Подготовка и укрепление веб-сервера
Сетевые компоненты
Программа установки Microsoft предложит ввести имя компьютера, после чего нужно указать, находится ли данный компьютер в сети. Если веб-сервер размещен в интернете, выберите опцию Is On A Network Without A Domain (Находится в сети без домена), так как следует отделить веб-сервер от интранет-сети. Укажите любое предпочтительное имя рабочей группы.
В ходе работы мастера установки или сразу после ее завершения можно настроить интерфейсы для сетевых служб, используемых веб-сервером. Диалоговое окно настройки сетевого подключения показано на рис. 3.1. Это окно открывается выбором пункта Network Dialup and Connections (Удаленный доступ к сети и сетевые подключения) в подменю Settings (Настройка) меню Start (Пуск).
Рис. 3.1. Диалоговое окно Connection Properties (Свойства подключения) используется для выбора сетевых служб
Совет. Для изменения имени компьютера и настройки домена Windows используется диалоговое окно My Computer (Мой компьютер)\Properties (Свойства), для изменения параметров TCP/IP – диалоговое окно My Network Places (Сетевое окружение)\Properties (Свойства)
Единственными службами, необходимыми для работы IIS в сети, являются Client For Microsoft Networks (Клиент для сетей Microsoft) и Internet Protocol (TCP/IP) (Протокол интернета TCP/IP), поэтому нужно отметить эти элементы. Отключите остальные протоколы и службы, такие как File And Printer Sharing For Microsoft Networks (Общие файлы и принтеры для сетей Microsoft), если нет основания для их использования на веб-сервере. Не открывайте общий доступ к интернет-соединению и никогда не используйте общий доступ к файлам в интернете.
Далее настройте стек протоколов TCP/IP сервера. Нужно указать IP-адреса, используемые сервером. Несмотря на то, что внутренняя сеть Windows 2000 содержит клиент DHCP, для веб-сервера используется фиксированный IP-адрес. Если возникнут неполадки в конфигурации внутренних DNS или WINS, доступ к серверу можно будет осуществить по его фиксированному адресу. Этот адрес нужен для работы Windows 2000 Server и для обеспечения безопасности. Убедитесь, что адрес представляет соответствующую подсеть доверяемой сети, из которой будет осуществляться администрирование веб-сайтом.
Выберите Internet Protocol (TCP/IP) (Протокол интернета TCP/IP) и нажмите на кнопку Properties (Свойства), чтобы отобразить диалоговое окно (см. рис. 3.2). Введите адрес и маску подсети, предоставляемые поставщиком услуг интернета или сетевым администратором. Дополнительную справочную информацию можно найти на веб-сайте Microsoft Technet (http://www.microsoft.com/technet).
Если веб-сервер расположен в интернете (надеемся, что имеется карта сетевого интерфейса), используйте на интерфейсе фиксированный IP-адрес, относящийся к интернету. На рисунке 3.3 изображена схема конфигурации веб-сервера интернета с использованием двух интерфейсных карт при размещении его в подсетях интранет и интернет. В этом случае веб-сервер интернета является наиболее защищенным. При настройке адресов позаботьтесь о выборе нужной карты интерфейса для конфигурируемого адреса, проверив имя, отображаемое в верхней части диалогового окна (см. рис. 3.1).
Для обеспечения безопасности выполните некоторые процедуры с сетевой картой, граничащей с интернетом. В окне Connection Properties (Свойства подключения) этой карты (см. рис. 3.1) удалите компонент Client for Microsoft Networks (Клиент для сетей Microsoft), так как его копии, уже установленной для интерфейса интранета, достаточно для работы IIS.
Рис. 3.2. Диалоговое окно Internet Protocol TCP/IP Properties предназначено для настройки адресов и маски подсети
увеличить изображение
Рис. 3.3. Конфигурация веб-сервера интернета с использованием двух сетевых карт
Следует отключить протокол NetBIOS для интерфейса интернета (протокол, используемый Microsoft для общего доступа к файлам). Для этого нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна TCP/IP Properties (Свойства протокола интернета) (см. рис. 3.2), откройте вкладку WINS и выберите опцию Disable NetBIOS Over TCP (Отключить NetBIOS через TCP) (см. рис. 3.4). NetBIOS, использующий порты 137 и 139, нужен Windows при работе в интранет-сети для поддержки разрешения имен WINS и общего доступа к файлам и принтерам. Хакер, как правило, в первую очередь проверяет возможность атаки на эти порты при сканировании системы. Если они находятся в состоянии ожидания, то ему станет известно, что на узле используется операционная система Microsoft.
Рис. 3.4. Диалоговое окно Advanced TCP/IP Settings предназначено для настройки дополнительных параметров конфигурации
Пакеты обслуживания и надстройки безопасности
Сразу по окончании установки Windows 2000 следует установить все сервис-пакеты и "заплатки", предоставляемые Microsoft. Эти компоненты являются жизненно необходимыми! Они содержат исправления обнаруженных ошибок и уязвимых мест.
Совет. Сервис-пакеты можно загрузить с сайта http://www.microsoft.com/technet/ или http://vx.windowsupdate.microsoft.com, установить с другого сетевого сервера или с приобретенных компакт-дисков.
Так называемые " горячие исправления " (hot fixes) и надстройки для укрепления системы представляют собой механизмы, используемые Microsoft для устранения ошибок, обнаруживаемых между выпуском соседних версий сервис-пакетов. "Горячие исправления", регулярно размещаемые Microsoft на веб-сайте, представляют собой патчи, связанные с конкретными аспектами безопасности для конкретных конфигураций системы. Надстройки безопасности представляют собой обновления всех отдельных исправлений, издаваемых Microsoft. Они доступны на веб-сайте Microsoft Technet. Следует регулярно посещать веб-сайт http://www.microsoft.com/technet/security для проверки наличия свежих патчей при каждой установке сервис-пакетов. На сайте можно подписаться на рассылку информации, связанной с безопасностью, а также на автоматическое уведомление о новых исправлениях. Следует устанавливать каждое появляющееся исправление, связанное с безопасностью.
На веб-сайте Microsoft перейдите по ссылке Recommended Updates (Рекомендуемые обновления) для проверки патчей или обновлений, требуемых для конфигурирования системы, но отсутствующих в последней версии сервис-пакета или не являющихся надстройками безопасности. Например, на протяжении долгого времени пакет Windows 2000 High Encryption Pack не являлся частью какого-либо сервис-пакета или надстройки обновления. Он устанавливался в случае 128-битного шифрования. Теперь пакет High Encryption Pack включен в Windows 2000 Service Pack 2.