4.2 Установка Internet Information Server с точки зрения безопасности

Защита Internet information Server (IIS), Windows Server 2003 Web Edition, правила настройки, обязательные и необязательные службы IIS

С точки зрения безопасности при установке Internet Information Server для обращения пользователей из Интернета рекомендуется:

• устанавливать его на специальную версию Windows Server 2003 - Web Edition. Эта версия изначально оптимизирована для работы Web-сервера, значительное число ненужных для работы Web-сервера служб на такой сервер просто установить не удастся. Если такой редакции нет или нужны возможности других версий Windows Server 2003, то настоятельно рекомендуется не устанавливать на этот компьютер другие сетевые службы и приложения (DNS, службы контроллера домена, Exchange Server, SQL Server и т.п.). Каждое приложение - это дополнительная уязвимость;
• не делать сервер, на котором стоит IIS, членом основного домена вашей сети. Он должен работать в рабочей группе;
• для всего контента Web и FTP-сайтов должен использоваться отдельный логический раздел на диске (конечно, отформатированный в файловой системе NTFS). Это сразу отсекает многочисленный класс проблем, связанных с путями в системе каталогов Web-сервера;
• с точки зрения сетевых установок: на Web-сервере должен использоваться статический IP-адрес (или несколько IP-адресов). Других протоколов быть не должно. На сервере должен быть установлен только протокол TCP/IP без лишних сетевых компонентов (о службах будет рассказано ниже);
• Web-сервер должен быть защищен брандмауэром, который должен отсекать весь трафик, кроме необходимого (обычно порт 80 и 443, иногда также порт, используемый для Web-администрирования сервера - он задается при установке). При необходимости должна быть установлена и настроена система IDS (возможно, с дополнительными параметрами, например, защищающая от DDoS-атак путем реконфигурации Web-сервера);
• лучше, чтобы Web-сервер находился в физически отделенном от остальной сети предприятия сегменте или по крайней мере - в DMZ.

Конечно же, чем меньше ненужных для работы IIS служб останется на Web-сервере - тем лучше, поскольку каждая служба - это дополнительные уязвимости. Какие службы обязательны для работы IIS:

• World Wide Web Publishing Service - собственно говоря, это и есть Web-сервер;
• IIS Admin Service - необходим для взаимодействия IIS с базой данных настроек;
• Security Accounts Manager - обеспечивает информирование о работе базы Security Account Manager, фактически - набор локальных учетных записей и групп и их права;
• Remote Procedure Call - служба, обеспечивающий стандартный программный интерфейс для взаимодействия многих компонентов Windows.

Службы необязательные, но которые могут потребоваться в разных конфигурациях:

• FTP Publishing Service - если Web-сервер используется одновременно как FTP-сервер (по возможности лучше, чтобы файлы качались по протоколу HTTP - проще организовать докачку, защиту и т.п.);
• Simple Mail Transfer Protocol и Network News Transfer Protocol - если функциональность этих протоколов нужна на Web-сервере (обычно для поддержки Web-приложений);
• Net Logon - эта служба нужна, только если необходима аутентификация пользователей в домене Windows (она обеспечивает обращения к контроллеру домена);
• RPC Locator - эта служба нужна, если только используется удаленное администрирование Web-сервера стандартными средствами Internet Services Manager (для администрирования через Web-интерфейс такой необходимости нет).

Все остальные службы IIS не нужны (в том числе и Workstation, которая была необходима IIS в версиях до 5.0 включительно), хотя в некоторых ситуациях (для работы определенных Web-приложений) они могут потребоваться.

С точки зрения того, какие компоненты IIS необходимо устанавливать, справку следует получить у разработчика Web-приложения. Описание компонентов IIS 6.0 и информацию о том, в каких ситуациях нужен каждый из компонентов, можно получить из статьи TechNet "How To Identify IIS 6.0 Components in Windows Server 2003" (находится на компакт-диске в каталоге IIS Protection\IIS Docs).

Неуправляемый Web-сервер (например, установленный "на всякий случай" на компьютере разработчика) - это потенциальная брешь в системе безопасности, поэтому в групповых политиках для Windows 2003 и XP появилась новая возможность - "запретить установку IIS".

Получить учебные материалы по этому курсу