Серверы, стоящие на IIS, пользуются большой
популярностью в мире (примерно 25% всех
серверов, выше только Apache), но, к сожалению, с
регулярной постоянностью появляются баги,
несвоевременная защита от которых может
привести ко взлому или краху сервера.
Большинство компаний, содержащие небольшие
web сервера, не могут позволить
круглосуточно следить за ними, поэтому
остро стоит вопрос правильного
конфигурирования IIS и Windows NT, чтобы
защитится от существующих и будущих дырок в
IIS.

Итак, первым делом подпишитесь на MS
Security Notification Service
, чтобы вовремя регулярно
получать информацию о новых патчах для
сервера.

Далее правильно сконфигурируйте Local Security
Policy(LCP), самый простой способ скачать
соответствующий темплейт
Microsoft
(скачав файл, разархивируйте его,
затем запустите LCP и в меню action, выберите import
policy).

Скачайте утилиту
Microsoft
, которая проверяет наличие
установленных патчей к IIS.

Если у вас не стоит firewall, назначьте правила
в IP security policy, для предотвращения атак по
другим портам.

Если используете telnet server, ограничьте список
accountов, имеющих доступ по telnet.

Отключите неиспользуемые ISAPI приложения, в
таблице приведены основные фильтры, и для
чего они нужны (server->propeties->home
direcrory->configuration-> app maping).

Web пароли — .htr
Доступ к базам данных через интернет (ADO и
подобные технологии) — .idc
Внутрисерверные включения — .stm, .shtm и .shtml
Интернет принтер протокол(IPP) — .printer
Index server — .htw, .ida и .idq

Правильно установите права на файлы web —
сервера:

Тип
файлов

Права
доступа

CGI
(.exe, .dll, .cmd, .pl)

Everyone
(X)
Administrators (Full Control)
System (Full Control)

Script
files (.asp)

Everyone
(X)
Administrators (Full Control)
System (Full Control)

Include
files (.inc, .shtm, .shtml)

Everyone
(X)
Administrators (Full Control)
System (Full Control)

Static
content (.txt, .gif, .jpg, html)

Everyone
(R)
Administrators (Full Control)
System (Full Control)

Включите логи IIS, и обязательно
записывайте в них следующую информацию:

Client IP Address 
User Name 
Method 
URI Stem 
HTTP Status 
Win32 Status 
User Agent 
Server IP Address 
Server Port 

Для анализов логов IIS самая популярная
программа на сегодняшний день это Web trend log
analyzer, хотя я предпочитаю statistic server 5.0.

Удалите скрипты примеров в следующих
директориях:
c:\inetpub\iissamples
c:\winnt\help\iishelp
c:\program files\common files\system\msadc

Выключите опцию parent Path в IIS (server->propeties->home
direcrory->configuration-> app option)

Ели вы используете CGI приложения других
фирм, постоянно проверяйте их на
обнаружение дырок.

Запретите доступ юзеру IUSR_Server name, во все
директории кроме web.

Не располагайте web директорию на диске, где
хранится система.

Windows устанавливайте в директорию отличную
от \winnt.

По возможности используйте продукты
третьих фирм для контроля над
безопасностью (STAT, Retina и т.п).

Предложенные меры, конечно, не гарантируют
100% защиты от взлома, но позволяют снизить
риск таковых на порядки.

Оставить мнение

Check Also

Безопасность превыше всего. 9 простых трюков, которые сделают жизнь линуксоида секьюрнее

Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества ма…