Защита служб IIS 6.0
На этой странице
Введение
Веб-серверы часто становятся объектом различного рода атак. Некоторые атаки бывают достаточно серьезными, чтобы нанести существенный ущерб производственным активам, продуктивности бизнеса и взаимоотношениям с клиентами. Кроме того, все атаки несут неудобства и разочарование. Безопасность веб-сервера — ключевой аспект успешности бизнеса.
В настоящем документе разъясняется процесс защиты веб-сервера, работающего под управлением операционной системы Microsoft Windows Server 2003 Standard Edition, на котором выполняется служба Internet Information Services (IIS) 6.0. В первую очередь в данном разделе описываются наиболее распространенные угрозы для безопасности веб-сервера. Затем в документе приводится директивное руководство о том, как сделать веб-сервер более устойчивым к таким атакам.
По сравнению с предыдущими версиями службы Internet Information Services, в IIS 6.0 реализуется более упреждающая политика по отношению к злонамеренным пользователям и злоумышленникам:
| • | IIS 6.0 не устанавливается по умолчанию при установке операционной системы Windows Server 2003 Standard Edition. |
| • | Первоначально после установки IIS 6.0 веб-сервер будет обслуживать (или отображать) только статические веб-страницы (HTML), что снижает риск, связанный с обслуживанием динамического (или исполняемого) содержимого. |
| • | Единственной службой, работающей по умолчанию после установки IIS 6.0, является служба веб-публикаций. Остальные службы можно включить, когда в них возникнет необходимость. |
| • | Первоначально после установки IIS 6.0 службы ASP и ASP.NET по умолчанию отключены. |
Для создания дополнительной защиты все параметры конфигурации безопасности, задаваемые в IIS 6.0 по умолчанию, являются не менее строгими, чем параметры конфигурации безопасности, заданные средством IIS Lockdown Tool. Средство IIS Lockdown Tool, которое было предназначено для сокращения уязвимой контактной зоны веб-сервера путем отключения ненужных функций, использовалось в предыдущих версиях IIS. Дополнительные сведения о средстве IIS Lockdown Tool см. в статье, посвященной защите служб Internet Information Services 5.0 и 5, в сборнике инструкций по безопасности, который имеется в центре загрузки Microsoft по адресу: www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx.
Настройки IIS 6.0 по умолчанию отключают многие функции, к которым часто обращаются веб-службы. В настоящем документе объясняется, как настроить дополнительные функции веб-сервера, не повышая при этом его открытость для потенциальных атак.
В настоящем документе содержатся следующие инструкции по повышению защищенности веб-сервера:
| • | сокращение уязвимой контактной зоны веб-сервера — снижение открытости сервера для потенциальных атак; |
| • | настройка учетных записей пользователей и групп для анонимного доступа; |
| • | защита файлов и каталогов от несанкционированного доступа; |
| • | защита веб-узлов и виртуальных каталогов от несанкционированного доступа; |
| • | настройка протокола Secure Sockets Layer (SSL) на веб-сервере. |
Внимание! Все пошаговые инструкции, приведенные в настоящем документе, разработаны с использованием стандартного меню, открывающегося при нажатии кнопки Пуск. Если ранее вносились изменения в меню «Пуск», то предпринимаемые действия по изменению настроек могут различаться.
Выполнение всех процедур, предписанных настоящим документом, позволит веб-серверу обслуживать динамическое содержимое в виде страниц ASP, сохраняя при этом достаточно мощную защиту от следующих видов атак:
| • | Атаки профилирования — сбор информации о веб-узле. Для противодействия им используется блокирование ненужных портов и отключение ненужных протоколов. |
| • | Атаки отказа в обслуживании (DoS-атаки), при которых веб-сервер переполняется запросами. Для противодействия необходимо устанавливать обновления системы безопасности и программного обеспечения. |
| • | Несанкционированный доступ со стороны пользователей, не имеющих надлежащих разрешений. Для противодействия необходимо настроить разрешения на доступ к веб-узлу и разрешения NTFS. |
| • | Произвольное выполнение вредоносного кода на веб-сервере. Для противодействия необходимо ограничить доступ к системным инструментам и командам. |
| • | Повышение прав доступа, в результате чего злонамеренный пользователь может выполнять программы под учетной записью, которой выделены обширные права. Для противодействия используются службы и учетные записи с минимальными правами. |
| • | Вирусы, черви, трояны. Для противодействия им необходимо отключить ненужные функции, использовать учетные записи с минимальными правами и своевременно устанавливать самые свежие обновления системы безопасности. |
Примечание. Защита веб-сервера — сложный и постоянный процесс, поэтому его полную безопасность гарантировать невозможно.
Назначение настоящего документа
В настоящем документе содержится вводная информация, которая поможет начать настройку веб-сервера таким образом, чтобы сделать его более безопасным. Однако, чтобы сделать веб-сервер максимально безопасным, необходимо понимать принцип работы выполняющихся на нем приложений. В настоящем документе отсутствует информация об особых аспектах настройки, связанных с конкретными приложениями.
Прежде чем приступить к работе
В настоящем разделе объясняются предварительные требования к системе и характеристики веб-сервера, описываемые в настоящем документе.
Требования к системе
Веб-сервер, используемый в настоящем документе в качестве примера, имеет следующие требования к системе:
| • | сервер выполняется под управлением операционной системы Windows Server 2003 Standard Edition. |
| • | операционная система установлена в разделе с файловой системой NTFS. Для просмотра дополнительных сведений о файловой системе NTFS выполните поиск по слову «NTFS» в центре справки и поддержки операционной системы Windows Server 2003. |
| • | на сервере установлены все необходимые обновления для Windows Server 2003. Чтобы проверить, установлены ли на веб-сервере самые свежие обновления системы безопасности, посетите страницу, посвященную обновлениям Microsoft, на веб-узле корпорации Майкрософт по адресу: http://windowsupdate.microsoft.com и просканируйте сервер на наличие установленных обновлений с помощью службы Microsoft Update. |
| • | на сервере действуют меры безопасности Windows Server 2003. Дополнительные сведения о защите Windows Server 2003 см. в руководстве по защите Windows Server 2003 по адресу: http://go.microsoft.com/fwlink/?LinkId=14845. |
Характеристики веб-сервера
Веб-сервер, используемый в настоящем документе в качестве примера, имеет следующие характеристики:
| • | на веб-сервере выполняется служба IIS 6.0 в режиме изоляции рабочего процесса. |
| • | на веб-сервере размещен один веб-узел, доступный из Интернета. |
| • | веб-сервер защищен брандмауэром, трафик через который открыт только по портам HTTP 80 и HTTPS 443. |
| • | веб-сервер является выделенным веб-сервером. Он используется исключительно как веб-сервер и не используется ни для каких других целей, а именно: не является файл-сервером, сервером печати или сервером базы данных, на котором выполняется сервер Microsoft SQL Server. |
| • | разрешен анонимный доступ к веб-узлу. |
| • | веб-узел обслуживает страницы HTML и ASP. |
| • | на веб-сервере не настроены серверные расширения FrontPage 2002 Server Extensions, поставляемые корпорацией Майкрософт. |
| • | приложения, работающие на веб-сервере, не требуют соединения с базой данных. |
| • | веб-сервер не поддерживает протоколы FTP (загрузка и выгрузка файлов), SMTP (электронная почта) и NNTP (группы новостей). |
| • | на веб-сервере не используется сервер Microsoft Internet Security and Acceleration (ISA) Server. |
| • | для администрирования веб-сервера администратор должен выполнить локальный вход в систему. |
Сокращение уязвимой контактной зоны веб-сервера
Защиту веб-сервера следует начать с сокращения его уязвимой контактной зоны — степени открытости сервера для потенциальных атак. Например, следует включать только те компоненты, службы и порты, которые необходимы для правильной работы веб-сервера.
Отключение протоколов SMB и NetBIOS
Атаки последовательного перебора адресов сервера осуществляются путем сканирования сети для поиска IP-адресов потенциальных жертв. Для снижения шансов на успех атаки последовательного перебора адресов сервера, направленной против портов веб-сервера, доступных из Интернета, необходимо отключить все сетевые протоколы, кроме протокола управления передачей (TCP). На веб-серверах нет необходимости включать протоколы SMB и NetBIOS на сетевых адаптерах, доступных из Интернета.
В этом разделе содержатся пошаговые инструкции по выполнению следующих задач, которые помогут сократить уязвимую контактную зону веб-сервера:
| • | Отключение протокола SMB для подключения, доступного из Интернета |
| • | Отключение NetBIOS через TCP/IP |
Примечание. При отключении протоколов SMB и NetBIOS сервер не сможет работать в роли файл-сервера или сервера печати. При этом также невозможно просматривать сеть и удаленно управлять веб-сервером. Если сервер является выделенным веб-сервером, в который администраторы могут войти только локально, эти ограничения не нанесут вреда функционированию сервера.
Протокол SMB использует следующие порты:
| • | порт TCP 139 |
| • | порты TCP и UDP 445 (SMB Direct Host) |
Протокол NetBIOS использует следующие порты:
| • | порты TCP и UDP 137 (служба имен NetBIOS) |
| • | порты TCP и UDP 138 (служба дейтаграмм NetBIOS) |
| • | порты TCP и UDP 139 (служба сеанса NetBIOS) |
Отключение одного только протокола NetBIOS не приведет к прекращению связи по протоколу SMB, так как протокол SMB использует порт TCP 445 (SMB Direct Host) в случае, если стандартный порт NetBIOS недоступен. NetBIOS и SMB необходимо отключать по отдельности.
Требования
Для выполнения этих задач необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Средства. «Мой компьютер», «Служебные программы» и «Диспетчер устройств». |
Отключение протокола SMB для подключения, доступного из Интернета
1. | В меню кнопки Пуск выберите Панель управления, затем дважды щелкните значок Сетевые подключения. |
2. | Щелкните правой кнопкой мыши подключение, доступное из Интернета, и выберите пункт Свойства. |
3. | Снимите флажок Клиент для сетей Microsoft. |
4. | Снимите флажок Служба доступа к файлам и принтерам сетей Microsoft и нажмите кнопку OK. |
Отключение протокола NetBIOS через TCP/IP
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Дважды щелкните пункт Служебные программы и выберите пункт Диспетчер устройств. |
3. | Щелкните правой кнопкой мыши Диспетчер устройств, выберите пункт Вид и затем выберите команду Показать скрытые устройства. |
4. | Дважды щелкните пункт Драйверы устройств не Plug and Play. |
5. | Щелкните правой кнопкой мыши NetBIOS через TCP/IP, выберите Отключить (см. следующий снимок окна) и нажмите кнопку Да.
Примечание. Снимки окна, приведенные в настоящем документе, соответствуют тестовой среде. Сведения, отображающиеся в соответствующих окнах в реальных условиях, может отличаться от сведений, представленных на снимках окна. |
Описанная выше процедура предназначена для отключения средства прослушивания SMB для портов TCP 445 и UDP 445. Кроме того, отключается драйвер Nbt.sys. По окончании необходимо перезапустить компьютер.
Проверка новых настроек
Выполните следующие процедуры для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка отключения протокола SMB
1. | Нажмите кнопку «Пуск», выберите пункт «Настройки», затем щелкните значок «Сетевые подключения». |
2. | Щелкните правой кнопкой мыши подключение, доступное из Интернета, и выберите пункт Свойства. |
3. | Убедитесь, что сняты флажки Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft, и нажмите кнопку OK. |
Проверка отключения протокола NetBIOS
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Дважды щелкните пункт Служебные программы и выберите пункт Диспетчер устройств. |
3. | Щелкните правой кнопкой мыши Диспетчер устройств, выберите пункт Вид и затем выберите команду Показать скрытые устройства. |
4. | Дважды щелкните пункт Драйверы устройств не Plug and Play, затем щелкните правой кнопкой мыши NetBIOS через TCP/IP. После этого в контекстном меню должен появиться вариант Включить; это означает, что NetBIOS через TCP/IP сейчас отключен. |
5. | Нажмите кнопку OK, чтобы закрыть диспетчер устройств. |
Отбор компонентов и служб, жизненно важных для IIS
IIS 6.0 имеет в своем составе другие компоненты и службы, помимо службы WWW, например службу FTP и службу SMTP. Чтобы уменьшить опасность атаки, направленной против конкретной службы или компонента, рекомендуется включать только те службы и компоненты, которые необходимы для правильной работы веб-узла и веб-приложений.
В следующей таблице приведены рекомендуемые настройки средства «Установка и удаление программ» в отношении компонентов и служб IIS, включенных для веб-сервера, используемого в настоящем документе в качестве примера.
Таблица 1. Рекомендуемые настройки компонентов и служб IIS
| Компонент или служба | Настройка по умолчанию | Настройка для веб-сервера |
Модуль сервера Background Intelligent Transfer Service (BITS) | Отключен | Без изменений |
Общие файлы | Включены | Без изменений |
Служба FTP | Отключена | Без изменений |
Серверные расширения FrontPage 2002 Server | Отключены | Без изменений |
Диспетчер служб Internet Information Services | Включен | Без изменений |
Интернет-печать | Отключена | Без изменений |
Служба NNTP | Отключена | Без изменений |
Служба SMTP | Включена | Отключена |
Служба World Wide Web | Включена | Без изменений |
Модуль сервера Background Intelligent Transfer Service (BITS) | Отключен | Без изменений |
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Установка и удаление программ». |
Настройка компонентов и служб IIS
1. | Нажмите кнопку Пуск, выберите Панель управления и затем пункт Установка и удаление программ. |
2. | Нажмите кнопку Добавление и удаление компонентов Windows. |
3. | В окне мастера компонентов Windows в группе Компоненты выберите Сервер приложений и нажмите кнопку Подробности. |
4. | Выберите Internet Information Services (IIS) и нажмите кнопку Подробности. |
5. | См. предыдущую таблицу. Включите или отключите соответствующие компоненты и службы IIS, устанавливая или снимая флажки напротив компонента или службы. |
6. | Завершите мастер компонентов Windows, следуя инструкциям на экране. |
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка выбранных компонентов и служб IIS
1. | Нажмите кнопку Пуск, откройте Панель управления, а затем — Администрирование. |
2. | Теперь в меню средств администрирования появится Диспетчер Internet Information Services (IIS). |
Включение только тех расширений веб-служб, которые жизненно важны для правильной работы
На веб-сервере, обслуживающем динамическое содержимое, должны быть установлены расширения веб-служб. Каждому типу динамического содержимого соответствует специальное расширение веб-служб. Из соображений безопасности в IIS 6.0 допускается включение и отключение отдельных расширений веб-служб, что позволяет оставить только те расширения, которые необходимы для обслуживания имеющегося содержимого.
Внимание! Не включайте все расширения веб-служб. Хотя таким образом обеспечивается максимальная возможная совместимость с существующими веб-узлами и приложениями, при этом значительно расширяется уязвимая контактная зона веб-сервера. Возможно, придется провести индивидуальное тестирование веб-узлов и приложений, чтобы гарантировать, что включены лишь те расширения веб-служб, которые действительно необходимы.
Предположим, что веб-сервер настроен таким образом, что его страницей по умолчанию является файл Default.asp. Хотя страница по умолчанию настроена, для просмотра страницы .ASP необходимо включить расширение веб-служб Active Server Pages.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. Диспетчер служб IIS (iis.msc). |
Включение расширения веб-служб Active Server Pages
1. | Щелкните Пуск, выберите Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
2. | Дважды щелкните локальный компьютер, затем выберите Расширения веб-служб. |
3. | Щелкните Active Server Pages и выберите Разрешить (см. следующий снимок окна).
|
Проверка новых настроек
Для проверки того, что соответствующие настройки безопасности были применены к веб-серверу, выполните следующую процедуру.
Проверка включения расширения веб-служб Active Server Pages
1. | Откройте текстовый редактор, введите текст тестовая страница ASP и сохраните файл в каталоге C:\inetpub\wwwroot под именем Default.asp. |
2. | В поле Адрес обозревателя Internet Explorer введите следующий URL-адрес: http://localhost Затем нажмите клавишу ВВОД. В окне обозревателя должен появиться текст «тестовая страница ASP». |
3. | Удалите файл C:\inetpub\wwwroot\Default.asp. |
Настройка учетных записей
Рекомендуется удалять неиспользуемые учетные записи, так как злоумышленники могут обнаружить их и с их помощью получать доступ к данным и веб-приложениям, размещенным на веб-сервере. Всегда используйте надежные пароли. Простые пароли увеличивают шансы на успех атаки перебором или с помощью словаря — способов атаки, когда злоумышленник пытается угадать пароль. Используйте учетные записи, имеющие минимальные права. В противном случае злоумышленник может получить доступ к закрытым ресурсам, воспользовавшись учетной записью, обладающей обширными правами.
В этом разделе содержатся пошаговые инструкции по выполнению следующих задач:
| • | отключение неиспользуемых учетных записей; |
| • | изоляция приложений посредством пулов приложений. |
Отключение неиспользуемых учетных записей
С помощью неиспользуемых учетных записей и выделенных им прав злоумышленники могут получить доступ к серверу. Необходимо проводить периодический аудит локальных учетных записей сервера и отключать неиспользуемые учетные записи. Перед отключением учетной записи на производственном сервере отключите ее на тестовом сервере, чтобы проверить, что отключение учетной записи не отразится на работоспособности приложений. Если при отключении учетной записи на тестовом сервере проблем не возникает, отключите ее на производственном сервере.
Примечание. Если вместо отключения учетной записи нужно удалить ее, учитывайте, что удаленную учетную запись нельзя восстановить, а учетные записи администратора и гостя нельзя удалить. Кроме того, перед удалением учетной записи на производственном сервере обязательно проверьте, к каким последствиям это приведет на тестовом сервере.
В этом разделе содержатся пошаговые инструкции по выполнению следующих задач:
| • | отключение учетной записи гостя |
| • | переименование учетной записи администратора |
| • | переименование учетной записи IUSR_<Имя_компьютера> |
Отключение учетной записи гостя
Учетная запись гостя используется при установлении анонимного подключения с веб-сервером. После установки операционной системы Windows Server 2003 по умолчанию учетная запись гостя отключена. Чтобы запретить анонимное подключение с сервером, оставьте учетную запись гостя отключенной.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Управление компьютером». |
Отключение учетной записи гостя
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Дважды щелкните пункт Локальные пользователи и группы и выберите папку Пользователи. Учетная запись гостя должна быть помечена красным знаком Х, указывающим, что она отключена (см. следующий снимок окна). Если учетная запись гостя не отключена, перейдите к шагу 3, чтобы отключить ее.
|
3. | Щелкните правой кнопкой мыши учетную запись Гость, а затем выберите пункт Свойства. |
4. | На вкладке Общие установите флажок Отключена и нажмите кнопку OK. |
После этого учетная запись гостя должна быть помечена красным знаком Х.
Переименование учетной записи администратора
Локальная учетная запись по умолчанию «Администратор» часто становится объектом атак злоумышленников из-за расширенных прав, которыми она обладает на данном компьютере. Чтобы повысить безопасность, переименуйте учетную запись «Администратор», создаваемую в системе по умолчанию, и убедитесь, что она имеет надежный пароль.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер». |
Переименование учетной записи «Администратор» и создание надежного пароля для нее
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Дважды щелкните пункт Локальные пользователи и группы и выберите папку Пользователи. |
3. | Щелкните правой кнопкой мыши учетную запись Администратор, а затем выберите пункт Переименовать. |
4. | Введите новое имя и нажмите клавишу ВВОД. |
5. | На рабочем столе нажмите клавиши CTRL+ALT+DEL, а затем щелкните Изменить пароль. |
6. | Введите новое имя учетной записи «Администратор» в поле Имя пользователя. |
7. | Введите текущий пароль в поле Старый пароль, введите новый пароль в поле Новый пароль, повторите новый пароль в поле Подтверждение пароля и нажмите кнопку OK. |
Внимание! Для смены пароля не пользуйтесь пунктом контекстного меню «Указать пароль», если только вы не забыли пароль и у вас нет диска для сброса пароля. Использование этого метода для изменения пароля администратора может привести к безвозвратной утрате информации, защищенной данным паролем.
Переименование учетной записи IUSR
Учетная запись анонимного интернет-пользователя по умолчанию IUSR_<Имя_компьютера> создается при установке служб IIS. <Имя_компьютера> — имя NetBIOS для сервера при установке служб IIS. Переименование этой учетной записи поможет снизить шансы на успех некоторых атак перебором.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер». |
Переименование учетной записи IUSR
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Дважды щелкните пункт Локальные пользователи и группы и выберите папку Пользователи. |
3. | Щелкните правой кнопкой мыши учетную запись IUSR_<Имя_компьютера>, а затем выберите пункт Переименовать. |
4. | Введите новое имя учетной записи и нажмите клавишу ВВОД. |
Изменение значения для учетной записи IUSR в метабазе служб IIS
1. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
2. | Щелкните локальный компьютер правой кнопкой мыши, затем выберите пункт Свойства. |
3. | Установите флажок Включить непосредственное редактирование метабазы и нажмите кнопку OK. |
4. | Откройте папку, в которой находится файл MetaBase.xml. По умолчанию он расположен в папке «C:\Windows\system32\inetsrv». |
5. | Щелкните правой кнопкой мыши файл MetaBase.xml и выберите команду Изменить. |
6. | Найдите свойство AnonymousUserName и введите новое имя учетной записи IUSR. |
7. | В меню Консоль выберите Выход и нажмите кнопку Да. |
Проверка новых настроек
Для проверки того, что соответствующие настройки безопасности были применены к веб-серверу, выполните следующую процедуру.
Проверка отключения учетной записи
1. | Нажмите клавиши CTRL+ALT+DEL и выберите Выйти из системы, чтобы выйти из веб-сервера. |
2. | В диалоговом окне Вход в Windows в поле Имя пользователя введите имя и пароль отключенной учетной записи и нажмите кнопку OK. На экране появится следующее сообщение: Эта учетная запись отключена. Обратитесь к своему системному администратору. |
Проверка переименования учетной записи
1. | Нажмите клавиши CTRL+ALT+DEL и выберите Выйти из системы, чтобы выйти из веб-сервера. |
2. | В диалоговом окне Вход в Windows в поле Имя пользователя введите старое имя и пароль переименованной учетной записи и нажмите кнопку OK. На экране появится следующее сообщение: Невозможно войти в систему. Проверьте правильность ввода имени пользователя и домена, а затем вновь введите пароль. Необходимо вводить буквы пароля в правильном регистре. |
3. | Нажмите кнопку OK, а затем введите новое имя переименованной учетной записи в поле Имя пользователя. |
4. | Затем введите пароль переименованной учетной записи и нажмите кнопку OK. |
После этого вход в систему под переименованной учетной записью должен пройти успешно.
Изоляция приложений посредством пулов приложений
Службы IIS 6.0 позволяют изолировать приложения с помощью пулов приложений. Пул приложений — это группа из одного или нескольких URL-адресов, обслуживаемых рабочим процессом или набором рабочих процессов. Использование пулов приложений повышает надежность и безопасность веб-сервера, так как каждое приложение работает независимо от остальных.
Каждый процесс, выполняющийся в операционной системе Windows, имеет удостоверение процесса, контролирующее обращения процесса к ресурсам компьютера. Каждый пул приложений также обладает удостоверением, которое представляет собой учетную запись, выполняющуюся с минимальными разрешениями, которые необходимы приложению. Удостоверение процесса можно использовать для разрешения анонимного доступа к веб-узлу или приложениям.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер». |
Создание пула приложений
1. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
2. | Дважды щелкните локальный компьютер, щелкните правой кнопкой мыши Пулы приложений, выберите пункт Создать и щелкните Пул приложений. |
3. | Введите новый идентификатор пула приложений в поле Идентификатор пула приложений (на следующем снимке экрана — ContosoAppPool).
|
4. | В группе Настройки пула приложений установите флажок Использовать настройки по умолчанию для нового пула приложений и нажмите кнопку OK. |
Передача веб-узла или приложения в пул приложений
1. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
2. | Щелкните правой кнопкой мыши веб-узел или приложение, которое нужно передать в пул приложений, и выберите пункт Свойства. |
3. | Перейдите на вкладку Корневой каталог, Виртуальный каталог или Каталог, в зависимости от типа выбранного приложения. |
4. | Если в пул приложений передается каталог или виртуальный каталог, убедитесь, что в поле Имя приложения указано имя правильного веб-узла или приложения. или Если в поле Имя приложения имя не указано, нажмите кнопку Создать и введите имя веб-узла или приложения. |
5. | В раскрывающемся списке Пул приложений выберите имя пула приложений, в который нужно передать веб-узел или приложение (см. следующий снимок окна), и нажмите кнопку OK.
|
Проверка новых настроек
Для проверки того, что соответствующие настройки безопасности были применены к веб-серверу, выполните следующую процедуру.
Проверка создания пула приложений
1. | Войдите на веб-сервер под учетной записью администратора. |
2. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
3. | Дважды щелкните локальный компьютер, дважды щелкните Пулы приложений и убедитесь, что созданный пул приложений присутствует в списке элементов узла Пулы приложений. |
4. | Щелкните правой кнопкой мыши созданный пул приложений и выберите пункт Свойства. |
5. | Перейдите на вкладку Удостоверение, убедитесь, что удостоверение пула приложений соответствует предопределенной учетной записи системы безопасности под названием Network Service, и нажмите кнопку OK. |
Проверка передачи веб-узла или приложения в конкретный пул приложений
1. | Войдите на веб-сервер под учетной записью администратора. |
2. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
3. | Дважды щелкните локальный компьютер, дважды щелкните Веб-узлы, щелкните правой кнопкой мыши веб-узел, который следовало передать в пул приложений, и выберите пункт Свойства. |
4. | Перейдите на вкладку Корневой каталог, Виртуальный каталог или Каталог, в зависимости от типа выбранного приложения. |
5. | Убедитесь, что имя пула приложений, в который нужно передать веб-узел, присутствует в раскрывающемся списке Пул приложений, и нажмите кнопку Отменить. |
Настройка безопасности файлов и каталогов
Для защиты важных файлов и каталогов используйте надежные механизмы контроля доступа. Во многих ситуациях разрешение доступа к отдельным учетным записям эффективнее ограничения доступа к отдельным учетным записям. Всегда, когда это возможно, управляйте доступом на уровне каталогов. По мере добавления файлов в каталог они будут наследовать разрешения, заданные для каталога, не требуя дальнейших действий по управлению разрешениями.
В этом разделе содержатся пошаговые инструкции по выполнению следующих задач, которые помогут настроить безопасность файлов и каталогов:
| • | Перемещение и настройка разрешений для файлов журнала IIS |
| • | Настройка разрешений метабазы IIS |
| • | Отключение компонента FileSystemObject |
Перемещение и настройка разрешений для файлов журнала IIS
Для увеличения безопасности файлов журнала IIS необходимо перенести файлы на несистемный диск, который отформатирован для использования файловой системы NTFS. Местоположение файлов журнала IIS должно отличаться от местоположения содержимого веб-узла. Перемещение данных файлов позволяет избежать определенного типа атак, направленных на похищение содержимого файлов журнала. Одной из причин защиты файлов журнала является создание аудита возможных атак, нацеленных на сервер. Также перемещение файлов журнала на несистемный диск может увеличить производительность сервера.
Требования
Для выполнения этих задач необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер» и диспетчер служб IIS (Iis.msc). |
Перемещение файлов журнала IIS на несистемный диск
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите Проводник. |
2. | Перейдите к месторасположению, в которое нужно поместить файлы журнала IIS. |
3. | Щелкните правой кнопкой мыши каталог, в котором будет находиться папка, в которую будут перенесены файлы журнала IIS, выберите Создать, а затем Папка. |
4. | Введите название каталога, например ContosoIISLogs, а затем нажмите ВВОД. |
5. | Нажмите кнопку Пуск, откройте Панель управления, затем Администрирование, а затем дважды щелкните значок Диспетчер служб IIS. |
6. | Щелкните правой кнопкой мыши веб-узел, а затем выберите Свойства. |
7. | Щелкните вкладку Веб-узел, а затем выберите Свойства в рамке Включение записи в журнал. |
8. | На вкладке Общие свойства выберите Обзор, а затем перейдите к папке, которая была создана для хранения файлов журнала IIS. |
9. | Щелкните три раза ОК. |
Примечание. Если в исходной папке Windows\System32\Logfiles уже хранятся файлы журнала IIS, то их необходимо перенести в новое местоположение вручную. Служба IIS не будет производить автоматический перенос данных файлов.
Установка списков управления доступом для файлов журнала IIS
1. | Нажмите Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите Проводник. |
2. | Перейдите к папке, в которой находятся файлы журнала. |
3. | Щелкните правой кнопкой мыши папку, щелкните Свойства, а затем выберите вкладку Безопасность. |
4. | В верхней панели щелкните Администраторы, а затем убедитесь, что в нижней панели выбраны разрешения Полный доступ. |
5. | В верхней панели нажмите Система, убедитесь, что в нижней панели выбраны разрешения Полный доступ, а затем щелкните ОК. |
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка перемещения файлов журнала и установки разрешений
1. | Щелкните Пуск, выберите Поиск, а затем выберите Файлы и папки. |
2. | Введите имя файла или его часть в окно Поиск файла по имени (например, LogFiles), выберите местоположение в окне Искать в, а затем щелкните Начать поиск. Результаты поиска покажут новое местоположение файлов журнала. |
3. | Нажмите сочетание клавиш CTRL+ALT+DEL, а затем выберите Выход из системы. |
4. | Подключитесь к веб-серверу при помощи учетной записи, не обладающей разрешениями на доступ к файлам журнала. |
5. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, выберите Проводник, а затем перейдите к каталогу LogFiles. |
6. | Щелкните правой кнопкой мыши каталог LogFiles, а затем выберите Открыть. На экране появится следующее сообщение: Доступ запрещен. |
Настройка разрешений метабазы IIS
Метабаза IIS является файлом XML, в котором хранится большая часть данных конфигурации IIS.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер» и файл MetaBase.xml. |
Ограничение доступа к файлу MetaBase.xml
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите Проводник. |
2. | Перейдите к файлу Windows\System32\Inetsrv\MetaBase.xml, щелкните правой кнопкой мыши файл, а затем выберите Свойства. |
3. | Щелкните вкладку Безопасность, подтвердите, что только члены группы «Администраторы» и учетной записи LocalSystem имеют полный доступ к метабазе, удалите все остальные разрешения файлов, а затем щелкните ОК. |
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка ограничения доступа к файлу MetaBase.xml
1. | Нажмите сочетание клавиш CTRL+ALT+DEL, а затем выберите Выход из системы. |
2. | Подключитесь к веб-серверу при помощи учетной записи, не обладающей разрешениями на доступ к файлу MetaBase.xml. |
3. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, выберите Проводник, а затем перейдите к местоположению MetaBase.xml. |
4. | Щелкните правой кнопкой мыши файл MetaBase.xml, а затем выберите Открыть. На экране появится следующее сообщение: Доступ запрещен. |
Отключение компонента FileSystemObject
ASP, Windows Script Host и другие работающие со сценариями приложения используют компонент FileSystemObject (FSO) для создания, удаления, получения сведений и управления дисками, папками и файлами. Рассмотрите возможность отключения компонента FSO, но имейте в виду, что при этом будет удален объект Dictionary. Также следует убедиться, что никакие другие программы не используют данный компонент.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. Командная строка. |
Отключение компонента FileSystemObject
1. | Щелкните Пуск, выберите Выполнить, введите cmd в окне Открыть, а затем щелкните ОК. |
2. | Введите cd c:\Windows\system32, а затем нажмите ВВОД для перехода к каталогу C:\Windows\system32. |
3. | В командной строке введите regsvr32 scrrun.dll /u, а затем нажмите ВВОД. На экране появится следующее сообщение: Выполнение операции DllUnregisterServer в scrrun.dll успешно завершено. |
4. | Нажмите кнопку ОК. |
5. | В командной строке введите exit, а затем нажмите ВВОД для закрытия окна командной строки. |
Защита веб-узлов и виртуальных каталогов
Чтобы защититься от обходных атак на каталоги, переместите корневые и виртуальные каталоги узла на несистемный диск. Подобные атаки позволяют взломщикам пользоваться программами и средствами операционной системы. Так как взломщики не могут перейти на другие диски, перемещение содержимого веб-узла на другой диск позволяет защитить его от подобных атак.
В этом разделе находится пошаговая инструкция по выполнению заданий, которые помогут в защите веб-узлов и виртуальных каталогов:
| • | Перемещение содержимого веб-узла на несистемный диск |
| • | Настройка разрешений веб-узла |
Перемещение содержимого веб-узла на несистемный диск
Не используйте установленный по умолчанию каталог \Inetpub\Wwwroot для хранения содержимого веб-узла. Например, если операционная система установлена на диск C:,то рассмотрите возможность переноса веб-узла и его содержимого на диск D:, что позволит избежать обходных атак, в которых взломщик получает доступ к структуре каталогов веб-узла. Убедитесь, что все виртуальные каталоги также находятся на новом диске.
Требования
Для выполнения этой задачи необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. Диспетчер служб IIS (Iis.msc) и командная строка. |
Перемещение содержимого веб-узла на несистемный диск
1. | Щелкните Пуск, выберите Панель управления, выберите Администрирование, а затем дважды щелкните Диспетчер служб IIS. | ||||
2. | Щелкните правой кнопкой мыши веб-узел, содержимое которого нужно переместить, а затем щелкните Остановить. | ||||
3. | Щелкните Пуск, выберите Выполнить, введите cmd в окне Открыть, а затем щелкните ОК. | ||||
4. | В командной строке введите следующую команду: xcopy c:\inetpub\wwwroot\<ИмяУзла> <Диск>:\wwwroot\SiteName /s /i /o где
| ||||
5. | Вернитесь в оснастку диспетчера служб IIS, щелкните правой кнопкой мыши веб-узел и выберите Свойства. | ||||
6. | В зависимости от типа выбранного приложения щелкните вкладку Корневой каталог, Виртуальный каталог или Каталог, введите новое местоположение каталога в окне Локальный путь, а затем щелкните ОК. или Перейдите в местоположение нового каталога, куда были скопированы файлы, а затем нажмите ОК. | ||||
7. | Щелкните правой кнопкой веб-узел, а затем щелкните Пуск. |
Проверка новых настроек
Выполните следующие процедуры для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка перемещения содержимого веб-узла на несистемный диск
1. | Щелкните Пуск, выберите Поиск, а затем выберите Файлы и папки. |
2. | Введите имя файла или его часть в окно Поиск файла по имени выберите местоположение в окне Искать в, а затем щелкните Начать поиск. В результатах поиска будут видны как файлы, перемещенные в новое местоположение, так и файлы, оставшиеся в исходном каталоге. |
Удаление содержимого веб-узла с системного диска
| • | Перейдите в каталог C:\Inetpub\Wwwroot\SiteName, а затем удалите все перемещенные на несистемный диск файлы. |
Проверка удаления содержимого веб-узла с системного диска
1. | Щелкните Пуск, выберите Поиск, а затем выберите Файлы и папки. |
2. | Введите имя файла или его часть в окно Поиск файла по имени выберите местоположение в окне Искать в, а затем щелкните Начать поиск. Результатом поиска будут только те файлы, которые были перенесены в новое местоположение. |
Настройка разрешений веб-узла
На веб-сервере можно настраивать разрешения доступа для отдельных узлов, каталогов и файлов. Эти разрешения применяются ко всем пользователям, независимо от их прав доступа.
Настройка разрешений для каталогов файловой системы
Защита отдельных файлов и каталогов от несанкционированного доступа в службе IIS 6.0 основана на разрешениях NTFS. В отличие от разрешений для веб-узлов, которые применяются к каждому, кто пытается получить доступ к веб-узлу, разрешения NTFS позволяют определять, какие пользователи могут получить доступ к содержимому, а какие пользователи могут управлять этим содержимым. Для повышения безопасности используйте как разрешения для веб-узлов, так и разрешения NTFS.
Списки управления доступом (ACL) указывают, какие пользователи или группы пользователей обладают разрешением на доступ или изменение определенного файла. Вместо настройки списков управления доступом для каждого файла создайте новые каталоги для каждого типа файлов, установите списки управления доступом для каждого каталога, а затем установите наследование файлами разрешений от каталогов, в которых они находятся.
Требования
Для выполнения этих задач необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. «Мой компьютер» и диспетчер служб IIS (Iis.msc). |
Перемещение веб-узла в отдельную папку
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем щелкните Проводник. |
2. | Перейдите к папке, содержащей веб-узел, а затем щелкните папку верхнего уровня содержимого веб-узла. |
3. | В меню Файл выберите Создать, а затем щелкните Папка для создания новой папки для содержимого веб-узла. |
4. | Дайте имя папке, а затем нажмите ВВОД. |
5. | Нажмите CTRL, а затем выберите страницы, которые необходимо защитить. |
6. | Щелкните правой кнопкой страницы, а затем выберите Копировать. |
7. | Щелкните правой кнопкой мыши новую папку, а затем выберите Вставить. |
Примечание. Если ранее были созданы ссылки на эти страницы, то их необходимо обновить и указать новое местоположение содержимого узла.
Установка разрешения для веб-содержимого
1. | Щелкните Пуск, выберите Панель управления, выберите Администрирование, а затем щелкните дважды Диспетчер служб IIS. | ||||||||||||
2. | Щелкните правой кнопкой мыши папку «Веб-узлы», веб-узел, каталог, виртуальный каталог или файл, который необходимо настроить, а затем выберите Свойства. | ||||||||||||
3. | Установите или снимите любой из следующих флажков (в случае возможности) для типов доступа, которые надо предоставить или запретить:
| ||||||||||||
4. | В списке Разрешения на выполнение выберите соответствующий уровень выполнения сценария:
| ||||||||||||
5. | Нажмите кнопку ОК. Если дочерние узлы каталога имеют по разному настроенные разрешения веб-узлов, то появится окно Приоритет наследования. | ||||||||||||
6. | Если появилось окно Приоритет наследования, выберите из списка Дочерние узлы дочерние узлы, к которым будут применены веб-разрешения каталога. или Щелкните Выбрать все для установки веб-разрешений свойства для всех дочерних узлов. | ||||||||||||
7. | Если появилось более одного окна Приоритет наследования, выберите дочерние узлы из списка Дочерние узлы или щелкните Выделить все, а затем щелкните ОК для применения веб-разрешений этого свойства к дочерним узлам. |
Если принадлежащий каталогу, для которого были установлены веб-разрешения, дочерний узел также обладает веб-разрешениями для определенного параметра, то разрешения дочернего узла будут иметь приоритет над разрешениями, установленными для каталога. Чтобы применить к дочерним узлам разрешения веб-узлов, установленные на уровне каталогов, необходимо выбрать эти дочерние узлы в окне Приоритет наследования.
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на веб-сервере.
Проверка запрета записи в каталоги содержимого веб-узла
1. | Нажмите сочетание клавиш CTRL+ALT+DEL, а затем выберите Выход из системы. |
2. | Подключитесь к веб-серверу при помощи учетной записи, обладающей разрешениями на чтение и выполнение в физических или виртуальных каталогах. |
3. | Нажмите Пуск, щелкните правой кнопкой мыши Мой компьютер, нажмите Проводник и выберите местоположение файла, который будет скопирован в физический или виртуальный каталог. |
4. | Щелкните правой кнопкой мыши файл, а затем выберите Копировать. |
5. | Перейдите к местоположению физического или виртуального каталога, а затем щелкните правой кнопкой мыши каталог. В контекстном меню недоступен пункт Вставить, а это означает, что нет разрешения на запись в данный каталог. |
Настройка протокола SSL на веб-сервере
Установите настройки безопасности протокола SSL на веб-сервере для проверки целостности содержимого и идентификаторов пользователей, а также для шифрования передачи данных по сети. Протокол SSL является основным требованием в том случае, если на веб-узле планируется получение транзакций кредитных карт. Безопасность протокола SSL основана на сертификате сервера, позволяющего пользователю перед отправкой личных сведений, таких как номер кредитной карты, авторизовать веб-узел. Каждый веб-узел может иметь только один сертификат сервера.
Получение и установка сертификата сервера
Сертификаты выдаются несвязанными с корпорацией Майкрософт организациями, которые называются центрами сертификации (ЦС). Сертификат сервера обычно связан с веб-сервером, особенно с веб-сервером, в котором настроен протокол SSL. Необходимо создать запрос на сертификат, отправить запрос в ЦС, а после получения сертификата из ЦС его установить.
Сертификаты основаны на паре ключей шифрования — одном публичном и одном частном — для обеспечения безопасности. При создании запроса на сертификат сервера происходит формирование закрытого ключа. А полученный из ЦС сертификат сервера будет содержать закрытый ключ.
Требования
Для выполнения этих задач необходимо следующее:
| • | Учетные данные. Необходимо войти в систему в качестве члена группы «Администраторы» на веб-сервере. |
| • | Сервис. Диспетчер служб IIS (iis.msc) и мастер сертификатов веб-сервера. |
Создание запроса на сертификат сервера
1. | Щелкните Пуск, щелкните правой кнопкой мыши Мой компьютер, а затем выберите команду Управление. |
2. | Щелкните дважды пункт Службы и приложения, а затем щелкните дважды Службы IIS. |
3. | Щелкните правой кнопкой мыши веб-узел, на который будет установлен сертификат сервера, а затем выберите Свойства. |
4. | Щелкните вкладку Безопасность каталогов. В разделе Защита обмена данными выберите Сертификат сервера для запуска мастера сертификатов веб-сервера, а затем выберите Далее. |
5. | Щелкните Создать новый сертификат, а затем выберите Далее. |
6. | Щелкните Подготовить запрос сейчас, но отправить позже, а затем щелкните Далее. |
7. | В окне Имя введите имя, которое легко запомнить. (Именем по умолчанию является имя веб-узла, для которого создается запрос на сертификат, например http://www.contoso.com.) |
8. | Укажите длину в битах, а затем щелкните Далее. Длина ключа шифрования в битах определяет уровень шифрования. Большинство центров сертификации, не относящихся к корпорации Майкрософт, требуют, чтобы минимальная длина ключа была 1 024 бита. |
9. | В разделе Организация введите сведения об организации и организационной единице. Убедитесь, что введенная информация верна и что в поле «Организация» нет запятых, а затем щелкните Далее. |
10. | В разделе Общее имя узла введите имя компьютера вместе с именем домена, а затем щелкните Далее. |
11. | Введите географические сведения, а затем щелкните Далее. |
12. | Сохраните файл как файл TXT. (По умолчанию местоположение и имя файла следующие: C:\certreq.txt.) В следующем примере показано, как выглядит файл запроса на сертификат.
-----BEGIN NEW CERTIFICATE REQUEST-----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 Jb9/2RM=
-----END NEW CERTIFICATE REQUEST-----
|
13. | Подтвердите содержание запроса, щелкните Далее, а затем щелкните Готово. |
Отправка запроса на сертификат сервера
1. | Свяжитесь с ЦС для выяснения необходимых требований для направления запроса. |
2. | Преобразуйте содержимое созданного в предыдущей процедуре файла TXT в требуемый центром сертификации формат запроса. |
3. | Отправьте запрос в ЦС. |
После получения сертификата из ЦС можно сразу начать установку сертификата веб-сервера.
Установка сертификата сервера
1. | Скопируйте файл сертификата (CER) в папку «C:\Windows\System32\CertLog». |
2. | Щелкните Пуск, выберите Панель управления, щелкните Администрирование, а затем дважды щелкните Диспетчер служб IIS. |
3. | Щелкните правой кнопкой мыши веб-узел, на который будет установлен сертификат сервера, а затем выберите Свойства. |