Безопасность IIS


     бланк резюме |     

Сводный перечень рассмотренных процедур


  • Определите, какие службы нужны для работы сервера IIS.
  • Устанавливайте и включайте только те службы, которые действительно необходимы для работы сайта.
  • Не устанавливайте и не включайте необязательные службы.
  • Ведите учет устанавливаемых служб в журнале служб с указанием соответствующих примечаний (в качестве примера журнала используйте структуру табл. 10.2).
  • Все устройства, используемые IIS-службами, нужно отформатировать под файловую систему NTFS.
  • Не используйте настройки служб по умолчанию; настраивайте параметры каждой службы отдельно.
  • Создайте новые учетные записи для анонимных пользователей FTP и NNTP.
  • Убедитесь, что не создан FTP warez-сайт.
  • Используйте безопасное FTP-соединение для защиты FTP-трафика.
  • Предусмотрите выпуск цифровых сертификатов пользователей и свяжите их с учетными записями при высокой степени конфиденциальности групп новостей.

    Таблица 10.2. Образец журнала служб

    СлужбаУстановленаВключенаЗащищенаПримечания
    FTP Publishing
    Служба NNTP
    Служба SMTP
    Индексирование содержимого
    Бюро сертификатов
    Локатор RPC
    Сервер
    Телефония
    Удаленный доступ
    Оповещатель
    Сетевой DDE и DSDM
    Агент мониторинга сети
    Простые службы TCP/IP
    Служба WWW
  • Если нужен сервер индексов, выполните только его установку. Наложите ограничения на индексируемые папки, разрешив индексирование только несекретных файлов.
  • Следите за оповещениями безопасности, относящимися к серверу индексов, так как он имеет уязвимые места.
  • Отредактируйте сценарии поиска на сервере (файлы .idq) для поиска только определенных файлов и папок, например, обычных файлов HTML.
  • Убедитесь, что SMTP-сервер не является открытым ретранслятором почты, доступным из интернета.
  • Используйте ретрансляцию SMTP для защиты сервера Exchange.
  • Используйте службы Windows Media для защиты авторских прав содержимого, к которому предоставляется управляемый доступ, при этом следите за появлением новых угроз безопасности.
  • Не устанавливайте простые службы TCP/IP.



Содержание  Назад  Вперед