Безопасность IIS
       

Работа с инструментом Microsoft IIS Lockdown Tool


Инструмент IIS Lockdown Tool (IIS Lock) представляет собой утилиту Microsoft, автоматизирующую настройку параметров безопасности для веб-сервера. В его окнах можно описывать нужную конфигурацию. В конце работы создается шаблон политики Windows 2000/IIS Policy (Политики IIS), и к веб-серверу применяются настройки этого шаблона.

Далее мы узнаем, как с ним работать, однако это не означает, что будет сгенерирована корректная конфигурация. Настройки IIS необходимо выполнить вручную, так как нет никаких гарантий того, что сконфигурированные параметры соответствуют конкретным требованиям. В некоторых случаях требуется тонкая настройка конфигурации для ее оптимизации.

Основные процедуры, выполняемые при работе с инструментом IIS Lockdown Tool, следующие.

  1. Запустите программу для открытия мастера, выберите конфигурацию, наиболее точно описывающую будущий сервер (см. рис. ниже). Отметьте опцию View Template Settings (Просмотреть параметры шаблона) в нижней части окна, чтобы просматривать все параметры при работе с мастером. Нажмите на кнопку Next (Далее) для открытия окна Internet Services (Службы интернета).


  2. В окне Internet Services (изображение не приводится) выберите службы, которые следует включить и отключить (некоторые службы, которые рекомендовано отключить, затемнены, если вы последовали совету в разделе "Установка компонентов"). Разумеется, должна быть отмечена опция HTTP Service. В левом нижнем углу находится опция Remove Unselected Services (Удалить невыбранные службы), которую можно использовать для удаления служб на данном этапе. Нажмите на кнопку Next.
  3. Появится окно Script Maps (Поддержка сценариев), показанное на рисунке. Выберите нужные элементы, соответствующие сценариям, поддержку которых необходимо отключить. Перейдите к разделу "Отключение поддержки ненужных приложений", если не знаете, что означают приводимые в окне элементы. После указания нужных элементов нажмите на кнопку Next.


    Совет. В данном примере устанавливается сервер, содержащий страницы Active Server Pages, поэтому поддержка этой технологии не отключается.

  4. В окне Additional Security (Дополнительные параметры безопасности) (см.
    рисунок вверху следующей страницы) укажите дополнительные опции для удаления виртуальных каталогов и демонстрационных сценариев. Можно установить некоторые файловые разрешения на учетную запись анонимного гостевого пользователя и отключить возможность удаленной разработки веб-содержимого. В лекции 4 более подробно будет рассказано об учетной записи Internet Guest, и указываемые сейчас настройки могут стать неподходящими; тем не менее, отметьте все опции в данном окне и нажмите на кнопку Next.
  5. В последнем окне мастера конфигурации появится вопрос о том, следует ли устанавливать URL Scan (изображение этого окна отсутствует). Не устанавливайте этот компонент, если не знаете, как его использовать. О нем мы расскажем в лекции 7. Отключите опцию рядом с надписью Install URL Scan? (Установить URL Scan?), после чего нажмите на кнопку Next.
  6. В последний раз просмотрите настройки и убедитесь в их корректности. Нажмите на кнопку Next для отображения окна Applying Security Settings (Применение параметров безопасности) с отчетом о выбранных настройках. Нажмите на кнопку Next для применения всех параметров, после чего нажмите на Finish (Готово) для сохранения изменений и выхода из мастера.






Содержание раздела