Раніше IIS був досить відкритим для загального доступу компонентом, що послужило причиною виникнення проблем, пов'язаних з порушенням безпеки. IIS за замовчуванням встановлюється в заблокованому вигляді. Проте, деякі наступні кроки допоможуть зробити IIS більш захищеним компонентом:

Не встановлюйте непотрібні компоненти. Служба FTP не буде використовуватися? Так не встановлюйте її. Чим більше компонентів встановлено, тим більше вразливих місць з'явиться на сайті, особливо, якщо компоненти не будуть як слід налаштовані.

Не вмикайте перегляд каталогів. Включення цієї опції дозволить будь-якому користувачеві переглядати список файлів в каталозі, якщо на сайті не встановлена сторінка за замовчуванням. Зайве говорити про те, що це являє собою загрозу безпеці.

Блокування cmd.exe. Для захоплення контролю над системою хакери зазвичай використовують командний рядок. Каталог system32 розташовується не в папці веб-сайту, проте вразливість, пов'язана з переповненням буфера, дозволяє хакерам запустити файл cmd.exe. Захист файлів (Windows File Protection) ускладнює видалення і перейменування цього файлу. Якщо файл не потрібен, просто змінити дозволи для кожного користувача, щоб ні у кого не було доступу до файлу, аж до ігнорування анонімної облікового запису. У разі необхідності адміністратор присвоїть дозволи заново. Такі дії ускладнять роботу хакера по захопленню контролю над системою.

Встановіть на сайті дозволу на виконання. Існують три види дозволів на виконання: None (ні), Scripts (сценарії) і Execute (виконання). Переконайтеся, що для сайту обрані найбільш обмежувальні дозволи, що забезпечують максимальний рівень безпеки. Якщо ви використовуєте сторінки ASP або статичний вміст (не додатки CGI), то виберіть дозвіл Scripts (сценарії). Якщо на сайті не використовуються навіть сценарії ASP, виберіть опцію None (ні).

  • Опція None (Немає)

Дозволяє відкривати тільки статичні сторінки і забороняє виконання сценаріїв. Такий підхід забороняє виконання будь-яких додатків серверної частини. За замовчуванням параметр None встановлений для всіх веб-сайтів.

  • Scripts (Сценарії)

дозволяє виконувати сценарії ASP за допомогою ISAPI. Оскільки сценарії виконуються на сервері, при дозволі їх виконання зростає загроза безпеці.

  • Execute (Виконання)

Дозволяє виконання всіх елементів, допускає доступ і виконання файлів будь-якого типу. Параметр Execute є самим дозвільним.

Не встановлюйте на сайті дозволу Write (Запис). При наявності на сайті дозволів на виконання не включайте дозвіл на запис. У цьому випадку будь-який користувач зможе відвантажити на сайт виконуваний файл і запустити його на сервері. Якщо користувачам потрібно дозволити запис вмісту на веб-сайт, знайдіть для цього інший спосіб. Дозволу на запис не потрібні, якщо користувачі не відвантажують файли на сайт за допомогою протоколу HTTP.

Уникайте використання базової аутентифікації. При базовій аутентифікації ім'я користувача і пароль передаються по мережі у відкритому вигляді. Це дуже небезпечно, оскільки будь-який користувач, прослуховування мережа, зможе перехопити відповідний пакет і розкрити ім'я користувача і пароль. Для усунення даної проблеми застосовується шифрування трафіку, проте рекомендується більш потужний захист, такий як Windows Integrated Authentification( інтегрована аутентифікація Windows), з шифрованим обміном даних при перевірці автентичності користувачів. Не забудьте про аутентифікацію Digest Authentification (аналітична аутентифікація), яка працює з обліковим записом Active Directory. В якості альтернативи застосовується новий тип аутентифікації від Microsoft - за допомогою .net Passport.

Налаштування журналів. Рекомендується вести журнали для запису подій сайту. Журнали відстежують і фіксують IP-адреси і імена всіх користувачів, що підключаються до сайту. Журнали дозволяють виявляти зловмисників, які проникли на сайт.

Приховуйте використання сценаріїв. Хороший спосіб Сховати використання сценаріїв ASP полягає в наступному. Зв'яжіть файли .htm з ASP.dll. IIS особливо не виділяє окремі розширення, а просто потребує інформації про те, що робити з конкретним файлом. Кожен файл .htm буде виконуватися через asp.dll, з обробкою вмісту ASP. Незважаючи ні на що, користувач побачить кінцевий результат у вигляді звичайної сторінки HTML.

використовуйте SSL на веб-сайтах із секретними даними. Протокол захищених сокетів (SSL дозволяє шифрувати дані між браузером і веб-сервером, що виключає можливість їх перегляду ким-небудь. Особистість клієнтів підтверджується клієнтським сертифікатом. Про технології SSL і сертифікати ви дізнаєтеся.

Завжди використовуйте дозволи NTFS. Ця рекомендація не підлягає обговоренню. Файлова система NTFS забезпечує безпеку, а системи FAT і FAT32 – ні. Завжди розміщуйте веб-сайти в розділах NTFS і блокуйте дозволи. Корисною настройкою є те, що за замовчуванням нікому не надаються права повного доступу. Визначте анонімного користувача інтернету на даному комп'ютері і забезпечте максимальне блокування облікового запису на рівні файлової системи. На жаль, його не можна повністю заблокувати, заборонивши виконання всіх дій, так як деякі програми розміщують в папці system32 файли DLL-бібліотек, які потрібні користувачеві для роботи. Вихід з даного положення-використання для таких програм тільки аутентифікованих облікових записів.

Постійно чекайте вторгнення хакерів. Мережеві екрани і вузлові системи виявлення вторгнень (IDS) допомагають виявляти зловмисників, що намагаються проникнути на сайт, в режимі реального часу. Ці заходи досить дорогі, і їх установка займає багато часу. Однак, якщо розглянутий сайт є серйозним проектом, гра варта свічок. Мережеві екрани, крім обмежень проходить через них трафіку, також повідомляють про підозрілу активність. Вузлові системи виявлення вторгнень працюють безпосередньо на сервері і генерують повідомлення при появі підозрілого трафіку. Засоби захисту обох типів допомагають припинити несанкціоновані дії, що називається, «по гарячих слідах».

Забезпечте контроль серверів IIS. Нарешті, одним з кращих способів забезпечення надійного захисту серверів IIS є їх контроль спеціальною групою осіб, достатньою мірою обізнаних в області підвищення стійкості серверів IIS, їх блокування і оновлень. Часто легковажно створені серверів IIS є метою останніх черв'яків, які з їх допомогою поширюються в інтернеті. Настройка всіх серверів одними і тими ж особами забезпечує злагодженість дій, завдяки якій знижується можливість успішної реалізації дій щодо злому. Знову-таки, багато черв'яків атакують добре відомі вразливі місця, для яких вже існують & # 171; заплатки».

Tagged with:
 

Додати коментар

Ваш e-mail не буде опублікований. Обов'язкові поля позначені *

*

Можна використовувати наступні < abbr title= "HyperText Markup Language" >HTML < /abbr> - теги та атрибути: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



Station by PageLines