|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Internet Information Services
Программное обеспечение Internet Information Services чаще всего используется на предприятиях для следующих целей: · для хостинга внешних Web и FTP-сайтов организации. При этом доступ к таким Web-серверам открывается для пользователей из Интернета; · для организации внутреннего корпоративного Web-сайта (Интранет-сайта). Доступ открывается только для внутренних пользователей. Такой Web-сервер используется как "корпоративная стенгазета", на нем также могут быть расположены различные памятки, руководства, инструкции и т.п.; · для поддержки приложений ¾ например, Outlook Web Access для Exchange Server, Web-интерфейса для доступа к приложениям, использующим базы данных, систем репортинга (например, на основе Microsoft Reporting Services или Crystal Enterprise), документооборота на основе SharePoint Portal Server и т.п. Иногда Web-приложения могут использоваться для доступа пользователей из Интернета ¾ справочные системы, Web-магазины, онлайновая регистрация и т.п. Web-сервер часто ¾ единственное (или одно из двух, вместе с почтовым сервером) программное средство на предприятии, которое открыто для доступа из Интернета. В настоящее время даже не стоит вопрос о том, будет ли Web-сервер атакован из Интернета ¾ он будет атакован обязательно (и скорее всего, в автоматическом режиме "зомбированными" компьютерами). Поэтому защите Web-сервера обычно уделяется особое внимание. Еще одна особенность Web-сервера заключается в том, что его основные протоколы ¾ HTTP и FTP по умолчанию совершенно не защищены и данные, которые по ним передаются, легко можно перехватить (IRIS, например, умеет даже восстанавливать те страницы, на которых побывал пользователь). По этой причине важные данные, которые передаются через Интернет, должны обязательно шифроваться. Эти требования являются обязательными для Web-серверов, которые обслуживают приложения электронной коммерции в Интернете, а также для Web-серверов, которые обеспечивают Web-интерфейс для работы пользователей с важными корпоративными Web-приложениями. С точки зрения безопасности при установке Internet Information Services для обращения пользователей из Интернета рекомендуется: · устанавливать его на специальную версию Windows Server 2003 - Web Edition. Эта версия изначально оптимизирована для работы Web-сервера, значительное число ненужных для работы Web-сервера служб на такой сервер просто установить не удастся. Если такой редакции нет или нужны возможности других версий Windows Server 2003, то настоятельно рекомендуется не устанавливать на этот компьютер другие сетевые службы и приложения (DNS, службы контроллера домена, Exchange Server, SQL Server и т.п.). Каждое приложение ¾ это дополнительная уязвимость; · не делать сервер, на котором стоит IIS, членом основного домена вашей сети. Он должен работать в рабочей группе; · для всего контента Web и FTP-сайтов должен использоваться отдельный логический раздел на диске (конечно, отформатированный в файловой системе NTFS). Это сразу отсекает многочисленный класс проблем, связанных с путями в системе каталогов Web-сервера; · с точки зрения сетевых установок: на Web-сервере должен использоваться статический IP-адрес (или несколько IP-адресов). Других протоколов быть не должно. На сервере должен быть установлен только протокол TCP/IP без лишних сетевых компонентов (о службах будет рассказано ниже); · Web-сервер должен быть защищен брандмауэром, который должен отсекать весь трафик, кроме необходимого (обычно порт 80 и 443, иногда также порт, используемый для Web-администрирования сервера - он задается при установке). При необходимости должна быть установлена и настроена система IDS (возможно, с дополнительными параметрами, например, защищающая от DDoS-атак путем реконфигурации Web-сервера); · лучше, чтобы Web-сервер находился в физически отделенном от остальной сети предприятия сегменте или по крайней мере ¾ в DMZ. Конечно же, чем меньше ненужных для работы IIS служб останется на Web-сервере - тем лучше, поскольку каждая служба ¾ это дополнительные уязвимости. Какие службы обязательны для работы IIS: · World Wide Web Publishing Service ¾ сам Web-сервер; · IIS Admin Service ¾ необходим для взаимодействия IIS с базой данных настроек; · Security Accounts Manager ¾ обеспечивает информирование о работе базы Security Account Manager, фактически - набор локальных учетных записей и групп и их права; · Remote Procedure Call ¾ служба, обеспечивающий стандартный программный интерфейс для взаимодействия многих компонентов Windows. Службы необязательные, но которые могут потребоваться в разных конфигурациях: · FTP Publishing Service ¾ если Web-сервер используется одновременно как FTP-сервер (по возможности лучше, чтобы файлы качались по протоколу HTTP - проще организовать докачку, защиту и т.п.); · Simple Mail Transfer Protocol и Network News Transfer Protocol ¾ если функциональность этих протоколов нужна на Web-сервере (обычно для поддержки Web-приложений); · Net Logon ¾ эта служба нужна, только если необходима аутентификация пользователей в домене Windows (она обеспечивает обращения к контроллеру домена); · RPC Locator ¾ эта служба нужна, если только используется удаленное администрирование Web-сервера стандартными средствами Internet Services Manager (для администрирования через Web-интерфейс такой необходимости нет). Все остальные службы IIS не нужны (в том числе и Workstation, которая была необходима IIS в версиях до 5.0 включительно), хотя в некоторых ситуациях (для работы определенных Web-приложений) они могут потребоваться. С точки зрения того, какие компоненты IIS необходимо устанавливать, справку следует получить у разработчика Web-приложения. Описание компонентов IIS 6.0 и информацию о том, в каких ситуациях нужен каждый из компонентов, можно получить из статьи TechNet "How To Identify IIS 6.0 Components in Windows Server 2003" (находится на компакт-диске в каталоге IIS Protection\IIS Docs). Неуправляемый Web-сервер (например, установленный "на всякий случай" на компьютере разработчика) ¾ это потенциальная брешь в системе безопасности, поэтому в групповых политиках для Windows 2003 и XP появилась новая возможность ¾ "запретить установку IIS".
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.007 сек.) |