Подготовка и укрепление веб-сервера

Изменение среды сервера IIS по умолчанию

Для обеспечения защищенности веб-сервера не рекомендуется устанавливать ряд параметров конфигурации Windows 2000 по умолчанию. Ниже приводятся инструкции, объясняющие, как внести соответствующие изменения.

Создание нового сайта и корневого каталога для веб-содержимого. Для противостояния атакам типа "прохождение по каталогам" (см. "Удаление, повреждение и отказ в доступе к данным" ) рекомендуется располагать корневой каталог содержимого веб-сайта на диске (или логическом диске), отличном от диска, содержащего операционную систему сервера. Если на сервере будет работать несколько сайтов, желательно располагать каждый веб-сайт на отдельном диске или разделе.

При установке IIS создает веб-сайт по умолчанию. Некоторые специалисты рекомендуют (даже если на сервере будет лишь один сайт) создать новый сайт с другим именем, который будет работать как активный веб-сайт (т.е. не использовать веб-сайт по умолчанию), и использовать другое размещение для корневого каталога сайта. Это дельный совет. С точки зрения безопасности создание другого сайта и неактивное состояние сайта по умолчанию необходимо для предотвращения возможных автоматизированных атак, направленных на веб-сайт по умолчанию.

Совет. Следует оставить настройки по умолчанию в качестве отвлекающего маневра, но нужно создать новый сайт и сделать его активным.

Процедура создания нового сайта с новым размещением корневого каталога заключается в следующем.

1. Отключите веб-сайт, чтобы изменить его настройки с помощью Internet Services Manager (Диспетчер служб интернета), который находится в окне Start\Administration Tools (Пуск\Администрирование) или в окне My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование).
2. Выберите веб-сайт под именем компьютера в окне Internet Information Services Manager. Если на сервере работает только один сайт, то этим сайтом будет веб-сайт по умолчанию, как показано на рисунке.
   

   
   увеличить изображение
   
3. Щелкните правой кнопкой на имени сайта и в ниспадающем меню выберите Stop (Стоп), чтобы отключить веб-сайт по умолчанию.
4. Создайте новый сайт с содержимым, которое хранится в другом каталоге, не в каталоге по умолчанию. Будет лучше, если будет заблаговременно создан каталог в соответствующем разделе. Компания Microsoft рекомендует создавать отдельную директорию для файлов каждого типа, чтобы упростить установку разрешения Access Control (Контроль доступа). Рекомендуется использовать этот подход. Например, можно настроить веб-сайт следующим образом:

   Root = D:\my_website
           D:\my_website\static (.html)
           D:\my_website\include (.inc)
           D:\my_website\script (.asp)
           D:\my_website\executable (.dll)
           D:\my_website\images (.gif, .jpeg)

Совет. Если не нужно создавать новый сайт, все равно измените содержимое по умолчанию корневого каталога сайта, щелкнув правой кнопкой мыши на имени Default Site (Сайт по умолчанию) в окне Services Manager (Диспетчер служб) и выбрав в ниспадающем меню пункт Properties (Свойства). Каталог по умолчанию можно изменить на вкладке Home Directory (Домашний каталог).

Для создания нового веб-сайта выполните следующие инструкции.

1. В окне Internet Information Services Manager (Диспетчер IIS) выберите пункт Default Web Site (см. предыдущий рисунок) и щелкните на нем правой кнопкой мыши. В ниспадающем меню выберите New Site (Новый сайт), чтобы запустить Site Creation Wizard (Мастер создания сайта).
2. В первом окне мастера введите имя веб-сайта в поле Description (Описание), когда этого потребует мастер. Нажмите на кнопку Next (Далее).
3. Появится окно настроек IP-адреса и портов, показанное на рисунке.
   

   
   
   Выберите заранее сконфигурированный IP-адрес в ниспадающем меню вверху экрана. Выберите адрес, соответствующий пограничному с интернетом интерфейсу (подразумевается, что на сервере установлены две сетевых карты). Можете продолжить работу, выбрав опцию All Unassigned (Отключить все), если сетевые интерфейсы настроены заранее.
4. Укажите адрес порта TCP для сервера. Если сайт расположен в интернете, то не следует изменять значение порта 80, если только веб-сайт не используется для работы специального приложения. Пропустите информацию о заголовке узла, так как она не требуется. По завершении всех действий нажмите на кнопку Next.
5. В окне Web Site Home Directory (Домашний каталог веб-сайта) укажите расположение каталога, в котором будет находиться содержимое нового веб-сайта. Выберите место размещения в другом разделе, не в разделе с операционной системой сервера!

   Совет. Убедитесь в том, что выбранное имя отличается от имени по умолчанию Inetpub. Зачем облегчать задачу хакеру, осуществляющему автоматизированную атаку?

6. Если сайт находится в интернете, оставьте выделенной опцию Allow Anonymous Access To This Web Site (Разрешить анонимный вход на этот веб-сайт). Это исключит вход в систему пользователей, посещающих сайт. Отключите опцию, если необходима авторизация пользователей при входе на сайт. Довольно распространенным решением является авторизация пользователей на сервере в интранет-сети. Нажмите на кнопку Next.
7. Установите разрешения для нового каталога в окне Web Site Access Permissions (Разрешения на доступ к веб-сайту), показанном на рисунке. Установите разрешения на самый ограниченный уровень. Если на сайте не будет использоваться технология ASP, то не включайте разрешение для страниц этого типа. То же самое относится к программам общего шлюзового интерфейса (CGI). Если планируется включить их в содержимое сайта в будущем, установите их позже, когда это будет необходимо.
   

   
   
8. Нажмите на кнопку Next, чтобы применить изменения, после чего нажмите на Finish (Готово), чтобы закрыть мастер. Повторите все приведенные выше (и последующие) шаги для остальных веб-сайтов на сервере IIS.

   Совет. Теперь, когда создан новый веб-сайт, удалите веб-сайт по умолчанию Default Web Site из диспетчера IIS. Однако, как уже говорилось ранее, его можно оставить в качестве обманного маневра, но при перезагрузке следите, чтобы сайт по умолчанию не включился снова.