div.main {margin-left: 20pt; margin-right: 20pt}Защита Web сайтов на платформе IIS
5.0/Windows 2000Том
Хакэби
Дабы облегчить жизнь администраторам серверов IIS 5.0 на
платформе Windows 2000, разработчики Microsoft выпустили
рекомендации по защите сайтов. К счастью, список рекомендаций
оказался заметно короче, чем аналогичный для IIS 4.0. Причиной тому
— шаблон системы защиты hisecweb.inf, устраняющий массу проблем,
присущих IIS 4.0. Шаблон можно загрузить по адресу www.microsoft.com/technet/security/iis5chk.asp.
Перечислим основные рекомендации. Как обычно, они начинаются с
установки прав доступа к различным виртуальным каталогам сервера,
Кроме того, предлагается сгруппировать файлы одного типа
(исполняемые файлы, изображения, статические страницы, сценарии и
т.п.) в отдельные папки, установить для этих папок рекомендованные в
приведенной выше таблице разрешения и задать наследование этих
разрешений для файлов, хранящихся в папках. При таком подходе
типичная структура каталогов Web-сервера может выглядеть, например,
так:
c:inetpubwwwrootmyserverstatic (.html)
c:inetpubwwwrootmyserverinclude (.inc)
c:inetpubwwwrootmyserverscript (.asp)
c:inetpubwwwrootmyserverexecutable (.dll)
c:inetpubwwwrootmyserverimages (.gif, .jpeg)
Особого внимания требуют каталоги FTP-сервера
(c:inetpubftproot) и SMTP-сервера (c:inetpubmailroot). По
умолчанию группа Everyone имеет разрешение Full Control для обоих
каталогов, однако контроль должен быть более жестким. Степень
контроля определяется требованиями к защите. Если планируется
разрешить пользователям запись файлов на FTP-сервер, следует
разместить этот каталог отдельно от других каталогов IIS или
воспользоваться механизмом квот Windows 2000 для ограничения объема
данных, которые можно записать в данный каталог.
Права доступа к папке журналов IIS
(%systemroot%system32LogFiles) должны быть установлены следующим
образом:
Administrators (Full Control)
System (Full Control)
Everyone (RWC)
Это позволит предотвратить несанкционированное удаление
журналов.
Протоколирование
Протоколирование — обязательный элемент защиты сайта. В Microsoft
рекомендуют использовать формат W3C Extended Logging и
протоколировать следующие поля:
IP-адрес клиента
имя пользователя
метод
URL
HTTP-статус
Win32-статус
клиент
IP-адрес сервера
порт сервера
Два последних поля можно задействовать, если на одном компьютере
расположено несколько Web-серверов.
Ограничение доступа к серверу
IIS позволяет ограничить список IP-адресов или доменных имен,
имеющих право доступа к серверу. Этот метод контроля доступа не
пользуется особой популярностью, но тем не менее в некоторых случаях
он помогает. Нужно иметь в виду, что если при перечислении узлов,
которым запрещается или разрешается доступ, задаются доменные имена,
серверу придется постоянно преобразовывать их в IP-адреса,
затрачивая дополнительные ресурсы.
Проверка исполняемых модулей
Часто возникает вопрос, можно ли запускать тот или иной
исполняемый модуль на Web-сервере. Общего рецепта не существует, но
помочь может простой тест — воспользуйтесь утилитой DumpBin и
посмотрите, не вызывает ли приложение какие-нибудь подозрительные
API. Например, вот как посмотреть, не использует ли библиотека
MyISAPI.dll вызывающий подозрение вызов RevertToSelf:
dumpbin /imports MyISAPI.dll | find "RevertToSelf"
Учебные приложения
Вполне естественно выглядит и еще одна рекомендация — удалить с
производственного сервера все учебные приложения (они, кстати, по
умолчанию не устанавливаются). Следует удалить и приложения,
доступные только локально (по адресу http://localhost или
127.0.0.1). Каталоги учебных приложений перечислены в приведенной Таблице
2.
Неиспользуемые COM-компоненты
Некоторые COM-компоненты приложениями не используются. Такие
компоненты рекомендуется удалить. Это относится прежде всего к
компоненту File System Object; однако следует иметь в виду, что при
этом удаляется и объект Dictionary. Компонент File System Object
удаляется следующей командой:
regsvr32 scrrun.dll /u
виртуальный каталог IISADMPWD
Этот виртуальный каталог позволяет изменять пароли Windows NT и
Windows 2000. Он предназначен для узлов intranet и не
устанавливается по умолчанию при инсталляции IIS 5, но не удаляется
при модернизации IIS 4. Если сервер не обслуживает intranet или
просто доступен через Internet, данный каталог следует удалить.
Более подробно этот вопрос обсуждается в статье базы знаний
Microsoft Q184619.
Неиспользуемые отождествления
По умолчанию IIS распознает некоторые расширения файлов и
поддерживает выполнение стандартных операций с ними. Если вы не
пользуетесь соответствующими средствами, удалите ненужные
отождествления с помощью Диспетчера служб Internet (Internet
Services Manager), Полный список рекомендаций см. по адресу www.microsoft.com/technet/security/iis5chk.asp.
|