Как и для любого проекта, следует заранее спланировать установку и настройку безопасности веб-сервера. Разделите этот процесс на несколько этапов.

• Определение и сбор необходимых компонентов установки. Обеспечьте оборудование, программы, персонал, поддержку, время и другие ресурсы, которые понадобятся для успешного выполнения установки. Нужен компьютер, который станет веб-сервером, а также защищенное место, в котором он будет расположен. Понадобятся программные продукты Microsoft и лицензии, сетевое оборудование для подключения сервера к сети, а также достаточное количество времени для настройки всех этих компонентов. Количество затрачиваемого времени зависит от вашего опыта. Если вы новичок, отведите для настройки сервера два дня и не спешите при выполнении процедур.
• Установка и настройка компонентов. Выполните инсталляцию. Для Microsoft IIS установку можно производить с компакт-диска непосредственно на сервере либо через сеть с сервера, на дисках которого находятся исполняемые файлы, либо выполнять установку, комбинируя два метода. Для максимальной безопасности установите особую конфигурацию вместо конфигурации по умолчанию посредством выбора нужных компонентов. В данной лекции приводятся инструкции о том, какие компоненты следует выбирать, и на что влияет наличие или отсутствие отдельных компонентов.
• Укрепление системы. Устраните слабые места, чтобы не стать жертвой хакера. Укрепление системы включает в себя отключение или удаление служб, которые не должны запускаться в выбранной конфигурации, а также правильную настройку политик, прав и разрешений.
• Включение аудита и возможностей по восстановлению. Защищенные вычислительные системы, такие как Windows 2000 и IIS, комплектуются набором системных журналов и журналов событий. Их нужно правильно сконфигурировать для определения фактов нарушения защиты и обеспечения возможности восстановления повреждений.

Процесс инсталляции и конфигурации всегда должен завершаться тестированием. Процедуры тестирования описываются в лекции 7.

Требования к безопасной установке

У каждой организации имеется свой набор требований. Некоторые организации используют веб-сервер для распространения информации, для них безопасность не является основным вопросом. Другим требуется защита даже во внутренней интранет-сети, так как их сайты используются для управления информацией о сотрудниках и их заработной плате. Третьи имеют сайты в интернете для осуществления маркетинга, электронной коммерции и поддержки продукции. Каждому случаю соответствуют свои требования к настройке и защите систем.

Важно. Компьютер, на который инсталлируется IIS, ни в коем случае не должен подключаться к интернету до полного завершения установки и подтверждения защищенности сервера. Будем считать, что сервер расположен в защищенной интранет-среде (не в интернете) или вовсе не подключен к сети при установке.

Основные рекомендации

Многие обычно пренебрегают планированием и сразу приступают к делу. Имейте в виду, что стоит допустить лишь одну неточность – и вся защита рухнет. Работа по плану снизит вероятность ошибки. Перед началом работы ознакомьтесь с рекомендациями по установке защищенного веб-сервера.

• Располагайте сервер в безопасном месте. Многие технические меры безопасности окажутся бесполезными, если злоумышленник получит физический доступ к серверу.
• По возможности сделайте веб-сервер монофункциональным сервером. Иными словами, не пытайтесь разместить веб-сервер на компьютере, который является также файловым сервером или другим компонентом. Чем больше функций имеет сервер, тем больше его уязвимость из-за ошибок конфигурации или наличия определенных программных компонентов. С увеличением комплексности сервера увеличивается риск нежелательных последствий в случае нарушения безопасности. Самым безопасным вариантом считается тот, когда сервер предназначен для выполнения одной цели.
• Ни при каких обстоятельствах не устанавливайте Microsoft IIS на контроллере домена сети. Контроллер домена сети Windows осуществляет управление безопасностью учетных записей для всего сетевого домена Windows. Уязвимость веб-сервера используется для перехвата управления веб-сервером, что предоставит хакеру доступ к контроллеру домена и сети.
• Используйте две карты сетевого интерфейса. Одну карту сетевого интерфейса соедините с сетью интернет, а другую подключите к внутренней сети. Вы сможете использовать интерфейс внутренней сети для управления сервером и обеспечить доступ интернет-трафика к компьютеру через другой интерфейс. С помощью интерфейса интранет-сети вы будете выполнять задачи по управлению сайтом в процессе его работы. Никогда не пытайтесь управлять работающим сервером через интерфейс, используемый интернет-трафиком.
• Если веб-сервер расположен в интернете, разработайте план его изоляции от интранет-сети. Не устанавливайте веб-сервер в рабочей группе или доверяемом домене. Не включайте маршрутизацию между двумя интерфейсами на сервере. Используйте маршрутизатор и/или сетевой экран для фильтрации трафика между веб-сервером и интранет-сетью (см. лекции 6).
• Установите на веб-сервере несколько дисков или разделов, чтобы располагать веб-папки не на системном диске. Это уменьшит вероятность успеха атак с использованием уязвимости стандарта Unicode (см. лекции 2). В случае осуществления атаки на прохождение каталогов ее воздействие распространится на остальные диски. Рекомендуется устанавливать большее количество дисков или создавать больше разделов, чем требуется, так как наличие дополнительного диска может оказаться полезным.
• Используйте файловую систему NTFS на всех жестких дисках IIS. Устройства Windows 2000 с файловой системой NTFS имеют большой набор возможностей по обеспечению безопасности. Файловые системы FAT32 и FAT16 не обеспечивают такие возможности, поэтому не используйте их на жизненно важных системах, особенно на тех, которые являются частью сети интернет.
• Не устанавливайте на веб-сервере приложения или средства разработки. Средства разработки обеспечивают широкие возможности по управлению данными и обладают высокими системными привилегиями. Если хакер сможет проникнуть в систему и запустить средство разработки, то он нанесет серьезный ущерб системе. Осуществляйте разработку веб-страницы и ее тестирование на другом компьютере и по окончании работы перепишите результат на веб-сервер.
• Не устанавливайте принтер на компьютер с сервером IIS. Переполнение буфера печати является классическим слабым местом. Эта атака популярна среди хакеров, так как она позволяет получить администраторские привилегии управления. Так как принтер на сервере не приносит никакой реальной пользы посетителям сайта, нет причин для его установки. Не стоит идти на неоправданный риск.
• Создайте список пользователей, которые получат доступ системного уровня к серверу для обновления содержимого сайта и резервирования данных. Обдумайте, кому еще следует разрешить создание и управление учетными записями пользователей на сервере. Не предоставляйте пользователям больше полномочий, чем необходимо. Далеко не каждому из них потребуются администраторские привилегии!

Установка компонента

Сервер Microsoft IIS интегрирован с операционной системой Windows 2000. Программа установки одновременно устанавливает Windows 2000 и IIS. Инсталляционная программа упрощает процесс установки, однако не является универсальной. Чтобы выполнить инсталляцию согласно требованиям к защищенности системы, необходимо вручную контролировать этот процесс.

Простота – залог успеха

Защищенный веб-сайт нужно настроить на минимальную конфигурацию. Принцип безопасности, лежащий в основе этого правила, заключается в том, что службы, не являющиеся жизненно необходимыми, представляют собой точки будущих атак хакеров. Поэтому при инсталляции системы следует указать выборочную установку базового набора компонентов, необходимого для функционирования.

Выбор компонентов служб

На рисунке показано окно Windows Components Wizard (Мастер компонентов Windows), предназначенное для выбора компонентов. Если система уже установлена, и требуется добавить или удалить компоненты, щелкните на значке Add/Remove Software Wizard (Мастер установки и удаления программ) в папке Control Panel (Панель управления) Windows 2000.

Ниже приведен полный перечень компонентов и их назначение.

• Accessories and Utilities (Стандартные и служебные программы). Содержат стандартные игры Windows, приложения и утилиты: калькулятор, номеронабиратель, программа рисования, проигрыватель компакт-дисков и т.д. Эти компоненты не являются необходимыми для веб-сервера.
• Certificate Services (Службы сертификатов). Сервер сертификатов используется при создании сертификатов для приложений и служб, обеспечивающих безопасность посредством шифрования с открытым ключом, например, в протоколе защищенных сокетов SSL. Вам могут понадобиться и SSL, и сертифицированные права, но не следует устанавливать этот компонент на веб-сервер. Сервер сертификатов представляет отдельную защищенную систему, так как он подтверждает доверие к другим серверам. Службы сертификатов будут подробно рассматриваться в лекции 8.
• Indexing Information Services (Служба индексации). Индексация представляет собой метод каталогизации хранимых данных и используется для поиска на веб-сайте. Индексация должна выполняться только на диске Windows 2000 NTFS, чтобы соблюдалась безопасность разрешений NTFS. Сервер базы данных использует службы индексации для улучшения производительности, а на веб-сервере они, как правило, не нужны.
• Internet Information Services (Информационные службы интернета). Предназначены для управления веб-сайтом, публикациями или подключением к другим информационным службам в интернете, таким как Web, FTP, новости, электронная почта и т.д. Выберите этот компонент при установке веб-сервера IIS. Для повышения уровня безопасности установите отдельные службы на другой сервер
• Management and Monitoring Tools (Средства управления и наблюдения). Предназначены для слежения за сетью и улучшения ее производительности. Протокол Simple Network Management Protocol (SNMP), используемый для передачи информации с сервера Microsoft в консоль управления SNMP Tivoli (средство управления большими и сложными сетями), не является безопасным. Не используйте SNMP на веб-сервере, если не осуществляется сложное управление, оправдывающее риск нарушения безопасности.
• Message Queuing Services (Службы очереди сообщений). Выполняет работу с сообщениями, используется приложением, асинхронно соединенным с компонентами клиента и сервера или с другими приложениями. При создании собственного веб-приложения на базе IIS этот компонент может понадобиться. Однако его установка вызовет угрозу успешного выполнения атаки, основанной на сообщениях. Если нет необходимости, то не устанавливайте этот компонент.
• Networking Services (Сетевые службы). Содержит набор сетевых служб и протоколов, таких как система имен доменов DNS, протокол динамической конфигурации узла DHCP и прокси-сервер служб интернета. Все эти компоненты нужны для функционирования сети, но их следует устанавливать на другом сервере.
• Other Network File and Print Services (Другие службы доступа к файлам и принтерам сети). Позволяют открывать общий доступ к файлам и принтерам сети для компьютеров, на которых установлена операционная система, отличная от Windows. Эти службы на веб-сервере не нужны, так как веб-протоколы HTML и HTTP совместимы с другими операционными системами.
• Remote Installation Services (Службы удаленной установки). Обеспечивают удаленную установку Windows 2000 Professional на компьютерах-клиентах с возможностью удаленной загрузки. Используются для управления большой и географически протяженной сетью. В этом случае у вас будет широкий выбор других серверов, на которые можно установить данные службы. Не инсталлируйте этот компонент на веб-сервер.
• Remote Storage (Удаленное хранилище). Позволяет серверу Windows 2000 осуществлять копирование файлов на диск или ленточный накопитель для хранения редко используемых файлов. Используется на файловых серверах, хранящих файлы пользователей, занимающих в совокупности большое пространство; он позволяет освободить место на жестких дисках, переместив файлы на отдельный накопитель. Веб-сервер используется для совершенно других целей, вы будете постоянно работать с его содержимым, поэтому данный компонент не понадобится.
• Script Debugger (Отладчик сценариев). Диагностирует неполадки, связанные со сценариями сервера. Используйте его в системе, предназначенной для разработки, но не устанавливайте на веб-сервер.
• Terminal Services (Службы терминала). Обеспечивает среду терминала, позволяющую серверу Windows 2000 поддерживать многопользовательскую работу клиентов с приложениями Windows. В распределенной сетевой среде службы терминала используются для удаленного управления. Работа этой службы представляет собой опасность, так как она открывает дополнительный порт. О том, как использовать данную службу, соблюдая меры безопасности, говорится в лекции 6. При установке сервера ее следует отключить.

  Совет. Не выбирайте компонент Terminal Services Licensing (Лицензирование службы терминала): лицензии предназначены для использования Windows 2000 в качестве удаленного сервера приложений. Службы терминала нужны для удаленного управления, а для его осуществления на веб-сервере данный компонент не требуется.

• Windows Media Services (Службы Windows Media). Осуществляют потоковую передачу мультимедийного содержимого через сеть. Данные доставляются как в "прямом эфире", так и в записанном виде на один или несколько компьютеров одновременно. При использовании этого компонента имейте в виду, что в нем присутствуют слабые места, для устранения которых потребуется настройка безопасности Microsoft (см. лекции 10).

Компоненты IIS

Существует лишь одна служба, действительно необходимая для работы веб-сервера. Это Internet Information Services (IIS) (Информационные службы интернета). IIS состоит из набора компонентов. Если при установке нажать на кнопку Details (Состав) в окне мастера Internet Information Services, появится новое диалоговое окно, показанное ниже, с перечнем всех служб IIS.

В состав IIS входят следующие службы.

• Common Files (Основные файлы). Основные общие файлы, используемые компонентами IIS.
• Documentation (Документация). Документация и справка по IIS.
• File Transfer Protocol (FTP) Server (Сервер протокола передачи файлов). Обеспечивает передачу файлов по протоколу FTP на веб-сервере.
• FrontPage 2000 Server Extensions (Серверные расширения FrontPage 2000). Осуществляют динамическое управление и обновление веб-содержимого с помощью Microsoft FrontPage.
• Internet Information Services Snap-in (Надстройка Internet Information Services). Компонент веб-управления для консоли управления Microsoft Windows 2000 (MMC).
• Internet Services Manager (HTML) (Диспетчер служб интернета). Интерфейс администрирования на базе веб-браузера для управления веб-сервером из удаленного расположения.
• NNTP Service (Служба NNTP). Сервер новостей интернета.
• SMTP Service (Служба SMTP). Протокол передачи сообщений электронной почты, обеспечивающий соединения электронной почты в сетевой среде.
• Visual InterDev RAD Remote Deployment Support (Поддержка удаленного развертывания средства быстрой разработки приложений Visual InterDev RAD). Используется для удаленной разработки приложений.
• World Wide Web Server (Сервер World Wide Web). Обеспечивает поддержку HTTP для доступа браузера к HTML.

При выборе компонента World Wide Web Server программа установки выберет компоненты Internet Information Services и Common Files, так как работа веб-сервера зависит от наличия данных ресурсов. Этого достаточно для работы базового веб-сервера. Обеспечение безопасности работы с другими службами IIS (например, FTP) будет обсуждаться в лекции 10, а сейчас рассмотрим принципы работы базового сервера World Wide Web.

Сетевые компоненты

Программа установки Microsoft предложит ввести имя компьютера, после чего нужно указать, находится ли данный компьютер в сети. Если веб-сервер размещен в интернете, выберите опцию Is On A Network Without A Domain (Находится в сети без домена), так как следует отделить веб-сервер от интранет-сети. Укажите любое предпочтительное имя рабочей группы.

В ходе работы мастера установки или сразу после ее завершения можно настроить интерфейсы для сетевых служб, используемых веб-сервером. Диалоговое окно настройки сетевого подключения показано на рис. 3.1. Это окно открывается выбором пункта Network Dialup and Connections (Удаленный доступ к сети и сетевые подключения) в подменю Settings (Настройка) меню Start (Пуск).

Совет. Для изменения имени компьютера и настройки домена Windows используется диалоговое окно My Computer (Мой компьютер)\Properties (Свойства), для изменения параметров TCP/IP – диалоговое окно My Network Places (Сетевое окружение)\Properties (Свойства)

Единственными службами, необходимыми для работы IIS в сети, являются Client For Microsoft Networks (Клиент для сетей Microsoft) и Internet Protocol (TCP/IP) (Протокол интернета TCP/IP), поэтому нужно отметить эти элементы. Отключите остальные протоколы и службы, такие как File And Printer Sharing For Microsoft Networks (Общие файлы и принтеры для сетей Microsoft), если нет основания для их использования на веб-сервере. Не открывайте общий доступ к интернет-соединению и никогда не используйте общий доступ к файлам в интернете.

Далее настройте стек протоколов TCP/IP сервера. Нужно указать IP-адреса, используемые сервером. Несмотря на то, что внутренняя сеть Windows 2000 содержит клиент DHCP, для веб-сервера используется фиксированный IP-адрес. Если возникнут неполадки в конфигурации внутренних DNS или WINS, доступ к серверу можно будет осуществить по его фиксированному адресу. Этот адрес нужен для работы Windows 2000 Server и для обеспечения безопасности. Убедитесь, что адрес представляет соответствующую подсеть доверяемой сети, из которой будет осуществляться администрирование веб-сайтом.

Выберите Internet Protocol (TCP/IP) (Протокол интернета TCP/IP) и нажмите на кнопку Properties (Свойства), чтобы отобразить диалоговое окно (см. рис. 3.2). Введите адрес и маску подсети, предоставляемые поставщиком услуг интернета или сетевым администратором. Дополнительную справочную информацию можно найти на веб-сайте Microsoft Technet (www.microsoft.com/technet).

Если веб-сервер расположен в интернете (надеемся, что имеется карта сетевого интерфейса), используйте на интерфейсе фиксированный IP-адрес, относящийся к интернету. На рисунке 3.3 изображена схема конфигурации веб-сервера интернета с использованием двух интерфейсных карт при размещении его в подсетях интранет и интернет. В этом случае веб-сервер интернета является наиболее защищенным. При настройке адресов позаботьтесь о выборе нужной карты интерфейса для конфигурируемого адреса, проверив имя, отображаемое в верхней части диалогового окна (см. рис. 3.1).

Для обеспечения безопасности выполните некоторые процедуры с сетевой картой, граничащей с интернетом. В окне Connection Properties (Свойства подключения) этой карты (см. рис. 3.1) удалите компонент Client for Microsoft Networks (Клиент для сетей Microsoft), так как его копии, уже установленной для интерфейса интранета, достаточно для работы IIS.

Следует отключить протокол NetBIOS для интерфейса интернета (протокол, используемый Microsoft для общего доступа к файлам). Для этого нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна TCP/IP Properties (Свойства протокола интернета) (см. рис. 3.2), откройте вкладку WINS и выберите опцию Disable NetBIOS Over TCP (Отключить NetBIOS через TCP) (см. рис. 3.4). NetBIOS, использующий порты 137 и 139, нужен Windows при работе в интранет-сети для поддержки разрешения имен WINS и общего доступа к файлам и принтерам. Хакер, как правило, в первую очередь проверяет возможность атаки на эти порты при сканировании системы. Если они находятся в состоянии ожидания, то ему станет известно, что на узле используется операционная система Microsoft.

Пакеты обслуживания и надстройки безопасности

Сразу по окончании установки Windows 2000 следует установить все сервис-пакеты и "заплатки", предоставляемые Microsoft. Эти компоненты являются жизненно необходимыми! Они содержат исправления обнаруженных ошибок и уязвимых мест.

Совет. Сервис-пакеты можно загрузить с сайта www.microsoft.com/technet/ или http://vx.windowsupdate.microsoft.com, установить с другого сетевого сервера или с приобретенных компакт-дисков.

Так называемые "горячие исправления" (hot fixes) и надстройки для укрепления системы представляют собой механизмы, используемые Microsoft для устранения ошибок, обнаруживаемых между выпуском соседних версий сервис-пакетов. "Горячие исправления", регулярно размещаемые Microsoft на веб-сайте, представляют собой патчи, связанные с конкретными аспектами безопасности для конкретных конфигураций системы. Надстройки безопасности представляют собой обновления всех отдельных исправлений, издаваемых Microsoft. Они доступны на веб-сайте Microsoft Technet. Следует регулярно посещать веб-сайт www.microsoft.com/technet/security для проверки наличия свежих патчей при каждой установке сервис-пакетов. На сайте можно подписаться на рассылку информации, связанной с безопасностью, а также на автоматическое уведомление о новых исправлениях. Следует устанавливать каждое появляющееся исправление, связанное с безопасностью.

На веб-сайте Microsoft перейдите по ссылке Recommended Updates (Рекомендуемые обновления) для проверки патчей или обновлений, требуемых для конфигурирования системы, но отсутствующих в последней версии сервис-пакета или не являющихся надстройками безопасности. Например, на протяжении долгого времени пакет Windows 2000 High Encryption Pack не являлся частью какого-либо сервис-пакета или надстройки обновления. Он устанавливался в случае 128-битного шифрования. Теперь пакет High Encryption Pack включен в Windows 2000 Service Pack 2.

Укрепление системы

Сервис-пакеты и надстройки, несомненно, устранят некоторые очевидные угрозы. Тем не менее, с помощью одних лишь надстроек нельзя предотвратить неприятности, связанные с безопасностью сервера. Мир информационных технологий не стоит на месте. Обновления, о которых идет речь, являются "заплатками" для тех "дыр", которые обнаружены. Можете быть уверены: тысячи пользователей работают на системах с такими надстройками и пытаются найти новые слабые места.

Перед размещением в информационной среде общего пользования все системы должны быть укреплены. Данный процесс заключается в удалении ненужных служб операционной системы для ликвидации слабых мест в компоненте, который даже не используется. Это обеспечит наибольший уровень безопасности.

Возможно ли устранение всех потенциальных угроз? Вероятно, нет, так как существует слишком много уязвимых мест. Но это не должно помешать вам создать систему, настолько устойчивую к атакам, чтобы цена и усилия, затрачиваемые хакером, были большими, нежели степень его потенциального успеха.

Средства укрепления систем

Общепринятая практика при укреплении системы заключается в ограничении всех системных функций, служб, учетных записей и прав доступа для обеспечения максимального уровня безопасности, который, в то же время, позволит эффективно использовать систему. Необходимые настройки зависят от конкретного приложения, а также от понимания "эффективной работы" администраторами и пользователями. Например, политика безопасности некоторых организаций предусматривает фиксирование в журнале каждого события, происходящего на сервере. Это полезно для использования в системах с небольшим трафиком, но такой подход неразумен для веб-сайта общего доступа, так как его производительность значительно снижается. Необходимо найти оптимальное соотношение между уровнем безопасности и возможностями системы.

Компания Microsoft выпустила рекомендации для достижения этого баланса в виде инструкций по администрированию IIS, доступных на сайте Technet. Управление национальной безопасности США (NSA) разработало свои инструкции по укреплению систем. Эти средства расположены по адресам, указанным в табл. 3.1.

Обзор процедуры укрепления системы

После загрузки вышеупомянутых средств можно приступать к работе. Инструкции NSA и перечень Microsoft представляют собой тематические рекомендации, упорядоченные в виде меню, используемых для выполнения задач.

Работа с инструкциями потребует определенной интуиции, так как они мало информативны. Все параметры, которые следует изменить, описываются в отдельном окне независимо от стадии процесса. Нужно просто выполнять инструкции при переходе от одного меню к другому, и не совсем понятно, по какой причине выполняется то или иное действие. В этом разделе изложение инструкций организовано по процессам. С помощью такого подхода можно переходить от заголовка к заголовку, если последовательность задач имеет другой порядок, не теряя из виду причин выполнения отдельных действий.

Мы приводим некоторые рекомендации, не включенные в списки Microsoft и NSA, взятые из различных источников. Ниже приведены наиболее важные действия, упорядоченные по типам процессов, которые следует выполнить перед размещением сервера в сети интернет.

Мы рассмотрим следующие процедуры.

• Остановка или отключение всех ненужных служб Windows 2000.
• Изменение серверной среды IIS по умолчанию для подготовки конечного состояния веб-сайта. Сюда входит модификация каталога веб-сервера, отключение или удаление ненужного системного содержимого, такого как демонстрационный код, командные утилиты, сценарии и т.д.
• Изменение дополнительных параметров Windows 2000 для снижения числа известных и теоретически возможных слабых мест.

Работа с инструментом Microsoft IIS Lockdown Tool

Инструмент IIS Lockdown Tool (IIS Lock) представляет собой утилиту Microsoft, автоматизирующую настройку параметров безопасности для веб-сервера. В его окнах можно описывать нужную конфигурацию. В конце работы создается шаблон политики Windows 2000/IIS Policy (Политики IIS), и к веб-серверу применяются настройки этого шаблона.

Далее мы узнаем, как с ним работать, однако это не означает, что будет сгенерирована корректная конфигурация. Настройки IIS необходимо выполнить вручную, так как нет никаких гарантий того, что сконфигурированные параметры соответствуют конкретным требованиям. В некоторых случаях требуется тонкая настройка конфигурации для ее оптимизации.

Основные процедуры, выполняемые при работе с инструментом IIS Lockdown Tool, следующие.

1. Запустите программу для открытия мастера, выберите конфигурацию, наиболее точно описывающую будущий сервер (см. рис. ниже). Отметьте опцию View Template Settings (Просмотреть параметры шаблона) в нижней части окна, чтобы просматривать все параметры при работе с мастером. Нажмите на кнопку Next (Далее) для открытия окна Internet Services (Службы интернета).

    

   
   
    

    

    
2. В окне Internet Services (изображение не приводится) выберите службы, которые следует включить и отключить (некоторые службы, которые рекомендовано отключить, затемнены, если вы последовали совету в разделе "Установка компонентов"). Разумеется, должна быть отмечена опция HTTP Service. В левом нижнем углу находится опция Remove Unselected Services (Удалить невыбранные службы), которую можно использовать для удаления служб на данном этапе. Нажмите на кнопку Next.
3. Появится окно Script Maps (Поддержка сценариев), показанное на рисунке. Выберите нужные элементы, соответствующие сценариям, поддержку которых необходимо отключить. Перейдите к разделу "Отключение поддержки ненужных приложений", если не знаете, что означают приводимые в окне элементы. После указания нужных элементов нажмите на кнопку Next.

    

   
   
    

    

    

   Совет. В данном примере устанавливается сервер, содержащий страницы Active Server Pages, поэтому поддержка этой технологии не отключается.

4. В окне Additional Security (Дополнительные параметры безопасности) (см. рисунок вверху следующей страницы) укажите дополнительные опции для удаления виртуальных каталогов и демонстрационных сценариев. Можно установить некоторые файловые разрешения на учетную запись анонимного гостевого пользователя и отключить возможность удаленной разработки веб-содержимого. В лекции 4 более подробно будет рассказано об учетной записи Internet Guest, и указываемые сейчас настройки могут стать неподходящими; тем не менее, отметьте все опции в данном окне и нажмите на кнопку Next.
5. В последнем окне мастера конфигурации появится вопрос о том, следует ли устанавливать URL Scan (изображение этого окна отсутствует). Не устанавливайте этот компонент, если не знаете, как его использовать. О нем мы расскажем в лекции 7. Отключите опцию рядом с надписью Install URL Scan? (Установить URL Scan?), после чего нажмите на кнопку Next.
6. В последний раз просмотрите настройки и убедитесь в их корректности. Нажмите на кнопку Next для отображения окна Applying Security Settings (Применение параметров безопасности) с отчетом о выбранных настройках. Нажмите на кнопку Next для применения всех параметров, после чего нажмите на Finish (Готово) для сохранения изменений и выхода из мастера.

    

   
   
    

    

    

Процедуры укрепления системы, проводимые вручную

Настало время приступить к повышению безопасности системы. В процессе работы может выясниться, что некоторые настройки уже сделаны с помощью инструмента IIS Lock. Некоторые настройки потребуется изменить после изучения приводимой здесь информации. В любом случае будет ошибкой полагать, что вся работа успешно завершится после запуска программы IIS Lock.

Для ручной настройки параметров необходимо поработать с большим набором инструментов через консоль управления Microsoft Management Console (MMC). MMC представляет собой основное приложение для управления платформой Windows 2000 и компонентом IIS, установленное наряду с другими надстройками (здесь вы не можете выбирать, что следует устанавливать, а что – нет) при инсталляции Windows 2000 и IIS. Модули MMC и надстройки по умолчанию MMC доступны в окне Start\Administrative Tools (Пуск\Администрирование).

Набор модулей и надстроек по умолчанию, связанных с безопасностью, состоит из следующих компонентов.

• Computer Management (Управление компьютером). Используется для создания и конфигурирования учетных записей, групп, хранилищ данных и съемных носителей, для отслеживания информации о системе.
• Event Viewer (Просмотр событий). Используется для ведения системных журналов, журналов событий и журналов безопасности.
• Internet Services Manager (Диспетчер служб интернета). Предназначен для настройки параметров безопасности IIS.
• Local Security Policy (Локальная политика безопасности). Используется для настройки параметров безопасности Windows 2000.
• Services (Службы). Используется для управления службами, работающими на сервере.

Отключение ненужных служб

Программа установки Microsoft Windows 2000 инсталлирует выбранные вами службы, после чего они настраиваются на автоматический запуск при каждой загрузке системы. Некоторые из служб необходимы для работы IIS, а некоторые – нет. На автоматический запуск должны быть настроены только необходимые службы.

Управление службами осуществляется с помощью надстройки Services (Службы) MMC, которая находится в окне Start\Programs\ Administrative Tools\Services (Пуск\Программы\Администрирование\Службы).

Консоль управления Services (Службы) (см. рис. ниже) представляет собой перечень всех служб, установленных в системе, с описанием, состоянием, настройками запуска и уровнем пользователя при входе в систему для каждой из служб. Она используется для остановки и отключения ненужных служб.

Таблица 3.2 содержит перечень служб, устанавливаемых даже в том случае, если вы следовали нашим рекомендациям относительно минимальной установки Internet Information Services. Этот перечень будет пополнен другими службами; некоторые из отключенных служб понадобится активировать при установке дополнительных компонентов IIS.

Для правильного функционирования серверу IIS не нужны службы, перечисленные в левом столбце таблицы, поэтому отключите их на создаваемом веб-сервере. (Тем не менее, можете оставить эти службы работающими на тестовом сервере, сервере разработки или на стандартном файловом сервере Windows.) При отключении этих служб измените параметр Startup (Запуск) на значение Manual (Вручную), чтобы при следующей загрузке сервера они не запустились автоматически. Службы, которые действительно необходимы, перечислены в правом столбце таблицы.

Для отключения службы в консоли MMC Services (Службы) выполните следующие инструкции.

1. Щелкните правой кнопкой мыши на службе, которую требуется отключить, в контекстном меню выберите команду Properties (Свойства). Откроется окно Properties (см. рис. 3.5).
2. Нажмите на кнопку Stop (Стоп), чтобы отключить службу.
3. В ниспадающем меню Startup Type (Тип запуска) нажмите на кнопку со стрелкой и в появившемся списке выберите Manual (Вручную). После этого нажмите на OK.

* Службы, необходимые при работе сервера в качестве части домена Windows (в интранет-сети).

Изменение среды сервера IIS по умолчанию

Для обеспечения защищенности веб-сервера не рекомендуется устанавливать ряд параметров конфигурации Windows 2000 по умолчанию. Ниже приводятся инструкции, объясняющие, как внести соответствующие изменения.

Создание нового сайта и корневого каталога для веб-содержимого. Для противостояния атакам типа "прохождение по каталогам" (см. лекции 2) рекомендуется располагать корневой каталог содержимого веб-сайта на диске (или логическом диске), отличном от диска, содержащего операционную систему сервера. Если на сервере будет работать несколько сайтов, желательно располагать каждый веб-сайт на отдельном диске или разделе.

При установке IIS создает веб-сайт по умолчанию. Некоторые специалисты рекомендуют (даже если на сервере будет лишь один сайт) создать новый сайт с другим именем, который будет работать как активный веб-сайт (т.е. не использовать веб-сайт по умолчанию), и использовать другое размещение для корневого каталога сайта. Это дельный совет. С точки зрения безопасности создание другого сайта и неактивное состояние сайта по умолчанию необходимо для предотвращения возможных автоматизированных атак, направленных на веб-сайт по умолчанию.

Совет. Следует оставить настройки по умолчанию в качестве отвлекающего маневра, но нужно создать новый сайт и сделать его активным.

Процедура создания нового сайта с новым размещением корневого каталога заключается в следующем.

1. Отключите веб-сайт, чтобы изменить его настройки с помощью Internet Services Manager (Диспетчер служб интернета), который находится в окне Start\Administration Tools (Пуск\Администрирование) или в окне My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование).
2. Выберите веб-сайт под именем компьютера в окне Internet Information Services Manager. Если на сервере работает только один сайт, то этим сайтом будет веб-сайт по умолчанию, как показано на рисунке.

    

   
   
    

    

    
3. Щелкните правой кнопкой на имени сайта и в ниспадающем меню выберите Stop (Стоп), чтобы отключить веб-сайт по умолчанию.
4. Создайте новый сайт с содержимым, которое хранится в другом каталоге, не в каталоге по умолчанию. Будет лучше, если будет заблаговременно создан каталог в соответствующем разделе. Компания Microsoft рекомендует создавать отдельную директорию для файлов каждого типа, чтобы упростить установку разрешения Access Control (Контроль доступа). Рекомендуется использовать этот подход. Например, можно настроить веб-сайт следующим образом:
           Root = D:\my_website
           D:\my_website\static (.html)
           D:\my_website\include (.inc)
           D:\my_website\script (.asp)
           D:\my_website\executable (.dll)
           D:\my_website\images (.gif, .jpeg)
          

Совет. Если не нужно создавать новый сайт, все равно измените содержимое по умолчанию корневого каталога сайта, щелкнув правой кнопкой мыши на имени Default Site (Сайт по умолчанию) в окне Services Manager (Диспетчер служб) и выбрав в ниспадающем меню пункт Properties (Свойства). Каталог по умолчанию можно изменить на вкладке Home Directory (Домашний каталог).

Для создания нового веб-сайта выполните следующие инструкции.

1. В окне Internet Information Services Manager (Диспетчер IIS) выберите пункт Default Web Site (см. предыдущий рисунок) и щелкните на нем правой кнопкой мыши. В ниспадающем меню выберите New Site (Новый сайт), чтобы запустить Site Creation Wizard (Мастер создания сайта).
2. В первом окне мастера введите имя веб-сайта в поле Description (Описание), когда этого потребует мастер. Нажмите на кнопку Next (Далее).
3. Появится окно настроек IP-адреса и портов, показанное на рисунке.

    

   
   
    

    

    
   Выберите заранее сконфигурированный IP-адрес в ниспадающем меню вверху экрана. Выберите адрес, соответствующий пограничному с интернетом интерфейсу (подразумевается, что на сервере установлены две сетевых карты). Можете продолжить работу, выбрав опцию All Unassigned (Отключить все), если сетевые интерфейсы настроены заранее.
4. Укажите адрес порта TCP для сервера. Если сайт расположен в интернете, то не следует изменять значение порта 80, если только веб-сайт не используется для работы специального приложения. Пропустите информацию о заголовке узла, так как она не требуется. По завершении всех действий нажмите на кнопку Next.
5. В окне Web Site Home Directory (Домашний каталог веб-сайта) укажите расположение каталога, в котором будет находиться содержимое нового веб-сайта. Выберите место размещения в другом разделе, не в разделе с операционной системой сервера!

   Совет. Убедитесь в том, что выбранное имя отличается от имени по умолчанию Inetpub. Зачем облегчать задачу хакеру, осуществляющему автоматизированную атаку?

6. Если сайт находится в интернете, оставьте выделенной опцию Allow Anonymous Access To This Web Site (Разрешить анонимный вход на этот веб-сайт). Это исключит вход в систему пользователей, посещающих сайт. Отключите опцию, если необходима авторизация пользователей при входе на сайт. Довольно распространенным решением является авторизация пользователей на сервере в интранет-сети. Нажмите на кнопку Next.
7. Установите разрешения для нового каталога в окне Web Site Access Permissions (Разрешения на доступ к веб-сайту), показанном на рисунке. Установите разрешения на самый ограниченный уровень. Если на сайте не будет использоваться технология ASP, то не включайте разрешение для страниц этого типа. То же самое относится к программам общего шлюзового интерфейса (CGI). Если планируется включить их в содержимое сайта в будущем, установите их позже, когда это будет необходимо.

    

   
   
    

    

    
8. Нажмите на кнопку Next, чтобы применить изменения, после чего нажмите на Finish (Готово), чтобы закрыть мастер. Повторите все приведенные выше (и последующие) шаги для остальных веб-сайтов на сервере IIS.

   Совет. Теперь, когда создан новый веб-сайт, удалите веб-сайт по умолчанию Default Web Site из диспетчера IIS. Однако, как уже говорилось ранее, его можно оставить в качестве обманного маневра, но при перезагрузке следите, чтобы сайт по умолчанию не включился снова.

Отключение родительских путей. Родительские пути представляют собой свойство операционной системы Windows, позволяющее инструкциям командной строки и программам обращаться к родительскому каталогу с помощью двух точек (".."). Это удобный способ перехода по иерархии каталогов для системных администраторов и программистов независимо от того, в каком месте дерева каталогов они находятся. Команде или программе не требуется указывать имя родительского каталога, вместо имени каталога используются две точки.

К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы. Именно поэтому следует отключать родительские пути.

Родительские пути отключаются в окне Web Site Properties (Свойства веб-сайта). Выполните следующее.

1. Запустите IIS Manager. В левой панели окна Internet Information Servces (IIS), показанном на рисунке, щелкните правой кнопкой на имени веб-сайта и выберите пункт Properties (Свойства).

    

   
   
    

    

    
2. Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта), показанном на рисунке, после чего нажмите на кнопку Configuration (Настройка) для открытия окна Configuration.

    

   
   
    

    

    
3. В окне Application Configuration (Настройка приложений) имеется набор вкладок. Во вкладке App Options (Свойства приложения) имеется опция Enable Parent Paths (Включить родительские пути), как показано на рисунке. Отключите данную опцию и нажмите на OK.

    

   
   
    

    

    
4. Если установлены другие службы IIS (IIS Help или FTP), то примите решение о наследовании отключенных родительских путей. В этом случае после закрытия окна Application Configuration отобразится диалоговое окно Inheritance (Наследование) с вопросом о том, нужно ли применить опцию родительских путей ко всем службам, связанным с веб-сайтом. Следует положительно ответить на этот вопрос и нажать на OK для закрытия окна и подтверждения указанных настроек.

Отключение поддержки ненужных приложений. По умолчанию IIS настроен на поддержку многих файловых расширений. Например, файл .idc представляет собой соединитель с базой данных, используемый для передачи данных между базой данных и службой или формой интернета. При настройке приложений, связывающих файл .idc с поддерживающим HTTP драйвером IIS ODBC httpodbc.dll, IIS считывает информацию о формате из соединителя с базой данных для правильной передачи данных.

Информация в таблице 3.3 взята из руководства NSA по защите IIS. Здесь приведены данные о поддержке некоторых общих файловых расширений приложений, описание каждого расширения.

На некоторых веб-сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

1. Откройте Internet Information Services Manager (Диспетчер IIS).
2. В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).
3. Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.

ПРОБЛЕМА. Работа с поддержкой приложений

Приложения интернета (т.е. приложения, выполняющиеся на веб-сервере) разрабатываются с использованием целого ряда языков программирования и сценариев. Веб-приложения осуществляют интерактивный поиск данных и сбор информации о клиенте.

IIS использует расширение имени файла запрошенного ресурса, чтобы выбрать интерфейс ISAPI или программу CGI для обработки запроса. Например, запрос файла с расширением .asp вызовет запуск на веб-сервере программы ASP (Asp.dll) для обработки этого запроса. Связь файлового расширения с ISAPI или программой CGI называется поддержкой приложения.

Поддержка приложений представляет угрозу для веб-сайта. Хакер может осуществить выполнение одного из приложений, передав ему файл с соответствующим типом расширения. Хакер попытается осуществить переполнение буфера при загрузке файла приложением или другое действие, позволяющее получить доступ в систему для захвата управления. Отключив поддержку приложений, можно ограничить использование этого слабого места.

1. Откройте Internet Information Services Manager (Диспетчер IIS).
2. Выделите имя веб-сайта в левой панели. Папки сайтов появятся в правой панели.
3. Удалите виртуальную папку Printers (Принтеры), если она существует (см. рисунок вверху следующей страницы).

Папка Printers (Принтеры) является виртуальной папкой. Виртуальные папки скрывают непосредственное расположение информации от веб-браузеров, отображая псевдоним в адресах URL вместо реального имени каталога. Текущим размещением папки Printers (Принтеры) является папка winnt\web\printers на загрузочном системном диске сервера. (Системный диск в документации Windows 2000 указывается в виде %systemdrive%, поэтому данная папка будет обозначена как %systemdrive%\winnt\web\printers.)

1. Откройте Internet Services Manager (Диспетчер служб интернета), в левой панели выделите имя веб-сайта. Папки веб-сайта появятся в правой области окна.
2. Удалите соответствующие папки. В Internet Services Manager можно удалить виртуальные папки. В табл. 3.4 приведены имена и размещение папок, которые восстанавливаются при перезагрузке и которые следует удалить.

Совет. В табл. 3.4 %webroot% представляет собой корневой каталог с веб-содержимым, а %systemdrive% означает загрузочный диск с установленной операционной системой.

Отключение IP-адреса в заголовке расположения содержимого. При использовании статических страниц HTML (например, Default.htm) к ответу на запрос страницы веб-браузером добавляется заголовок расположения содержимого. По умолчанию расположение содержимого ссылается на IP-адрес сервера, а не на доменное имя (FQDN) или имя узла. Этот заголовок может раскрыть внутренние IP-адреса, скрытые или замаскированные брандмауэром сетевой трансляции адресов (NAT) или прокси-сервера.

Ниже приведены инструкции, взятые из статьи Microsoft Knowledge Base (#Q218180) (База знаний Microsoft), описывающей отключение заголовка расположения содержимого в Internet Information Services 5.0.

1. Откройте окно командной строки Start (Пуск)\Accessories (Стандартные)\ Command Prompt (Командная строка).

2. Перейдите в каталог сценариев администратора при помощи команды:

    
   сd c:\inetpub\adminscripts

   Если имя домашнего каталога изменено, путь к данному каталогу будет содержать измененное имя каталога.

    

3. Введите следующую команду:

    
   adsutil set w3svc/UseHostName True

   По умолчанию данный параметр установлен на значение False (Ложь), поэтому он возвращает только IP-адрес компьютера, на котором установлен сервер IIS. Установка данного параметра на значение True (Истина) выводит имя FQDN компьютера IIS.

    

4. Рекомендуется перезагрузить службу Inetinfo после внесения данного изменения. Для остановки и запуска процесса Inetinfo без перезагрузки введите следующую команду в командной строке:

    
   net stop iisadmin /y

5. Для перезапуска введите:

    
   Net start w3svc

Конфигурация поддержки системных данных. Функции Recycle Bin (Корзина) и Virtual Memory (Виртуальная память) операционной системы Windows 2000 могут обнаруживать данные, несмотря на то, что настроены на немедленное удаление.

По умолчанию Recycle Bin настроена на сохранение копии каждого удаляемого файла. Данное обстоятельство нас не устраивает, поэтому изменим параметры для немедленного удаления содержимого. Ниже приведены инструкции по настройке Recycle Bin.

1. На рабочем столе сервера щелкните правой кнопкой мыши на значке Recycle Bin (Корзина) и выберите пункт Properties (Свойства).
2. Выберите опцию Use One Setting For All Drives (Единые параметры для всех дисков) и опцию Do Not Move Files To The Recycle Bin (Уничтожать файлы сразу после удаления, не помещая их в корзину), после чего нажмите на OK.

Уязвимость данных в виртуальной памяти Windows 2000 возникает из-за настройки по умолчанию системного файла подкачки, используемого для хранения данных в режиме оперативной памяти при записи и удалении данных с диска. Windows 2000 содержит параметр безопасности, который должен быть включен для удаления всех данных в системном файле подкачки при выключении Windows 2000.

Процедура включения данного параметра заключается в следующем.

1. Откройте окно Start\Administrative Tools\Local Security Policy (Пуск \Администрирование\Локальная политика безопасности) или окно My Computer\Administrative Tools\Local Security Policy (Мой компьютер\Администрирование\Локальная политика безопасности).
2. Откройте окно Local Security Settings\Local Policies\Security Options (Настройка локальной безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.

    

   
   
    

    

    
3. В правой области отображается перечень параметров. Дважды щелкните на параметре Clear Virtual Memory Pagefile When System Shuts Down (Очищать файл виртуальной памяти при выключении компьютера), после чего откроется диалоговое окно Local Security Policy Setting (Настройка локальной политики безопасности).
4. Выберите опцию Enabled (Включено), как показано ниже. Нажмите на OK для закрытия окна.

    

   
   
    

    

    

Дополнительные процедуры

Приведем еще несколько рекомендаций по укреплению системы. Некоторые из них несовместимы с вашей конфигурацией в зависимости от того, выполнялось ли обновление программного обеспечения предыдущих версий или установка последних надстроек безопасности и сервис-пакетов. Несмотря на то, что данные процедуры повышают степень защищенности IIS, они не играют особой роли в средах с низким и средним уровнями безопасности.

Удаление старых каталогов. При обновлении сервера с системы NT удалите каталог с именем IISADMPWD из папки IIS в корневом каталоге. Согласно перечню угроз Microsoft Security Checklist для IIS 5.0 данная директория позволяет восстанавливать пароли Windows NT и Windows 2000.

Каталог IISADMPWD служит для внутренних сетей, он не создается при установке IIS 5, не удаляется при обновлении IIS 4 до IIS 5. Удалите данный каталог, если не используете внутреннюю сеть или подключаете сервер к интернету.

После обновления сервера остаются еще некоторые каталоги, которые также следует удалить:

• <System Root>\DOS;
• <System Root>\Cookies;
• <System Root>\History;
• <System Root>\Temporary Internet Files.

Удаление файла SAM из каталога WINNT\REPAIR. База данных Security Accounts Manager (SAM) (Диспетчер безопасности учетных записей) представляет собой хранилище паролей пользователей в Windows 2000. При установке сеанса связи на сервере Windows SAM подтверждает подлинность аутентификационных данных пользователя. Пароли Windows безопасны ровно настолько, насколько защищен файл базы данных SAM. Поэтому в Windows 2000 безопасность этого файла обеспечивается с помощью ограничения разрешений на доступ к нему и шифрования с использованием защищенного ключа, хранимого в системном реестре. Обеспечьте безопасность SAM с помощью настройки локальной политики безопасности сервера на очистку файла подкачки.

Пароли защищаются посредством удаления лишней копии файла SAM, расположенной в каталоге (%Sys Volume% является корневым каталогом загрузочного диска):

По умолчанию файл SAM вместе с ключами реестра Windows и журналом остальных системных файлов копируется в этот каталог для создания диска экстренного восстановления (Emergency Repair Disk, ERD). После создания ERD с помощью команды Backup (Резервное копирование) храните этот диск в надежном месте и удалите файл SAM из каталога восстановления. Повторяйте эту процедуру при каждом обновлении ERD.

Отключение подсистем MS DOS, POSIX и OS/2. Руководство NSA по конфигурации Windows 2000 предлагает удалить подсистемы для операционных систем OS/2 и POSIX. Рекомендации по работе с Microsoft IIS содержат инструкции по удалению наследуемых утилит, связанных с DOS, которые являются подсистемой DOS. Подсистема – это условное название различных команд и утилит Windows 2000, обеспечивающих совместимость с более старым программным обеспечением и дающих возможность управления системой из командной строки DOS. Эти подсистемы представляют потенциальную угрозу безопасности для веб-сервера, поэтому следует отключить их и удалить соответствующие команды.

Совет. Редактирование реестра Windows – занятие не для новичков. Если допущена ошибку, то следствием может стать отключение сервера. Перед редактированием реестра создайте диск экстренного восстановления системы (см. лекции 6).

Отключите подсистемы посредством удаления их строк из реестра Win2000. Запустите утилиту Windows 2000 REGEDIT и выполните следующие процедуры.

1. В меню Пуск (Start) выберите команду Run (Выполнить) и введите Regedit, после чего откроется приложение (см. рисунок ниже). Откройте папку HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT.

    

   
   
    

    

    
2. Удалите все параметры в папке \HKEY_LOCAL_MACHINE\SOFT-WARE\MICROSOFT\OS/2.

3. Откройте папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont-rolSet\ Control. В папке Control выполнитe следующие действия.

    
   • Откройте папку Session Manager\Environment. Удалите значение Os2LibPath.
   • Откройте папку Session Manager\Subsystems. Удалите подпараметры Os/2 и Posix.
    

Изменения вступят в силу после перезагрузки системы.

Теперь удалите команды подсистемы, так как они обеспечивают совместимость приложений на файловом сервере. Не следует запускать на сервере старые приложения, которым нужна эта совместимость. Место расположения описанных файлов в папке %Sys Volume%\ (%SystemRoot%\system32):

• os2.exe;
• os2ss.exe;
• os2srv.exe;
• psxss.exe;
• posix.exe;
• psxdll.dll;
• все файлы в папке \os2. (Оставьте вложенную папку DLL и все ее содержимое. При ее удалении перестанет работать исполнитель команд Windows 2000 Command.exe.)

После этого удалите старые утилиты командной строки DOS, Win98, NT и Windows 2000, находящиеся в системном каталоге сервера, иначе они станут орудиями хакеров, пытающихся получить доступ на сервер. Эти утилиты расположены в папке установки Windows 2000 %System Root\system32, где %System Root% – корневой каталог на загрузочном диске сервера. После запуска IIS Lock права на системную папку будут ограничены для исключения возможности доступа к ним обычных пользователей интернета, но это не поможет, если кто-либо завладеет привилегиями на доступ к серверу более высокого уровня. Повысьте уровень безопасности, удалив с сервера указанные элементы.

Имеется ли у вас дискета с набором утилит для экстренного восстановления системы? Такая дискета идеально подходит для расположения этих утилит. Ниже приведен перечень команд, которые следует удалить.

Необходимо произвести действия с файлами в двух местах. Windows 2000 содержит функцию самовосстановления, называемую System File Checker (Проверка системных файлов), которая в случае удаления системных файлов восстанавливает их из резервной папки \%System Root%\system32\dllcache. Удалите файлы из папки system32 и из этой резервной папки, не перемещайте и не переименовывайте их.

Совет. Если слишком рано удалить команду Regedit.exe, то невозможно будет редактировать реестр для устранения подсистем OS/2 и DOS. Неизвестно, когда эти команды понадобятся вновь, поэтому команды в папке system32 следует лишь переместить и/или переименовать, а не удалить. По возможности переместите их на дискету, чтобы не переименовывать.

Перемещение метабазы и изменение параметра реестра. В руководстве NSA имеется рекомендация по обеспечению защиты альтернативы IIS системному реестру Windows 2000. IIS хранит большую часть информации системного реестра Windows 2000 в специальном хранилище данных, называемом метабазой. Метабаза содержит значения конфигурационных параметров в резидентном хранилище. Метабаза специально создана для работы с IIS и является более быстрой, гибкой и расширяемой, нежели системный реестр Windows 2000.

Предупреждение. Обратитесь к рекомендациям NSA по адресу, указанному в табл. 3.1, для получения советов и инструкций по данной процедуре. Ее выполнение представляет большую опасность для работы сервера, если только не осуществляется системными администраторами с большим опытом.

Физическая безопасность, безопасность загрузки и параметры безопасности носителей

Последними (но немаловажными) связанными с безопасностью параметрами веб-сервера, которые нужно защитить как часть процесса установки, являются атрибуты, управляющие загрузкой сервера. После того как сервер расположен в защищенном месте, внесены изменения в IIS и Windows 2000, будет очень обидно, если все усилия сведутся к нулю хакером, получившим физический доступ к серверу и загрузившим его под другой операционной системой, в которой он является администратором и может делать все, что захочет.

Это относится не только к веб-серверам. Организации с серьезным отношением к вопросам безопасности, скорее всего, сразу предотвратят такой сценарий, указав приведенные ниже параметры в политике безопасности Windows 2000 и применив данные рекомендации к другим серверам.

Параметры загрузки BIOS

Изменить параметры загрузки BIOS сервера для предотвращения загрузки со съемного носителя под другой операционной системой, которая используется некоторыми хакерами при проведении физических атак. Если хакер выполнит такую атаку, то он обойдет контроль доступа к файловой системе.

Процедура изменения параметров BIOS является индивидуальной для каждой конфигурации компьютеров (в зависимости от версии BIOS и производителя оборудования). Основные этапы заключаются в следующем.

• Ознакомьтесь с информацией, отображаемой после включения компьютера до начала загрузки Windows 2000. Нажмите клавишу, предназначенную для входа в программу BIOS Setup компьютера (как правило, это клавиша Del).
• В меню настроек BIOS установите пароль администратора либо на загрузку компьютера, либо на изменение параметров меню в зависимости от используемого метода защиты. При желании примените тот же пароль администратора, который вводится при входе в Windows 2000. Если на компьютере имеется такая возможность, отключите пароль пользователя. Имейте в виду, что не нужно устанавливать пароль на включение питания, так как этот пароль не позволит автоматически перезагрузить систему при сбое в сети питания.
• По возможности настройте CMOS компьютера на запрет загрузки со съемных носителей. Если в системе недоступны параметры, определяющие загрузочное устройство, то, по крайней мере, у вас будет достаточно весомый уровень защиты в виде пароля на загрузку компьютера.

Параметры носителей

Следует настроить Windows 2000 для предотвращения физических атак, ограничив доступ к гибким дискам или CD-ROM, если пользователь не осуществил локальный вход в систему. Для обеспечения безопасности носителей следует выполнить две процедуры.

• Ограничить доступ к CD-ROM пользователей, локально вошедших в систему.
• Ограничить доступ к гибким дискам пользователей, локально вошедших в систему.

Параметры управления носителями являются частью локальной политики безопасности. Для создания политики безопасности или настройки параметров локальной политики безопасности выполните следующие шаги.

1. Выберите оснастку Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование).
2. Откройте окно Local Security Policy\Local Policies\Security Options (Локальная политика безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.

    

   
   
    

    

    
3. В окне Security Options область справа содержит перечень параметров. Следует по очереди установить необходимые ограничения на доступ к носителям.
   • Откройте параметр Restrict CD-ROM Access To Locally Logged On Users (Ограничить доступ к CD-ROM пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.
   • Выберите опцию Enabled (Включено), после чего нажмите на OK.
   • Откройте параметр Restrict Floppy Access To Locally Logged On Users (Ограничить доступ к гибким дискам пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.
   • Выберите опцию Enabled (Включено), после чего нажмите на OK.
    

Сводный перечень рекомендаций по установке

• Располагайте сервер в физически безопасном месте.
• Не устанавливайте сервер на контроллере домена Windows; установите его на отдельном компьютере.
• Используйте несколько дисков или разделов, не устанавливайте домашний каталог веб-сервера в том же томе, что и папки операционной системы.
• Используйте на сервере две сетевых платы: одну – для администрирования, другую – для сети.
• Максимально упростите конфигурацию: установите минимальное число служб, отказавшись от установки необязательных компонентов.
  • Не устанавливайте принтер.
  • Не устанавливайте компоненты доступа к данным, если они не требуются.
  • Не устанавливайте HTML-версию Internet Services Manager (Диспетчер служб интернета).
  • Не устанавливайте MS Index Server.
  • Не устанавливайте серверные расширения MS FrontPage на создаваемом сервере.
   

Сводный перечень рекомендаций по укреплению системы

• Установите сервис-пакеты, надстройки и исправления.
• Выполните IIS Lock.
• Создайте новый сайт и отключите сайт по умолчанию.
• Создайте новый каталог для содержимого.
• Убедитесь в безопасности конфигурации посредством проведения процедуры укрепления системы вручную.
• Отключите родительские пути.
• Отключите поддержку ненужных приложений.
• Удалите виртуальный каталог IIS Internet Printing.
• Удалите демонстрационные каталоги и сценарии.
• Удалите IP-адрес в заголовке расположения содержимого.
• Измените параметры Recycle Bin (Корзина) и политику системных данных файла подкачки.
• Удалите старые каталоги (требуется только после обновления программного обеспечения).
• Установите защиту на настройки CMOS.
• Обеспечьте безопасность физических носителей (привод гибких дисков, привод CD-ROM и т.д.)