На цій сторінці
Веб-сервери часто стають об'єктом різного роду атак. Деякі атаки бувають досить серйозними, щоб завдати істотної шкоди виробничих активів, продуктивності бізнесу і взаємовідносин з клієнтами. Крім того, всі атаки несуть незручності і розчарування. Безпека веб-сервера - ключовий аспект успішності бізнесу.
У порівнянні з попередніми версіями служби Internet Information Services, в IIS 6.0 реалізується більш упереджувальний політика по відношенню до зловмисних користувачам і зловмисникам:
Спочатку після установки IIS 6.0 веб-сервер буде обслуговувати (або відображати) тільки статичні веб-сторінки (HTML), що знижує ризик, пов'язаний з обслуговуванням динамічного (або виконуваного) вмісту.
Єдиною службою, яка працює за замовчуванням після установки IIS 6.0, є служба веб-публікацій. Решта служби можна включити, коли в них виникне необхідність.
Спочатку після установки IIS 6.0 служби ASP і ASP.NET за замовчуванням відключені.
Налаштування IIS 6.0 за замовчуванням відключають багато функцій, до яких часто звертаються веб-служби. У цьому документі пояснюється, як налаштувати додаткові функції веб-сервера, не підвищуючи при цьому його відкритість для потенційних атак.
У цьому документі містяться такі інструкції щодо підвищення захищеності веб-сервера:
скорочення вразливою контактної зони веб-сервера - зниження відкритості сервера для потенційних атак;
настройка облікових записів користувачів і груп для анонімного доступу;
захист файлів і каталогів від несанкціонованого доступу;
захист веб-вузлів і віртуальних каталогів від несанкціонованого доступу;
настройка протоколу Secure Sockets Layer (SSL) на веб-сервері.
Увага! Всі покрокові інструкції, наведені в цьому документі, розроблені з використанням стандартного меню, що відкривається при натисканні кнопки Пуск. Якщо раніше вносилися зміни в меню «Пуск», то їхні дії зі зміни налаштувань можуть різнитися.
Виконання всіх процедур, передбачених цією документом, дозволить веб-сервера обслуговувати динамічний вміст у вигляді сторінок ASP, зберігаючи при цьому досить потужний захист від наступних видів атак:
Атаки профілювання - збір інформації про веб-сайті. Для протидії їм використовується блокування непотрібних портів і відключення непотрібних протоколів.
Атаки відмови в обслуговуванні (DoS-атаки), при яких веб-сервер переповнюється запитами. Для протидії необхідно встановлювати оновлення системи безпеки і програмного забезпечення.
Несанкціонований доступ з боку користувачів, які не мають належних дозволів. Для протидії необхідно налаштувати дозволу на доступ до веб-вузла і дозволу NTFS.
Довільний виконання шкідливого коду на веб-сервері. Для протидії необхідно обмежити доступ до системних інструментів і командам.
Підвищення прав доступу, в результаті чого зловмисний користувач може виконувати програми під обліковим записом, якій виділено великі права. Для протидії використовуються служби та облікові записи з мінімальними правами.
Віруси, черв'яки, трояни. Для протидії їм необхідно відключити непотрібні функції, використовувати облікові записи з мінімальними правами і своєчасно встановлювати найсвіжіші оновлення системи безпеки.
Примітка. Захист веб-сервера - складний і постійний процес, тому його повну безпеку гарантувати неможливо.
Призначення цього документа
У цьому документі міститься вступна інформація, яка допоможе почати налаштування веб-сервера таким чином, щоб зробити його більш безпечним. Однак, щоб зробити веб-сервер максимально безпечним, необхідно розуміти принцип роботи виконуються на ньому програм. У цьому документі відсутня інформація про особливі аспекти настройки, пов'язаних з конкретними додатками.
Перш ніж приступити до роботи
У цьому розділі пояснюються попередні вимоги до системи і характеристики веб-сервера, що описуються в цьому документі.
Вимоги до системи
Веб-сервер, який використовується в цьому документі як приклад, має наступні вимоги до системи:
Характеристики веб-сервера
Веб-сервер, який використовується в цьому документі як приклад, має наступні характеристики:
на веб-сервері виконується служба IIS 6.0 в режимі ізоляції робочого процесу.
на веб-сервері розміщений один веб-сайт, доступний з Інтернету.
веб-сервер захищений брандмауером, трафік через який відкритий тільки по портам HTTP 80 і HTTPS 443.
веб-сервер є виділеним веб-сервером. Він використовується виключно як веб-сервер і не використовується ні для яких інших цілей, а саме: не є файл-сервером, сервером друку або сервером бази даних, на якому виконується сервер Microsoft SQL Server.
дозволений анонімний доступ до веб-вузла.
веб-вузол обслуговує сторінки HTML і ASP.
додатки, що працюють на веб-сервері, не вимагають з'єднання з базою даних.
на веб-сервері не використовується сервер Microsoft Internet Security and Acceleration (ISA) Server.
Скорочення вразливою контактної зони веб-сервера
Захист веб-сервера слід почати зі скорочення його вразливою контактної зони - ступеня відкритості сервера для потенційних атак. Наприклад, слід включати тільки ті компоненти, служби і порти, які необхідні для належного функціонування веб-сервера.
Відключення протоколів SMB і NetBIOS
У цьому розділі містяться покрокові інструкції з виконання наступних завдань, які допоможуть скоротити вразливу контактну зону веб-сервера:
Відключення протоколу SMB для підключення, доступного з Інтернету
Відключення NetBIOS через TCP / IP
Примітка. При відключенні протоколів SMB і NetBIOS сервер не зможе працювати в ролі файл-сервера або сервера друку. При цьому також неможливо переглядати мережу і дистанційно керувати веб-сервером. Якщо сервер є виділеним веб-сервером, в який адміністратори можуть увійти тільки локально, ці обмеження не завдадуть шкоди функціонуванню сервера.
Протокол SMB використовує наступні порти:
порти TCP і UDP 445 (SMB Direct Host)
Протокол NetBIOS використовує наступні порти:
порти TCP і UDP 137 (служба імен NetBIOS)
порти TCP і UDP 138 (служба дейтаграм NetBIOS)
порти TCP і UDP 139 (служба сеансу NetBIOS)
Відключення одного тільки протоколу NetBIOS не приведе до припинення зв'язку по протоколу SMB, так як протокол SMB використовує порт TCP 445 (SMB Direct Host) в разі, якщо стандартний порт NetBIOS недоступний. NetBIOS і SMB необхідно відключати окремо.
вимоги
Для виконання цих завдань необхідно наступне:
Облікові дані. Необхідно увійти в систему в якості члена групи «Адміністратори» на веб-сервері.
Засоби. «Мій комп'ютер», «Службові програми» і «Диспетчер пристроїв».
Відключення протоколу SMB для підключення, доступного з Інтернету
У меню кнопки Пуск пункт Панель керування. потім двічі клацніть значок Мережеві підключення.
Клацніть правою кнопкою миші підключення, доступне з Інтернету, і виберіть пункт Властивості.
Зніміть прапорець Клієнт для мереж Microsoft.
Зніміть прапорець Служба доступу до файлів і принтерів мереж Microsoft і натисніть кнопку OK.
Відключення протоколу NetBIOS через TCP / IP
Клацніть Пуск. клацніть правою кнопкою миші Мій комп'ютер. а потім виберіть команду Керування.
Двічі клацніть пункт Службові програми і виберіть пункт Диспетчер пристроїв.
Клацніть правою кнопкою миші Диспетчер пристроїв. виберіть пункт Вид і виберіть команду Показати приховані пристрої.
Двічі клацніть пункт Драйвери пристроїв не Plug and Play.
Клацніть правою кнопкою миші NetBIOS через TCP / IP. виберіть Відключити (див. наступний знімок вікна) і натисніть кнопку Так.
Примітка. Знімки вікна, наведені в цьому документі, відповідають тестової середовищі. Відомості, які відображаються у відповідних вікнах в реальних умовах, може відрізнятися від відомостей, представлених на знімках вікна.
Описана вище процедура призначена для відключення кошти прослуховування SMB для портів TCP 445 і UDP 445. Крім того, відключається драйвер Nbt.sys. Після закінчення необхідно перезапустити комп'ютер.
Перевірка нових налаштувань
Виконайте наступні процедури для перевірки правильності налаштувань безпеки, встановлених на веб-сервері.
Перевірка відключення протоколу SMB
Натисніть кнопку «Пуск», виберіть пункт «Налаштування», потім клацніть значок «Мережеві підключення».
Клацніть правою кнопкою миші підключення, доступне з Інтернету, і виберіть пункт Властивості.
Переконайтеся, що зняті прапорці Клієнт для мереж Microsoft і Служба доступу до файлів і принтерів мереж Microsoft. і натисніть кнопку OK.
Перевірка відключення протоколу NetBIOS
Клацніть Пуск. клацніть правою кнопкою миші Мій комп'ютер. а потім виберіть команду Керування.
Двічі клацніть пункт Службові програми і виберіть пункт Диспетчер пристроїв.
Клацніть правою кнопкою миші Диспетчер пристроїв. виберіть пункт Вид і виберіть команду Показати приховані пристрої.
Двічі клацніть пункт Драйвери пристроїв не Plug and Play. потім клацніть правою кнопкою миші NetBIOS через TCP / IP. Після цього в контекстному меню повинен з'явитися варіант Включити; це означає, що NetBIOS через TCP / IP зараз відключений.
Натисніть кнопку OK. щоб закрити диспетчер пристроїв.
Відбір компонентів і служб, життєво важливих для IIS
IIS 6.0 має в своєму складі інші компоненти і служби, крім служби WWW, наприклад службу FTP і службу SMTP. Щоб зменшити небезпеку атаки, спрямованої проти конкретної служби або компонента, рекомендується включати тільки ті служби і компоненти, які необхідні для належного функціонування веб-сайту і веб-додатків.
Компонент або служба