Подготовка и укрепление веб-сервера
Изменение среды сервера IIS по умолчанию
Для обеспечения защищенности веб-сервера не рекомендуется устанавливать ряд параметров конфигурации Windows 2000 по умолчанию. Ниже приводятся инструкции, объясняющие, как внести соответствующие изменения.
Создание нового сайта и корневого каталога для веб-содержимого. Для противостояния атакам типа "прохождение по каталогам" (см. "Удаление, повреждение и отказ в доступе к данным" ) рекомендуется располагать корневой каталог содержимого веб-сайта на диске (или логическом диске), отличном от диска, содержащего операционную систему сервера. Если на сервере будет работать несколько сайтов, желательно располагать каждый веб-сайт на отдельном диске или разделе.
При установке IIS создает веб-сайт по умолчанию. Некоторые специалисты рекомендуют (даже если на сервере будет лишь один сайт) создать новый сайт с другим именем, который будет работать как активный веб-сайт (т.е. не использовать веб-сайт по умолчанию), и использовать другое размещение для корневого каталога сайта. Это дельный совет. С точки зрения безопасности создание другого сайта и неактивное состояние сайта по умолчанию необходимо для предотвращения возможных автоматизированных атак, направленных на веб-сайт по умолчанию.
Совет. Следует оставить настройки по умолчанию в качестве отвлекающего маневра, но нужно создать новый сайт и сделать его активным.
Процедура создания нового сайта с новым размещением корневого каталога заключается в следующем.
- Отключите веб-сайт, чтобы изменить его настройки с помощью Internet Services Manager (Диспетчер служб интернета), который находится в окне Start\Administration Tools (Пуск\Администрирование) или в окне My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование).
- Выберите веб-сайт под именем компьютера в окне Internet Information Services Manager. Если на сервере работает только один сайт, то этим сайтом будет веб-сайт по умолчанию, как показано на рисунке.
- Щелкните правой кнопкой на имени сайта и в ниспадающем меню выберите Stop (Стоп), чтобы отключить веб-сайт по умолчанию.
- Создайте новый сайт с содержимым, которое хранится в другом каталоге, не в каталоге по умолчанию. Будет лучше, если будет заблаговременно создан каталог в соответствующем разделе. Компания Microsoft рекомендует создавать отдельную директорию для файлов каждого типа, чтобы упростить установку разрешения Access Control (Контроль доступа). Рекомендуется использовать этот подход. Например, можно настроить веб-сайт следующим образом:
Root = D:\my_website D:\my_website\static (.html) D:\my_website\include (.inc) D:\my_website\script (.asp) D:\my_website\executable (.dll) D:\my_website\images (.gif, .jpeg)
Совет. Если не нужно создавать новый сайт, все равно измените содержимое по умолчанию корневого каталога сайта, щелкнув правой кнопкой мыши на имени Default Site (Сайт по умолчанию) в окне Services Manager (Диспетчер служб) и выбрав в ниспадающем меню пункт Properties (Свойства). Каталог по умолчанию можно изменить на вкладке Home Directory (Домашний каталог).
Для создания нового веб-сайта выполните следующие инструкции.
- В окне Internet Information Services Manager (Диспетчер IIS) выберите пункт Default Web Site (см. предыдущий рисунок) и щелкните на нем правой кнопкой мыши. В ниспадающем меню выберите New Site (Новый сайт), чтобы запустить Site Creation Wizard (Мастер создания сайта).
- В первом окне мастера введите имя веб-сайта в поле Description (Описание), когда этого потребует мастер. Нажмите на кнопку Next (Далее).
- Появится окно настроек IP-адреса и портов, показанное на рисунке. Выберите заранее сконфигурированный IP-адрес в ниспадающем меню вверху экрана. Выберите адрес, соответствующий пограничному с интернетом интерфейсу (подразумевается, что на сервере установлены две сетевых карты). Можете продолжить работу, выбрав опцию All Unassigned (Отключить все), если сетевые интерфейсы настроены заранее.
- Укажите адрес порта TCP для сервера. Если сайт расположен в интернете, то не следует изменять значение порта 80, если только веб-сайт не используется для работы специального приложения. Пропустите информацию о заголовке узла, так как она не требуется. По завершении всех действий нажмите на кнопку Next.
- В окне Web Site Home Directory (Домашний каталог веб-сайта) укажите расположение каталога, в котором будет находиться содержимое нового веб-сайта. Выберите место размещения в другом разделе, не в разделе с операционной системой сервера!
Совет. Убедитесь в том, что выбранное имя отличается от имени по умолчанию Inetpub. Зачем облегчать задачу хакеру, осуществляющему автоматизированную атаку?
- Если сайт находится в интернете, оставьте выделенной опцию Allow Anonymous Access To This Web Site (Разрешить анонимный вход на этот веб-сайт). Это исключит вход в систему пользователей, посещающих сайт. Отключите опцию, если необходима авторизация пользователей при входе на сайт. Довольно распространенным решением является авторизация пользователей на сервере в интранет-сети. Нажмите на кнопку Next.
- Установите разрешения для нового каталога в окне Web Site Access Permissions (Разрешения на доступ к веб-сайту), показанном на рисунке. Установите разрешения на самый ограниченный уровень. Если на сайте не будет использоваться технология ASP, то не включайте разрешение для страниц этого типа. То же самое относится к программам общего шлюзового интерфейса (CGI). Если планируется включить их в содержимое сайта в будущем, установите их позже, когда это будет необходимо.
- Нажмите на кнопку Next, чтобы применить изменения, после чего нажмите на Finish (Готово), чтобы закрыть мастер. Повторите все приведенные выше (и последующие) шаги для остальных веб-сайтов на сервере IIS.
Совет. Теперь, когда создан новый веб-сайт, удалите веб-сайт по умолчанию Default Web Site из диспетчера IIS. Однако, как уже говорилось ранее, его можно оставить в качестве обманного маневра, но при перезагрузке следите, чтобы сайт по умолчанию не включился снова.