сайта IIS


Поздравляем! Работа почти закончена! Самое сложное уже позади. Вы повысили степень защищенности учетной записи Administrator, усилили контроль доступа на жестких дисках сервера, осуществили распределение полномочий администрирования на веб-менеджеров, обеспечили защиту учетной записи Internet Guest. Теперь нужно настроить дополнительные параметры в свойствах безопасности IIS перед развертыванием веб-сайта.



Настройка групп и параметров администратора по умолчанию


Первое, что необходимо сделать для управления списками ACL на веб-сервере, – заблокировать возможность управления ресурсами хранилищ данных. Иными словами, следует определить, кто имеет право на доступ к хранилищу.

В Windows 2000 устанавливается набор учетных записей администраторов, групп и пользователей по умолчанию. При установке IIS эти параметры не изменяются. В таблице 4.3 приведены учетные записи и группы по умолчанию при установке на изолированный компьютер.

Спектр прав и разрешений администраторов очень широк (см. табл. 4.4). Администратор имеет полный набор прав по управлению системой и осуществляет всесторонний контроль над ней.

Таблица 4.3. Учетные записи и группы Windows 2000 по умолчанию

Группы по умолчанию, отображаемые в ACL Группы по умолчанию, не отображаемые в ACL Учетные записи по умолчанию, отображаемые в ACL

Administrators (Администраторы)

Backup Operators (Операторы резервного копирования)

Guests (Гости)

Power Users (Опытные пользователи)

Replicator (Репликатор)

Users (Пользователи)

Everyone (Все пользователи)

Web Anonymous Users (Анонимные пользователи интернета)

Web Applications (При-ложения интернета)

SYSTEM (Система)

CREATOR OWNER (Владелец-создатель)

AUTHENTICATED USERS (Авторизованные пользователи)

ANONYMOUS LOG-IN (Анонимный вход)

BATCH (Пакетный файл)

Service (Служба)

CREATOR GROUP (Группа создателя)

DIALUP (Удаленный доступ)

INTERACTIVE NETWORK

TERMINAL SERVICE USERS (Пользователи службы терминала)

Administrator (Администратор).

Guest (Гость).

IUSR_computername (IUSR_имя_компьютера).

IWAM_computername (IWAM_имя_компьютера).

TsInternetUser.

Таблица 4.4. Полный набор прав и разрешений Windows 2000

Право или разрешениеОписание
Traverse Folder/Execute File (Проход по каталогам/запуск файла)Traverse Folder позволяет открывать каталог для доступа к другим файлам и каталогам, независимо от разрешений, имеющихся у пользователя относительно данной папки (только для каталогов). Используется только в том случае, если у пользователя нет права Bypass Traverse Checking (Обход проверки прохода). Execute File позволяет запускать файлы программ (только для файлов).
List Folder/Read Data (Просмотр каталога/чтение данных)List Folder позволяет просматривать имена файлов и подкаталога (только для каталогов). Read Data позволяет осуществлять считывание файлов (только для файлов).
Read Attributes (Считывание атрибутов)Позволяет просматривать NTFS-атрибуты файла.
Read Extended Attributes (Считывание расширенных атрибутов) Позволяет просматривать расширенные атрибуты файла, определяемые разными программами.
Create Files/Write Data (Создание файлов/запись данных)Create Files позволяет создавать файлы в каталоге (только для каталогов). Write Data позволяет изменять и/или перезаписывать файлы (только для файлов).
Create Folders/Append data (Создание каталогов/присоединение данных)Create Folders позволяет создавать папки внутри папки (только для каталогов). Append data позволяет вносить изменения в конец файла (только для файлов).
Write Attributes (Запись атрибутов)Позволяет изменять атрибуты NTFS файлов (например, "только чтение" или "скрытый").
Write Extended Attributes (Запись расширенных атрибутов) Позволяет изменять расширенные атрибуты файла, специфичные для определенной программы.
Delete Subfolders and Files (Удаление подкаталогов и файлов)Позволяет удалять подкаталоги и файлы независимо от присвоения подкаталогу или файлу разрешения Delete (Удаление).
Delete (Удаление)Позволяет удалять файл или каталог.
Read Permissions (Чтение разрешений)Позволяет просматривать разрешения, установленные для каталога или файла.
Change Permissions (Изменение разрешений)Позволяет изменять разрешения для файла или каталога.
Take Ownership (Присвоение права собственности)Позволяет присваивать право собственности для файла или каталога.
<
Как правило, во всех учетных записях отсутствует возможность полного управления списками ACL веб-сервера, если только пользователь не наделяется полномочиями администратора. Даже в этом случае его полномочия ограничиваются некоторым неполным набором администраторских привилегий и ресурсов. Например, веб-менеджер наделяется следующими разрешениями в корневом каталоге диска с содержимым веб-сервера (но только для этого каталога и только на этом диске).

Modify (Изменение). Внесение изменений в каталог.Read & Execute (Чтение и выполнение). Запуск исполняемых программ.List Folder Contents (Просмотр содержимого каталога). Просмотр перечня файлов в каталогах.Read (Чтение). Просмотр файлов данных в каталоге.Write (Запись). Сохранение новых файлов в каталоге.

Этот набор разрешений включает практически все функции всестороннего контроля над системой, за исключением некоторых. В таблице 4.5, взятой из документации Microsoft по IIS, отражены отличия прав и разрешений веб-менеджера от полномочий, позволяющих полностью управлять системой.

Учетные записи других пользователей веб-сервера (не являющихся менеджерами или администраторами), как правило, являются довольно ограниченными и обычно соответствуют лишь разрешениям на чтение (как при анонимном доступе).

Таблица 4.5. Подкатегории разрешений в сравнении с полным контролемРазрешения полного контроляИзменениеЧтение и выполнениеПросмотр содержимого папкиЧтениеЗапись
Проход по папкам/Выполнение файлаvvv
Просмотр папки/Чтение данныхvvvv
Чтение атрибутовvvvv
Чтение расширенных атрибутовvvvv
Создание файлов/Запись данныхvv
Создание папок/Присоединение данныхvv
Запись атрибутовvv
Запись расширенных атрибутовvv
Удаление подпапок и файлов
Удалениеvv
Чтение разрешенийvvvv
Изменение разрешений
Присвоение прав владения

inf видно, что параметры контроля


При просмотре настроек в шаблоне безопасности Hisecweb. inf видно, что параметры контроля доступа по большей части не определены. Необходимо самостоятельно настроить эти параметры. В списке ACL каждой группе или учетной записи пользователя можно присвоить любую комбинацию прав и разрешений. Это свойство делает систему защиты Windows 2000 очень гибкой и мощной, однако в случае неправильной настройки прав и разрешений возможно появление слабого места


Настройка параметров анонимного доступа на веб-сайте IIS


Настройки для учетной записи Internet Guest подготовили ее для среды интернета. Теперь укажите в IIS необходимость анонимного доступа. Это можно было сделать при укреплении сервера, однако рекомендуется еще раз проверить соответствующие настройки. Кроме того, если учетная запись переименована, следует указать новое имя.

Для включения анонимного доступа откройте вкладку Directory Security (Безопасность папки) (см. рисунок), позволяющую настраивать анонимный доступ, контроль аутентификации, ограничения по IP-адресу и имени домена. В этой вкладке имеется затемненная область Secure Communications (Безопасные соединения). Она используется для настройки шифруемого соединения между сервером и веб-клиентами, осуществляемого с помощью VPN или SSL. На изолированном сервере шифрование настраивается для каждого сайта в отдельности, а не через окно Master Properties (Главные свойства). Процесс шифрования рассмотрен в лекции 8.




Настройка политики безопасности с помощью шаблонов


Шаблоны безопасности представляют собой централизованный метод установки параметров безопасности при работе с оснастками MMC Security Configuration and Analysis (Анализ и настройка безопасности) и Security Template (Шаблон безопасности). На сайте Microsoft Technet находится шаблон безопасности Microsoft. Он содержит основные параметры безопасности для IIS, которые, по мнению Microsoft, должны применяться к защищаемым веб-сайтам. Шаблоном является файл с именем Hisecweb.inf, который можно загрузить с веб-сайта Microsoft по адресу http://support.microsoft.com/support/misc/kblookup.asp?id =Q316347.

Шаблон безопасности представляет хорошую основу для реализации защиты сервера. При запуске программы IIS Lock (см. лекции 3) этот компонент применял к серверу настройки файла Hisecweb.inf.

С помощью шаблонов эффективно разрабатывается локальная политика безопасности. Шаблон Hisecweb.inf можно использовать в качестве базы, затем внести в него изменения, после чего сохранить под другим именем для создания собственной политики. Так можно просматривать, настраивать и применять к локальному компьютеру широкий спектр настроек безопасности. Этот метод используется для определения изменений, которые вносятся в настройки политики безопасности Microsoft IIS по умолчанию.

Политики безопасности в шаблоне Hisecweb.inf содержат настройки следующих параметров.

Account Policies (Политики учетных записей). Защита паролей, блокировки учетных записей и аутентификации Kerberos.Local Policies (Локальные политики). Ведение журналов событий, связанных с безопасностью, а также учет присвоения прав пользователям и группам.Restricted Groups (Ограниченные группы). Администрирование членов локальной группы.Registry (Реестр). Безопасность параметров локального реестра.System Services (Системные службы). Режим запуска и безопасность локальных служб.Security Options (Параметры безопасности). Правила для других настроек безопасности.

Для получения полного представления о количестве рассматриваемых параметров нужно ознакомиться со всеми лекциями книги. На данном этапе работы необходимо настроить оснастки, так как они понадобятся в последующих лекциях. А сейчас мы создадим шаблоны, работу с которыми продолжим позже.



в Windows 2000. Следует внимательно


Группа Guest (Гость) по умолчанию устанавливается и в Windows 2000. Следует внимательно следить за настройками гостевых учетных записей. Учетная запись Windows 2000 Guest всегда входит в группу Guest, как и некоторые другие учетные записи по умолчанию.

Как и учетная запись Guest, группа Guest часто подвергается атакам хакеров, знающих о ее существовании. Атаки хакеров обычно основаны на возможности проникновения в систему, так как права и разрешения группы Guest по умолчанию настроены некорректно с точки зрения безопасности и позволяют использовать одну из учетных записей для получения доступа.

Высокоэффективная защита против атак через учетную запись Guest заключается в ее удалении из группы Guest. Но не удаляйте ее сразу. Учетная запись Internet Guest (IUSR_%имя компьютера%) необходима для реализации анонимного входа. Вместо удаления ее следует переименовать и переместить. Перед тем как предпринимать дальнейшие действия, прочтите два следующих раздела.


Обеспечение безопасности учетной записи Internet Guest для анонимного входа в систему


На большей части сайтов в интернете, используемых для маркетинга и распространения информации, не нужна аутентификация пользователей, так как все посетители считаются легальными. Вместо аутентификации используется анонимный вход, о котором вкратце говорилось в лекции 3. Анонимный вход представляет собой автоматическую аутентификацию пользователей при помощи общей учетной записи с именем IUSR. (В списке ACL сервера она значится как IUSR_%имя компьютера%.) Эту учетную запись называют гостевой записью интернета.

Важно. При использовании анонимного входа (например, если веб-сайт находится во внутренней сети, и нужна аутентификация всех пользователей без исключения) убедитесь, что учетная запись AnonymousGuest (Анонимный гость) не выбрана на вкладке IIS Directory Service (Служба каталогов IIS), и отключите ее.

Учетная запись Internet Guest (Гостевая учетная запись интернета) имеет ограниченные разрешения, которыми можно смело наделять всех посетителей сайта. Для обеспечения максимальной безопасности учетные записи должны содержать только разрешение Read (Чтение) в некоторых каталогах веб-сайта.

Рекомендуется создать новую учетную запись Internet Guest. Во-первых, уменьшается опасность использования учетной записи по умолчанию при попытке атаки. Во-вторых, на данном этапе при перезагрузке Windows 2000/IIS сбрасываются некоторые настройки, о которых вы узнаете далее. В случае изменения учетной записи Internet Guest внесенные изменения сбрасываться не будут.

Для создания новой учетной записи Internet Guest выполните следующее.

Создайте новую группу, которой будет принадлежать учетная запись. Откройте консоль MMC Computer Management (Управление компьютером).Найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов и откройте ее, чтобы развернуть вложенный список. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите New Group (Создать группу).В диалоговом окне New Group присвойте группе название. Укажите любое желаемое имя. Имя "Siteguests" будет достаточно информативным.
Нажмите на кнопку Create (Создать) для сохранения новых настроек группы. Переименуйте учетную запись IUSR. Вернитесь в консоль MMC Computer Management, щелкните на папке Users (Пользователи) и найдите учетную запись IUSR в правом окне консоли. Щелкните на ней правой кнопкой мыши и выберите команду Rename (Переименовать). Присвойте учетной записи имя, например, SiteIUSR_%имя сервера%.Настройте параметры учетной записи и включите ее в только что созданную группы Guest. Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties.Убедитесь, что на вкладке General (Общие) диалогового окна Properties отмечены следующие опции: User Cannot Change Password (Пользователь не может сменить пароль) и Password Never Expires (Срок действия пароля не ограничен) (см. рисунок).



Откройте вкладку Member Of (Член группы) и удалите учетную запись из группы Guests. Затем добавьте ее в новую группу "Siteguests". Не допускайте, чтобы эта учетная запись являлась членом какой-либо другой группы. Совет. При необходимости можно удалить группу Web Anonymous (Анонимные пользователи интернета). Специалисты в области информационной безопасности, как правило, оставляют ее в качестве обманного маневра (убедитесь, что отключены все разрешения для данной группы).Нажмите на OK, чтобы сохранить изменения и закрыть диалоговое окно.


Windows 2000 всегда устанавливает учетную


Windows 2000 всегда устанавливает учетную запись Guest (Гость) по умолчанию. При правильной установке IIS учетная запись Guest должна быть отключена. Убедитесь, что это так, если вы обновили систему с Windows NT или преобразовали имевшийся сервер Windows 2000 в веб-сервер.

Для проверки состояния учетной записи Guest выполните следующие шаги.

В консоли Computer Management (Управление компьютером) найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов. Откройте ее, затем откройте папку Users (Пользователи) для отображения имен всех учетных записей пользователей в правом окне.Если гостевая учетная запись отключена, то на ее значке будет изображен красный крестик.Если учетная запись Guest не отключена, щелкните на ней правой кнопкой мыши и выберите пункт Properties (Свойства). Откроется диалоговое окно, показанное ниже. Отметьте опцию Account Is Disabled (Учетная запись отключена), после чего нажмите на OK для сохранения изменений и закрытия окна.






Отключение прав на администрирование хранилища для группы Everyone


Один из параметров безопасности по умолчанию в Windows 2000 и IIS создает уязвимое место в настройках устройств хранения данных, так как группе Everyone (Все пользователи) при установке присваиваются права полного контроля по умолчанию. Следует отключить для этой группы права полного контроля и управления устройствами сервера.

Группа Everyone состоит из множества пользователей, включая анонимных, поэтому данный параметр предоставляет полномочия слишком большому кругу пользователей. Такими правами на доступ к серверу обладают только администраторы или пользователи, ответственные за работу сервера.

Если вы создали отдельный раздел для веб-содержимого, то придется выполнить процедуру отключения прав для группы Everyone на нескольких дисках. Ниже приведены соответствующие инструкции.

Откройте Windows Explorer (Start\Accessories\Windows Explorer –Пуск\Программы\Проводник Windows) или дважды щелкните на значке My Computer (Мой компьютер) на рабочем столе и найдите устройства, с которыми будете работать. Совет. Для установки разрешений на доступ и управление в корневом каталоге устройства используется консоль MMC Computer Management (Управление компьютером). Однако функции консоли не настолько гибки для выполнения этой задачи, как возможности Проводника Windows.Щелкните правой кнопкой мыши на нужном устройстве и выберите Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность).


Удалите группу Everyone (Все пользователи), выделив ее и нажав на кнопку Remove (Удалить). Если параметры накопителей сервера изменились в процессе работы после создания групп и учетных записей в списках ACL, то их также следует удалить. После этого нажмите на кнопку Apply (Применить) для сохранения изменений в системе.Повторите шаги 1 – 3 по отношению к остальным устройствам.



Параметры безопасности IIS


Настройка дополнительных параметров сайта (или сайтов) IIS осуществляется через консоль MMC Internet Services Manager (Диспетчер служб интернета). Эта процедура выполняется последовательно для каждого сайта или одновременно для всех сайтов сервера через настройки Master Properties (Главные свойства). Если параметры каждого сайта настраиваются по очереди, следует повторить каждую процедуру для всех имеющихся сайтов.



Перечень действий по настройке параметров сайта IIS


Настройте сайт на разрешение анонимного доступа или встроенной аутентификации Windows.Установите разрешения контроля доступа IIS на Read Only (Только чтение) для папок с содержимым и на Read and Execute (Чтение и выполнение) для сценариев.Отключите возможность просмотра каталогов броузером.Используйте виртуальные каталоги для обеспечения дополнительной защиты сайта.



Передача прав на администрирование


Можно наделить пользователя полномочиями для выполнения операций с веб-сайтом, такими как управление содержимым или поддержка FTP-каталогов. Например, поручить ежедневную поддержку сайта веб-менеджеру, для чего создать учетную запись с правами более широкими, нежели права обычного пользователя, но все же более ограниченными, чем полномочия системного администратора. Разрешения веб-менеджера в папке содержимого веб-сервера должны позволять ему чтение, изменение и запись файлов. В IIS имеется роль по умолчанию с именем Operator, позволящая устанавливать разрешения на доступ, вести журнал, настраивать безопасность каталога и изменять документ по умолчанию.

Для пользователей, выполняющих администрирование содержимого, рекомендуется создать специальную группу с учетными записями этих пользователей. С точки зрения безопасности не нужно наделять их полными правами администратора, так как столь широкие полномочия не требуются для управления содержимым сайта.

Польза от разделения процесса администрирования сайта становится видна, когда один и тот же сервер используется для управления несколькими веб-сайтами. Это позволяет организациям распределять работу по управлению сайтами, не предоставляя ни одной группе пользователей полного контроля над всеми сайтами сервера и не наделяя их без особой надобности всесторонними полномочиями.



Права на доступ к каталогу для записи Internet Guest


После переименования Internet Guest (Гостевой учетной записи интернета) и включения ее в новую группу убедитесь, что у нее есть доступ к домашнему каталогу веб-сайта, и дважды проверьте ее разрешения насоответствие гостевой учетной записи интернета. Необходимо, чтобы все было максимально корректно. Если у записи Internet Guest нет прав доступа, веб-браузеры (и, соответственно, пользователи) не смогут открывать страницы для просмотра. Если ей присвоено слишком много разрешений, то считайте, что создано потенциально уязвимое место.

Основным разрешением для Internet Guest на сайте со статическими веб-страницами является разрешение на чтение корневого каталога, в котором они расположены. При использовании на сайте динамических страниц и сценариев включите разрешение Read & Execute (Чтение и выполнение) в каталоге сценариев. Ни в коем случае нельзя включать разрешение Write (Запись) в каком бы то ни было месте системы!

С точки зрения безопасности учетных записей Internet Guest рекомендуется вернуться в корневой каталог раздела, содержащего веб-сайт, запретить все разрешения, после чего по отдельности включить нужные разрешения. Ниже приведены инструкции для запрета всех разрешений.

С помощью Проводника Windows или окна My Computer (Мой компьютер) найдите нужные дисковые устройства.Щелкните правой кнопкой мыши на нужном диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).Откройте вкладку Security (Безопасность), чтобы отобразить учетные записи в ACL (см. рисунок). Нажмите на кнопку Add (Добавить) и добавьте переименованную учетную запись Internet Guest, которую вы только что создали.


Отметьте поля Deny (Запретить) для всех разрешений доступа. По завершении работы появится диалоговое окно подтверждения, в котором следует нажать на кнопку Yes (Да) для продолжения работы.Повторите эти шаги для всех разделов накопителей веб-сервера.

Для присвоения учетной записи Internet Guest разрешений на отдельные каталоги сайта выполните следующие шаги.


Перейдите к корневому каталогу веб-сайта, содержащему статические веб-страницы, щелкните на нем правой кнопкой мыши, после чего выберите команду Properties (Свойства).В окне Properties откройте вкладку Security (Безопасность).В списке ACL должны находиться только следующие группы и учетные записи: Administrators (Администраторы), SYSTEM (Система) и созданная группа распределенного администрирования (это зависит от того, какие права имеются на сервере после изменений конфигурации прав). Нажмите на кнопку Add (Добавить), чтобы включить переименованную учетную запись Internet Guest в список ACL, если ее там еще нет.В появившемся списке учетных записей (см. рисунок) выберите переименованную учетную запись. Нажмите на OK, чтобы сохранить изменения и закрыть список.



Вернитесь в окно Properties каталога, в списке ACL которого теперь присутствует учетная запись Internet Guest. Выделите ее и отметьте опцию Read (Чтение) для включения соответствующего разрешения. Отключите все остальные опции без исключения. Нажмите на кнопку Apply (Применить), чтобы сохранить изменения.

При использовании на сайте динамических страниц и сценариев повторите эти процедуры для каталога сценариев и установите разрешения Read & Execute (Чтение и выполнение). При этом автоматически отметятся опции Read (Чтение) и List Folder Contents (Просмотр содержимого каталога), но все остальные опции следует отключить.


Применение политики безопасности


Привилегии и ограничения, присваиваемые пользователям для работы с ресурсами системы, позволяют применять политику безопасности к управлению и распределению информации. Многие организации не уделяют достаточного внимания этой политике. Согласно требованиям современного информационного мира сначала необходимо ознакомиться с ключевыми параметрами безопасности ресурсов сервера (см. табл. 4.1).

Таблица 4.1. Параметры политики безопасности веб-сервера

ПараметрОписание
Правила безопасности IPУстановка фильтров IP-трафика. Определение причин и способов шифрования пакетов.
Присвоение/создание переданных (распределенных) полномочий администрирования Назначение администратора, ответственного за содержимое и безопасность сервера. Установка псевдо-административных ролей, таких как операторы резервирования данных.
Присвоение/создание учетных записей пользователейУстановка анонимной и аутентифицируемой учетных записей.
Правила безопасности учетных записейУказание групп, к которым принадлежат учетные записи. Использование блокировки при вводе неправильного пароля. Указание числа попыток ввода пароля перед блокировкой, а также длительность блокировки. Указание срока действия пользовательского билета Kerberos.
Правила безопасности группУказывают группы, членов групп, а также правила, примененные к группам.
Определение правил безопасности паролейУстановка минимальной длины паролей, разрешения/запрещения использования "пустых" паролей. Установка отказа на повторное использование паролей. Установка требований для численно-буквенных паролей. Установка правила периодической смены паролей пользователей (если такая возможность имеется).
Правила конфиденциальности данныхУстановка разрешений на каталоги и файлы.

Список этот довольно краткий, но все же дает необходимое представление о проблеме. Понятен ли каждый пункт таблицы? Вам предстоит обрабатывать эти параметры, так как они непосредственно связаны с управлением данными.

Перед началом работы необходимо ознакомится с концепциями безопасности Windows 2000 и соответствующей терминологией.



Принципы безопасности Windows 2000 и IIS


Сервер IIS является встроенным компонентом Windows 2000, и безопасность IIS полностью зависит от безопасности этой операционной системы. Управление безопасностью Windows 2000 основано на следующих принципах.

Доверительные отношения.Рабочие группы и домены (а также Active Directory).Аутентификация учетных записей и групп.Контроль доступа (права, разрешения и ограничения).Наследование.

Все аспекты безопасности Windows 2000 базируются на этих принципах. Они обеспечивают безопасность системы посредством запрета, ограничения и разрешения доступа к данным и ресурсам на веб-сайте IIS.



Присвоение прав и разрешений группе распределенного администрирования


Минимальный набор прав для менеджера сайта – это разрешения на доступ к каталогу для изменения папок с информацией веб-сайта. Вероятно, нужно наделить некоторыми полномочиями и пользователей, работающих под контролем менеджера. Если членам группы распределенного администрирования нужны полные права операторов IIS по умолчанию, используйте MMC Interent Services Manager (Диспетчер служб интернета) для добавления группы в список ACL Operators (Операторы). Для более ограниченного набора прав настройте их непосредственно в списках ACL Windows 2000.

Выполните следующие процедуры для присвоения прав и разрешений в локальном списке ACL сервера.

С помощью Проводника Windows найдите корневой каталог содержимого веб-сайта в окне My Computer (Мой компьютер).Щелкните на нем правой кнопкой мыши, выберите Properties (Свойства), чтобы открыть диалоговое окно, откройте вкладку Security (Безопасность), после чего появится окно настроек Properties (см. рисунок).


На вкладке Security (Безопасность) отображены группы Admini-strators и System, которым ранее были присвоены полные разрешения на доступ ко всему жесткому диску. Теперь, находясь в корневом каталоге папок содержимого, добавьте новую группу с правами на доступ к ним.Нажмите на кнопку Add (Добавить), чтобы открыть диалоговое окно Select Users, Computers, or Groups (Выбор пользователей, компьютеров или групп) (см. рисунок). Прокрутите вниз список групп, чтобы отобразить новую группу администрирования, созданную для управления содержимым сайта. Выберите эту группу и нажмите на кнопку Add (Добавить).


Нажмите на OK, чтобы сохранить изменения и закрыть окно. Вы вернетесь в диалоговое окно Properties для корневого каталога веб-сайта.В окне Properties корневого каталога в списке ACL появилась новая группа администрирования. При ее выделении отобразятся свойства, приписанные этой группе по умолчанию (убедитесь, что выделена нужная группа). Этих разрешений, по умолчанию установленных в IIS, недостаточно для управления содержимым сайта, поэтому расширьте их.Для добавления возможности изменения и записи данных отметьте опции разрешений Modify (Изменение) и Write (Запись).
Нажмите на кнопку Apply (Применить) для сохранения изменений.Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.



В левом нижнем углу находятся две опции, относящиеся ко всем учетным записям в данном каталоге. Выполните следующие действия, если они соответствуют политике безопасности организации. Отметьте опцию Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов), чтобы учетные записи, содержащие права на родительские каталоги данной учетной записи, передавали по наследству свои права этой учетной записи.Отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений).


Нажмите на кнопку Apply (Применить) для сохранения изменений.Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.



В левом нижнем углу находятся две опции, относящиеся ко всем учетным записям в данном каталоге. Выполните следующие действия, если они соответствуют политике безопасности организации. Отметьте опцию Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов), чтобы учетные записи, содержащие права на родительские каталоги данной учетной записи, передавали по наследству свои права этой учетной записи.Отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений).

Присвоение прав полного доступа группам Administrators и System


После исключения ненужных групп из списков ACL накопителей можно добавить нужные группы и учетные записи и установить для них права и разрешения. Группы по умолчанию Administrators (Администраторы) и System (Система) добавляются в обязательном порядке. Группа System представляет операционную систему, которой, естественно, требуется доступ ко всем ресурсам компьютера. Члены группы Administrators осуществляют управление сервером. Можно добавить и другие группы, если стратегия управления и политика безопасности организации предусматривает использование вспомогательных ролей с некоторыми наборами администраторских полномочий.

Для добавления нужных групп выполните следующие шаги.

Откройте окно Start\Administration Tools\Computer Management (Пуск\Администрирование\Управление компьютером) и найдите диски компьютера в дереве ресурсов консоли или перейдите к соответствующему устройству с помощью Проводника Windows.Щелкните правой кнопкой на нужном диске и в появившемся меню выберите Properties для открытия окна Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность) и нажмите на кнопку Add (Добавить) для добавления новых групп в ACL.Выделите группы Administrators и System и нажмите на кнопку Add для внесения изменения. Нажмите на OK для сохранения изменений и возврата в окно Local Disk Properties.


После добавления групп и учетных записей установите права и разрешения. Группам Administrators и System следует присвоить права полного доступа к устройству и настроить устройство на наследование разрешений при создании новых директорий на диске.

Ниже приведены инструкции по установке разрешений для каждой группы или учетной записи, добавленной в список ACL.

На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) выделите группу Administrators в верхнем окне, чтобы отобразить права и разрешения групп в нижнем окне, как показано на рисунке.


Отметьте опцию Full Control Allow (Разрешить полный доступ) для включения всех разрешений для группы, затем нажмите на Apply (Применить) для сохранения изменений.
Для новой учетной записи нужно включить наследование для рассматриваемого объекта.Нажмите на кнопку Advanced (Дополнительно), расположенную внизу диалогового окна, чтобы отобразить окно Access Control Settings for Local Disk (Параметры контроля доступа для локального диска) (см. рисунок).



На вкладке Permissions (Разрешения) отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений). Нажмите на OK, чтобы сервер обновил реестр Windows 2000, записав в него новые настройки. В запросе на подтверждение нажмите на кнопку Yes (Да) для продолжения работы. Совет. При выполнении процедуры может появиться сообщение об ошибке, информирующее о том, что разрешения в файле Pagefile.sys не могут быть обновлены, так как файл занят. Этот файл используется процессом виртуальной памяти компьютера, и сообщение об этой ошибке всегда отображается при включенной виртуальной памяти. Проигнорируйте эту ошибку.Повторите шаги 1 – 4 для каждого носителя информации. Совет. Перед нажатием на кнопку OK для переустановки разрешений для всех объектов убедитесь, что все остальные приложения и файлы закрыты, иначе при обновлении реестра появятся сообщения об ошибках.


ПРОБЛЕМА


Виртуальные каталоги помогают защитить сайт, но они все же не защищают от атак с декодированием URL. С помощью нескольких известных эксплоитов были успешно реализованы атаки на сайты IIS с виртуальными каталогами, и злоумышленники получили доступ к структуре каталогов веб-сайта. Единственной защитой от атак с применением декодирования является обновление сервера сервис-пакетами и надстройками безопасности.

Не следует переоценивать безопасность каталогов. Применяйте к ним все способы защиты, обсуждаемые в книге, не полагайтесь на какое-то одно средство. Помните о том, что папки веб-сервера связаны с другими серверами с помощью виртуальных каталогов и создают для этих серверов потенциальные угрозы. При нарушении безопасности сервера пользователь перейдет в корневой каталог без ограничений на доступ и откроет в нем любую папку. Он сможет загрузить или удалить (изменить) любой файл или папку, псевдонимы которых находятся на веб-сайте.

Предотвратить эту опасность можно с помощью полного запрета на использование виртуальных каталогов, связанных с другими серверами. При установке связи веб-сервера с другими системами используйте методы, описанные в третьей части.



Рабочие группы и домены


Рабочие группы и домены представляют собой наборы отдельных пользователей и ресурсов сети. Ресурсы состоят из устройств хранения данных, принтеров, файлов данных и прочих компонентов, связанных с серверами.

Рабочая группа отличается от домена тем, что в домене серверы при взаимодействии пользуются доверием и используют общую базу данных управления, а в рабочей группе каждый сервер обрабатывает свою собственную базу данных. Когда организации нужен более чем один сервер, несмотря на то, что сеть настроена на управление с помощью рабочих групп, целесообразно использовать домен. Доверительные отношения между серверами домена облегчают работу как для пользователей, так и для администраторов. Пользователи, входящие в домен, осуществляют вход на все серверы одновременно, и им не нужно входить в систему каждого сервера по отдельности. Администраторам выгодно использовать такое решение, поскольку общая база данных доменов позволяет избежать создания и управления ненужными записями пользователей на каждом сервере.

На рисунке 4.1 изображена группа серверов в домене. Обратите внимание, что домен содержит систему, называемую контроллером домена, "владеющую" базой данных пользователей, которая является общей для всех остальных серверов.


увеличить изображение
Рис. 4.1.  В домене Windows 2000 Server контроллер "владеет" базой данных пользователей

Организации, в которых используются домены, часто используют службу Windows 2000 под названием Active Directory. Active Directory представляет собой базу данных, которая управляет пользователями и всеми сетевыми ресурсами в логической модели. Например, пользователь видит принтеры, расположенные к сети, независимо от того, к какому именно серверу они непосредственно подключены.

В интранет-сетях многих крупных организаций технология Active Directory пользуется большой популярностью, так как централизованное управление облегчает контроль над серверами, ресурсами, учетными записями, группами и другими объектами без повторения одних и тех же процедур в консолях каждого сервера. Active Directory позволяет физически конфигурировать сетевые ресурсы без изменения их представления в графическом пользовательском интерфейсе.



Работа с виртуальными каталогами


IIS позволяет использовать псевдонимы для реальных путей каталогов с веб-содержимым. Эти псевдонимы называются виртуальными каталогами. Виртуальные каталоги IIS скрывают от веб-браузеров расположение информации посредством отображения в адресах URL псевдонимов вместо реальных каталогов. Браузер воспринимает виртуальные каталоги как подкаталоги в корневом каталоге /wwwroot.

Виртуальные каталоги повышают уровень безопасности, скрывая реальные физические параметры сервера. При создании виртуального каталога для домашнего каталога сайта (для другого каталога) выполните следующее.

В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на сайте, для которого создается виртуальный каталог, затем выберите команду New\Virtual Directory(Создать\Виртуальный каталог).Мастер поможет создать каталог. В первом окне мастера введите нужное имя псевдонима и нажмите на кнопку Next (Далее).В следующем окне введите путь к каталогу – перейдите к реальному каталогу, нажав на кнопку Browse (Обзор), затем нажмите на Next.В последнем окне укажите разрешения IIS для создаваемого сайта. Еще раз нажмите на Next.По окончании работы нажмите на кнопку Finish (Готово), и виртуальный каталог будет создан.



Разрешения на доступ IIS


На вкладке Home Directory (Домашний каталог) диалогового окна IIS Security Properties (Параметры безопасности IIS) имеется набор разрешений для контроля доступа к веб-сайтам, каталогам и отдельным файлам. Это разрешениями на доступ IIS, а не Windows 2000! IIS имеет инструменты для контроля доступа поверх операционной системы Windows 2000. Эти разрешения являются глобальными и не привязаны к конкретной учетной записи или группе.

Для включения разрешений на доступ IIS щелкните правой кнопкой мыши на названии веб-сайта, каталога или файла в консоли MMC Internet Service Manager (Диспетчер служб интернета) и выберите команду Properties (Свойства).

Эти права устанавливаются при создании сайта с помощью Site Creation Wizard (Мастер создания сайта). Для изменения прав всех сайтов сервера откройте вкладку Home Directory (Домашний каталог) в окне Master Security Properties (Главные свойства безопасности) на уровне веб-сайта. Или откройте вкладку Directory (Каталог) окна Properties файла (папки) (см. рисунок), выделив узел нижнего уровня в дереве консоли Internet Services Manager (Диспетчер служб интернета).


В таблице 4.6 приведено описание разрешений IIS (за исключением разрешений ведения журнала, о которых пойдет речь в лекции 5). Эти элементы IIS дополняют управление доступом NTFS и в совокупности образуют сложный набор разрешений. Например, пользователь, которому запрещен просмотр домашнего каталога веб-сайта, но имеющий разрешения List (Просмотр) Windows 2000, работает в рамках наиболее ограничивающего набора разрешений (т.е. ему будет отказано в просмотре файлов в папке).

С точки зрения безопасности рекомендуется использовать наиболее ограничивающие параметры, которые, тем не менее, позволят сайту нормально функционировать.

Таблица 4.6. Разрешения на доступ IIS

Тип доступаОписание
Доступ к исходным файлам сценария Позволяет осуществлять доступ к исходным файлам. При разрешении Read (Чтение) исходный код можно прочитать, при разрешении Write (Запись) исходный код можно записать. Под доступом к исходным файлам сценариев подразумевается доступ к коду сценариев, таких как сценарии приложения ASP. Опция недоступна, если не выбрано ни одно разрешение из пары Read (Чтение) и Write (Запись).
Разрешение на чтениеПозволяет осуществлять просмотр и передачу содержимого браузеру-клиенту для отображения.
Разрешение на записьПозволяет клиентам с браузерами, поддерживающими возможность "PUT" стандарта HTTP 1.1, отгружать файлы на сервер или изменять содержимое файла, запись которого разрешена. "PUT" обычно не предоставляется, если администратор не включает данный тип доступа.
Просмотр каталоговПозволяет клиенту просматривать все файлы каталога. Если сервер не является общим сервером FTP, опция должна быть отключена.



Создание группы распределенного администрирования


Для создания группы распределенного администрирования выполните следующие шаги.

Откройте консоль MMC Computer Management (Управление компьютером) и в дереве ресурсов консоли найдите папку Local Users and Groups (Локальные пользователи и группы), после чего откройте ее, чтобы развернуть список, как показано на рисунке. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите команду New Group (Создать группу).


увеличить изображение

В появившемся диалоговом окне New Group (Создание группы) (см. рисунок) присвойте группе имя. Укажите любое желаемое имя. Введите требуемое описание (например, описание "Siteadmin" говорит о том, что группа предназначена для администрирования сайта на сервере с одним сайтом). Если на сервере работают несколько сайтов, в названии группы укажите имя сайта.


В окне Members (Члены) укажите пользователей, которые будут обладать полномочиями управления. Если сервер находится в сети интранет, то в одном из доменов выберите имя учетной записи пользователя в списке учетных записей, отображаемом в этом окне. В этом списке имена учетных записей будут отсутствовать, если сервер изолирован. Ничего страшного в этом нет, так как при создании учетных записей можно присвоить учетную запись созданной группе.Нажмите на кнопку Create (Создать) и закройте окно.



Списки контроля доступа


Доступ к серверам Windows 2000 осуществляется через систему учетных записей пользователей и групп. После аутентификации на сервере пользователь может использовать ресурсы сервера согласно своим правам и разрешениям. Права и разрешения для учетных записей и групп хранятся в локальном списке Access Control List (ACL) (Список контроля доступа). Параметры списка ACL определяют то, какие действия учетная запись или группа может выполнять на сервере, эти параметры не являются общими с другими системами, даже если компьютер представляет собой часть домена Windows.

Права и разрешения определяются следующим образом.

Права. Право – это возможность выполнения какого-либо действия, часто носящего административный или ограниченный характер, например запуск и остановка системы или создание новых учетных записей и групп пользователей.Разрешения. Альтернатива правам, позволяющая пользователям получать доступ к каталогам, файлам и принтерам. Для каталогов и файлов разрешения представляют собой любые комбинации возможностей просмотра, считывания, изменения, записи и выполнения файлов.Совет. Если управление доменами осуществляется посредством Active Directory, ресурсы принадлежат сети, а не серверу, и авторизация осуществляется не локально, а при помощи контроллера домена.

Администрирование параметров безопасности веб-сайта влечет за собой изменения в локальных списках ACL для отказа, расширения или передачи прав и разрешений, присвоенных группам и учетным записям для доступа к ресурсам сервера. После этого определяются правила паролей, правила безопасности IP, правила аудита и ряд других дополнительных настроек (см. табл. 4.1).



Средства управления локальной безопасностью


Управление локальными параметрами и политикой не зависит от того, работаете вы с отдельным сервером или с сервером, являющимся частью домена интранет-сети или использующим технологию Active Directory. Локальные настройки и политика применяются к тому компьютеру, на котором они установлены. Даже если компьютер является частью домена, другим системам в домене неизвестны локальные настройки отдельных компьютеров и на них не распространяются.

Windows 2000 и IIS используют три основных набора инструментов для конфигурирования и управления локальными настройками безопасности сервера.

Пакет средств Microsoft Management Console (MMC).IIS Lockdown (IIS Lock).Анализ и настройка безопасности MMC и шаблоны.

Набор средств MMC представляет собой пакет инструментов, предназначенных для конфигурирования безопасности и ее поддержки, включая настройку параметров аутентификации, создание пользователей и групп, управление ACL и т.д. Компоненты IIS Lockdown и Security Configuration and Analysis (Анализ и настройка безопасности) являются специализированными средствами. IIS Lock используется для автоматизации настройки параметров безопасности при начальной установке или при изменении конфигурации сервера. Оснастка Security Configuration and Analysis и связанные с ней шаблоны безопасности используются для построения и применения особых локальных политик безопасности.

В лекции 3 вы познакомились с MMC и с IIS Lock и даже использовали эти компоненты для укрепления своего сервера. IIS Lock вновь потребуется при установке новых сервис-пакетов, служб FTP, NNTP и SMTP. MMC используется постоянно, причем не только для защиты, но и для поддержки сервера IIS.



Сводный перечень действий по настройке аутентификации учетных записей


Отключите права администрирования накопителей для группы Everyone (Все пользователи).Обеспечьте полный контроль над ресурсами для групп Administrators (Администраторы) и System (Система).Переименуйте учетную запись Administrator (Администратор) и создайте устойчивый пароль.Создайте группу с распределенными полномочиями Administration (Администрирование) для управления веб-содержимым (не обязательно).Отключите гостевую учетную запись Windows 2000 Guest (Гость) по умолчанию и отключите права на доступ.Переименуйте гостевую учетную запись по умолчанию.Удалите права по умолчанию для учетной записи Internet Guest (Гостевая учетная запись интернета) из локальной политики безопасности.Установите для учетной записи Internet Guest разрешения на доступ Read Only (Только чтение).



Удаление записи Internet Guest из локальной политики безопасности


По умолчанию при создании учетная запись Internet Guest наделяется правами "доступ к данному компьютеру из сети" и "вход в систему в качестве пакетного задания". Однако эти права присваиваются только администраторам или выполняемым ими сценариям. Теперь учетная запись Internet Guest используется для анонимного входа, поэтому следует удалить эти права из локальной политики безопасности Windows 2000.

Выполните следующие действия.

Откройте окно My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование), затем дважды щелкните на значке Local Security Policy (Локальная политика безопасности).Разверните список в элементе Local Policies (Локальные политики) дерева Console (Консоль), щелкните правой кнопкой мыши на папке User Rights Assignment (Присвоение прав пользователей), выберите команду Open (Открыть) (или дважды щелкните на элементе, чтобы открыть его). В правом окне консоли отобразятся параметры политик присвоения прав, как показано на рисунке.


увеличить изображение

Щелкните правой кнопкой мыши на параметре, который необходимо изменить, и выберите Security (Безопасность). Откроется диалоговое окно Local Security Policy (см. рисунок) с параметрами для выбранной политики. Права включаются и выключаются при помощи соответствующих опций. Отключите опцию для переименованной учетной записи Internet Guest и для любых ссылок на прежние гостевые учетные записи интернета.


Нажмите на OK для сохранения изменений и выхода из диалогового окна.



Управление локальной безопасностью


Большинство аспектов безопасности, помимо управления аутентификацией, являются похожими для сайтов в интернете и интранете. Веб-серверы обоих типов имеют параметры, которые настраиваются отдельно на самом сервере. Даже если веб-сайт является частью домена Windows интранет-сети, к серверу необходимо применить меры безопасности, отличающиеся от остальных компьютеров домена. На веб-сервере требуется больший уровень защищенности, нежели на файловом сервере, так как веб-технологии содержат большее количество слабых мест. Основные параметры безопасности веб-сервера должны настраиваться с помощью управления параметрами его локальной безопасности. Параметры локальной безопасности на веб-сервере IIS или другом компьютере с Windows 2000 контролируют все аспекты безопасности, являющиеся уникальными для сервера.



Управление несколькими веб-сайтами


В IIS можно работать с несколькими сайтами на одном и том же компьютере. Такие сайты называются виртуальными серверами. Виртуальные серверы полезны в случае разделения информации для различных категорий пользователей. С точки зрения безопасности нужно использовать отдельный раздел диска для каждого сайта, чтобы успешный взлом хакером одного сайта не позволил ему получить доступ к информации на всех других.

При использовании виртуальных серверов поддержка учетных записей веб-менеджеров и записей анонимного входа осуществляется различными способами. Простейший и самый безопасный способ – это использование уникальной учетной записи с распределенными полномочиями Administration (Администрирование) для каждого сайта и общей учетной записи Internet Guest для всех сайтов.

Если последовать данной рекомендации, то при использовании отдельного домашнего каталога и папки с содержимым для каждого сайта за каждый набор папок будет отвечать свой веб-менеджер (см. рис. 4.2).


увеличить изображение
Рис. 4.2.  Используйте общую для всех сайтов учетную запись анонимного доступа и отдельные учетные записи для управления сайтом

Такая конфигурация учетной записи позволит контролировать доступ веб-менеджеров к содержимому веб-сайта. Если всем менеджерам нужен один и тот же уровень доступа, настройте разрешения Windows 2000 на уровне группы или отдельно для каждого менеджера в соответствующих каталогах. А наличие одной учетной записи Internet Guest для всех сайтов уменьшит вероятность ошибок.

Виртуальный сервер создается при помощи консоли MMC Internet Server Manager (Диспетчер сервера интернета). В лекции 3 говорилось, как это делается, при создании нового сайта и отключении сайта по умолчанию. Для одновременной работы нескольких сайтов создайте уникальный идентификатор для каждого сайта; с его помощью система DNS будет отправлять браузеры на соответствующие виртуальные серверы IIS. Уникальным идентификатором является альтернативное имя DNS или IP-адрес.


Процедура создания виртуального сервера состоит из следующих шагов.

Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета).Щелкните правой кнопкой мыши на сервере в дереве консоли и в появившемся меню выберите New Web Site (Создать веб-сайт). Откроется мастер для создания нового сайта.Присвойте сайту название в первом окне мастера, затем нажмите на кнопку Next (Далее). В следующем окне укажите IP-адрес, номер порта



или заголовок узла. Любого из этих значений достаточно для создания уникального идентификатора сайта. При использовании уникального IP-адреса или доменного имени DNS скоординируйте свои действия с агентством интернета или администратором внутренней сети для обновления баз данных DNS.



В следующих окнах мастера укажите расположение домашнего каталога и присвойте разрешения доступа (см. рисунок). Укажите минимальный набор разрешений. При необходимости их можно будет изменить позже.Нажмите на кнопку Finish (Готово) для создания сайта.


Установка оснасток Security Configuration и Security Template


Для использования шаблона необходимо скопировать его в системный раздел веб-сервера, после чего установить оснастки MMC Security Templates (Шаблоны безопасности) и Security Configuration and Analysis (Анализ и настройка безопасности). Выполните приведенные ниже процедуры.

Скопируйте шаблон (файл Hisecweb.inf) в каталог шаблонов безопасности системного раздела веб-сервера c:\WINNT\security\templates.Для установки оснастки откройте MMC в авторском режиме. Можно создать новую консоль MMC для оснасток или добавить оснастки в имеющуюся консоль Computer Management (Управление компьютером).

Для добавления оснастки в имеющуюся консоль выполните следующие действия.

Откройте окно Administrative Tools (Администрирование) и найдите значок Computer Management.Щелкните правой кнопкой мыши на значке Computer Management и выберите пункт Author (Авторский режим). Консоль Computer Management откроется в авторском режиме. Установите нужные средства в Computer Management, а не в Console Root (Корень консоли).

Для создания новой консоли выполните следующие действия.

В меню Start (Пуск) выберите Run (Выполнить).Запустите исполняемый файл MMC, напечатав mmc.exe в диалоговом окне Run. Откроется пустое окно консоли в авторском режиме (см. рисунок).


Откройте меню Console (Консоль) и выберите Add/Remove Snap-in (Добавить/удалить оснастку), чтобы открыть диалоговое окно, показанное на рисунке ниже. Нажмите на кнопку Add (Добавить). Откроется перечень Snap-in Selection (Выбор оснастки).


В списке, изображенном на рисунке ниже, выберите Security Configuration And Analysis (Анализ и настройка безопасности), после чего нажмите на кнопку Add (Добавить). Повторите процедуру для консольного средства Security Templates (Шаблоны безопасности). Закройте окно Snap-in (Оснастка), и оснастка будет добавлена в консоль.


Нажмите на OK, чтобы закрыть диалоговое окно и сохранить изменения. Если вы создали новое консольное средство, сохраните его посредством присвоения имени при закрытии консоли. Оно будет добавлено в папку Administrative Tools (Администрирование) в меню Start (Пуск).