На тази страница

Уеб сървърите често са подложени на различни видове атаки. Някои атаки са достатъчно сериозни, за да причинят значителни щети на производствените активи, бизнес производителността и взаимоотношения с клиентите. В допълнение, всички атаки носят неудобството и разочарованието. Уеб сървър за сигурност - ключов аспект на бизнес успех.

В сравнение с предишните версии на услугата Internet Information Services на, IIS 6.0 се осъществява в по-активна политика по отношение на злонамерени потребители и нападатели:

Първоначално, след инсталирането на IIS 6.0 уеб сървър ще послужи (или дисплей), само на статични уеб страници (в HTML), което намалява рисковете, свързани с поддържането на динамичен (или изпълним) съдържание.

Единственият услугата работи по подразбиране след инсталация на IIS 6.0, уеб услуга за публикуване. Други услуги, може да се включва, когато те са необходими.

Първоначално, след инсталирането на услугата IIS 6.0 подразбиране ASP и ASP.NET са с увреждания.

IIS 6.0 настройки по подразбиране деактивират много от функциите рядко използван уеб услуга. Този документ обяснява как да настроите допълнителни функции уеб сървър, без да се увеличава своята отвореност за потенциални атаки.

Този документ съдържа следните инструкции за това как да се подобри сигурността на уеб сървъра:

Намаляването на Атака повърхността на зоната на уеб сървър - намаляване на сървъра е изложена на потенциални атаки;

конфигуриране на потребителски акаунти и групи за анонимен достъп;

Защита на файлове и директории от неоторизиран достъп;

Защита на уеб сайтове и виртуални директории от неоторизиран достъп;

конфигурирате Secure Sockets Layer (SSL) протокол на вашия уеб сървър.

Внимание! Всички инструкции стъпка по стъпка в този документ, са разработени посредством стандартен меню, което се отваря, когато натиснете бутона Start. Ако преди това сте били изменени в менюто "Старт", усилията, които се правят, за да промените настройките могат да варират.

Изпълнение на всички процедури, посочени в този документ ще позволи на уеб сървър, за да служи на динамично съдържание под формата на страници ASP, като същевременно се поддържа достатъчно силна защита срещу тези видове атаки:

Атака профилиране - събиране на информация на уеб сайт. За да се противопоставят ги използва блок портове и блокирането на ненужни протоколи.

Отказ на услуга атака (DoS-атака), в който исканията на уеб сървъра прелива. С цел да се противодейства на това е необходимо да инсталирате актуализации на сигурността и софтуер.

Неупълномощен достъп, като потребителите, без такива права. За да се противопоставят, трябва да конфигурирате разрешенията на уеб сайта и NTFS разрешения за.

Произволно изпълнение на зловреден код на уеб сървъра. С цел да се противодейства на това е необходимо да се ограничи достъпа до системни инструменти и команди.

Подобряване на правата за достъп, в резултат на което един злонамерен потребител може да изпълнява програми под акаунт, който има широки права разпределени. За да се противопостави на използването на услуги и потребителски акаунти с минимални привилегии.

Вируси, червеи, троянски. За борба с тях трябва да деактивирате излишни функции, използване на профилите с минимални привилегии и бързо инсталиране на най-новите актуализации за сигурност.

Забележка. Защита на уеб сървър - сложен и продължителен процес, така че е невъзможно да се гарантира пълна безопасност.

Цел на настоящия документ

Този документ съдържа допълнителна информация, която ще помогне започнете да конфигурирате уеб сървъра по такъв начин, за да стане по-безопасно. Въпреки това, за да направи уеб сървър, както е сигурно, колкото е възможно, трябва да се разбере принципът на работата се извършва на заявленията. В този документ не съществува информация за специфични аспекти на настройките, свързани с конкретни приложения.

Преди да започнете

Този раздел обяснява предпоставки на системата и характеристиките на уеб сървър, описани тук.

Системни изисквания

Уеб сървър е използван тук като пример, следните системни изисквания:

Характеристики на уеб сървър

Уеб сървър използва тук като пример, има следните характеристики:

на уеб сървъра е стартиран IIS 6.0 обслужване в режим на изолация процес работник.

на уеб сървър е домакин на уеб сайт, който е достъпен от интернет.

Уеб сървър зад защитна стена, трафик през който е отворен само за HTTP 80 и HTTPS порт 443.

Web сървър е специален уеб сървър. Тя се използва единствено като уеб сървър и не се използва за други цели, а именно: че не е файлов сървър за печат, или база данни на сървъра, който се изпълнява на сървъра Microsoft SQL Server.

позволява анонимен достъп до уеб сайта.

Уеб сайт служи HTML страници и ASP.

приложения, работещи на уеб сървъра не се нуждаят от свързвания към база данни.

на уеб сървъра не използва сървъра на Microsoft Internet Security и Acceleration (ISA) Server.

Намаляването на Атака повърхността на зоната на уеб сървъра

Защита на уеб сървъра, трябва да започне чрез намаляване на площта си атака - сървърно ниво е изложена на потенциални атаки. Например, трябва да включва само тези компоненти, услуги и пристанища, които са необходими за уеб сървър, за да работи правилно.

Деактивирането на малки и средни фирми и NetBIOS протоколи

Този раздел предоставя инструкции стъпка по стъпка за попълване на следните задачи, които ще помогнат за намаляване на площта на атака на повърхността на уеб сървъра:

Деактивирането на SMB за връзка на разположение от интернет

Деактивирането на NetBIOS през TCP / IP

Забележка. Когато деактивирате SMB и NetBIOS сървър протокол не може да функционира като файлов сървър или сървър за печат. Той също така не е възможно да сърфирате в мрежата и дистанционно управление на уеб сървър. Ако сървърът е специален уеб сървър, в който администраторите могат да влизат само на местно ниво, тези ограничения няма да навредят на работата на сървъра.

SMB използва следните портове:

TCP и UDP портове 445 (SMB Direct домакин)

NetBIOS използва следните портове:

TCP и UDP портове 137 (NetBIOS име Service)

TCP и UDP порт 138 (NetBIOS дейтаграма услуга)

TCP и UDP портове 139 (NetBIOS сесия Service)

Disable NetBIOS протокол сам няма да доведе до прекратяване на комуникационен протокол SMB, защото протокола SMB използва 445 (SMB Direct домакин) порт TCP дали портът не е на разположение NetBIOS стандарт. NetBIOS и SMB трябва да бъде изключен индивидуално.

изисквания

За изпълнението на тези задачи, вие се нуждаете от следното:

Идентификационни данни. Трябва да сте влезли в качеството си на член на "администратори" на уеб сървъра.

Средства. "My Computer", "Системни инструменти" и "Диспечер на устройствата".

Деактивирането на SMB за връзка на разположение от интернет

В менюто Старт, изберете Контролен панел. след това щракнете двукратно върху Network Connections.

Щракнете с десния бутон на връзката, достъпен от интернет, а след това щракнете върху Свойства.

Махнете отметката от клиент за Microsoft Networks.

Махнете отметката от Service споделяне на файлове и принтери за Microsoft Networks и кликнете OK.

Disable NetBIOS през TCP / IP

Щракнете върху Старт. щракнете с десния бутон My Computer. и след това щракнете върху Управление.

Кликнете два пъти върху Системни инструменти и след това върху Device Manager.

Кликнете с десен бутон Device Manager. изберете View и след това щракнете върху Покажи скритите устройства.

Щракнете двукратно върху Драйверите за устройствата не са щепсела и да играе.

Щракнете с десния бутон на NetBIOS през TCP / IP. изберете Disable (вж. следващата снимка на екрана) и след това върху Да.

Забележка. Снимки прозорци, съдържащи се в този документ, се основават на тестовата среда. Информацията, представена в съответните прозорци в реалния свят може да се различава от информацията, представена в снимките на прозореца.

Процедурата, описана по-горе е предназначен за деактивиране на SMB означава слушане на TCP 445 и UDP порт 445. деактивира Nbt.sys шофьор. При прекратяване, трябва да рестартирате компютъра.

Проверка на новите настройки

Изпълнете следната процедура, за да се уверите, че настройките за сигурност, които са инсталирани на уеб сървъра.

Проверка на разстояние от протокола SMB

Щракнете върху бутона "Старт", изберете "Настройки", след това кликнете върху "Network Connections" икона.

Щракнете с десния бутон на връзката, достъпен от интернет, а след това щракнете върху Свойства.

Уверете се, че нито опция Клиента за Microsoft мрежи и споделяне на файлове и принтери за Microsoft Networks. и след това щракнете върху OK.

NetBIOS протокол отмятане

Щракнете върху Старт. щракнете с десния бутон My Computer. и след това щракнете върху Управление.

Кликнете два пъти върху Системни инструменти и след това върху Device Manager.

Кликнете с десен бутон Device Manager. изберете View и след това щракнете върху Покажи скритите устройства.

Щракнете двукратно върху Драйверите за устройствата не са щепсела и да играе. След това щракнете с десния бутон на NetBIOS през TCP / IP. След това трябва да се появи в падащото меню Enable; това означава, че NetBIOS през TCP / IP в момента е забранено.

Щракнете върху OK. за затваряне диспечера на устройствата.

Изборът на компоненти и услуги, които са от жизненоважно значение за IIS

IIS 6.0 се състои от останалите компоненти и услуги, в допълнение към WWW услугата, като FTP услуга, и SMTP за обслужване. За да се намали рискът от нападение, насочено срещу конкретна услуга или компонент, се препоръчва да се включат само тези услуги и функции, които са необходими за правилното функциониране на сайта и уеб приложения.

Компонент или услуга

Свързани статии

• Руската академия на обществените услуги към президента на Руската федерация - е

• Akismet - плъг-ин защита срещу спам на коментари!

• Кадиров поиска да се развива чеченски Auto News Service SPR