Подготовка и укрепление веб-сервера
Укрепление системы
Сервис-пакеты и надстройки, несомненно, устранят некоторые очевидные угрозы. Тем не менее, с помощью одних лишь надстроек нельзя предотвратить неприятности, связанные с безопасностью сервера. Мир информационных технологий не стоит на месте. Обновления, о которых идет речь, являются "заплатками" для тех "дыр", которые обнаружены. Можете быть уверены: тысячи пользователей работают на системах с такими надстройками и пытаются найти новые слабые места.
Перед размещением в информационной среде общего пользования все системы должны быть укреплены. Данный процесс заключается в удалении ненужных служб операционной системы для ликвидации слабых мест в компоненте, который даже не используется. Это обеспечит наибольший уровень безопасности.
Возможно ли устранение всех потенциальных угроз? Вероятно, нет, так как существует слишком много уязвимых мест. Но это не должно помешать вам создать систему, настолько устойчивую к атакам, чтобы цена и усилия, затрачиваемые хакером, были большими, нежели степень его потенциального успеха.
Средства укрепления систем
Общепринятая практика при укреплении системы заключается в ограничении всех системных функций, служб, учетных записей и прав доступа для обеспечения максимального уровня безопасности, который, в то же время, позволит эффективно использовать систему. Необходимые настройки зависят от конкретного приложения, а также от понимания "эффективной работы" администраторами и пользователями. Например, политика безопасности некоторых организаций предусматривает фиксирование в журнале каждого события, происходящего на сервере. Это полезно для использования в системах с небольшим трафиком, но такой подход неразумен для веб-сайта общего доступа, так как его производительность значительно снижается. Необходимо найти оптимальное соотношение между уровнем безопасности и возможностями системы.
Компания Microsoft выпустила рекомендации для достижения этого баланса в виде инструкций по администрированию IIS, доступных на сайте Technet. Управление национальной безопасности США (NSA) разработало свои инструкции по укреплению систем. Эти средства расположены по адресам, указанным в табл. 3.1.
| Название | Расположение |
|---|---|
| HisecwebSecurity Template (Hisecweb.inf) | support.microsoft.com/support/misc/kblookup.asp?id=Q316347 |
| IIS Lockdown Tool | http://www.Microsoft.com/technet/security/ |
| IIS 5.0 Baseline Security Checklist | http://www.Microsoft.com/technet/security/ |
| Secure Internet Information Services 5 Checklist | http://www.Microsoft.com/technet/security/ |
| NSA Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 (Рекомендации NSA по настройке защиты и администрированию Microsoft IIS 5.0) | http://nsa2.www.conxion.com/win2k/download.htm |
Обзор процедуры укрепления системы
После загрузки вышеупомянутых средств можно приступать к работе. Инструкции NSA и перечень Microsoft представляют собой тематические рекомендации, упорядоченные в виде меню, используемых для выполнения задач.
Работа с инструкциями потребует определенной интуиции, так как они мало информативны. Все параметры, которые следует изменить, описываются в отдельном окне независимо от стадии процесса. Нужно просто выполнять инструкции при переходе от одного меню к другому, и не совсем понятно, по какой причине выполняется то или иное действие. В этом разделе изложение инструкций организовано по процессам. С помощью такого подхода можно переходить от заголовка к заголовку, если последовательность задач имеет другой порядок, не теряя из виду причин выполнения отдельных действий.
Мы приводим некоторые рекомендации, не включенные в списки Microsoft и NSA, взятые из различных источников. Ниже приведены наиболее важные действия, упорядоченные по типам процессов, которые следует выполнить перед размещением сервера в сети интернет.
Мы рассмотрим следующие процедуры.
- Остановка или отключение всех ненужных служб Windows 2000.
- Изменение серверной среды IIS по умолчанию для подготовки конечного состояния веб-сайта. Сюда входит модификация каталога веб-сервера, отключение или удаление ненужного системного содержимого, такого как демонстрационный код, командные утилиты, сценарии и т.д.
- Изменение дополнительных параметров Windows 2000 для снижения числа известных и теоретически возможных слабых мест.
Работа с инструментом Microsoft IIS Lockdown Tool
Инструмент IIS Lockdown Tool (IIS Lock) представляет собой утилиту Microsoft, автоматизирующую настройку параметров безопасности для веб-сервера. В его окнах можно описывать нужную конфигурацию. В конце работы создается шаблон политики Windows 2000/IIS Policy (Политики IIS), и к веб-серверу применяются настройки этого шаблона.
Далее мы узнаем, как с ним работать, однако это не означает, что будет сгенерирована корректная конфигурация. Настройки IIS необходимо выполнить вручную, так как нет никаких гарантий того, что сконфигурированные параметры соответствуют конкретным требованиям. В некоторых случаях требуется тонкая настройка конфигурации для ее оптимизации.
Основные процедуры, выполняемые при работе с инструментом IIS Lockdown Tool, следующие.
- Запустите программу для открытия мастера, выберите конфигурацию, наиболее точно описывающую будущий сервер (см. рис. ниже). Отметьте опцию View Template Settings (Просмотреть параметры шаблона) в нижней части окна, чтобы просматривать все параметры при работе с мастером. Нажмите на кнопку Next (Далее) для открытия окна Internet Services (Службы интернета).
- В окне Internet Services (изображение не приводится) выберите службы, которые следует включить и отключить (некоторые службы, которые рекомендовано отключить, затемнены, если вы последовали совету в разделе "Установка компонентов"). Разумеется, должна быть отмечена опция HTTP Service. В левом нижнем углу находится опция Remove Unselected Services (Удалить невыбранные службы), которую можно использовать для удаления служб на данном этапе. Нажмите на кнопку Next.
- Появится окно Script Maps (Поддержка сценариев), показанное на рисунке. Выберите нужные элементы, соответствующие сценариям, поддержку которых необходимо отключить. Перейдите к разделу "Отключение поддержки ненужных приложений", если не знаете, что означают приводимые в окне элементы. После указания нужных элементов нажмите на кнопку Next.
Совет. В данном примере устанавливается сервер, содержащий страницы Active Server Pages, поэтому поддержка этой технологии не отключается.
- В окне Additional Security (Дополнительные параметры безопасности) (см. рисунок вверху следующей страницы) укажите дополнительные опции для удаления виртуальных каталогов и демонстрационных сценариев. Можно установить некоторые файловые разрешения на учетную запись анонимного гостевого пользователя и отключить возможность удаленной разработки веб-содержимого. В "Учетные записи, аутентификация и политика безопасности" более подробно будет рассказано об учетной записи Internet Guest, и указываемые сейчас настройки могут стать неподходящими; тем не менее, отметьте все опции в данном окне и нажмите на кнопку Next.
- В последнем окне мастера конфигурации появится вопрос о том, следует ли устанавливать URL Scan (изображение этого окна отсутствует). Не устанавливайте этот компонент, если не знаете, как его использовать. О нем мы расскажем в "Жизненный цикл управления безопасностью" . Отключите опцию рядом с надписью Install URL Scan? (Установить URL Scan?), после чего нажмите на кнопку Next.
- В последний раз просмотрите настройки и убедитесь в их корректности. Нажмите на кнопку Next для отображения окна Applying Security Settings (Применение параметров безопасности) с отчетом о выбранных настройках. Нажмите на кнопку Next для применения всех параметров, после чего нажмите на Finish (Готово) для сохранения изменений и выхода из мастера.
