Безопасность IIS

       

Сводный перечень действий по обеспечению безопасности активного содержимого


  • Создайте четкую структуру каталогов, чтобы упростить управление разрешениями на выполнение активного содержимого.
  • Убедитесь, что веб-папкам присвоены минимальные разрешения NTFS, позволяющие просматривать содержимое определенным учетным записям.
  • Свяжите активное содержимое с программой, которая будет его обрабатывать, включая файлы вставок.
  • Используйте программы контроля над исходными файлами для управления изменениями, вносимыми в активное содержимое, и удаления ненужных резервных файлов, сгенерированных редакторами.
  • Добавляйте в создаваемый код примечания об авторских правах.
  • Осуществляйте проверку вводимых пользователем данных перед их обработкой или отображением.
  • Реализуйте кодировку всего содержимого, исходящего от сторонних источников, – от баз данных и вводящих информацию пользователей.
  • Убедитесь в том, что весь код проходит процедуру проверки, состоящую из девяти пунктов.
  • Настройте и используйте на сайте фильтры ISAPI для защиты собственного кода.
  • Используйте кодировщик сценариев Script Encoder для скрытия сценариев на веб-страницах.
  • Управляйте доступом к важной информации с использованием ASP, HTTP 401 и EFS.
  • Проводите тщательную отладку всех сценариев и исполняемых файлов перед их установкой на защищаемом сервере.
  • Реализуйте перехват ошибок для всех сценариев, чтобы предотвратить утечку информации о системе через веб-браузер, но фиксировать ее в файлах журналов.
  • Подписывайте код апплетов и макросов, которые понадобятся посетителям при доступе к сайту.
  • Не используйте без надобности серверные расширения FrontPage Server Extensions.
  • Настройте переменные FPSE для повышения уровня безопасности по сравнению с конфигурацией по умолчанию.
  • Используйте протокол исключения роботов Robot Exclusion Protocol или META-теги роботов для запрета индексирования роботами важного содержимого.



Содержание раздела