Безопасность IIS


         

Определяет включение параметра ASPEnableParentPaths. При


Определяет включение параметра ASPEnableParentPaths. При включении родительских путей на страницах Active Server Pages (ASP) используются относительные пути от текущего каталога к домашнему каталогу (пути, использующие символ "..").
  • Демонстрационные приложения IIS. Определяет установку на компьютере папок с демонстрационными файлами: \Inetpub\iissamples \Winnt\help\iishelp \Program Files\common files\system\msadc

    Эти каталоги и все виртуальные каталоги нужно удалить.
  • Члены роли Sysadmin (Системный администратор). Определяет число членов роли Sysadmin и отображает результаты в отчете безопасности. Как правило, в роли Sysadmin должно содержаться как можно меньше пользователей.
  • Окончание срока действия пароля. Определяет наличие в учетных записях локального пользователя пароля с неограниченным сроком действия. Пароли должны регулярно меняться для предотвращения атак на взлом паролей. Такие учетные записи будут указаны в отчете.
  • Ограничение анонимных пользователей. Определяет использование ключа реестра RestrictAnonymous для ограничения анонимных подключений разрешениями Read (Чтение) или Read and Execute (Чтение и выполнение) в каталогах сценариев (если они имеются).
  • Общие объекты. Определяет наличие общих папок. В отчете будут показаны все найденные на компьютере общие объекты, включая администраторские общие папки, а также их разрешения уровня общего доступа и уровня NTFS. На веб-сервере ни в коем случае не должны присутствовать общие папки!


  • Перед запуском MBSA следует уяснить две вещи. Во-первых, проверка входа вызовет создание записей в журнале событий безопасности, если на компьютере включен аудит событий входа/выхода из системы. Во-вторых, тест на ненужные службы использует файл services.txt в качестве контрольного списка. Отредактируйте этот файл таким образом, чтобы он содержал конкретные службы для проверки на каждом сканируемом компьютере. Файл services.txt, устанавливаемый по умолчанию с этой программой, содержит следующие службы:

    MSFTPSVC (FTP) TlntSvr (Telnet) RasMan (Диспетчер службы удаленного доступа) W3SVC (WWW) SMTPSVC (SMTP)

    Перечень остальных служб, которые необходимо отключить, см. в лекции 3.


    Содержание  Назад  Вперед