Россия, с. Новоселье |
Подготовка и укрепление веб-сервера
ПРОБЛЕМА. Работа с поддержкой приложений
Приложения интернета (т.е. приложения, выполняющиеся на веб-сервере) разрабатываются с использованием целого ряда языков программирования и сценариев. Веб-приложения осуществляют интерактивный поиск данных и сбор информации о клиенте.
IIS использует расширение имени файла запрошенного ресурса, чтобы выбрать интерфейс ISAPI или программу CGI для обработки запроса. Например, запрос файла с расширением .asp вызовет запуск на веб-сервере программы ASP (Asp.dll) для обработки этого запроса. Связь файлового расширения с ISAPI или программой CGI называется поддержкой приложения.
Поддержка приложений представляет угрозу для веб-сайта. Хакер может осуществить выполнение одного из приложений, передав ему файл с соответствующим типом расширения. Хакер попытается осуществить переполнение буфера при загрузке файла приложением или другое действие, позволяющее получить доступ в систему для захвата управления. Отключив поддержку приложений, можно ограничить использование этого слабого места.
- Откройте Internet Information Services Manager (Диспетчер IIS).
- Выделите имя веб-сайта в левой панели. Папки сайтов появятся в правой панели.
- Удалите виртуальную папку Printers (Принтеры), если она существует (см. рисунок вверху следующей страницы).
Папка Printers (Принтеры) является виртуальной папкой. Виртуальные папки скрывают непосредственное расположение информации от веб-браузеров, отображая псевдоним в адресах URL вместо реального имени каталога. Текущим размещением папки Printers (Принтеры) является папка winnt\web\printers на загрузочном системном диске сервера. (Системный диск в документации Windows 2000 указывается в виде %systemdrive%, поэтому данная папка будет обозначена как %systemdrive%\winnt\web\printers.)
- Откройте Internet Services Manager (Диспетчер служб интернета), в левой панели выделите имя веб-сайта. Папки веб-сайта появятся в правой области окна.
- Удалите соответствующие папки. В Internet Services Manager можно удалить виртуальные папки. В табл. 3.4 приведены имена и размещение папок, которые восстанавливаются при перезагрузке и которые следует удалить.
Совет. В табл. 3.4 %webroot% представляет собой корневой каталог с веб-содержимым, а %systemdrive% означает загрузочный диск с установленной операционной системой.
Отключение IP-адреса в заголовке расположения содержимого. При использовании статических страниц HTML (например, Default.htm) к ответу на запрос страницы веб-браузером добавляется заголовок расположения содержимого. По умолчанию расположение содержимого ссылается на IP-адрес сервера, а не на доменное имя (FQDN) или имя узла. Этот заголовок может раскрыть внутренние IP-адреса, скрытые или замаскированные брандмауэром сетевой трансляции адресов (NAT) или прокси-сервера.
Ниже приведены инструкции, взятые из статьи Microsoft Knowledge Base (#Q218180) (База знаний Microsoft), описывающей отключение заголовка расположения содержимого в Internet Information Services 5.0.
- Откройте окно командной строки Start (Пуск)\Accessories (Стандартные)\ Command Prompt (Командная строка).
-
Перейдите в каталог сценариев администратора при помощи команды:
сd c:\inetpub\adminscripts
Если имя домашнего каталога изменено, путь к данному каталогу будет содержать измененное имя каталога.
-
Введите следующую команду:
adsutil set w3svc/UseHostName True
По умолчанию данный параметр установлен на значение False (Ложь), поэтому он возвращает только IP-адрес компьютера, на котором установлен сервер IIS. Установка данного параметра на значение True (Истина) выводит имя FQDN компьютера IIS.
-
Рекомендуется перезагрузить службу Inetinfo после внесения данного изменения. Для остановки и запуска процесса Inetinfo без перезагрузки введите следующую команду в командной строке:
net stop iisadmin /y
-
Для перезапуска введите:
Net start w3svc
Конфигурация поддержки системных данных. Функции Recycle Bin (Корзина) и Virtual Memory (Виртуальная память) операционной системы Windows 2000 могут обнаруживать данные, несмотря на то, что настроены на немедленное удаление.
По умолчанию Recycle Bin настроена на сохранение копии каждого удаляемого файла. Данное обстоятельство нас не устраивает, поэтому изменим параметры для немедленного удаления содержимого. Ниже приведены инструкции по настройке Recycle Bin.
- На рабочем столе сервера щелкните правой кнопкой мыши на значке Recycle Bin (Корзина) и выберите пункт Properties (Свойства).
- Выберите опцию Use One Setting For All Drives (Единые параметры для всех дисков) и опцию Do Not Move Files To The Recycle Bin (Уничтожать файлы сразу после удаления, не помещая их в корзину), после чего нажмите на OK.
Уязвимость данных в виртуальной памяти Windows 2000 возникает из-за настройки по умолчанию системного файла подкачки, используемого для хранения данных в режиме оперативной памяти при записи и удалении данных с диска. Windows 2000 содержит параметр безопасности, который должен быть включен для удаления всех данных в системном файле подкачки при выключении Windows 2000.
Процедура включения данного параметра заключается в следующем.
- Откройте окно Start\Administrative Tools\Local Security Policy (Пуск \Администрирование\Локальная политика безопасности) или окно My Computer\Administrative Tools\Local Security Policy (Мой компьютер\Администрирование\Локальная политика безопасности).
- Откройте окно Local Security Settings\Local Policies\Security Options (Настройка локальной безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.
- В правой области отображается перечень параметров. Дважды щелкните на параметре Clear Virtual Memory Pagefile When System Shuts Down (Очищать файл виртуальной памяти при выключении компьютера), после чего откроется диалоговое окно Local Security Policy Setting (Настройка локальной политики безопасности).
- Выберите опцию Enabled (Включено), как показано ниже. Нажмите на OK для закрытия окна.