Дабы облегчить жизнь администраторам серверов IIS 5.0 на платформе Windows 2000, разработчики Microsoft выпустили рекомендации по защите сайтов. К счастью, список рекомендаций оказался заметно короче, чем аналогичный для IIS 4.0. Причиной тому — шаблон системы защиты hisecweb.inf, устраняющий массу проблем, присущих IIS 4.0. Шаблон можно загрузить по адресу www.microsoft.com/technet/security/iis5chk.asp.

Перечислим основные рекомендации. Как обычно, они начинаются с установки прав доступа к различным виртуальным каталогам сервера,

Кроме того, предлагается сгруппировать файлы одного типа (исполняемые файлы, изображения, статические страницы, сценарии и т.п.) в отдельные папки, установить для этих папок рекомендованные в приведенной выше таблице разрешения и задать наследование этих разрешений для файлов, хранящихся в папках. При таком подходе типичная структура каталогов Web-сервера может выглядеть, например, так:

c:inetpubwwwrootmyserverstatic (.html)

c:inetpubwwwrootmyserverinclude (.inc)

c:inetpubwwwrootmyserverscript (.asp)

c:inetpubwwwrootmyserverexecutable (.dll)

c:inetpubwwwrootmyserverimages (.gif, .jpeg)

Особого внимания требуют каталоги FTP-сервера (c:inetpubftproot) и SMTP-сервера (c:inetpubmailroot). По умолчанию группа Everyone имеет разрешение Full Control для обоих каталогов, однако контроль должен быть более жестким. Степень контроля определяется требованиями к защите. Если планируется разрешить пользователям запись файлов на FTP-сервер, следует разместить этот каталог отдельно от других каталогов IIS или воспользоваться механизмом квот Windows 2000 для ограничения объема данных, которые можно записать в данный каталог.

Права доступа к папке журналов IIS (%systemroot%system32LogFiles) должны быть установлены следующим образом:

Administrators (Full Control)

System (Full Control)

Everyone (RWC)

Это позволит предотвратить несанкционированное удаление журналов.

Протоколирование — обязательный элемент защиты сайта. В Microsoft рекомендуют использовать формат W3C Extended Logging и протоколировать следующие поля:

IP-адрес клиента

имя пользователя

метод

URL

HTTP-статус

Win32-статус

клиент

IP-адрес сервера

порт сервера

Два последних поля можно задействовать, если на одном компьютере расположено несколько Web-серверов.

IIS позволяет ограничить список IP-адресов или доменных имен, имеющих право доступа к серверу. Этот метод контроля доступа не пользуется особой популярностью, но тем не менее в некоторых случаях он помогает. Нужно иметь в виду, что если при перечислении узлов, которым запрещается или разрешается доступ, задаются доменные имена, серверу придется постоянно преобразовывать их в IP-адреса, затрачивая дополнительные ресурсы.

Часто возникает вопрос, можно ли запускать тот или иной исполняемый модуль на Web-сервере. Общего рецепта не существует, но помочь может простой тест — воспользуйтесь утилитой DumpBin и посмотрите, не вызывает ли приложение какие-нибудь подозрительные API. Например, вот как посмотреть, не использует ли библиотека MyISAPI.dll вызывающий подозрение вызов RevertToSelf:

dumpbin /imports MyISAPI.dll | find "RevertToSelf"

Вполне естественно выглядит и еще одна рекомендация — удалить с производственного сервера все учебные приложения (они, кстати, по умолчанию не устанавливаются). Следует удалить и приложения, доступные только локально (по адресу http://localhost или 127.0.0.1). Каталоги учебных приложений перечислены в приведенной Таблице 2.

Некоторые COM-компоненты приложениями не используются. Такие компоненты рекомендуется удалить. Это относится прежде всего к компоненту File System Object; однако следует иметь в виду, что при этом удаляется и объект Dictionary. Компонент File System Object удаляется следующей командой:

regsvr32 scrrun.dll /u

Этот виртуальный каталог позволяет изменять пароли Windows NT и Windows 2000. Он предназначен для узлов intranet и не устанавливается по умолчанию при инсталляции IIS 5, но не удаляется при модернизации IIS 4. Если сервер не обслуживает intranet или просто доступен через Internet, данный каталог следует удалить. Более подробно этот вопрос обсуждается в статье базы знаний Microsoft Q184619.

По умолчанию IIS распознает некоторые расширения файлов и поддерживает выполнение стандартных операций с ними. Если вы не пользуетесь соответствующими средствами, удалите ненужные отождествления с помощью Диспетчера служб Internet (Internet Services Manager),

Полный список рекомендаций см. по адресу www.microsoft.com/technet/security/iis5chk.asp.