Интернет изначально был создан без учета требований безопасности; он разрабатывался компьютерными специалистами и предназначался для их собственных нужд. При отсутствии концепции сетевой защиты в стек межсетевых протоколов четвертой версии (IP v4) не были встроены функции безопасности. С момента создания интернета с каждым годом растет количество атак на системы. Иногда кажется, что всем этим червям, вирусам, "троянским коням", хакерству, крэкингу и саботажу не будет конца! Единственным способом защитить себя и свои системы является внимательное изучение последних угроз в области безопасности, особенно, если речь идет о высокотехнологичных серверах и приложениях.

Причины уязвимых мест

Уязвимые места появляются по целому ряду причин.

• Уровень обновления, установленного для приложения, недостаточен для требуемого уровня защиты.
• Неправильная конфигурация приложений.
• Антивирусное программное обеспечение просрочено или отсутствует.
• Отсутствует сетевой экран.
• Администраторы слишком доверяют персоналу, и разрешения установлены неправильно.
• Недостаток физической безопасности.
• Отсутствие шифрования секретных данных.

Интересен тот факт, что с точки зрения безопасности наиболее эффективные атаки становятся возможными в результате созданных человеком уязвимых мест. Черви и вирусы вызывают значительные разрушения и могут вывести систему из строя. Но более серьезной проблемой является то, что злоумышленники проникают к секретным данным с помощью сотрудников, имеющих полномочия в системе. Ниже показано, как это происходит.

Джо: Алло?

Хакер: Добрый день, это Боб из службы поддержки. У нас возникла проблема с сетью, и мы определили, что ее причиной является ваш идентификатор.

Джо: Нет, этого не может быть...

Хакер: Да, именно так. Пожалуйста, не могли бы вы продиктовать ваш идентификатор пользователя, чтобы я мог его сверить?

Джо: Разумеется. Мой идентификатор – JoeUser99.

Хакер: Да, вроде бы все правильно. Не могли бы вы также продиктовать свой пароль?

Джо: Конечно. Мой пароль – Nancy, это имя моей жены.

Хакер: Отлично! Теперь, а думаю, мы справимся с проблемой в сети. Спасибо за помощь!

Джо: Всегда пожалуйста!

Теперь хакер имеет доступ в системе ко всему, к чему имеет доступ Джо. В данном случае не поможет даже установка самых совершенных обновлений и программных средств.

Как защитить систему

Сначала необходимо разработать надежную методологию безопасности. Она является уникальной в каждом отдельном случае, однако есть ключевые моменты, которые необходимо учитывать в любой методологии.

• Определение типов возможных атак.
• Определение тех мест, в которых возможны атаки.
• Определение потенциально уязвимых мест.
• Процедуры восстановления после атак.
• Применение систем обнаружения вторжений (IDS).

Общие типы нарушений безопасности

Существует несколько хороших технологических решений, предназначенных для устранения проблем безопасности, связанных с "человеческим фактором". Поэтому не будем обсуждать эту сторону проблемы, несмотря на то, что уязвимые места, создаваемые пользователями, как уже говорилось, находятся в первых строках перечня угроз безопасности. Вместо этого расскажем о некоторых общих типах возможных атак и способах их предотвращения при помощи технологических решений.

Вирусы

Вирусом называется программа, определенным образом "инфицирующая" компьютер, в некоторых случаях с причинением вреда, посредством добавления самой себя в легитимные файлы системы. Важнейшими характеристиками вирусов являются следующие.

• Вирусы выполняют себя на компьютере-жертве посредством несущего файла.
• Вирусы размножаются.

Компьютерный вирус во многом похож на обычный биологический вирус – он атакует и ослабляет здоровые компоненты системы. Вирус часто заражает компьютеры посредством замены легитимной программы на компьютере-жертве самим собой. После этого "инфицированный" компьютер используется вирусом для заражения других компьютеров.

Троянские кони

"Троянский конь" – это скрытая функция, встроенная во внешне безобидную программу, нарушающая безопасность системы. Типичным примером "троянского коня" является программа-шутка, распространяемая через электронную почту. При ее открытии ничего не подозревающим пользователем в систему загружается некоторый "специальный" код. После загрузки он выполняет другой – вредоносный – код.

Черви

Червь по своей сути аналогичен вирусу, за исключением того, что ему не нужен несущий файл. Файл червя проникает на компьютер посредством самораспространения, причем он размножается до такой степени, что начинает конкурировать с выполняющимися приложениями, в итоге подавляя их и вызывая сбой в системе. Через механизм самораспространения черви проникают в другие системы. На сегодняшний день черви являются самым популярным видом атак.

Переполнение буфера

Черви атакуют системы с помощью различных методов, но чаще всего в мире продуктов Microsoft используется атака на переполнение буфера. Этот метод применяли черви Nimda, Slammer и Code Red.

Буфером называется временная область памяти, используемая программами для хранения данных при ожидании передачи, например, между областью данных приложения и другим устройством, либо при ожидании их обработки. Буферы широко используются в программировании. Для этих данных определяются конкретные размеры, и нужен буфер строго соответствующего объема. Переполнение буфера происходит в том случае, когда программа или процесс пытается записать в буфер больше данных, чем он может вместить.

Рассмотрим на простом примере. Предположим, что два приложения взаимодействуют друг с другом и первое, что они "говорят": "Привет". Как программист вы, скорее всего, установите размер буфера равным 6 символов, чтобы это слово в него поместилось. А теперь, если программа "скажет" что-то вроде: "Эй, как дела?", то, очевидно, что эта фраза не будет соответствовать установленному стандарту.

Если бы в информационном мире отсутствовали хакеры, это не представляло бы никакой опасности. Просто ваша программа стала бы неправильно взаимодействовать с другой программой, и пользователь не отклонялся бы от установленного стандарта при взаимодействии с ней. Однако хакер именно не хочет, чтобы его программа правильно работала с системой – в этом и заключается вся суть хакерства.

В нашем примере стандарт программирования предусматривает тот факт, что установка связи между программами начинается с приветствия. Следующие за этим данные сообщают программе о том, какие действия необходимо выполнить. Предположим, что в нашем случае длина этих данных равняется 18 символам. Нормальный фрагмент данных выглядит так:

Ваша программа проверит данные и выполнит инструкции.

А теперь реализуем переполнение буфера, умышленно увеличив длину данных:

Так как длина первого отрезка данных больше допустимых шести символов, эти данные перезаписываются во второй буфер, вследствие чего в раздел данных попадает инструкция, предоставляющая права администратора! В этом месте червь может загрузить в систему вредоносный код.

Данный тип атаки получил широкое распространение по той причине, что неправильное построение программ в сочетании с реализацией буферов на языках C и C++ не позволяет приложениям обрабатывать некорректные пакеты.

Червь Code Red является прекрасным примером вредоносной программы, использующей такую тактику. Ниже приведен запрос с переполнением буфера, с помощью которого он проник в систему через службу индексирования.

Обратите внимание на запрос файла /default.ida, являющийся набором символов для переполнения буфера, а также на инструкции, начинающиеся с символа %.

Определения

Давайте сначала ознакомимся с некоторыми важными терминами. Компания Microsoft ввела в обиход такие понятия, как сервис-пакеты, "горячие исправления" и надстройки безопасности.

Сервис-пакеты. Сервис-пакеты представляют собой наборы обновлений программного обеспечения, объединенных вместе для простоты установки. Они устраняют ошибки в коде, совершенствуют возможности программных продуктов и содержат обновления драйверов. Они также предоставляют дополнительные функциональные возможности, и, как правило, подвергаются возвратному тестированию. Сервис-пакеты кумулятивны –хороший сервис-пакет содержит исправления, включенные в предыдущие версии. Это очень удобно, так как для установки всех обновлений требуется инсталлировать только один сервис-пакет.

"Горячие исправления". "Горячие исправления" представляют собой патчи для определенных продуктов, обеспечивающие обновление по конкретным параметрам. Они не подвергаются возвратному тестированию перед выходом в свет, и не предназначены для повсеместной установки пользователями. "Горячее исправление" следует устанавливать только, когда произошла конкретная серьезная ошибка, для устранения которой оно и разработано. Как правило, "горячие обновления" создаются в том случае, если возникшую ошибку нельзя обойти обычными способами.

Надстройки безопасности. Надстройкой безопасности обычно называется "горячее исправление", устраняющее конкретное уязвимое место. При работе с надстройками безопасности руководствуются теми же правилами, что и при установке "горячих обновлений". Поскольку обновления безопасности, как правило, устраняют серьезные уязвимые места, при вынесении решения об их установке нужно все тщательно продумать.

Как защититься от атаки

Систему можно защитить от атак несколькими способами. Неважно, какой способ вы выберете, главное – обеспечить безопасность информации. Труднее бороться с теми угрозами, которые себя никак не обнаруживают.

Инициатива защиты Windows

В ответ на тот факт, что атаки компьютерных систем стали обыденными событиями, компания Microsoft реализовала так называемую инициативу защиты Windows (Secure Windows Initiative, SWI). SWI является внутренней концепцией Microsoft, повышающей уровень защищенности продуктов компании от вредоносных атак. Команда SWI дает разработчикам консультации, помогающие им в создании более защищенных программ. В дополнение к определению программ, потенциально подверженных атакам на переполнение буфера, SWI использует и другие технологии безопасности, например, шифрование. Несмотря на то, что язык C оставляет возможность реализации атак на переполнение буфера, проблемы безопасности, связанные с ним, уже хорошо изучены. Для предотвращения проявления угроз лучше всего руководствоваться правилами безопасного программирования.

Перечисленные аспекты безопасности стали неотъемлемой частью процесса разработки Windows Server 2003, именно поэтому IIS 6 более защищен по сравнению с предыдущими версиями компонента.

Устанавливать обновление или нет?

Несмотря на то, что следует серьезно относиться к обновлениям, связанным с безопасностью, не следует устанавливать абсолютно все, появляющееся на рынке. Перед установкой нового патча хорошенько подумайте. Нужно быть абсолютно уверенным, что риск от того, что вы не установите это обновление, будет больше, чем риск, связанный с его установкой. Выясните эффективность и пользу от применения патча, а также чем можно поплатиться, если патч не будет установлен.

Рассмотрите также срочность установки обновления. Например, устранение в программе конкретной ошибки, создающей уязвимое место в системе, является необходимым обновлением, и установка его нужнее, чем, скажем, обновления, обеспечивающего дополнительную функциональность.

Установка обновлений в системе

К сожалению, ни одна программа с длиной кода в миллионы строк не может быть идеальной, и в ней всегда найдутся уязвимые места. Один из лучших способов обеспечения безопасности – установка в системе самых последних обновлений. Вирусы и черви редко используют абсолютно все новые уязвимые места; чаще всего их атаки направлены на известные "бреши", для которых уже существуют обновления и "заплатки". Обычно пользователи при обнаружении уязвимости сообщают о ней в Microsoft, после чего создается "заплатка", которая выходит в свет вместе с сообщением о новой уязвимости.

Процесс администрирования и установки обновлений

При администрировании среды с критичными для бизнеса функциональными возможностями крайне необходимо использовать контролируемый процесс при обновлении системы. Ниже приведены некоторые рекомендации, которые помогут приступить к процедуре обновления.

Использование контроля изменений. Первым и самым главным шагом должен быть контроль за изменением системы. Этот процесс обеспечивает следующее:

• определение владельцев системы, обновлений и приложений;
• связь со всеми, кто имеет отношение к обновлению;
• период ожидания, во время которого заинтересованные стороны могут высказать возражения или задать вопросы; рекомендуется получить разрешение от каждого из владельцев приложения перед установкой обновления;
• журнал аудита и план восстановления;
• назначенное время установки и определенное окно регистрации.

Будьте объективны. При установке обновлений убедитесь, что к каждому серверу применен одинаковый уровень обновлений (если нет веских причин пренебречь этим). Необходимо соблюдать особую внимательность при работе с контроллерами доменов, так как несинхронизированные обновления вызывают сбои при репликации и аутентификации между контроллерами доменов.

Ознакомьтесь с документацией. Всегда полностью читайте документацию по обновлению перед его установкой, чтобы понять, какие действия будут выполнены. Таким образом, вы определите, не произойдет ли отключение нужной функции, не возникнут ли проблемы с оборудованием или программным обеспечением системы. Вы узнаете также, какие обновления необходимы в первую очередь, а какие – наименее важны.

Проводите тестирование. В организации рекомендуется иметь тестовую лабораторию для проверки новых обновлений перед их установкой на основные системы. Если вы полностью удовлетворены положительными результатами тестирования, и каждый сотрудник лаборатории поставил подпись под этими результатами, то вначале установите обновление на наименее критичные системы. При возникновении какие-либо трудностей не устанавливайте обновление, особенно, если оно не является обновлением безопасности, а всего лишь добавляет новую функциональную возможность.

Обеспечьте возможность деинсталляции обновления. По возможности устанавливайте обновления так, чтобы их впоследствии можно было деинсталлировать. При возникновении проблем в системе вы сможете легко выполнить "откат". Обычно в наличии имеются все необходимые средства для деинсталляции. Создайте резервную копию информации о состоянии системы и держите ее под рукой, а также, на всякий случай, полную резервную копию всей системы.

Убедитесь в соответствии обновления системе. Нужно быть уверенным в том, что обновление необходимо для системы. Применение более поздних обновлений WS03, чем SP1, перед установкой SP1, является не очень хорошей идеей. Вам не нужно также устанавливать на сервере обновления клиентов, например, обновления Internet Explorer, поскольку эту программу сервер, скорее всего, не использует. Кроме того, рекомендуется установка целого сервис-пакета вместо большого количества отдельных обновлений, входящих в его состав.

Работа с обновлением Windows

Как узнать об обновлениях Windows?

• Ежедневно посещайте веб-страницу Microsoft Windows Update http://windowsupdate.microsoft.com для проверки обновлений и знакомства с материалами, относящимися к вашей системе.
• С помощью программы Windows Automatic Updating, автоматически устанавливающей обновления.

Системные администраторы, в основном, выполняют большой объем работы, поэтому второй вариант для них более приемлем. Программа Windows Automatic Updating является стандартным элементом WS03; она периодически проверяет сайт Windows Update на наличие доступных обновлений для конкретной системы.

Установка автоматических обновлений

Для настройки Windows на запуск программы Windows Updates выполните следующие действия.

1. Выберите Start\Control Panel, затем щелкните на значке System (Система).
2. В окне System Properties (Свойства системы) откройте вкладку Automatic Updates (Автоматическое обновление). Функция автоматического обновления включена по умолчанию, поэтому убедитесь в том, что отмечена опция Keep My Computer Up To Date (Проверять наличие обновлений) (см. рис. 6.1).
3. Выберите конкретные настройки (о них пойдет речь далее), определяющие время и способ выполнения обновления.
4. После выбора нужных параметров нажмите OK.

Notify Me Before Downloading (Уведомить перед загрузкой). При выборе опции программа автоматического обновления уведомляет о любых файлах, которые она намеревается загрузить. После разрешения загрузки появится сообщение о готовности к установке обновления. Для окончания установки перезагрузите компьютер.

Download the Updates Automatically (Автоматически загружать обновления). При выборе опции все обновления загружаются автоматически, но перед установкой каждого из них запрашивается подтверждение. Если для окончания установки требуется перезагрузка компьютера, отобразится соответствующий запрос.

Automatically Download and Install (Автоматическая загрузка и установка). При выборе опции обновления автоматически загружаются и устанавливаются в указанное время. Перезагрузка компьютера осуществляется автоматически, независимо от выполняемых в системе действий. Если в этот момент в системе будет находиться администратор, он сможет отменить перезагрузку; в противном случае система отправит уведомление всем подключенным пользователям и перезагрузится.

Работа с веб-сайтом Windows Update

Вы можете при желании посещать сайт Windows Update http://windowsupdate.microsoft.com и проверять наличие обновлений. Сайт Windows Update установит в систему элемент управления ActiveX. Этот элемент осуществляет сканирование компьютера и определяет, какие обновления требуются данному компьютеру. На сайте можно установить расширения продукта.

Обеспечение безопасности IIS

Теперь, после знакомства с обновлениями и уязвимым местами, давайте подумаем о том, как обеспечить безопасность IIS. Раньше IIS был довольно открытым для общего доступа компонентом, что послужило причиной возникновения проблем, связанных с нарушением безопасности. IIS 6 по умолчанию устанавливается в заблокированном виде. Тем не менее, некоторые шаги помогут сделать IIS более защищенным компонентом.

Не устанавливайте ненужные компоненты

Вам не нужна служба FTP? Так не устанавливайте ее! Вы не будете использовать серверные расширения BITS? Не устанавливайте их только из-за красивого названия! Чем больше компонентов установлено, тем больше уязвимых мест появится на сайте, особенно, если компоненты не будут как следует настроены.

Не включайте просмотр каталогов

Включение этой функции разрешит любому пользователю просматривать список файлов в каталоге, если на сайте не установлена страница по умолчанию. Излишне говорить о том, что это представляет собой угрозу безопасности.

Блокировка cmd.exe

Для захвата контроля над системой хакеры обычно используют командную строку. Каталог system32 располагается не в папке веб-сайта, однако уязвимость, связанная с переполнением буфера, позволяет хакерам запустить файл cmd.exe. Защита файлов (Windows File Protection) затрудняет удаление и переименование этого файла. Если файл не нужен, просто измените разрешения для каждого пользователя, чтобы ни у кого не было доступа к файлу, вплоть до игнорирования анонимной учетной записи. В случае необходимости администратор присвоит разрешения заново. Такие действия затруднят работу хакера по захвату контроля над системой.

Установите на сайте разрешения на выполнение

Существуют три вида разрешений на выполнение: None (Нет), Scripts (Сценарии) и Execute (Выполнение). Убедитесь, что для сайта выбраны наиболее ограничительные разрешения, обеспечивающие максимальный уровень безопасности. Если вы используете страницы ASP или статическое содержимое (не приложения CGI), то выберите разрешение Scripts (Сценарии). Если на сайте не используются даже сценарии ASP, выберите опцию None (Нет).

Опция None (Нет)

Позволяет открывать только статические страницы и запрещает выполнение сценариев. Такой подход запрещает выполнение любых приложений серверной части. По умолчанию параметр None установлен для всех веб-сайтов.

Scripts (Сценарии)

Позволяет выполнять сценарии ASP с помощью ISAPI. Поскольку сценарии выполняются на сервере, при разрешении их выполнения возрастает угроза безопасности.

Execute (Выполнение)

Разрешает выполнение всех элементов, допускает доступ и выполнение файлов любого типа. Параметр Execute является самым разрешительным.

Не устанавливайте на сайте разрешения Write (Запись)

При наличии на сайте разрешений на выполнение не включайте разрешение на запись. В этом случае любой пользователь сможет отгрузить на сайт исполняемый файл и запустить его на сервере! Если пользователям нужно разрешить запись содержимого на веб-сайт, найдите для этого другой способ. Разрешения на запись не нужны, если пользователи не отгружают файлы на сайт с помощью протокола HTTP.

Избегайте использования базовой аутентификации

При базовой аутентификации имя пользователя и пароль передаются по сети в открытом виде. Это очень небезопасно, поскольку любой пользователь, прослушивающий сеть, сможет перехватить соответствующий пакет и раскрыть имя пользователя и пароль. Для устранения данной проблемы применяется шифрование трафика, однако рекомендуется более мощная защита, такая как Windows Integrated Authentification (Интегрированная аутентификация Windows), с шифруемым обменом данных при проверке подлинности пользователей. Не забудьте про аутентификацию Digest Authentification (Аналитическая аутентификация), которая работает с учетной записью Active Directory. В качестве альтернативы применяется новый тип аутентификации от Microsoft – при помощи .NET Passport (см. лекцию 7).

Настройка журналов

Рекомендуется вести журналы для записи событий сайта. Журналы отслеживают и фиксируют IP-адреса и имена всех пользователей, подключающихся к сайту. Журналы позволяют выявлять злоумышленников, проникших на сайт.

Отключите ненужные расширения приложений ISAPI

WS03 поставляется с ограниченным числом включенных приложений ISAPI. Это показано во вкладке Mappings (Связи) диалогового окна Application Configuration (Настройка приложений) (см. рис. 6.2). Проблемные расширения .htr исключены из IIS 6, в чем также можно убедиться по рисунку. Расширения .htr разрешали пользователям изменять свои пароли через интернет. Эти сценарии были связаны с библиотекой ISM.DLL, в которой присутствовали некоторые уязвимые места. Раньше Microsoft рекомендовала отключить эти расширения, теперь от них полностью отказались, и файл ISM.DLL более не существует.

Ниже приведены приложения ISAPI, имеющиеся в IIS 6, с описанием их функций.

• .asa. Расширение связано с файлом asp.dll и предназначено для файлов ASP, имеющих глобальное значение или же используемых конкретным приложением. Эти файлы необходимы для большинства сайтов ASP.
• .asp. ASP является самым главным элементом сайтов Microsoft, выполняющихся на серверной части.
• .cdx. Позволяют использовать файлы определения каналов. Понятие каналов внедрено в IE 4 и под этим термином обычно подразумеваются веб-страницы с файлом определения канала, устанавливающим структуру страницы.
• .cer. Дают возможность осуществлять работу с сертификатами для ASP посредством сервера сертификатов.
• .idc. Используются для подключений к базам данных интернет; поддерживаются библиотекой httpodbc.dll.
• .shtm, .shtml, .stm. Предназначены для включений серверной части, связаны с файлом ssinc.dll, обрабатывающим включения.

Скрывайте использование сценариев

Хороший способ спрятать использование сценариев ASP заключается в следующем. Свяжите файлы .htm с ASP.dll. IIS особо не выделяет отдельные расширения, а просто нуждается в информации о том, что делать с конкретным файлом. Каждый файл .htm будет выполняться через asp.dll, с обработкой содержимого ASP. Несмотря ни на что, пользователь увидит конечный результат в виде обычной страницы HTML.

Используйте SSL на веб-сайтах с секретными данными

Протокол защищенных сокетов SSL позволяет шифровать данные между браузером и веб-сервером, что исключает возможность их просмотра кем-либо. Личность клиентов подтверждается клиентским сертификатом. О технологии SSL и сертификатах вы узнаете в лекции 10.

Всегда используйте разрешения NTFS

Эта рекомендация не подлежит обсуждению! Файловая система NTFS обеспечивает безопасность, а системы FAT и FAT32 – нет. Всегда размещайте веб-сайты в разделах NTFS и блокируйте разрешения. Полезной настройкой WS03 является то, что по умолчанию никому не предоставляются права полного доступа. Определите анонимного пользователя интернета на данном компьютере и обеспечьте максимальную блокировку учетной записи на уровне файловой системы. К сожалению, его нельзя полностью заблокировать, запретив выполнение всех действий, так как некоторые программы размещают в папке system32 файлы DLL-библиотек, которые нужны пользователю для работы. Выход из данного положения – использование для таких программ только аутентифицируемых учетных записей.

Постоянно ожидайте вторжения хакеров

Сетевые экраны и узловые системы обнаружения вторжений (IDS) помогают выявлять злоумышленников, пытающихся проникнуть на сайт, в режиме реального времени. Эти меры достаточно дороги, и их установка занимает много времени. Однако, если рассматриваемый сайт является серьезным проектом, игра стоит свеч. Сетевые экраны, помимо ограничений проходящего через них трафика, также уведомляют о подозрительной активности. Узловые системы обнаружения вторжений работают непосредственно на сервере и генерируют уведомления при появлении подозрительного трафика. Средства защиты обоих типов помогают пресечь несанкционированные действия, что называется, "по горячим следам".

Попытайтесь взломать свой сайт

Попробуйте взломать свой собственный веб-сайт и выясните, что из этого получится. Есть приложения, которые помогут определить уязвимые места сайта. Создайте тестовый сервер, настроенный так же, как и основной, запустите программу взлома и выясните наличие уязвимых мест, снижающих уровень защищенности сайта. Вы так же узнаете, насколько легко (или трудно) осуществить несанкционированный доступ к сайту.

Обеспечьте контроль серверов IIS

Наконец, одним из лучших способов обеспечения надежной защиты серверов IIS является их контроль специальной группой лиц, в достаточной степени осведомленных в области повышения стойкости серверов IIS, их блокировки и обновлений. Зачастую легкомысленно созданные серверы IIS являются целью самых последних червей, которые с их помощью распространяются в интернете. Настройка всех серверов одними и теми же лицами обеспечивает слаженность действий, благодаря которой снижается возможность успешной реализаций действий по взлому. Опять-таки, многие черви атакуют хорошо известные уязвимые места, для которых уже существуют "заплатки".

Политики безопасности в Windows Server 2003

Политики безопасности представляют собой метод усиления стандартов безопасности на компьютере. С помощью шаблонов безопасности можно укрепить стандартные наборы политик. Политики безопасности используются и для повышения уровня надежности параметров реестра. Если вы являетесь членом домена Active Directory, можно использовать Group Policy Object (GPO) – и все серверы домена будут наследовать эти настройки. В противном случае примените локальную политику безопасности.

Создание локальной политики безопасности

Для изменения локальной политики безопасности выберите команду Start\Administrative Tools\Local Security Policy (Пуск\Администрирование\Локальная политика безопасности). В окне Local Security Settings (Настройка локальной политики безопасности) (см. рис. 6.3) непосредственно изменяются параметры локальных политик безопасности.

В окне Local Security Settings находятся основные категории политик.

• Account Policies (Политики учетных записей). Настраивает политику блокировки паролей и учетных записей.
• Local Policies (Локальные политики). Настраивает опции Audit Policy (Политика аудита), User Rights Assignment (Присвоение прав пользователей) и Security (Безопасность):
  • Audit Policy (Политика аудита). Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
    • вход учетной записи;
    • управление учетной записью;
    • доступ к службе каталогов;
    • события входа;
    • доступ к объектам;
    • изменение политики;
    • использование привилегий;
    • отслеживание процессов;
    • системные события.
     
  • User Rights Assignment (Присвоение прав пользователям). Служит для указания прав определенным учетным записям пользователей или группам (объектам). Для добавления объекта безопасности в политику щелкните правой кнопкой мыши на имени политики в окне Local Security Settings (Настройка локальной политики безопасности) и выберите Properties (Свойства). Затем нажмите на кнопку Add User Or Group (Добавить пользователя или группу). После этого перейдите к определенному объекту безопасности, выделите его и нажмите на кнопку Add (Добавить). Для удаления объекта из политики выделите его и нажмите на кнопку Remove (Удалить).
  • Security Options (Параметры безопасности). Служит для указания параметров безопасности сервера. Эти параметры напрямую не связаны с IIS, но они все же повышают общий уровень защиты сервера.
   
• Public Key Policies (Политики открытого ключа). Поддерживают опции файловой системы Encryption File System (EFS), которая осуществляет шифрование на уровне файла. При включении EFS в этом окне настраивается информация агента восстановления.
• Software Restriction Policies (Политики ограничения программ). Определяет программы, запускаемые на компьютере, и учетные записи пользователей, имеющих доступ к этим программам.
• IP Security Policies (Политики безопасности IP). Указывает использование на сервере протокола IPSEC для шифрования канала связи в сети. Опция имеет три параметра.
  • Client (respond only) (Клиент [только ответ]). Использует IPSEC при запросе этого протокола другим компьютером.
  • Server (request only) (Сервер [только запрос]). Пробует установить IPSEC-соединение с вышедшим на связь компьютером. В противном случае устанавливается соединение без шифрования.
  • Secure Server (require security) (Безопасный сервер [защищенность обязательна]). Принудительное использование канала связи IPSEC. Если другой компьютер не использует IPSEC, установка соединения не состоится.
   

Работа с локальными политиками безопасности

После определения политики безопасности ее можно экспортировать с одного компьютера на другой, что позволяет создать единый шаблон и применить его к набору серверов.

Импорт локальной политики безопасности

Для настройки локальной политики безопасности используются файлы шаблонов посредством импортирования файла .inf, содержащего параметры. Несколько компьютеров настраиваются одновременно, без включения вручную опций на каждом из них. Отдельные демонстрационные шаблоны безопасности поставляются с WS03 и находятся в папке %systemroot%\security\templates. Используйте эти шаблоны или создайте свои собственные. Для импортирования файла шаблона нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Import Policy (Действие\Импортировать политику). Затем перейдите к файлу шаблона и нажмите на кнопку Open (Открыть). Политика безопасности будет импортирована, а ее параметры –установлены поверх существующих настроек системы.

Экспорт локальной политики безопасности

После настройки системы согласно определенным требованиям шаблон безопасности можно экспортировать в файл .inf для применения на других системах. Для этого нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Export Policy (Действие\Экспортировать политику). После этого перейдите в каталог, в котором следует сохранить политику, введите имя файла и нажмите на кнопку Save (Сохранить).

Обновление политики безопасности

При изменении параметра политика безопасности обновляется не сразу. Обновление происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений в силу откройте командную строку и введите gpupgrade.exe.

Политики безопасности домена

Шаблоны политики безопасности доменов аналогичны шаблонам локальной политики безопасности. Они отличаются тем, что политики безопасности доменов применяются ко всем серверам в домене, а не только к локальному серверу, на котором они устанавливаются. Эти политики настраиваются в консоли Start\Administrative Tools\Domain Security Policy MMC (Пуск\Администрирование\Политика безопасности домена) на контроллерах доменов.

Безопасность учетных записей пользователей

Если для доступа к ресурсам IIS используются учетные записи пользователей, необходимо обеспечить их защиту. При получении хакером имени пользователя с паролем у него появятся все шансы проникнуть к секретным данным. Защититься от его вторжения можно при помощи следующих методов.

Использование сложных паролей

Стандарт сложных паролей без изменений перешел в WS03 из предыдущих версий Windows Server. При принудительном использовании сложных паролей всякий пользователь, изменяющий свой пароль, должен руководствоваться следующими правилами.

• Длина пароля больше или равна шести символам.
• Пароли содержат символы трех следующих категорий:
  • символы верхнего регистра;
  • символы нижнего регистра;
  • числа;
  • специальные символы, например, знаки препинания.
   
• Пароли не должны включать имя пользователя или любую часть его полного имени.

Вы можете создать свои собственные фильтры паролей посредством написания особого файла passfilt.dll, являющегося динамически подключаемой библиотекой. Он обрабатывает изменения паролей и проверяет их соответствие определенным правилам. В статье Q151082 базы знаний Microsoft содержатся подробные сведения о создании файла passfilt.dll. Статья находится в TechNet или на сайте Microsoft Support (http://support.microsoft.com).

Для включения сложных паролей в WS03 выполните следующие действия.

1. Откройте нужную политику безопасности (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Настройка безопасности) в узле Account Policies (Политики учетных записей) выберите Password Policy (Политика паролей).
3. Дважды щелкните на опции Password Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности).
4. Установите опцию Password Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности) в состояние Enabled (Включено).
5. Нажмите на кнопку OK.

Настройте минимальную длину пароля.

1. Откройте нужную политику Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Minimum Password Length (Минимальная длина пароля).
4. Установите любое значение опции Minimum Password Length (Минимальная длина пароля) – от 0 до 14. Значение 0 допускает пустые пароли.
5. Нажмите на клавишу OK.

Включение блокировки учетной записи

Включение блокировки учетной записи позволяет определить количество вводов неправильного пароля перед блокировкой доступа. По достижении порогового числа неправильных вводов пароля учетная запись становится непригодной для использования на определенный настраиваемый срок. Это позволяет предотвратить угадывание паролей злоумышленником, оставляя ему возможность входа в систему только по чужой аутентификационной записи.

Блокировка учетной записи включается следующим образом.

1. Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) в узле Account Policies (Политики учетных записей) выберите Account Lockout Policy (Политика блокировки учетной записи).
3. Дважды щелкните на опции Account Lockout Threshold (Порог блокировки учетной записи).
4. В опции Account Lockout Threshold установите разрешенное количество попыток входа перед блокировкой учетной записи. Укажите любое значение от 1 до 999. Значение 0 отключает данную опцию. (Рекомендуется устанавливать значение порога в диапазоне от 3 до 5.)
5. Нажмите на кнопку OK.
6. Диалоговое окно проинформирует о том, что длительность блокировки и сброс счетчиков установлены на 30 мин.
7. Установите значение опции Account Lockout Duration (Длительность блокировки учетной записи), дважды щелкнув на ней. Укажите промежуток времени, в течение которого учетная запись будет находиться в заблокированном состоянии – любое значение от 1 до 99999 мин. Значение 0 заблокирует учетную запись до тех пор, пока администратор не разблокирует ее вручную.
8. Нажмите на кнопку OK.
9. Установите значение опции Reset Account Lockout Counter (Сброс счетчика блокировки учетной записи), дважды щелкнув на ней. Укажите интервал времени, по прошествии которого счетчик блокировки сбрасывается – любое значение от 1 до 99999 мин.
10. Нажмите на кнопку OK.

Принудительное периодическое изменение паролей

Использование одного и того же пароля на протяжении долгого времени представляет угрозу безопасности, так как лица, которым пароль больше не требуется, по-прежнему имеют соответствующую учетную запись. Как правило, пароли следует менять через 90 –120 дней.

Для установки возраста паролей, по достижении которого происходит их принудительная замена, выполните следующие действия.

1. Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Maximum password age (Максимальный возраст паролей).
4. Установите в опции Maximum Password Age (Максимальный возраст паролей) срок действия паролей (в днях). Укажите любое значение от 1 до 999. Значение 0 отключает истечение срока действия паролей.
5. Нажмите на кнопку OK.

Запоминайте старые пароли

Если система запоминает предыдущие пароли, то пользователю запрещается повторное использование одного и того же пароля, которое могло бы свести к нулю все, ради чего делается принудительное изменение паролей.

Для включения фиксирования прежних паролей выполните следующие действия.

1. Откройте нужную политику безопасности (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Enforce Password History (Записывать историю паролей).
4. Установите в опции Enforce Password History (Записывать историю паролей) количество паролей, запоминаемых системой. Укажите любое число от 1 до 24. Значение 0 отключает запись истории паролей в системе.
5. Нажмите на кнопку OK.

Установка минимального возраста паролей

Если вы включили истечение срока действия паролей и запись прежних паролей, то установите также минимальный возраст паролей. Предположим, что политика безопасности системы настроена на истечение срока действия паролей через каждые 90 дней и на запись 24 прежних паролей, но не задано минимальное значение возраста паролей. По достижении паролем 90-дневного возраста пользователь может просто изменить свой пароль 24 раза, а на 25-ый раз указать старый пароль, что лишит смысла функцию записи паролей!

Для установки минимального возраста паролей выполните следующие действия.

1. Откройте нужную политику безопасности (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
2. В консоли Security Settings (Параметры безопасности) выделите Password Policy (Политика паролей) в узле Account Policies (Политики учетных записей).
3. Дважды щелкните на опции Minimum Password Age (Минимальный возраст паролей).
4. Установите в опции Minimum Password Age (Минимальный возраст паролей) значение минимального количества дней, в течение которого пароли являются действительными. Укажите любое число от одного до единицы минус максимальное значение возраста паролей. Значение 0 включает возможность немедленного изменения паролей.
5. Нажмите на клавишу OK.

Используйте одностороннее шифрование хранилища паролей

Если в локальной или доменной политике безопасности включена политика Store Passwords Using Reversible Encryption (Хранить пароли с использованием обратимого шифрования), то пароли сохраняются с применением алгоритма шифрования, который используется для обратного считывания паролей из защищенной базы данных. Как правило, это односторонняя хеш-функция, подвергающаяся уничтожению. По существу, это то же самое, что хранение пароля в открытом тексте, представляющее угрозу безопасности. Отключение данной политики вызовет использование односторонней хеш-функции; это настройка по умолчанию.

Не создавайте учетные записи с легко угадываемыми паролями

Как правило, при создании учетной записи пользователь указывает в пароле либо собственное имя, либо легко запоминающееся слово. К сожалению, такой пароль не сразу подвергается скорому изменению. Если он настроен на изменение при следующем входе в систему, а учетная запись не используется некоторое время, то она на протяжении этого времени остается незащищенной. Избежать взлома новой учетной записи пользователя можно посредством указания сложного пароля сразу после ее создания.

Расширения службы Интернет

IIS 6 поставляется в режиме Lockdown. Это означает, что в изначальной конфигурации IIS поддерживает только статическое содержимое (страницы HTML). Активное содержимое (ASP, FrontPage, включения серверной части SSI и WebDAV) не поддерживается. Для обеспечения работы такого содержимого в IIS используйте область Web Service Extensions (Расширения службы Интернет) консоли IIS MMC.

В консоли MMC имеются две вкладки – Extended (Расширенная) и Standard (Обычная). Они позволяют просматривать конфигурацию расширений. Вкладка Extended содержит кнопки Allow (Разрешить), Prohibit (Запретить) и параметр Properties (Свойства), а также гиперссылки для выполнения этих задач. Во вкладке Standard для доступа к этим опциям используется меню. Рассмотрим работу с вкладкой Extended (Расширенная) (см. рис. 6.4).

Существует набор определенных веб-расширений, но вы можете добавить свои собственные. Также возможно добавление всех неизвестных расширений ISAPI или CGI (это представляет угрозу безопасности).

Определенными расширениями службы интернет являются следующие.

• All Unknown ISAPI Extensions (Все неизвестные расширения ISAPI).
• All Unknown CGI Extensions (Все неизвестные расширения CGI).
• Active Server Pages (Активные страницы сервера).
• Internet Data Connector (Подключение к данным интернета).
• Internet Printing (Печать через интернет).
• Server Side Includes (Включения серверной части).
• WebDAV.

Разрешение выполнения расширений службы

Для выполнения расширения службы выделите расширение в IIS Manager (Диспетчер IIS) и нажмите на кнопку Allow (Разрешить). При разрешении одного из расширений All Unknown (Все неизвестные) отобразится предупреждение о том, что это является угрозой безопасности системы. Настоятельно рекомендуем определять и включать каждое расширение ISAPI или CGI по отдельности, чтобы четко контролировать, какое активное содержимое выполняется на сайте.

Запрет выполнения расширения веб-службы

После включения веб-расширения его использование можно запретить. Выделите расширение в IIS Manager (Диспетчер IIS) и нажмите на кнопку Prohibited (Запрещено). Если от данного расширения зависят другие расширения, то они тоже не будут функционировать. Например, Internet Printing (Печать через интернет) зависит от Active Server Pages (Активные страницы сервера). При запрещении ASP печать через интернет работать не будет.

Данная опция используется для предотвращения работы нежелательных DLL или исполняемых файлов EXE в любых обстоятельствах. Например, можно заблокировать выполнение файла Admin.exe (червь Code Red) или Nimda.dll (червь Nimda), добавив их в список и наложив запрета на выполнение. Такой подход не исключит возможность переполнения буфера, но запретит запуск любой библиотеки DLL или файла EXE, несущего полезную нагрузку. С другой стороны, атаку на IIS червя SQL Slammer таким образом не предотвратишь, поскольку она является атакой на переполнение буфера, при которой в систему не копируются файлы DLL или EXE.

Добавление нового расширения веб-службы

Если вам потребуется расширение ISAPI или CGI, которого нет в списке, нужно добавить его в список (если не включены все расширения). Выполните следующие действия.

1. В IIS Manager (Диспетчер IIS) щелкните на гиперссылке Add A New Web Service extension (Добавить новое расширение веб-службы).
2. Появится диалоговое окно New Web Service Extension (Новое расширение веб-службы). Введите имя расширения в текстовом поле. Оно должно быть дружественным и информативным.
3. Нажмите на кнопку Add (Добавить) для добавления файлов DLL или EXE, необходимые для выполнения расширения. Обеспечьте добавление всех требуемых файлов.
4. Если данное расширение будет использоваться сразу, отметьте опцию Allowed (Разрешено).
5. Нажмите на кнопку OK.

Разрешите все расширения веб-службы для определенного приложения

Если требуется включить все расширения, от которых зависит определенный компонент, выполните следующие действия.

1. Щелкните на гиперссылке Allow All Web Service Extensions For A Specific Application (Разрешить использование всех расширений веб-службы для определенного приложения).
2. Выберите нужный компонент в ниспадающем списке, например, Internet Printing (Печать через интернет).
3. Обратите внимание на то, какие компоненты будут разрешены в результате этого действия (в данном случае – ASP).
4. Нажмите на кнопку OK.

Запрет всех расширений веб-службы

Для быстрого отключения всех расширений веб-службы щелкните на гиперссылке Prohibit All Web Service Extensions (Запретить все расширения веб-службы). Вам пригодится это при отключении активного содержимого при сбое. Появится сообщение с предупреждением и запросом на подтверждение действия. При выборе Yes (Да) все указанные расширения будут запрещены.

Изменение параметров расширения веб-службы

Для изменения параметров расширения веб-службы выделите его в списке и нажмите на кнопку Properties (Свойства). Появится окно с двумя вкладками: General (Общие) и Required Files (Требуемые файлы).

Во вкладке General (Общие) отображаются приложения, использующие данное расширение. Можете отключить данное расширение, поскольку эта вкладка определяет зависимости расширения, что позволяет избежать случайного повреждения приложения.

Вкладка Required Files (Требуемые файлы) позволяет добавлять, удалять, разрешать и запрещать файлы, необходимые для работы данного компонента. Для своего собственного расширения веб-службы можете добавить несколько файлов. Расширения по умолчанию, такие как ASP, заблокированы, поэтому к ним ничего добавлять нельзя.