IIS - Контрольный список действий по обеспечению безопасности IIS
Есть несколько способов усиления безопасности компьютера, публикующего информацию в интрасети или в Интернете. Пользователям, которых волнует безопасность их системы, следует просмотреть этот список и выяснить, можно ли улучшить ее.
Примечание. За помощью в защите информации, имеющей особую важность, следует обратиться в компанию, осуществляющую профессиональные консультации в области безопасности. Консультационная фирма поможет вам выработать правильные политики и процедуры обеспечения безопасности.
Безопасность WindowsБезопасность Internet Information Services
Физическая безопасность
Безопасность персонала
Дополнительные сведения о безопасности
Безопасность Windows
Средства безопасности IIS базируются на средствах безопасности, предоставляемых Windows. Следующие действия, выполненные в Windows, послужат усилению безопасности веб-узла.
Файловая система
| Действие | Причина | |
| | Используйте NTFS | Файловая система NTFS более безопасна, чем система FAT. Сведения о преобразовании установленной на жестком диске системы FAT в NTFS см. в документации Windows. |
| | Проверьте разрешения на каталоги | По умолчанию при создании новых папок Windows дает группе «Все» полный доступ к ним. |
| | Задайте ограничения доступа для учетной записи IUSR_ИмяКомпьютера | Это поможет ограничить доступ анонимных пользователей к вашему компьютеру. |
| | Храните исполняемые файлы в отдельном каталоге | Это облегчает аудит и назначение разрешений на доступ. |
| | Проверьте разрешения NTFS на доступ к сетевым дискам | По умолчанию при создании новых общих ресурсов Windows дает группе «Все» полный доступ к ним. |
Учетные записи пользователей
| Действие | Причина | |
| | Регулярно проверяйте учетные записи пользователей | Проверьте, все ли записи в системе созданы администратором. Просмотрите права, данные учетной записи IUSR_ИмяКомпьютера. Все пользователи, осуществляющие анонимный доступ к узлу, имеют права, данные этой учетной записи. Можно также с помощью средств аудита отслеживать, кто и когда изменял политики безопасности. Дополнительные сведения см. в разделе Аудит. |
| | Выбирайте трудные для подбора пароли. | Пароли сложнее угадать или подобрать, если они состоят из комбинации букв верхнего и нижнего регистров, цифр и специальных символов. |
| | Реализуйте строгую политику учетных записей. | Отслеживайте доступ, предоставленный важным учетным записям пользователей и групп. Вы также должны знать, кто имеет полномочия изменять политики безопасности. |
| | Уменьшите до минимума число участников группы «Администраторы» | Обычно участники этой группы имеют полный доступ к компьютеру. |
| | Задайте пароль для учетной записи «Администратор» | По умолчанию пароль для учетной записи «Администратор» не задан. Для надежной защиты выберите трудный для подбора пароль, как описано выше. |
Службы и прочие аспекты
| Действие | Причина | |
| | Запускайте минимальное число служб | Запускайте только те службы, которые абсолютно необходимы для ваших нужд. Каждая запущенная служба вносит дополнительный риск несанкционированного проникновения в систему. Более подробные сведения о службах и безопасности см. в книге Microsoft Windows 2000 Server Resource Kit. |
| | Не используйте PDC в роли сервера | Основной контроллер домена (PDC) постоянно обрабатывает запросы на проверку подлинности. Запуск веб-службы на PDC приведет к снижению производительности. Кроме того, это может открыть PDC для атак хакеров, что сделает всю вашу сеть небезопасной. |
| | Включите аудит | Аудит — это очень ценное средство для отслеживания доступа к защищенным или важным файлам. Аудит можно также использовать для отслеживания серверных событий, таких как изменение политики безопасности. Журналы аудита можно архивировать для последующего изучения. Дополнительные сведения см. в разделе Аудит. |
| | При удаленном администрировании компьютера используйте шифрование | Обычно при удаленном администрировании выполняется передача конфиденциальной информации, например пароля учетной записи «Администратор». Чтобы защитить эту информацию во время передачи ее по открытой сети, используйте средства шифрования Secured Sockets Layer (SSL). Дополнительные сведения см. в разделе Шифрование. |
| | Используйте для работы с Интернетом учетную запись с ограниченными правами | Использование для просмотра Интернета учетной записи, наделенной большими полномочиями (администратора, опытного пользователя и т. п.), потенциально может открыть ваш компьютер для проникновения извне. Аналогично, никогда не просматривайте Интернет с основного контроллера домена (PDC). |
| | Регулярно выполняйте резервное копирование важных файлов и реестра | Никакая защита не может гарантировать полной безопасности данных. Дополнительные сведения см. в книге Microsoft Windows 2000 Server Resource Kit. |
| | Регулярно выполняйте проверку на вирусы | Любой компьютер или открытая сеть могут быть заражены компьютерным вирусом. Регулярные проверки могут помочь избежать потери данных. |
| | Отмените привязку ненужных служб к сетевым адаптерам, подключенным к Интернету | Предупреждение! Перед тем как приступить к отмене привязки, обязательно проконсультируйтесь с системным администратором, так как это может повлечь нежелательные последствия для остальных пользователей вашей системы. |
Безопасность Internet Information Services
IIS обеспечивает защиту самого веб-узла, включая проверку подлинности и веб-разрешения.
Проверка подлинности
| Действие | Причина | |
| | Используйте наиболее надежную проверку подлинности из числа возможных | Используйте наиболее надежную проверку подлинности из тех, которые поддерживаются клиентами. Например, встроенная проверка подлинности Windows и краткая проверка подлинности более надежны, чем обычная проверка подлинности. Клиентские сертификаты также являются крайне надежным способом проверки подлинности. Дополнительные сведения о проверке подлинности см. в разделе Проверка подлинности. |
| | Сопоставление сертификатов «один-к-одному» или «многие-к-одному» | Для сопоставления клиентских сертификатов учетным записям Windows Вы можете использовать либо оба этих метода, либо какой-нибудь один из них. Сопоставление «один-к-одному» дает более высокую определенность, но требует, чтобы копия клиентского сертификата находилась на сервере. Сопоставление «многие-к-одному» легче реализуется и не требует хранения копии сертификата на сервере. Дополнительные сведения см. в разделе Сопоставление клиентских сертификатов учетным записям пользователей. |
Веб-разрешения
| Действие | Причина | |
| | Синхронизируйте веб-разрешения и разрешения NTFS | Если веб-разрешения и разрешения NTFS противоречат друг другу, то применяются те из них, которые налагают более жесткие ограничения. Синхронизацию можно выполнить как вручную, так и с помощью мастера разрешений. Дополнительные сведения о веб-разрешениях см. в разделе Об управлении доступом. Дополнительные сведения о разрешениях NTFS см. в документации Windows. |
| | При удаленном администрировании IIS используйте ограничение IP-адресов | Дополнительные сведения см. в разделе Предоставление и запрет доступа для компьютеров. |
| | Используйте наиболее ограничивающие разрешения | Например, если веб-узел служит только для просмотра информации, назначайте только разрешения на чтение. Если каталог или узел содержат приложения ASP, используйте разрешение «Только сценарии», а не «Сценарии и исполняемые файлы». Дополнительные сведения см. в разделе Задание разрешений для веб-сервера. |
| | Разрешения «Запись» и «Сценарии и исполняемые файлы» | Эту комбинацию следует использовать с большой осторожностью. Она позволяет пользователям загружать исполняемые файлы, которые могут быть потенциально опасными, на сервер и выполнять их на нем. Дополнительные сведения см. в разделе Задание разрешений для веб-сервера. |
Физическая безопасность
| Действие | Причина | |
| | Отходя от рабочей станции блокируйте ее | Отходя от компьютера, блокируйте рабочую станцию; для этого нажмите сочетание клавиш CTRL + ALT + DELETE и нажмите кнопку Блокировка. |
| | Используйте защищаемую паролем экранную заставку | Задержка по времени до ее активизации должна быть короткой, чтобы никто не смог использовать компьютер, когда вы отойдете от него. Экранная заставка должна быть пустой; анимированные заставки уменьшают производительность сервера. |
| | Располагайте компьютер в запираемом помещении | Храните компьютер в запираемой комнате, чтобы снизить возможность физического доступа к нему со стороны злоумышленников. |
Безопасность персонала
| Действие | Причина | |
| | Используйте разные учетные записи администраторов | Каждому пользователю, имеющему полномочия администратора, нужно назначить отдельную учетную запись и пароль. Это упростит отслеживание вносимых изменений. |
| | Используйте соглашения о неразглашении | Рекомендуется использовать соглашения о неразглашении, запретив пользователям сообщать свои реквизиты другим лицам. |
| | Периодически меняйте учетные записи | Чтобы уменьшить вероятность подбора информации учетной записи пользователя, периодически меняйте учетные записи пользователей, имеющих административные или другие расширенные привилегии. |
| | Быстро удаляйте неиспользуемые учетные записи | Это позволит снизить риск получения бывшим сотрудником или партнером доступа к вашей сети. |
Дополнительные сведения о безопасности
Следующие источники содержат дополнительные сведения о безопасности веб-узлов:
- Книга Microsoft Windows 2000 Server Resource Kit
- Веб-узел Microsoft Security по адресу http://www.microsoft.com/security/
- Веб-узел компании RSA по адресу http://www.rsa.com/
- Веб-узел Microsoft Windows Security по адресу http://www.microsoft.com/ntserver/security/default.asp