Серверы, стоящие на IIS, пользуются большой
популярностью в мире (примерно 25% всех
серверов, выше только Apache), но, к сожалению, с
регулярной постоянностью появляются баги,
несвоевременная защита от которых может
привести ко взлому или краху сервера.
Большинство компаний, содержащие небольшие
web сервера, не могут позволить
круглосуточно следить за ними, поэтому
остро стоит вопрос правильного
конфигурирования IIS и Windows NT, чтобы
защитится от существующих и будущих дырок в
IIS.
Итак, первым делом подпишитесь на MS
Security Notification Service, чтобы вовремя регулярно
получать информацию о новых патчах для
сервера.
Далее правильно сконфигурируйте Local Security
Policy(LCP), самый простой способ скачать
соответствующий темплейт
Microsoft (скачав файл, разархивируйте его,
затем запустите LCP и в меню action, выберите import
policy).
Скачайте утилиту
Microsoft, которая проверяет наличие
установленных патчей к IIS.
Если у вас не стоит firewall, назначьте правила
в IP security policy, для предотвращения атак по
другим портам.
Если используете telnet server, ограничьте список
accountов, имеющих доступ по telnet.
Отключите неиспользуемые ISAPI приложения, в
таблице приведены основные фильтры, и для
чего они нужны (server->propeties->home
direcrory->configuration-> app maping).
Web пароли - .htr
Доступ к базам данных через интернет (ADO и
подобные технологии) - .idc
Внутрисерверные включения - .stm, .shtm и .shtml
Интернет принтер протокол(IPP) - .printer
Index server - .htw, .ida и .idq
Правильно установите права на файлы web -
сервера:
|
Тип |
Права |
|
CGI |
Everyone |
|
Script |
Everyone |
|
Include |
Everyone |
|
Static |
Everyone |
Включите логи IIS, и обязательно
записывайте в них следующую информацию:
Client IP Address
User Name
Method
URI Stem
HTTP Status
Win32 Status
User Agent
Server IP Address
Server Port
Для анализов логов IIS самая популярная
программа на сегодняшний день это Web trend log
analyzer, хотя я предпочитаю statistic server 5.0.
Удалите скрипты примеров в следующих
директориях:
c:\inetpub\iissamples
c:\winnt\help\iishelp
c:\program files\common files\system\msadc
Выключите опцию parent Path в IIS (server->propeties->home
direcrory->configuration-> app option)
Ели вы используете CGI приложения других
фирм, постоянно проверяйте их на
обнаружение дырок.
Запретите доступ юзеру IUSR_Server name, во все
директории кроме web.
Не располагайте web директорию на диске, где
хранится система.
Windows устанавливайте в директорию отличную
от \winnt.
По возможности используйте продукты
третьих фирм для контроля над
безопасностью (STAT, Retina и т.п).
Предложенные меры, конечно, не гарантируют
100% защиты от взлома, но позволяют снизить
риск таковых на порядки.
