Подготовка и укрепление веб-сервера

Физическая безопасность, безопасность загрузки и параметры безопасности носителей

Последними (но немаловажными) связанными с безопасностью параметрами веб-сервера, которые нужно защитить как часть процесса установки, являются атрибуты, управляющие загрузкой сервера. После того как сервер расположен в защищенном месте, внесены изменения в IIS и Windows 2000, будет очень обидно, если все усилия сведутся к нулю хакером, получившим физический доступ к серверу и загрузившим его под другой операционной системой, в которой он является администратором и может делать все, что захочет.

Это относится не только к веб-серверам. Организации с серьезным отношением к вопросам безопасности, скорее всего, сразу предотвратят такой сценарий, указав приведенные ниже параметры в политике безопасности Windows 2000 и применив данные рекомендации к другим серверам.

Параметры загрузки BIOS

Изменить параметры загрузки BIOS сервера для предотвращения загрузки со съемного носителя под другой операционной системой, которая используется некоторыми хакерами при проведении физических атак. Если хакер выполнит такую атаку, то он обойдет контроль доступа к файловой системе.

Процедура изменения параметров BIOS является индивидуальной для каждой конфигурации компьютеров (в зависимости от версии BIOS и производителя оборудования). Основные этапы заключаются в следующем.

• Ознакомьтесь с информацией, отображаемой после включения компьютера до начала загрузки Windows 2000. Нажмите клавишу, предназначенную для входа в программу BIOS Setup компьютера (как правило, это клавиша Del).
• В меню настроек BIOS установите пароль администратора либо на загрузку компьютера, либо на изменение параметров меню в зависимости от используемого метода защиты. При желании примените тот же пароль администратора, который вводится при входе в Windows 2000. Если на компьютере имеется такая возможность, отключите пароль пользователя. Имейте в виду, что не нужно устанавливать пароль на включение питания, так как этот пароль не позволит автоматически перезагрузить систему при сбое в сети питания.
• По возможности настройте CMOS компьютера на запрет загрузки со съемных носителей. Если в системе недоступны параметры, определяющие загрузочное устройство, то, по крайней мере, у вас будет достаточно весомый уровень защиты в виде пароля на загрузку компьютера.

Параметры носителей

Следует настроить Windows 2000 для предотвращения физических атак, ограничив доступ к гибким дискам или CD-ROM, если пользователь не осуществил локальный вход в систему. Для обеспечения безопасности носителей следует выполнить две процедуры.

• Ограничить доступ к CD-ROM пользователей, локально вошедших в систему.
• Ограничить доступ к гибким дискам пользователей, локально вошедших в систему.

Параметры управления носителями являются частью локальной политики безопасности. Для создания политики безопасности или настройки параметров локальной политики безопасности выполните следующие шаги.

1. Выберите оснастку Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование).
2. Откройте окно Local Security Policy\Local Policies\Security Options (Локальная политика безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.
   

   
   увеличить изображение
   
3. В окне Security Options область справа содержит перечень параметров. Следует по очереди установить необходимые ограничения на доступ к носителям.
   • Откройте параметр Restrict CD-ROM Access To Locally Logged On Users (Ограничить доступ к CD-ROM пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.
   • Выберите опцию Enabled (Включено), после чего нажмите на OK.
   • Откройте параметр Restrict Floppy Access To Locally Logged On Users (Ограничить доступ к гибким дискам пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.
   • Выберите опцию Enabled (Включено), после чего нажмите на OK.

Сводный перечень рекомендаций по установке

• Располагайте сервер в физически безопасном месте.
• Не устанавливайте сервер на контроллере домена Windows; установите его на отдельном компьютере.
• Используйте несколько дисков или разделов, не устанавливайте домашний каталог веб-сервера в том же томе, что и папки операционной системы.
• Используйте на сервере две сетевых платы: одну – для администрирования, другую – для сети.
• Максимально упростите конфигурацию: установите минимальное число служб, отказавшись от установки необязательных компонентов.
  • Не устанавливайте принтер.
  • Не устанавливайте компоненты доступа к данным, если они не требуются.
  • Не устанавливайте HTML-версию Internet Services Manager (Диспетчер служб интернета).
  • Не устанавливайте MS Index Server.
  • Не устанавливайте серверные расширения MS FrontPage на создаваемом сервере.

Сводный перечень рекомендаций по укреплению системы

• Установите сервис-пакеты, надстройки и исправления.
• Выполните IIS Lock.
• Создайте новый сайт и отключите сайт по умолчанию.
• Создайте новый каталог для содержимого.
• Убедитесь в безопасности конфигурации посредством проведения процедуры укрепления системы вручную.
• Отключите родительские пути.
• Отключите поддержку ненужных приложений.
• Удалите виртуальный каталог IIS Internet Printing.
• Удалите демонстрационные каталоги и сценарии.
• Удалите IP-адрес в заголовке расположения содержимого.
• Измените параметры Recycle Bin (Корзина) и политику системных данных файла подкачки.
• Удалите старые каталоги (требуется только после обновления программного обеспечения).
• Установите защиту на настройки CMOS.
• Обеспечьте безопасность физических носителей (привод гибких дисков, привод CD-ROM и т.д.)