Sunt 6 securitate

Pe această pagină

Serverele web devin adesea obiecte de diferite tipuri de atacuri. Unele atacuri sunt destul de grave pentru a provoca daune semnificative activelor productive, productivității afacerii și relațiilor cu clienții. În plus, toate atacurile sunt incomod și frustrant. Siguranța serverului web este un aspect cheie al succesului afacerii.







Comparat cu versiunile anterioare ale serviciilor de Internet Information Services, IIS 6.0 implementează o politică mai proactivă față de utilizatorii rău intenționați și utilizatorii rău intenționați:

Inițial, după instalarea IIS 6.0 serverul de web va servi (sau afișare), numai pagini Web statice (HTML-ul), ceea ce reduce riscul asociat cu menținerea dinamică (sau executabil) de conținut.

Singurul serviciu care funcționează în mod prestabilit după instalarea serviciului IIS 6.0 este serviciul de publicare Web. Serviciile rămase pot fi activate atunci când sunt necesare.

Inițial, după ce ați instalat serviciile IIS 6.0, ASP și ASP.NET sunt dezactivate în mod implicit.

Setările IIS 6.0 implicit dezactivează multe funcții adesea accesate de serviciile Web. Acest document explică modul de configurare a funcțiilor avansate ale serverului web fără a crește deschiderea spre potențialele atacuri.

Acest document conține următoarele instrucțiuni pentru a îmbunătăți securitatea serverului web:

reducerea zonei de contact vulnerabile a serverului web - reducerea deschiderii serverului pentru atacuri potențiale;

crearea de conturi și grupuri de utilizatori pentru accesul anonim;

protejarea fișierelor și a directoarelor împotriva accesului neautorizat;

protejarea site-urilor Web și a directoarelor virtuale împotriva accesului neautorizat;

Configurarea protocolului SSL (Secure Sockets Layer) pe serverul Web.

Atenție vă rog! Toate instrucțiunile pas cu pas din acest document sunt proiectate utilizând meniul standard care se deschide când faceți clic pe butonul Start. Dacă ați făcut anterior modificări în meniul Start, acțiunile întreprinse pentru a schimba setările pot să varieze.

Implementarea tuturor procedurilor prescrise în acest document va permite serverului web să servească conținut dinamic sub formă de pagini ASP, păstrând în același timp o protecție suficient de puternică împotriva următoarelor tipuri de atacuri:

Atacuri de profilare - colectarea de informații despre un site Web. Pentru a le contracara, folosiți blocarea porturilor inutile și dezactivarea protocoalelor inutile.

Eliminarea atacurilor de serviciu (atacuri DoS), în care serverul web este plin de solicitări. Pentru a contracara, trebuie să instalați actualizări de securitate și software.

Acces neautorizat de către utilizatorii care nu au permisiuni corespunzătoare. Pentru a contracara, trebuie să configurați permisiunile de acces pentru site-urile Web și permisiunile NTFS.

Executarea arbitrară a codului rău intenționat pe serverul web. Pentru a contracara este necesar să se limiteze accesul la instrumentele și comenzile de sistem.

Creșterea drepturilor de acces, rezultând un utilizator rău intenționat, poate executa programe în cadrul unui cont care are drepturi extinse. Pentru a contracara utilizarea serviciilor și a conturilor cu drepturi minime.

Viruși, viermi, troieni. Pentru a le contracara, trebuie să dezactivați funcțiile inutile, să utilizați conturile cu drepturi minime și să instalați în timp util cele mai recente actualizări de securitate.

Notă. Protejarea unui server web este un proces complex și continuu, astfel că securitatea completă nu este garantată.

Scopul acestui document

Acest document conține informații de fundal care vă vor ajuta să vă configurați serverul web într-un mod care îl face mai sigur. Cu toate acestea, pentru a face serverul web cât mai sigur, este necesar să înțelegeți principiul de funcționare a aplicațiilor care rulează pe acesta. Acest document nu conține informații despre aspectele specifice ale personalizării asociate aplicațiilor specifice.

Înainte de a începe

Această secțiune explică cerințele prealabile pentru sistem și caracteristicile serverului Web descrise în acest document.







Cerințe de sistem

Serverul web utilizat în acest document ca exemplu are următoarele cerințe de sistem:

Funcțiile serverului Web

Serverul web folosit ca exemplu în acest document are următoarele caracteristici:

Pe serverul Web, IIS 6.0 rulează în modul Worker Isolation.

un site Web găzduiește un site web accesibil de pe Internet.

Serverul web este protejat de un firewall, traficul prin care se deschide doar pe porturile HTTP 80 și HTTPS 443.

Un server web este un server web dedicat. Este folosit numai ca server web și nu este utilizat în alte scopuri, și anume: nu este un server de fișiere, un server de imprimare sau un server de bază de date pe care rulează Microsoft SQL Server.

Accesul anonim la site-ul Web este permis.

Site-ul Web servește pagini HTML și ASP.

aplicațiile care rulează pe un server web nu necesită o conexiune la baza de date.

serverul Microsoft Internet Security and Acceleration Server (ISA) nu este utilizat pe serverul Web.

Reducerea zonei de contact vulnerabile a serverului web

Protecția serverului Web ar trebui să înceapă prin reducerea zonei sale de contact vulnerabile - gradul de deschidere al serverului pentru atacuri potențiale. De exemplu, ar trebui să includeți numai componentele, serviciile și porturile necesare pentru funcționarea corectă a serverului web.

Dezactivarea SMB și NetBIOS

Această secțiune oferă instrucțiuni pas cu pas pentru a efectua următoarele activități pentru a ajuta la reducerea zonei de contact vulnerabile a serverului Web:

Dezactivarea protocolului SMB pentru o conexiune accesibilă de pe Internet

Dezactivarea NetBIOS pe TCP / IP

Notă. Dacă dezactivați protocoalele SMB și NetBIOS, serverul nu va putea funcționa ca server de fișiere sau server de imprimare. De asemenea, este imposibil să vizualizați rețeaua și să gestionați de la distanță serverul web. Dacă serverul este un server Web dedicat, la care administratorii se pot înregistra doar la nivel local, aceste restricții nu vor afecta funcționarea serverului.

Protocolul SMB utilizează următoarele porturi:

Porturile TCP și UDP 445 (Host Direct SMB)

Protocolul NetBIOS utilizează următoarele porturi:

Porturile TCP și UDP 137 (serviciu de nume NetBIOS)

Porturile TCP și UDP 138 (serviciu datagrame NetBIOS)

Porturile TCP și UDP 139 (serviciu de sesiune NetBIOS)

Dezactivați protocolul NetBIOS singură nu va conduce la încetarea SMB protocol de comunicare, deoarece protocolul SMB utilizează TCP 445 (SMB gazdă Direct), portul în cazul în care portul nu este disponibil standard de NetBIOS. NetBIOS și SMB trebuie să fie dezactivate separat.

cerinţe

Pentru a efectua aceste sarcini, aveți nevoie de următoarele:

Scrisorile de acreditare. Trebuie să fiți logat ca membru al grupului Administrators de pe serverul Web.

Mijloace. "My Computer", "Utilities" și "Device Manager".

Dezactivarea protocolului SMB pentru o conexiune accesibilă de pe Internet

În meniul Start, faceți clic pe Panou de control. apoi faceți dublu clic pe Conexiuni în rețea.

Faceți clic cu butonul din dreapta pe conexiunea disponibilă de pe Internet, apoi faceți clic pe Proprietăți.

Debifați caseta de selectare Client pentru rețele Microsoft.

Eliminați caseta de validare Microsoft Network File and Printer Sharing (Partajare fișiere și imprimare rețea Microsoft), apoi faceți clic pe OK.

Dezactivarea NetBIOS pe TCP / IP

Faceți clic pe Start. faceți clic dreapta pe Computerul meu. apoi faceți clic pe Gestionare.

Faceți dublu clic pe System Tools, apoi faceți clic pe Device Manager.

Faceți clic cu butonul din dreapta pe Device Manager. Faceți clic pe Vizualizare, apoi pe Afișați dispozitive ascunse.

Faceți dublu clic pe Drivere de dispozitiv non-conectare și redare.

Faceți clic cu butonul din dreapta pe NetBIOS peste TCP / IP. selectați Dezactivați (vedeți următoarea captură de ecran) și faceți clic pe Da.

Notă. Imaginile afișate în acest document corespund mediului de testare. Informațiile afișate în ferestrele corespunzătoare în condiții reale pot diferi de informațiile prezentate în capturile de ecran.

Procedura descrisă mai sus are scopul de a dezactiva instrumentul de ascultare SMB pentru porturile TCP 445 și UDP 445. În plus, driverul Nbt.sys este dezactivat. După finalizare, trebuie să reporniți computerul.

Verificarea setărilor noi

Efectuați următoarele proceduri pentru a verifica dacă setările de securitate instalate pe serverul Web sunt corecte.

Verificarea deconectării protocolului SMB

Faceți clic pe butonul Start, indicați spre Settings (Setări), apoi faceți clic pe pictograma Network Connections (Conexiuni în rețea).

Faceți clic cu butonul din dreapta pe conexiunea disponibilă de pe Internet, apoi faceți clic pe Proprietăți.

Asigurați-vă că caseta de selectare Client pentru Microsoft Networks și caseta de selectare File and Printer Sharing for Microsoft Networks nu sunt bifate. apoi faceți clic pe OK.

Verificarea dezactivării protocolului NetBIOS

Faceți clic pe Start. faceți clic dreapta pe Computerul meu. apoi faceți clic pe Gestionare.

Faceți dublu clic pe System Tools, apoi faceți clic pe Device Manager.

Faceți clic cu butonul din dreapta pe Device Manager. Faceți clic pe Vizualizare, apoi pe Afișați dispozitive ascunse.

Faceți dublu clic pe Drivere de dispozitiv non-conectare și redare. apoi faceți clic dreapta pe NetBIOS peste TCP / IP. După aceasta, opțiunea Enable ar trebui să apară în meniul contextual; acest lucru înseamnă că NetBIOS peste TCP / IP este acum dezactivat.

Faceți clic pe OK. pentru a închide Managerul de dispozitive.

Selectarea componentelor și serviciilor care sunt vitale pentru IIS

IIS 6.0 include și alte componente și servicii, pe lângă serviciul WWW, cum ar fi serviciul FTP și serviciul SMTP. Pentru a reduce riscul unui atac îndreptat împotriva unui anumit serviciu sau a unei componente, este recomandat să includeți numai acele servicii și componente care sunt necesare pentru funcționarea corectă a site-ului web și a aplicațiilor Web.

Componenta sau serviciul







Articole similare

Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: