Védelmi szolgáltatások IIS 6
Ezen az oldalon
Web-szerverek gyakran a különféle támadások. Néhány támadás súlyos ahhoz, hogy okoz jelentős károkat termelési eszközök, irodai és kapcsolatot az ügyfelekkel. Ezen kívül minden támadást elviselni a kényelmetlenséget és a csalódás. Web szerver biztonsági - a legfontosabb szempont az üzleti siker.
Összehasonlítva a korábbi verziók a szolgáltatás Internet Information Services IIS 6.0 végre aktívabb politikát folytatnak a rosszindulatú felhasználók és a támadók:
Kezdetben telepítése után az IIS 6.0 webszerver fogja szolgálni (vagy vizuális), csak statikus weblapok (HTML), amely csökkenti a kockázatot karbantartásával kapcsolatos dinamikus (vagy végrehajtható) tartalma.
Az egyetlen futó szolgáltatás alapértelmezés szerint a telepítés után az IIS 6.0, a Web Publishing Service. Egyéb szolgáltatások lehet kapcsolni, ha szükség van rájuk.
Kezdetben telepítése után az IIS 6.0 alapértelmezett szolgáltatási ASP és ASP.NET le van tiltva.
Az IIS 6.0 alapértelmezett beállítások letiltása számos funkció gyakran használt internetes szolgáltatást. Ez a dokumentum leírja, hogyan kell beállítani a további Web szerver funkciókat anélkül, hogy növelnék nyitottságát a potenciális támadásokat.
Ez a dokumentum tartalmazza az alábbi utasításokat, hogyan lehet javítani a biztonságot a webszerver:
Csökkentve a támadási felületet a webkiszolgáló terület - csökkenti szerver ki van téve a potenciális támadásokat;
konfigurálja a felhasználói fiókok és csoportok névtelen hozzáférést;
Védelem a fájlok és könyvtárak az illetéktelen hozzáféréstől;
védelem weboldalak és virtuális könyvtárak az illetéktelen hozzáféréstől;
konfigurálja a Secure Sockets Layer (SSL) protokollt a webszerveren.
Figyelem! Minden lépésről lépésre e dokumentumban kidolgozott standard menü, mely nyílik meg a Start gombot. Ha korábban már módosította a „Start” menü, az erőfeszítéseket tesznek, hogy változtatni a beállítások eltérhetnek.
Végrehajtása az összes eljárást ebben a dokumentumban meghatározott lehetővé teszi a web szerver szolgálja dinamikus tartalom formájában ASP oldalakat, miközben elég erős védelmet nyújt az ilyen típusú támadások:
Attack profilalkotás - gyűjtemény webhely információkat. Velük szemben alkalmazott blokk felesleges port és kikapcsolni a szükségtelen protokollt.
DoS támadást (DoS-támadás), amelyben a web szerver kérések túlcsordul. Annak érdekében, hogy ellensúlyozza azt kell telepíteni a biztonsági frissítéseket és szoftver.
Illetéktelen hozzáférés a felhasználók anélkül, hogy megfelelő engedélyekkel. Ennek ellensúlyozására, be kell állítani a jogosultságokat a webhely és az NTFS engedélyeket.
Önkényes végrehajtását rosszindulatú kódot a webszerver. Annak érdekében, hogy ellensúlyozza azt kell hogy korlátozza a hozzáférést a rendszer eszközök és parancsok.
Javítása a hozzáférési jogokat, azzal az eredménnyel, hogy egy rosszindulatú felhasználó futtatható program keretében olyan fiókkal, amely kiterjedt jogosultságokat. Ennek ellensúlyozására a használata szolgáltatás és felhasználói fiókok minimális jogosultságokkal.
Vírusok, férgek, trójaiak. Velük szemben meg kell tiltani felesleges funkciók, fiókok használata minimális jogosultságokkal és azonnal telepítse a legújabb biztonsági frissítéseket.
Megjegyzés. Védelme webszerver - összetett és állandó folyamat, így lehetetlen garantálni a teljes biztonságot.
A dokumentum célja
Ez a dokumentum háttér-információkat tartalmaz, amelyek segítenek elkezdjük beállítani a webkiszolgáló oly módon, hogy ez biztonságosabb. Ahhoz azonban, hogy a webkiszolgáló a lehető legbiztonságosabban, meg kell érteni azt az elvet a munkát a kérelmeket. Ebben a dokumentumban nincs információ sajátos szempontjai a beállításokat a speciális alkalmazásokhoz.
Mielőtt belevágna
Ez a rész a rendszer előfeltételeket, és a jellemzői a web szerver, az itt leírt.
Rendszerkövetelmények
Webszerver itt használjuk példaként, az alábbi követelményeknek:
Jellemzők webszerver
Web szerver leírásban példaként, a következő jellemzőkkel rendelkezik:
A webkiszolgáló fut az IIS 6.0 szolgáltatás a munkavégző folyamatok elkülönítési mód.
Egy webszerveren házigazdák egy webhelyet, amely elérhető az interneten.
Web szerver egy tűzfal mögött, átmenő forgalom, amely nyitott csak a HTTP és a HTTPS 80 443-as port.
Web szerver egy dedikált webszerver. Ez kizárólag a webszerver, és nem használjuk fel semmilyen más célra, nevezetesen: ez nem egy fájl szerver, print szerver, vagy adatbázis szerver, amely a Microsoft SQL Server kiszolgálón.
anonim hozzáférést a webhely.
Webhely szolgál HTML oldalak és az ASP.
futó alkalmazások a webkiszolgáló nem igényel adatbázis kapcsolatot.
A web szerver nem használja a szerver Microsoft Internet Security and Acceleration (ISA) Server.
Csökkentve a támadási felületet a web szerver zónája
Védelem a web szerver indul csökkentésével támadási felület - szintű szerver ki van téve a potenciális támadásokat. Amennyiben például csak azokat a komponenseket, a szolgáltatások és a portokat, amelyek szükségesek a webkiszolgáló megfelelően működjön.
Letiltása SMB és NetBIOS protokollok
Ez a rész lépésről lépésre kitöltéséhez az alábbi feladatokat, ami segít csökkenteni a támadási felület a webszerver:
Letiltása SMB kapcsolatot az Internetről
Letiltása NetBIOS TCP / IP
Megjegyzés. Ha kikapcsolja a SMB és NetBIOS protokoll szerver nem tud működni, mint egy fájlszerver vagy nyomtatószerver. Ugyancsak nem lehet böngészni a hálózat és távolról webkiszolgáló. Ha a szerver egy dedikált webszerver, ahol a rendszergazdák meg csak lokálisan, ezek a korlátozások nem károsítja a működését a szerver.
SMB használja a következő portokat:
TCP és UDP portok 445 (SMB Direct Host)
A NetBIOS a következő portokat:
TCP és UDP portok 137 (NetBIOS Name Service)
TCP és UDP port 138 (NetBIOS datagram szolgáltatás)
TCP és UDP portok 139 (NetBIOS Session Service)
Kikapcsolja a NetBIOS protokoll önmagában nem vezet a megszüntetését kommunikációs protokoll SMB, mert az SMB protokoll TCP 445 (SMB Direct Host) port, ha a port nem áll rendelkezésre NetBIOS szabvány. NetBIOS és SMB ki kell kapcsolni külön-külön.
követelmények
Ahhoz, hogy ezeket a feladatokat, a következőkre van szükség:
Bizonyítványok. Meg kell bejelentkezve tagjaként a „Rendszergazdák” a web szerveren.
Jelent. "Sajátgép", "System Tools" és a "Device Manager".
Letiltása SMB kapcsolatot az Internetről
A Start menüben válassza a Vezérlőpult parancsot. majd kattintson duplán a Hálózati kapcsolatok.
Kattintson a jobb gombbal a kapcsolat, amely elérhető az interneten, majd a Tulajdonságok gombra.
Törölje Client for Microsoft Networks.
Törölje Service fájl- és nyomtatómegosztás Microsoft Networks és az OK gombra.
Kikapcsolja a NetBIOS TCP / IP
Kattintson a Start gombra. kattintson jobb gombbal a Sajátgép. majd kattintson a Kezelés.
Kattintson duplán a Rendszereszközök, majd az Eszközkezelő gombra.
Jobb az Eszközkezelő gombra. válasszuk a Nézet, majd kattintson a Rejtett eszközök megjelenítése.
Kattintson duplán eszközmeghajtók nem Plug and Play.
Kattintson a jobb gombbal a NetBIOS TCP / IP. válassza ki a Disable (lásd. a következő képernyőkép), majd az Igen gombra.
Megjegyzés. Képek ablakok ebben a dokumentumban szereplő alapulnak tesztkörnyezetben. A megjelenő információ a megfelelő ablakokat a világban eltérhet a bemutatott információkat a képek az ablakon.
A fent leírt eljárás célja a disable SMB jelenti hallgat TCP 445 és UDP 445. portot is letiltja Nbt.sys vezető. Megszűnésekor, akkor újra kell indítani a számítógépet.
Ellenőrzése Új beállítások
Az alábbi módszerrel ellenőrizheti, hogy a biztonsági beállítások vannak telepítve a webkiszolgáló.
Ellenőrzés le az SMB protokollt
Kattintson a „Start” gombra, válassza a „Beállítások”, majd a „Hálózati kapcsolatok” ikonra.
Kattintson a jobb gombbal a kapcsolat, amely elérhető az interneten, majd a Tulajdonságok gombra.
Biztosítani kell, hogy sem a lehetőséget a Microsoft Networks ügyfél és fájl- és nyomtatómegosztás Microsoft Networks. majd az OK gombra.
NetBIOS protokoll ellenőrzése off
Kattintson a Start gombra. kattintson jobb gombbal a Sajátgép. majd kattintson a Kezelés.
Kattintson duplán a Rendszereszközök, majd az Eszközkezelő gombra.
Jobb az Eszközkezelő gombra. válasszuk a Nézet, majd kattintson a Rejtett eszközök megjelenítése.
Kattintson duplán eszközmeghajtók nem Plug and Play. majd a jobb egérgombbal a NetBIOS TCP / IP. Ezt követően meg kell jelennie az Enable előugró menüben; ez azt jelenti, hogy a NetBIOS TCP / IP jelenleg ki van kapcsolva.
Kattintson az OK gombra. hogy lezárja a Device Manager.
A kiválasztás az alkatrészek és szolgáltatások, amelyek létfontosságúak a IIS
IIS 6.0 áll a többi komponens és szolgáltatásokat, amellett, hogy a WWW szolgáltatás, mint például az FTP szolgáltatás, a szolgáltatás SMTP. Kockázatának csökkentése érdekében a támadás ellen egy adott szolgáltatás vagy egy alkatrész, akkor ajánlott, hogy csak azokat a szolgáltatásokat és funkciókat, amelyek szükségesek a megfelelő működéséhez a weboldal és webes alkalmazások.
Komponens vagy szolgáltatás