Безопасность IIS

       

Выбор компонентов служб


На рисунке показано окно Windows Components Wizard (Мастер компонентов Windows), предназначенное для выбора компонентов. Если система уже установлена, и требуется добавить или удалить компоненты, щелкните на значке Add/Remove Software Wizard (Мастер установки и удаления программ) в папке Control Panel (Панель управления) Windows 2000.


Ниже приведен полный перечень компонентов и их назначение.

  • Accessories and Utilities (Стандартные и служебные программы). Содержат стандартные игры Windows, приложения и утилиты: калькулятор, номеронабиратель, программа рисования, проигрыватель компакт-дисков и т.д. Эти компоненты не являются необходимыми для веб-сервера.
  • Certificate Services (Службы сертификатов). Сервер сертификатов используется при создании сертификатов для приложений и служб, обеспечивающих безопасность посредством шифрования с открытым ключом, например, в протоколе защищенных сокетов SSL. Вам могут понадобиться и SSL, и сертифицированные права, но не следует устанавливать этот компонент на веб-сервер. Сервер сертификатов представляет отдельную защищенную систему, так как он подтверждает доверие к другим серверам. Службы сертификатов будут подробно рассматриваться в лекции 8.
  • Indexing Information Services (Служба индексации). Индексация представляет собой метод каталогизации хранимых данных и используется для поиска на веб-сайте. Индексация должна выполняться только на диске Windows 2000 NTFS, чтобы соблюдалась безопасность разрешений NTFS. Сервер базы данных использует службы индексации для улучшения производительности, а на веб-сервере они, как правило, не нужны.
  • Internet Information Services (Информационные службы интернета). Предназначены для управления веб-сайтом, публикациями или подключением к другим информационным службам в интернете, таким как Web, FTP, новости, электронная почта и т.д. Выберите этот компонент при установке веб-сервера IIS. Для повышения уровня безопасности установите отдельные службы на другой сервер
  • Management and Monitoring Tools (Средства управления и наблюдения).
    Предназначены для слежения за сетью и улучшения ее производительности. Протокол Simple Network Management Protocol (SNMP), используемый для передачи информации с сервера Microsoft в консоль управления SNMP Tivoli (средство управления большими и сложными сетями), не является безопасным. Не используйте SNMP на веб-сервере, если не осуществляется сложное управление, оправдывающее риск нарушения безопасности.
  • Message Queuing Services (Службы очереди сообщений). Выполняет работу с сообщениями, используется приложением, асинхронно соединенным с компонентами клиента и сервера или с другими приложениями. При создании собственного веб-приложения на базе IIS этот компонент может понадобиться. Однако его установка вызовет угрозу успешного выполнения атаки, основанной на сообщениях. Если нет необходимости, то не устанавливайте этот компонент.
  • Networking Services (Сетевые службы). Содержит набор сетевых служб и протоколов, таких как система имен доменов DNS, протокол динамической конфигурации узла DHCP и прокси-сервер служб интернета. Все эти компоненты нужны для функционирования сети, но их следует устанавливать на другом сервере.
  • Other Network File and Print Services (Другие службы доступа к файлам и принтерам сети). Позволяют открывать общий доступ к файлам и принтерам сети для компьютеров, на которых установлена операционная система, отличная от Windows. Эти службы на веб-сервере не нужны, так как веб-протоколы HTML и HTTP совместимы с другими операционными системами.
  • Remote Installation Services (Службы удаленной установки). Обеспечивают удаленную установку Windows 2000 Professional на компьютерах-клиентах с возможностью удаленной загрузки. Используются для управления большой и географически протяженной сетью. В этом случае у вас будет широкий выбор других серверов, на которые можно установить данные службы. Не инсталлируйте этот компонент на веб-сервер.
  • Remote Storage (Удаленное хранилище). Позволяет серверу Windows 2000 осуществлять копирование файлов на диск или ленточный накопитель для хранения редко используемых файлов.


    Используется на файловых серверах, хранящих файлы пользователей, занимающих в совокупности большое пространство; он позволяет освободить место на жестких дисках, переместив файлы на отдельный накопитель. Веб-сервер используется для совершенно других целей, вы будете постоянно работать с его содержимым, поэтому данный компонент не понадобится.
  • Script Debugger (Отладчик сценариев). Диагностирует неполадки, связанные со сценариями сервера. Используйте его в системе, предназначенной для разработки, но не устанавливайте на веб-сервер.
  • Terminal Services (Службы терминала). Обеспечивает среду терминала, позволяющую серверу Windows 2000 поддерживать многопользовательскую работу клиентов с приложениями Windows. В распределенной сетевой среде службы терминала используются для удаленного управления. Работа этой службы представляет собой опасность, так как она открывает дополнительный порт. О том, как использовать данную службу, соблюдая меры безопасности, говорится в лекции 6. При установке сервера ее следует отключить. Совет. Не выбирайте компонент Terminal Services Licensing (Лицензирование службы терминала): лицензии предназначены для использования Windows 2000 в качестве удаленного сервера приложений. Службы терминала нужны для удаленного управления, а для его осуществления на веб-сервере данный компонент не требуется.
  • Windows Media Services (Службы Windows Media). Осуществляют потоковую передачу мультимедийного содержимого через сеть. Данные доставляются как в "прямом эфире", так и в записанном виде на один или несколько компьютеров одновременно. При использовании этого компонента имейте в виду, что в нем присутствуют слабые места, для устранения которых потребуется настройка безопасности Microsoft (см. лекции 10).



Содержание раздела