Безопасность IIS

       

Настройка параметров аудита IIS


Терминология IIS расплывчато описывает различие между ведением журнала и осуществлением аудита, и это обстоятельство вводит в некоторое заблуждение. Разобраться в терминах и разработать шаги по обеспечению аудита проще всего посредством включения журнала. Аудит IIS настраивается через параметры веб-сайта. Настройки аудита IIS дополняют параметры аудита Windows 2000. Параметры аудита IIS отвечают за отслеживание следующих объектов.


  • Домашний каталог. Отслеживает посещения домашнего каталога сайта и его страниц.
  • Процессы приложений. Осуществляет запись неудачных запросов клиентов в журналы событий.
  • Изменения с помощью серверных расширений. Отслеживает изменения, вносимые в сайт при помощи серверных расширений FrontPage.


Совет. В лекции 3 не рекомендовалось использовать серверные расширения на создаваемом сервере, но они могут быть полезными на сервере разработки.


Затем убедитесь, что в области выделения Master Properties (Главные свойства) отображается WWW Services (Службы WWW), и нажмите на кнопку Edit (Изменить), чтобы открыть окно Properties рассматриваемого сайта.
  • Откройте вкладку Home Directory (Домашний каталог) и убедитесь, что опция Log Visits (Вести учет посещений) отмечена, как показано на рисунке.
  • Для настройки параметров на отслеживание неудачных процессов приложений нажмите на кнопку Configuration (Настройка) в нижней панели вкладки Home Directory (Домашний каталог), после чего откроется окно Application Configuration (Настройка приложения).
  • Откройте вкладку Process Options (Параметры процессов) и отметьте опцию Write Unsuccessful Client Requests To Event Log (Записывать неудачные запросы клиентов в журнал событий). Совет. Опция, о которой идет речь в шаге 6, доступна только тогда, когда на приложении установлена защита High Isolation (Высокий уровень изоляции). Данный параметр обеспечивает изоляцию пространства памяти, в котором выполняется приложение, для предотвращения работы вредоносных приложений, которые могут захватить контроль над системой.


  • Аудит событий, фиксируемых посредством настроек в расширенных параметрах ведения журнала. Расширенные параметры ведения журнала вкратце описаны в разделе "Настройка параметров файла журнала IIS" при обсуждении настройки журнала на веб-сайте IIS. Расширенные параметры настраиваются на вкладке Web Site (Веб-сайт) окна свойств сервера Properties (Свойства).

    Список, приведенный ниже, содержит рекомендации Национальной службы безопасности США (NSA) по настройке дополнительных параметров для аудита веб-сервера.

    • Дата и время события. Указывает время события.
    • IP-адрес клиента. Указывает место, откуда клиент выполнял свои действия.
    • Имя пользователя, осуществлявшего доступ к сайту. Отражает имя авторизованного пользователя, осуществившего доступ на сайт. К анонимным пользователям этот параметр не относится.
    • Метод HTTP. Обозначает действие, которое пытался выполнить клиент (например, метод GET, используемый при загрузке файлов и при работе с формами).
    • Ресурс URI.Записывает ресурс, к которому осуществлял доступ клиент (страница HTML, сценарий или приложение ISAPI).
    • Запрос URI. Отображает запрос, который выполнял клиент.
    • Время, затраченное на обработку запроса. Указывает время, в течение которого посетитель находился на сайте, или время, затраченное на выполнение события.
    • Состояние запроса. Отображает состояние запроса (в терминах HTTP и/или в терминах Windows 2000).
    • Предыдущий сайт. Указывает URL последнего сайта, посещенного клиентом (указывается путь, после которого указывается событие).
    • Порт сервера. Фиксирует номер порта, к которому был подключен клиент.



    Содержание раздела