Безопасность IIS
       

Дополнительные процедуры


Приведем еще несколько рекомендаций по укреплению системы. Некоторые из них несовместимы с вашей конфигурацией в зависимости от того, выполнялось ли обновление программного обеспечения предыдущих версий или установка последних надстроек безопасности и сервис-пакетов. Несмотря на то, что данные процедуры повышают степень защищенности IIS, они не играют особой роли в средах с низким и средним уровнями безопасности.

Удаление старых каталогов. При обновлении сервера с системы NT удалите каталог с именем IISADMPWD из папки IIS в корневом каталоге. Согласно перечню угроз Microsoft Security Checklist для IIS 5.0 данная директория позволяет восстанавливать пароли Windows NT и Windows 2000.

Каталог IISADMPWD служит для внутренних сетей, он не создается при установке IIS 5, не удаляется при обновлении IIS 4 до IIS 5. Удалите данный каталог, если не используете внутреннюю сеть или подключаете сервер к интернету.

После обновления сервера остаются еще некоторые каталоги, которые также следует удалить:

  • <System Root>\DOS;
  • <System Root>\Cookies;
  • <System Root>\History;
  • <System Root>\Temporary Internet Files.

Удаление файла SAM из каталога WINNT\REPAIR. База данных Security Accounts Manager (SAM) (Диспетчер безопасности учетных записей) представляет собой хранилище паролей пользователей в Windows 2000. При установке сеанса связи на сервере Windows SAM подтверждает подлинность аутентификационных данных пользователя. Пароли Windows безопасны ровно настолько, насколько защищен файл базы данных SAM. Поэтому в Windows 2000 безопасность этого файла обеспечивается с помощью ограничения разрешений на доступ к нему и шифрования с использованием защищенного ключа, хранимого в системном реестре. Обеспечьте безопасность SAM с помощью настройки локальной политики безопасности сервера на очистку файла подкачки.

Пароли защищаются посредством удаления лишней копии файла SAM, расположенной в каталоге (%Sys Volume% является корневым каталогом загрузочного диска):

%Sys Volume%\WINNT\Repair


По умолчанию файл SAM вместе с ключами реестра Windows и журналом остальных системных файлов копируется в этот каталог для создания диска экстренного восстановления (Emergency Repair Disk, ERD). После создания ERD с помощью команды Backup (Резервное копирование) храните этот диск в надежном месте и удалите файл SAM из каталога восстановления. Повторяйте эту процедуру при каждом обновлении ERD.

Отключение подсистем MS DOS, POSIX и OS/2. Руководство NSA по конфигурации Windows 2000 предлагает удалить подсистемы для операционных систем OS/2 и POSIX. Рекомендации по работе с Microsoft IIS содержат инструкции по удалению наследуемых утилит, связанных с DOS, которые являются подсистемой DOS. Подсистема – это условное название различных команд и утилит Windows 2000, обеспечивающих совместимость с более старым программным обеспечением и дающих возможность управления системой из командной строки DOS. Эти подсистемы представляют потенциальную угрозу безопасности для веб-сервера, поэтому следует отключить их и удалить соответствующие команды.

Совет. Редактирование реестра Windows – занятие не для новичков. Если допущена ошибку, то следствием может стать отключение сервера. Перед редактированием реестра создайте диск экстренного восстановления системы (см. лекции 6).

Отключите подсистемы посредством удаления их строк из реестра Win2000. Запустите утилиту Windows 2000 REGEDIT и выполните следующие процедуры.

  1. В меню Пуск (Start) выберите команду Run (Выполнить) и введите Regedit, после чего откроется приложение (см. рисунок ниже). Откройте папку HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT.



  2. Удалите все параметры в папке \HKEY_LOCAL_MACHINE\SOFT-WARE\MICROSOFT\OS/2.


  3. Откройте папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont-rolSet\ Control. В папке Control выполнитe следующие действия.

    • Откройте папку Session Manager\Environment. Удалите значение Os2LibPath.
    • Откройте папку Session Manager\Subsystems. Удалите подпараметры Os/2 и Posix.




Изменения вступят в силу после перезагрузки системы.



Теперь удалите команды подсистемы, так как они обеспечивают совместимость приложений на файловом сервере. Не следует запускать на сервере старые приложения, которым нужна эта совместимость. Место расположения описанных файлов в папке %Sys Volume%\ (%SystemRoot%\system32):

  • os2.exe;
  • os2ss.exe;
  • os2srv.exe;
  • psxss.exe;
  • posix.exe;
  • psxdll.dll;
  • все файлы в папке \os2. (Оставьте вложенную папку DLL и все ее содержимое. При ее удалении перестанет работать исполнитель команд Windows 2000 Command.exe.)


После этого удалите старые утилиты командной строки DOS, Win98, NT и Windows 2000, находящиеся в системном каталоге сервера, иначе они станут орудиями хакеров, пытающихся получить доступ на сервер. Эти утилиты расположены в папке установки Windows 2000 %System Root\system32, где %System Root% – корневой каталог на загрузочном диске сервера. После запуска IIS Lock права на системную папку будут ограничены для исключения возможности доступа к ним обычных пользователей интернета, но это не поможет, если кто-либо завладеет привилегиями на доступ к серверу более высокого уровня. Повысьте уровень безопасности, удалив с сервера указанные элементы.

Имеется ли у вас дискета с набором утилит для экстренного восстановления системы? Такая дискета идеально подходит для расположения этих утилит. Ниже приведен перечень команд, которые следует удалить.

AT.EXE DEBUG.EXE ISSYNC.EXE CACLS.EXE EDLIN.EXE NBTSTAT.EXE CMD.EXE FINGER.EXE NET.EXE CSCRIPT.EXE FTP.EXE NETSH.EXE POLEDIT.EXE REXEC.EXE TELNET.EXE RCP.EXE RSH.EXE TFTP.EXE REGEDIT.EXE RUNAS.EXE TSKILL.EXE REGEDIT32.EXE RUNONCE.EXE WSCRIPT.EXE REGINI.EXE TRACERT.EXE XCOPY.EXE REGSRV32.EXE

Необходимо произвести действия с файлами в двух местах. Windows 2000 содержит функцию самовосстановления, называемую System File Checker (Проверка системных файлов), которая в случае удаления системных файлов восстанавливает их из резервной папки \%System Root%\system32\dllcache. Удалите файлы из папки system32 и из этой резервной папки, не перемещайте и не переименовывайте их.



Совет. Если слишком рано удалить команду Regedit.exe, то невозможно будет редактировать реестр для устранения подсистем OS/2 и DOS. Неизвестно, когда эти команды понадобятся вновь, поэтому команды в папке system32 следует лишь переместить и/или переименовать, а не удалить. По возможности переместите их на дискету, чтобы не переименовывать.

Перемещение метабазы и изменение параметра реестра. В руководстве NSA имеется рекомендация по обеспечению защиты альтернативы IIS системному реестру Windows 2000. IIS хранит большую часть информации системного реестра Windows 2000 в специальном хранилище данных, называемом метабазой. Метабаза содержит значения конфигурационных параметров в резидентном хранилище. Метабаза специально создана для работы с IIS и является более быстрой, гибкой и расширяемой, нежели системный реестр Windows 2000.

Предупреждение. Обратитесь к рекомендациям NSA по адресу, указанному в табл. 3.1, для получения советов и инструкций по данной процедуре. Ее выполнение представляет большую опасность для работы сервера, если только не осуществляется системными администраторами с большим опытом.


Содержание раздела