Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 3:

Подготовка и укрепление веб-сервера

Процедуры укрепления системы, проводимые вручную

Настало время приступить к повышению безопасности системы. В процессе работы может выясниться, что некоторые настройки уже сделаны с помощью инструмента IIS Lock. Некоторые настройки потребуется изменить после изучения приводимой здесь информации. В любом случае будет ошибкой полагать, что вся работа успешно завершится после запуска программы IIS Lock.

Для ручной настройки параметров необходимо поработать с большим набором инструментов через консоль управления Microsoft Management Console (MMC). MMC представляет собой основное приложение для управления платформой Windows 2000 и компонентом IIS, установленное наряду с другими надстройками (здесь вы не можете выбирать, что следует устанавливать, а что – нет) при инсталляции Windows 2000 и IIS. Модули MMC и надстройки по умолчанию MMC доступны в окне Start\Administrative Tools (Пуск\Администрирование).


Набор модулей и надстроек по умолчанию, связанных с безопасностью, состоит из следующих компонентов.

  • Computer Management (Управление компьютером). Используется для создания и конфигурирования учетных записей, групп, хранилищ данных и съемных носителей, для отслеживания информации о системе.
  • Event Viewer (Просмотр событий). Используется для ведения системных журналов, журналов событий и журналов безопасности.
  • Internet Services Manager (Диспетчер служб интернета). Предназначен для настройки параметров безопасности IIS.
  • Local Security Policy (Локальная политика безопасности). Используется для настройки параметров безопасности Windows 2000.
  • Services (Службы). Используется для управления службами, работающими на сервере.
Отключение ненужных служб

Программа установки Microsoft Windows 2000 инсталлирует выбранные вами службы, после чего они настраиваются на автоматический запуск при каждой загрузке системы. Некоторые из служб необходимы для работы IIS, а некоторые – нет. На автоматический запуск должны быть настроены только необходимые службы.

Управление службами осуществляется с помощью надстройки Services (Службы) MMC, которая находится в окне Start\Programs\ Administrative Tools\Services (Пуск\Программы\Администрирование\Службы).

Консоль управления Services (Службы) (см. рис. ниже) представляет собой перечень всех служб, установленных в системе, с описанием, состоянием, настройками запуска и уровнем пользователя при входе в систему для каждой из служб. Она используется для остановки и отключения ненужных служб.

Таблица 3.2 содержит перечень служб, устанавливаемых даже в том случае, если вы следовали нашим рекомендациям относительно минимальной установки Internet Information Services. Этот перечень будет пополнен другими службами; некоторые из отключенных служб понадобится активировать при установке дополнительных компонентов IIS.

Для правильного функционирования серверу IIS не нужны службы, перечисленные в левом столбце таблицы, поэтому отключите их на создаваемом веб-сервере. (Тем не менее, можете оставить эти службы работающими на тестовом сервере, сервере разработки или на стандартном файловом сервере Windows.) При отключении этих служб измените параметр Startup (Запуск) на значение Manual (Вручную), чтобы при следующей загрузке сервера они не запустились автоматически. Службы, которые действительно необходимы, перечислены в правом столбце таблицы.

Для отключения службы в консоли MMC Services (Службы) выполните следующие инструкции.

  1. Щелкните правой кнопкой мыши на службе, которую требуется отключить, в контекстном меню выберите команду Properties (Свойства). Откроется окно Properties (см. рис. 3.5).
  2. Нажмите на кнопку Stop (Стоп), чтобы отключить службу.
  3. В ниспадающем меню Startup Type (Тип запуска) нажмите на кнопку со стрелкой и в появившемся списке выберите Manual (Вручную). После этого нажмите на OK.
Таблица 3.2. Обязательные и необязательные службы
Необязательные службы Windows 2000 Службы, необходимые для работы IIS

Alerter (Оповещатель)

ClipBook Server (Сервер папки обмена)

Computer Browser (Обозреватель компьютеров)

DHCP Client (Клиент DHCP)

Distributed File System (Распределенная файловая система)

Distributed Link Tracking (Client and Server) (Отслеживание распределенного подключения)

Distributed Transaction Coordinator (Координатор распределенных транзакций)

DNS Client (Клиент DNS)

FTP Publishing Service (Служба публикации FTP) (если пользователям не потребуются службы FTP)

Licensing Logging Service (Служба лицензированного ведения журналов)

Logical Disk Manager Administrator Service (Служба администрирования диспетчера логических дисков)

Messenger (Служба сообщений)

Net Logon * (Сетевой вход в систему)

Network DDE (Служба сетевого DDE)

Network DDE DSDM (Диспетчер сетевого DDE)

Print Spooler (Диспетчер очереди печати)

Removable Storage (Съемное хранилище)

Remote Access Connection Manager (Диспетчер подключений удаленного доступа)

Routing And Remote Access (Маршрутизация и удаленный доступ)

RPC Locator (Локатор удаленного вызова процедур) (необходим, если пользователь осуществляет удаленное администрирование)

RunAS Service (Служба RunAS)

Server Service (Служба сервера) (если на сервере не будут работать службы SMTP или NNTP)

Task Scheduler (Планировщик задач)

TCP/IP NetBIOS Helper (Модуль поддержки NetBIOS через TCP/IP)

Telephony (Телефония)

Telnet

Windows Installer (Программа установки Windows)

Windows Time (Служба времени Windows)

Workstation * (Рабочая станция)

COM+ Event System (Система событий COM+).

Event Log (Журнал событий).

IIS Admin Service (Служба администрирования IIS).

IPSEC Policy Agent (Службы IPSEC).

Logical Disk Manager (Диспетчер логических дисков).

Network Connections (Сетевые подключения).

Perfomance Logs and Alerts (Журналы и оповещения производительности).

Plug and Play.

Protected Storage (Защищенное хранилище).

Remote Procedure Call (RPC) (Удаленный вызов процедур).

Remote Registry Service (Служба удаленного реестра).

Security Accounts Manager (Диспетчер безопасности учетных записей).

System Event Notification (Уведомление о системных событиях).

Uninterruptible Power Supply (Источник бесперебойного питания).

Windows Management Instrumentation (WMI) (Инструментарий управления Windows).

WMI Driver Extensions (Расширения драйвера WMI).

World Wide Web Publishing Service (Служба публикации WWW).

* Службы, необходимые при работе сервера в качестве части домена Windows (в интранет-сети).

Используйте окно Service Properties для отключения служб

Рис. 3.5. Используйте окно Service Properties для отключения служб
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск