Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 6:

Безопасность

Расширения службы Интернет

IIS 6 поставляется в режиме Lockdown. Это означает, что в изначальной конфигурации IIS поддерживает только статическое содержимое (страницы HTML). Активное содержимое (ASP, FrontPage, включения серверной части SSI и WebDAV) не поддерживается. Для обеспечения работы такого содержимого в IIS используйте область Web Service Extensions (Расширения службы Интернет) консоли IIS MMC.

В консоли MMC имеются две вкладки – Extended (Расширенная) и Standard (Обычная). Они позволяют просматривать конфигурацию расширений. Вкладка Extended содержит кнопки Allow (Разрешить), Prohibit (Запретить) и параметр Properties (Свойства), а также гиперссылки для выполнения этих задач. Во вкладке Standard для доступа к этим опциям используется меню. Рассмотрим работу с вкладкой Extended (Расширенная) (см. рис. 6.4).

Веб-расширения в Диспетчере IIS, вкладка Extended (Расширенная)

Рис. 6.4. Веб-расширения в Диспетчере IIS, вкладка Extended (Расширенная)

Существует набор определенных веб-расширений, но вы можете добавить свои собственные. Также возможно добавление всех неизвестных расширений ISAPI или CGI (это представляет угрозу безопасности).

Определенными расширениями службы интернет являются следующие.

  • All Unknown ISAPI Extensions (Все неизвестные расширения ISAPI).
  • All Unknown CGI Extensions (Все неизвестные расширения CGI).
  • Active Server Pages (Активные страницы сервера).
  • Internet Data Connector (Подключение к данным интернета).
  • Internet Printing (Печать через интернет).
  • Server Side Includes (Включения серверной части).
  • WebDAV.

Разрешение выполнения расширений службы

Для выполнения расширения службы выделите расширение в IIS Manager (Диспетчер IIS) и нажмите на кнопку Allow (Разрешить). При разрешении одного из расширений All Unknown (Все неизвестные) отобразится предупреждение о том, что это является угрозой безопасности системы. Настоятельно рекомендуем определять и включать каждое расширение ISAPI или CGI по отдельности, чтобы четко контролировать, какое активное содержимое выполняется на сайте.

Запрет выполнения расширения веб-службы

После включения веб-расширения его использование можно запретить. Выделите расширение в IIS Manager (Диспетчер IIS) и нажмите на кнопку Prohibited (Запрещено). Если от данного расширения зависят другие расширения, то они тоже не будут функционировать. Например, Internet Printing (Печать через интернет) зависит от Active Server Pages (Активные страницы сервера). При запрещении ASP печать через интернет работать не будет.

Данная опция используется для предотвращения работы нежелательных DLL или исполняемых файлов EXE в любых обстоятельствах. Например, можно заблокировать выполнение файла Admin.exe (червь Code Red) или Nimda.dll (червь Nimda), добавив их в список и наложив запрета на выполнение. Такой подход не исключит возможность переполнения буфера, но запретит запуск любой библиотеки DLL или файла EXE, несущего полезную нагрузку. С другой стороны, атаку на IIS червя SQL Slammer таким образом не предотвратишь, поскольку она является атакой на переполнение буфера, при которой в систему не копируются файлы DLL или EXE.

Добавление нового расширения веб-службы

Если вам потребуется расширение ISAPI или CGI, которого нет в списке, нужно добавить его в список (если не включены все расширения). Выполните следующие действия.

  1. В IIS Manager (Диспетчер IIS) щелкните на гиперссылке Add A New Web Service extension (Добавить новое расширение веб-службы).
  2. Появится диалоговое окно New Web Service Extension (Новое расширение веб-службы). Введите имя расширения в текстовом поле. Оно должно быть дружественным и информативным.
  3. Нажмите на кнопку Add (Добавить) для добавления файлов DLL или EXE, необходимые для выполнения расширения. Обеспечьте добавление всех требуемых файлов.
  4. Если данное расширение будет использоваться сразу, отметьте опцию Allowed (Разрешено).
  5. Нажмите на кнопку OK.

Разрешите все расширения веб-службы для определенного приложения

Если требуется включить все расширения, от которых зависит определенный компонент, выполните следующие действия.

  1. Щелкните на гиперссылке Allow All Web Service Extensions For A Specific Application (Разрешить использование всех расширений веб-службы для определенного приложения).
  2. Выберите нужный компонент в ниспадающем списке, например, Internet Printing (Печать через интернет).
  3. Обратите внимание на то, какие компоненты будут разрешены в результате этого действия (в данном случае – ASP).
  4. Нажмите на кнопку OK.

Примечание. При включении расширения для независимого компонента будут включены не расширения этого компонента, а только тех компонентов, от которых зависит его успешная работа. Такой подход используется при устранении проблем, связанных с компонентом, с целью включение всех расширений, от которых зависит его работа.

Запрет всех расширений веб-службы

Для быстрого отключения всех расширений веб-службы щелкните на гиперссылке Prohibit All Web Service Extensions (Запретить все расширения веб-службы). Вам пригодится это при отключении активного содержимого при сбое. Появится сообщение с предупреждением и запросом на подтверждение действия. При выборе Yes (Да) все указанные расширения будут запрещены.

Изменение параметров расширения веб-службы

Для изменения параметров расширения веб-службы выделите его в списке и нажмите на кнопку Properties (Свойства). Появится окно с двумя вкладками: General (Общие) и Required Files (Требуемые файлы).

Во вкладке General (Общие) отображаются приложения, использующие данное расширение. Можете отключить данное расширение, поскольку эта вкладка определяет зависимости расширения, что позволяет избежать случайного повреждения приложения.

Вкладка Required Files (Требуемые файлы) позволяет добавлять, удалять, разрешать и запрещать файлы, необходимые для работы данного компонента. Для своего собственного расширения веб-службы можете добавить несколько файлов. Расширения по умолчанию, такие как ASP, заблокированы, поэтому к ним ничего добавлять нельзя.

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Александр Гордеев
Александр Гордеев
Казахстан, Алматы, ТУРАН
Александр Даниленко
Александр Даниленко
Россия, Москва, 797, 1993