Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 9. Роль веб-сервера
Опубликовано 20 апреля 2007 г.
На этой странице
Обзор Анонимный доступ и параметры SSLF Параметры политики аудита Назначение прав пользователя Параметры безопасности Параметры журнала событий Дополнительные параметры безопасности Создание политики с помощью мастера настройки безопасности Заключение
Обзор
В данной главе содержатся рекомендации по усилению безопасности веб-серверов с Microsoft Windows* Server™ 2003 с пакетом обновлений 1 в конкретной среде. Для обеспечения комплексной безопасности веб-серверов и приложений в интрасети организации рекомендуется защищать каждый сервер Microsoft Internet Information *Services, а также веб-узлы и приложения на этих серверах от клиентских компьютеров, которые могут соединиться с ними. Также необходимо защитить эти веб-узлы и приложения от веб-узлов и приложений, которые запущены на других серверах IIS внутри интрасети организации.
Для защиты от злоумышленников используемая по умолчанию конфигурация членов семейства Windows Server 2003 не включает в себя установку IIS. По окончании установки IIS настроен в максимально защищенном, «заблокированном» режиме. Например, по умолчанию IIS предоставляет только статичное содержимое. Такие функции как страницы ASP, ASP.Net, включения на стороне сервера (SSI), веб-публикация DAV и серверные расширения Microsoft FrontPage® включаются только по решению администратора, поскольку ими могут воспользоваться злоумышленники. Эти функции и службы можно разрешить через узел расширений веб-служб в диспетчере служб IIS. У диспетчера служб IIS есть графический пользовательский интерфейс, созданный для упрощения управления IIS. Он включает в себя возможности для управления файлами и каталогами, настройки групп приложений, а также управления функциями безопасности, производительности и надежности.
Следует подумать о применении настроек, описанных в следующих разделах этой главы для усиления уровня безопасности веб-серверов IIS, на которых находится HTML-содержимое в интрасети организации. Для защиты серверов также следует запустить процедуры наблюдения, обнаружения и реагирования для противодействия новым угрозам.
Большинство параметров, описанных в этой главе, настраиваются и применяются с помощью групповой политики. Добавочный объект групповой политики, дополняющий базовую политику рядовых серверов, привязан к соответствующим подразделениям и обеспечивает дополнительную защиту веб-серверов. Для удобства в данной главе описываются только параметры политик, отличные от базовой политики рядовых серверов.
По возможности эти параметры объединяют в дополнительный шаблон групповой политики, который будет применен к подразделению веб-серверов. Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены подробные сведения по их настройке вручную.
Таблица ниже содержит имена шаблонов безопасности веб-серверов в трех средах, описанных в этом руководстве. Эти шаблоны предоставляют параметры политики для добавочного шаблона веб-сервера. Шаблон веб-сервера, в свою очередь, можно использовать для создания нового объекта групповой политики, связанного с подразделением веб-серверов в соответствующей среде. В главе 2 «Механизмы укрепления безопасности Windows* Server *2003» содержатся подробные инструкции по созданию подразделений и групповых политик с последующим импортом соответствующих шаблонов безопасности в каждый объект политики безопасности.
Таблица 9.1. Шаблоны безопасности сервера IIS
| Среда устаревших клиентов | Среда корпоративных клиентов | Специальная безопасная среда с ограниченной функциональностью |
|---|---|---|
| LC-Web Server.inf | EC-Web Server.inf | SSLF-Web Server.inf |
| Имя компонента в интерфейсе пользователя | Параметр | Объяснение |
|---|---|---|
| Консоль сервера приложений | Отключен | Предоставляет оснастку консоли управления (MMC), которую можно использовать в администрировании компонентов веб-сервера приложений. Этот компонент не требуется на выделенном сервере IIS, потому что его функции может выполнять диспетчер служб IIS. |
| ASP.NET | Отключен | Обеспечивает поддержку приложений ASP.NET. Разрешите этот компонент, когда на сервере IIS работают приложения ASP.NET. |
| Поддержка сетевого доступа по протоколу COM+ | Включен | Позволяет серверу IIS размещать компоненты COM+ для распределенных приложений. Требуется для работы протокола FTP, расширения сервера BITS, службы WWW, диспетчера IIS и др. |
| Поддержка доступа по протоколу DTC | Отключен | Позволяет размещать на сервере IIS приложения, принимающие участие в сетевых транзакциях с использованием координатора распределенных транзакций (DTC). Отключите этот компонент, если установленным на сервере IIS приложениям он не требуется. |
| Службы IIS | Включен | Предоставляет основные веб-службы и службы FTP. Этот компонент необходим выделенным серверам IIS. Примечание. Если этот компонент не включен, то все его подкомпоненты также отключены. |
| Очередь сообщений | Отключен | Очередь сообщений Microsoft (MSMQ) обеспечивает маршрутизацию и хранилище сообщений, а также уровень межплатформенного программного обеспечения пересылки для корпоративных веб-приложений. |
| Имя компонента в интерфейсе пользователя | Параметр | Объяснение |
|---|---|---|
| Серверное расширение BITS | Отключен | Серверное расширение BITS позволяет клиентам отправлять файлы на данный сервер в фоновом режиме. Если на клиентских компьютерах установлены приложения, которые используют BITS для отправки файлов на сервер, тогда следует включить и настроить серверное расширение BITS. В противном случае рекомендуется отключить этот параметр. Обратите внимание, что Центру обновления Windows, центру обновления Майкрософт, службам обновления программного обеспечения, службам обновления WSUS, а также службе автоматических обновлений данный компонент для работы не требуется. Этим службам требуется клиент BITS, не являющийся частью IIS. |
| Общие файлы | Включен | Службам IIS требуются эти файлы, и они всегда должны быть разрешены на серверах IIS. |
| Служба FTP | Отключен | Позволяет серверам IIS предоставлять FTP-службы. Эти службы не требуются выделенным серверам IIS. |
| Серверные расширение FrontPage 2002 | Отключен | Предоставляет поддержку FrontPage для администрирования и публикации веб-узлов. Следует отключить на выделенных серверах IIS, если веб-узлы не используют расширения FrontPage. |
| Диспетчер служб IIS | Включен | Интерфейс администратора для служб IIS |
| Печать через Интернет | Отключен | Обеспечивает средства веб-управления принтерами и совместное использование принтеров через HTTP. Этот компонент не требуется выделенным серверам IIS. |
| Служба NNTP | Отключен | Рассылает, запрашивает, получает и публикует статьи новостей Usenet в Интернете. Этот компонент не требуется выделенным серверам IIS. |
| Служба SMTP | Отключен | Поддерживает передачу сообщений электронной почты. Этот компонент не требуется выделенным серверам IIS. |
| Служба WWW | Включен | Предоставляет веб-службы, а также статическое и динамическое содержимое клиентам. Этот компонент необходим выделенным серверам IIS. |
| Имя компонента в интерфейсе пользователя | Параметр установки | Объяснение |
|---|---|---|
| Интеграция с Active Directory | Отключен | Обеспечивает интеграцию со службой каталогов Active Directory® при принадлежности сервера IIS к домену. Этот компонент необходим, когда службы очереди сообщений Microsoft (MSMQ) используются веб-узлами и приложениями, запущенными на серверах IIS. |
| Общие | Отключен | Этот компонент необходим, когда службы MSMQ используются веб-узлами и приложениями, запущенными на серверах IIS. |
| Поддержка клиента нижнего уровня | Отключен | Обеспечивает доступ к Active Directory и определение сайта для клиентов нижнего уровня. Этот компонент необходим, когда веб-узлы и приложения сервера IIS используют службы MSMQ. |
| Поддержка протокола HTTP MSMQ | Отключен | Обеспечивает прием и отправку сообщений по транспорту HTTP. Этот компонент необходим, когда веб-узлы и приложения сервера IIS используют службы MSMQ. |
| Поддержка маршрутизации | Отключен | Обеспечивает хранение и пересылку сообщений, а также предоставляет эффективные службы маршрутизации. Этот компонент необходим, когда службы MSMQ используются веб-узлами и приложениями, запущенными на серверах IIS. |
| Триггеры | Отключен | Связывает поступление входящих сообщений в очередь с функциональностью компонента COM или отдельной исполняемой программы. |
| Имя компонента в интерфейсе пользователя | Параметр установки | Объяснение |
|---|---|---|
| Оснастка консоли управления BITS | Отключен | Устанавливает оснастку MMC для управления BITS. Включите этот компонент, когда серверное расширение BITS разрешено для ISAPI. |
| Серверные расширения BITS ISAPI | Отключен | Устанавливает серверные расширения BITS ISAPI для передачи данных сервером IIS с помощью BITS. Серверные расширения BITS позволяют BITS на клиентах отправлять файлы на данный сервер в фоновом режиме. Если на клиентках установлены приложения, использующие BITS для отправки файлов на сервер, тогда следует включить и настроить серверное расширение BITS. В противном случае рекомендуется отключить этот параметр. Обратите внимание, что Центру обновления Windows, центру обновления Майкрософт, службам обновления программного обеспечения, службам обновления WSUS, а также службе автоматических обновлений данный компонент для работы не требуется. Этим службам требуется клиент BITS, не являющийся частью IIS. |
| Имя компонента в интерфейсе пользователя | Параметр установки | Объяснение |
|---|---|---|
| Страницы ASP | Отключен | Предоставляет поддержку ASP. Отключите данный компонент, если веб-узлам и приложениям на серверах IIS не требуется ASP, или запретите его с помощью расширений веб-служб. Дополнительные сведения см. в разделе данной главы «Разрешение только обязательных расширений веб-служб». |
| Интернет-подключение к данным (IDC) | Отключен | Обеспечивает поддержку динамического содержимого посредством файлов с расширением IDC. Отключите этот компонент, если в веб-узлах и приложениях, работающих на серверах IIS, отсутствуют файлы с расширением IDC или запретите компонент с помощью расширений веб-службы. Дополнительные сведения см. в разделе данной главы «Разрешение только обязательных расширений веб-служб». |
| Удаленное администрирование (HTML) | Отключен | Предоставляет HTML-интерфейс для администрирования IIS. Лучше использовать диспетчер IIS, так как он обеспечивает упрощенное администрирование и уменьшает количество возможных направлений атаки на серверы IIS. Этот компонент не требуется выделенным серверам IIS. |
| Интернет-подключение к удаленному рабочему столу | Отключен | Включает в себя элемент Microsoft ActiveX® и примеры страниц для соединений клиентов терминальных служб. Лучше использовать диспетчер IIS, так как он обеспечивает упрощенное администрирование и уменьшает количество возможных направлений атаки на серверы IIS. Не требуется на выделенном сервере IIS. |
| Включения на стороне сервера (SSI) | Отключен | Обеспечивает поддержку файлов с расширениями SHTM, SHTML и STM. Отключите этот компонент, если веб-узлам и приложениям, работающим на серверах IIS, не требуются файлы с данными расширениями. |
| Протокол WebDAV | Отключен | WebDAV расширяет протокол HTTP/1.1, позволяя клиентам публиковать и блокировать ресурсы в Интернете, а также управлять ими. Отключите этот компонент на выделенных серверах IIS или запретите его с помощью расширений веб-службы. Дополнительные сведения см. в разделе данной главы «Разрешение только обязательных расширений веб-служб». |
| Служба WWW | Включен | Предоставляет веб-службы, а также статическое и динамическое содержимое клиентам. Этот компонент необходим выделенным серверам IIS. |
| Расширение веб-службы | Условия включения расширения |
|---|---|
| Страницы ASP | Один или несколько веб-узлов и приложений, работающих на серверах IIS, содержат содержимое ASP. |
| ASP.NET версии 1.1.4322 | Один или несколько веб-узлов и приложений, работающих на серверах IIS, содержат содержимое ASP.NET. |
| Все неизвестные расширения CGI | Один или несколько веб-узлов и приложений, работающих на серверах IIS, содержат содержимое неизвестных расширений CGI. |
| Все неизвестные расширения ISAPI | Один или несколько веб-узлов и приложений, работающих на серверах IIS, содержат содержимое неизвестных расширений ISAPI. |
| Серверные расширения FrontPage 2002 | Один или несколько веб-узлов, работающих на серверах IIS, используют расширения FrontPage. |
| Интернет-подключение к данным (IDC) | Один или несколько веб-узлов и приложений на серверах IIS используют интернет-подключение к данным для отображения сведений из баз данных (содержимое с расширениями IDC и IDX). |
| Включения на стороне сервера (SSI) | Один или несколько веб-узлов на серверах IIS использую директивы SSI, чтобы включать многократно используемое содержимое (например панель навигации, верхний или нижний колонтитул страницы) в различные веб-страницы. |
| Протокол WebDAV. | Поддержка WebDAV на серверах IIS требуется для публикации клиентами веб-ресурсов и управления ими. |
| Тип файла | Рекомендованные разрешения NTFS |
|---|---|
| Файлы CGI (EXE, DLL, CMD, PL) | Все (выполнение) Администраторы (полный доступ) Система (полный доступ) |
| Файлы сценария (ASP) | Все (выполнение) Администраторы (полный доступ) Система (полный доступ) |
| Включаемые файлы (INC, SHTM, SHTML) | Все (выполнение) Администраторы (полный доступ) Система (полный доступ) |
| Статическое содержимое (TXT, GIF, JPG, HTM, HTML) | Все (чтение) Администраторы (полный доступ) Система (полный доступ) |
Настройка разрешений веб-узла IIS
IIS проверяет разрешения веб-узла и выбирает допустимые действия на веб-узле, например доступ к исходному тексту сценария или просмотр каталогов. Во всех трех средах, описанных в данном руководстве, необходимо назначать разрешения веб-узла для обеспечения дополнительного уровня безопасности веб-узлов на серверах IIS.
Разрешения веб-узла следует использовать в сочетании с разрешениями NTFS и настраивать отдельно для каждого веб-узла, папки и файла. В отличие от разрешений NTFS, разрешения веб-узла распространяются на каждого, кто пытается получить доступ к веб-узлу на сервере IIS. Разрешения веб-узла можно применить с помощью оснастки диспетчера IIS консоли управления (MMC).
В таблице ниже перечислены разрешения веб-узла, поддерживаемые IIS 6.0, и объясняется, когда следует назначать определенные разрешения для веб-узла.
Таблица 9.9. Разрешения веб-узла IIS 6.0
| Разрешение веб-узла | Разрешение предоставлено |
|---|---|
| Чтение | Пользователи могут просматривать содержимое и свойства каталогов или файлов. Это разрешение выбрано по умолчанию. |
| Запись | Пользователи могут изменять содержимое и свойства каталогов или файлов. |
| Доступ к тексту сценария | Пользователи имеют доступ к исходным файлам. Если разрешено чтение, тогда исходный текст можно просматривать; если разрешена запись, то можно изменять исходный текст сценария. Доступ к тексту сценария распространяется на исходный текст сценариев. Если запрещен доступ на чтение и запись, этот параметр недоступен. Внимание! Если разрешен доступ к исходному тексту, пользователи могут получить возможность просматривать важные данные, например имена пользователей и пароли. Они также могут изменять исходный текст сценариев, выполняемых на сервере IIS, и серьезно влиять на уровень безопасности и производительность сервера. |
| Просмотр каталогов | Пользователи могут просматривать списки файлов и семейства. |
| Журнал посещений | Каждое посещение веб-узла записывается в журнале. |
| Индексация каталога | Позволяет службе индексации индексировать ресурсы, чтобы в дальнейшем выполнять поиск по ним. |
| Выполнить | Перечисленные ниже параметры определяют уровень доступа пользователей к сценариям.
|
Настройка журнала IIS
Рекомендуется включить этот параметр на серверах IIS в трех средах, описанных в данном руководстве.
Можно создать отдельные журналы для каждого веб-узла или приложения. IIS записывает в журналы больше данных, чем функции ведения журналов событий и наблюдения за производительностью в операционной системе Windows. Журналы IIS могут содержать информацию о том, кто посетил узел, что просматривал посетитель, и когда в последний раз просматривались данные. Журналы IIS можно использовать для оценки популярности содержимого, определения «узких мест» при передаче данных. С помощью журнала можно также расследовать атаки.
Оснастку диспетчера IIS консоли управления (MMC) можно использовать для настройки формата файла журнала, расписания записей и типа данных, которые следует записывать. Для ограничения размера журналов следует тщательно спланировать, какие данные следует записывать.
При ведении журнала IIS используется расширенный формат файла журнала W3C для ежедневной записи активности в каталоге, указанном для веб-узла в диспетчере IIS. Для повышения производительности сервера, следует хранить записи на несистемном чередующемся томе либо на чередующемся зеркальном томе.
Запись журнала также может производиться по сети в удаленную общую папку с использованием полного пути UNC. Удаленное ведение журнала позволяет администраторам настроить функции централизованного хранения и резервного копирования файла журнала. Однако при ведении журнала по сети может снизиться производительность сервера.
Функцию ведения журнала IIS можно также настроить на использование в файлах журналов ряда других форматов ASCII или ODBC. Журналы ODBC могут хранить данные об активности в базе данных SQL. Однако следует заметить, что при ведении журнала ODBC IIS отключает кэш режима ядра, что может снизить общий уровень производительности сервера.
На серверах IIS, на которых размещены сотни узлов, можно включить функцию записи в центральный двоичный файл журнала для достижения большей производительности ведения журнала. Запись в центральный двоичный файл журнала позволяет всем веб-узлам на сервере IIS записывать данные об активности в единый файл журнала. Этот метод значительно повышает управляемость и масштабируемость процесса ведения журнала IIS, поскольку уменьшается количество отдельных файлов журнала, которые приходиться хранить и анализировать. Дополнительные сведения о записи в центральный двоичный файл журнала см. в статье о записи в центральный двоичный файл журнала IIS (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/ WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx (на английском языке).
Когда записи журнала IIS хранятся на серверах IIS, по умолчанию только администраторы сервера имеют к ним доступ. Если владелец файла или каталога файлов не является членом локальной группы администраторов файл HTTP.sys (драйвер режима ядра в IIS 6.0) записывает ошибку в журнал событий NT. Данная ошибка сообщает о том, что владелец файла или каталога файлов журнала не является членом локальной группы администраторов, и ведение журнала прекращено до тех пор, пока владелец не будет добавлен в локальную группу администраторов или пока не будет удален текущий каталог или файл журнала.
Сопоставление уникальных групп безопасности с правами пользователя вручную
Для большинства назначений прав пользователя с помощью политики MSBP в шаблонах безопасности, распространяемых с данным руководством, указаны соответствующие группы безопасности. Однако некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их идентификаторы безопасности (SID) различаются для каждого домена Windows 2003. Права пользователей, которые следует настроить вручную, указаны в таблице ниже.
Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не следует путать учетную запись администратора со встроенной группой безопасности Администраторы. Если с какими-либо из следующих прав запрета доступа, будет сопоставлена группа безопасности Администраторы, для исправления этой ошибки нужно будет выполнить локальный вход в систему. Кроме того, встроенная учетная запись администратора могла быть переименована в соответствии с рекомендациями главы 4 «Базовая политика рядовых серверов». При добавлении учетной записи администратора в права пользователей, убедитесь в том, что указана переименованная учетная запись.
Таблица 9.10. Добавленные вручную назначения прав пользователей
| Параметр рядового сервера по умолчанию | Среда устаревших клиентов | Среда корпоративных клиентов | Специальная безопасная среда с ограниченной функциональностью |
|---|---|---|---|
| Отказ в доступе к компьютеру из сети | Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе | Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе | Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе |
Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе» относятся учетные записи служб, используемые на предприятии для определенных приложений, КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА». Эти встроенные учетные записи используются операционной системой.
Обеспечение безопасности известных учетных записей
В Windows Server 2003 имеется ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах IIS
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере, используйте длинные и сложные пароли.
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к другим.
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр не был внедрен ни в один из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр Учетные записи: переименование учетной записи администратора можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот параметр политики является одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому, которое будет применяться при развертывании. Компьютер с заново установленной операционной системой называется контрольным компьютером.
Создание политики сервера IIS
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows».
Подключите компьютер к домену, который выполнит применение всех параметров безопасности родительских подразделений.
Установите и настройте только обязательные приложения, которые будут установлены на все серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью, агенты программного обеспечения и управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт Создать новую политику и укажите контрольный компьютер.
Убедитесь в том, что обнаруженные роли серверов подходят для среды (например роли сервера приложений и веб-сервера).
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы.
Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел, затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
Включите соответствующий шаблон безопасности (например EC-IIS Server.inf).
Сохраните политику с соответствующим именем (например IIS Server.xml).
Примечание. Базовая политика рядовых серверов запрещает некоторые службы, относящиеся к IIS, например FTP, SMTP и NNTP. Следует изменить политику веб-сервера, если требуется разрешить эти службы на серверах IIS в трех средах, описанных в данном руководстве.
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве по развертыванию мастера настройки безопасности по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx**(на английском языке) и в документации по мастеру настройки безопасности по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания.
введите в командной строке команду
```и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команду одной строкой без разрывов.
```Примечание. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
Используйте консоль управления групповыми политиками для сопоставления созданного объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик. Для завершения процедуры подтвердите, что значения параметров установлены правильно и функциональные возможности не изменились.
Заключение
В данной главе описаны параметры безопасности, которые можно использовать для укрепления безопасности серверов IIS с Windows Server 2003 с пакетом обновления 1 (SP1) в трех средах, рассматриваемых в данном руководстве. Большинство параметров политик применяются через объект групповой политики (GPO), разработанный в качестве дополнения к MSBP. Для обеспечения дополнительной безопасности объекты групповой политики могут быть связаны с соответствующими подразделениями, содержащими серверы IIS.
Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены инструкции по их настройке вручную.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения об укреплении безопасности серверов IIS с Windows Server 2003 с пакетом обновления 1 (SP1).
Данные о включении ведения журнала в IIS см. в статье базы знаний Майкрософт Включение ведения журнала в IIS по адресу http://support.microsoft.com/?kbid=313437 (на английском языке).
Дополнительные сведения о ведении журналов см. на странице Включение ведения журнала (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ d29207e8-5274-4f4b-9a00-9433b73252d6.mspx (на английском языке).
Сведения о ведении журнала активности узла см. на странице Ведение журнала активности веб-узла (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/ IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx (на английском языке).
Сведения о расширенном ведении журнала см. на странице Настройка расширенного ведения журнала W3C (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/ IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx (на английском языке).
Сведения о ведении централизованного двоичного журнала см. на странице Запись в централизованный двоичный журнал в службе IIS 6.0 веб-узла Microsoft.com по адресу www.microsoft.com/technet/prodtechnol/ WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx (на английском языке).
Сведения об удаленном ведении журнала см. на странице Удаленное ведение журнала (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ a6347ae3-39d1-4434-97c9-5756e5862c61.mspx (на английском языке).
Дополнительные сведения об IIS 6.0 см. на странице службы IIS по адресу www.microsoft.com/WindowsServer2003/iis/default.mspx (на английском языке).
Загрузить
Загрузить руководство по безопасности Windows Server 2003 (на английском языке)
Уведомления об обновлении
Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках
Обратная связь