Россия, с. Новоселье |
Подготовка и укрепление веб-сервера
Отключение родительских путей. Родительские пути представляют собой свойство операционной системы Windows, позволяющее инструкциям командной строки и программам обращаться к родительскому каталогу с помощью двух точек (".."). Это удобный способ перехода по иерархии каталогов для системных администраторов и программистов независимо от того, в каком месте дерева каталогов они находятся. Команде или программе не требуется указывать имя родительского каталога, вместо имени каталога используются две точки.
К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы. Именно поэтому следует отключать родительские пути.
Родительские пути отключаются в окне Web Site Properties (Свойства веб-сайта). Выполните следующее.
- Запустите IIS Manager. В левой панели окна Internet Information Servces (IIS), показанном на рисунке, щелкните правой кнопкой на имени веб-сайта и выберите пункт Properties (Свойства).
- Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта), показанном на рисунке, после чего нажмите на кнопку Configuration (Настройка) для открытия окна Configuration.
- В окне Application Configuration (Настройка приложений) имеется набор вкладок. Во вкладке App Options (Свойства приложения) имеется опция Enable Parent Paths (Включить родительские пути), как показано на рисунке. Отключите данную опцию и нажмите на OK.
- Если установлены другие службы IIS (IIS Help или FTP), то примите решение о наследовании отключенных родительских путей. В этом случае после закрытия окна Application Configuration отобразится диалоговое окно Inheritance (Наследование) с вопросом о том, нужно ли применить опцию родительских путей ко всем службам, связанным с веб-сайтом. Следует положительно ответить на этот вопрос и нажать на OK для закрытия окна и подтверждения указанных настроек.
Отключение поддержки ненужных приложений. По умолчанию IIS настроен на поддержку многих файловых расширений. Например, файл .idc представляет собой соединитель с базой данных, используемый для передачи данных между базой данных и службой или формой интернета. При настройке приложений, связывающих файл .idc с поддерживающим HTTP драйвером IIS ODBC httpodbc.dll, IIS считывает информацию о формате из соединителя с базой данных для правильной передачи данных.
Информация в таблице 3.3 взята из руководства NSA по защите IIS. Здесь приведены данные о поддержке некоторых общих файловых расширений приложений, описание каждого расширения.
На некоторых веб-сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.
Процедура отключения поддержки приложений состоит в следующем.
- Откройте Internet Information Services Manager (Диспетчер IIS).
- В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).
- Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.