Подготовка и укрепление веб-сервера
Процедуры укрепления системы, проводимые вручную
Настало время приступить к повышению безопасности системы. В процессе работы может выясниться, что некоторые настройки уже сделаны с помощью инструмента IIS Lock. Некоторые настройки потребуется изменить после изучения приводимой здесь информации. В любом случае будет ошибкой полагать, что вся работа успешно завершится после запуска программы IIS Lock.
Для ручной настройки параметров необходимо поработать с большим набором инструментов через консоль управления Microsoft Management Console (MMC). MMC представляет собой основное приложение для управления платформой Windows 2000 и компонентом IIS, установленное наряду с другими надстройками (здесь вы не можете выбирать, что следует устанавливать, а что – нет) при инсталляции Windows 2000 и IIS. Модули MMC и надстройки по умолчанию MMC доступны в окне Start\Administrative Tools (Пуск\Администрирование).
Набор модулей и надстроек по умолчанию, связанных с безопасностью, состоит из следующих компонентов.
- Computer Management (Управление компьютером). Используется для создания и конфигурирования учетных записей, групп, хранилищ данных и съемных носителей, для отслеживания информации о системе.
- Event Viewer (Просмотр событий). Используется для ведения системных журналов, журналов событий и журналов безопасности.
- Internet Services Manager (Диспетчер служб интернета). Предназначен для настройки параметров безопасности IIS.
- Local Security Policy (Локальная политика безопасности). Используется для настройки параметров безопасности Windows 2000.
- Services (Службы). Используется для управления службами, работающими на сервере.
Отключение ненужных служб
Программа установки Microsoft Windows 2000 инсталлирует выбранные вами службы, после чего они настраиваются на автоматический запуск при каждой загрузке системы. Некоторые из служб необходимы для работы IIS, а некоторые – нет. На автоматический запуск должны быть настроены только необходимые службы.
Управление службами осуществляется с помощью надстройки Services (Службы) MMC, которая находится в окне Start\Programs\ Administrative Tools\Services (Пуск\Программы\Администрирование\Службы).
Консоль управления Services (Службы) (см. рис. ниже) представляет собой перечень всех служб, установленных в системе, с описанием, состоянием, настройками запуска и уровнем пользователя при входе в систему для каждой из служб. Она используется для остановки и отключения ненужных служб.
Таблица 3.2 содержит перечень служб, устанавливаемых даже в том случае, если вы следовали нашим рекомендациям относительно минимальной установки Internet Information Services. Этот перечень будет пополнен другими службами; некоторые из отключенных служб понадобится активировать при установке дополнительных компонентов IIS.
Для правильного функционирования серверу IIS не нужны службы, перечисленные в левом столбце таблицы, поэтому отключите их на создаваемом веб-сервере. (Тем не менее, можете оставить эти службы работающими на тестовом сервере, сервере разработки или на стандартном файловом сервере Windows.) При отключении этих служб измените параметр Startup (Запуск) на значение Manual (Вручную), чтобы при следующей загрузке сервера они не запустились автоматически. Службы, которые действительно необходимы, перечислены в правом столбце таблицы.
Для отключения службы в консоли MMC Services (Службы) выполните следующие инструкции.
- Щелкните правой кнопкой мыши на службе, которую требуется отключить, в контекстном меню выберите команду Properties (Свойства). Откроется окно Properties (см. рис. 3.5).
- Нажмите на кнопку Stop (Стоп), чтобы отключить службу.
- В ниспадающем меню Startup Type (Тип запуска) нажмите на кнопку со стрелкой и в появившемся списке выберите Manual (Вручную). После этого нажмите на OK.
* Службы, необходимые при работе сервера в качестве части домена Windows (в интранет-сети).
