« |

1

|

2

|

3

|

4

|

5

|

6

|

7

|

8

|

9

|

10

|

вопросы | »

для печати и PDA

К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы.
На некоторых веб- сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

Откройте Internet Information Services Manager (Диспетчер IIS).В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.

Пакеты обслуживания и надстройки безопасности

Сразу по окончании установки Windows 2000 следует установить все сервис-пакеты и "заплатки", предоставляемые Microsoft. Эти компоненты являются жизненно необходимыми! Они содержат исправления обнаруженных ошибок и уязвимых мест.

Совет. Сервис-пакеты можно загрузить с сайта www.microsoft.com/technet/ или http://vx.windowsupdate.microsoft.com, установить с другого сетевого сервера или с приобретенных компакт-дисков.

Так называемые "горячие исправления" (hot fixes) и надстройки для укрепления системы представляют собой механизмы, используемые Microsoft для устранения ошибок, обнаруживаемых между выпуском соседних версий сервис-пакетов. "Горячие исправления", регулярно размещаемые Microsoft на веб-сайте, представляют собой патчи, связанные с конкретными аспектами безопасности для конкретных конфигураций системы. Надстройки безопасности представляют собой обновления всех отдельных исправлений, издаваемых Microsoft. Они доступны на веб-сайте Microsoft Technet. Следует регулярно посещать веб-сайт www.microsoft.com/technet/security для проверки наличия свежих патчей при каждой установке сервис-пакетов. На сайте можно подписаться на рассылку информации, связанной с безопасностью, а также на автоматическое уведомление о новых исправлениях. Следует устанавливать каждое появляющееся исправление, связанное с безопасностью.

На веб-сайте Microsoft перейдите по ссылке Recommended Updates (Рекомендуемые обновления) для проверки патчей или обновлений, требуемых для конфигурирования системы, но отсутствующих в последней версии сервис-пакета или не являющихся надстройками безопасности. Например, на протяжении долгого времени пакет Windows 2000 High Encryption Pack не являлся частью какого-либо сервис-пакета или надстройки обновления. Он устанавливался в случае 128-битного шифрования. Теперь пакет High Encryption Pack включен в Windows 2000 Service Pack 2.

Параметры носителей

Следует настроить Windows 2000 для предотвращения физических атак, ограничив доступ к гибким дискам или CD-ROM, если пользователь не осуществил локальный вход в систему. Для обеспечения безопасности носителей следует выполнить две процедуры.

Ограничить доступ к CD-ROM пользователей, локально вошедших в систему.Ограничить доступ к гибким дискам пользователей, локально вошедших в систему.

Параметры управления носителями являются частью локальной политики безопасности. Для создания политики безопасности или настройки параметров локальной политики безопасности выполните следующие шаги.

Выберите оснастку Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование).Откройте окно Local Security Policy\Local Policies\Security Options (Локальная политика безопасности\Локальные политики\Параметры безопасности), как показано на рисунке.

В окне Security Options область справа содержит перечень параметров. Следует по очереди установить необходимые ограничения на доступ к носителям. Откройте параметр Restrict CD-ROM Access To Locally Logged On Users (Ограничить доступ к CD-ROM пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.Выберите опцию Enabled (Включено), после чего нажмите на OK.Откройте параметр Restrict Floppy Access To Locally Logged On Users (Ограничить доступ к гибким дискам пользователей, локально вошедших в систему), чтобы отобразить диалоговое окно, позволяющее включить данный параметр.Выберите опцию Enabled (Включено), после чего нажмите на OK.

Параметры загрузки BIOS

Изменить параметры загрузки BIOS сервера для предотвращения загрузки со съемного носителя под другой операционной системой, которая используется некоторыми хакерами при проведении физических атак. Если хакер выполнит такую атаку, то он обойдет контроль доступа к файловой системе.

Процедура изменения параметров BIOS является индивидуальной для каждой конфигурации компьютеров (в зависимости от версии BIOS и производителя оборудования). Основные этапы заключаются в следующем.

Ознакомьтесь с информацией, отображаемой после включения компьютера до начала загрузки Windows 2000. Нажмите клавишу, предназначенную для входа в программу BIOS Setup компьютера (как правило, это клавиша Del).В меню настроек BIOS установите пароль администратора либо на загрузку компьютера, либо на изменение параметров меню в зависимости от используемого метода защиты. При желании примените тот же пароль администратора, который вводится при входе в Windows 2000. Если на компьютере имеется такая возможность, отключите пароль пользователя. Имейте в виду, что не нужно устанавливать пароль на включение питания, так как этот пароль не позволит автоматически перезагрузить систему при сбое в сети питания.По возможности настройте CMOS компьютера на запрет загрузки со съемных носителей. Если в системе недоступны параметры, определяющие загрузочное устройство, то, по крайней мере, у вас будет достаточно весомый уровень защиты в виде пароля на загрузку компьютера.

План работы

Как и для любого проекта, следует заранее спланировать установку и настройку безопасности веб-сервера. Разделите этот процесс на несколько этапов.

Определение и сбор необходимых компонентов установки. Обеспечьте оборудование, программы, персонал, поддержку, время и другие ресурсы, которые понадобятся для успешного выполнения установки. Нужен компьютер, который станет веб-сервером, а также защищенное место, в котором он будет расположен. Понадобятся программные продукты Microsoft и лицензии, сетевое оборудование для подключения сервера к сети, а также достаточное количество времени для настройки всех этих компонентов. Количество затрачиваемого времени зависит от вашего опыта. Если вы новичок, отведите для настройки сервера два дня и не спешите при выполнении процедур.Установка и настройка компонентов. Выполните инсталляцию. Для Microsoft IIS установку можно производить с компакт-диска непосредственно на сервере либо через сеть с сервера, на дисках которого находятся исполняемые файлы, либо выполнять установку, комбинируя два метода. Для максимальной безопасности установите особую конфигурацию вместо конфигурации по умолчанию посредством выбора нужных компонентов. В данной лекции приводятся инструкции о том, какие компоненты следует выбирать, и на что влияет наличие или отсутствие отдельных компонентов.Укрепление системы. Устраните слабые места, чтобы не стать жертвой хакера. Укрепление системы включает в себя отключение или удаление служб, которые не должны запускаться в выбранной конфигурации, а также правильную настройку политик, прав и разрешений.Включение аудита и возможностей по восстановлению. Защищенные вычислительные системы, такие как Windows 2000 и IIS, комплектуются набором системных журналов и журналов событий. Их нужно правильно сконфигурировать для определения фактов нарушения защиты и обеспечения возможности восстановления повреждений.

Процесс инсталляции и конфигурации всегда должен завершаться тестированием. Процедуры тестирования описываются в лекции 7.

ПРОБЛЕМА. Работа с поддержкой приложений

Приложения интернета (т.е. приложения, выполняющиеся на веб-сервере) разрабатываются с использованием целого ряда языков программирования и сценариев. Веб-приложения осуществляют интерактивный поиск данных и сбор информации о клиенте.

IIS использует расширение имени файла запрошенного ресурса, чтобы выбрать интерфейс ISAPI или программу CGI для обработки запроса. Например, запрос файла с расширением .asp вызовет запуск на веб-сервере программы ASP (Asp.dll) для обработки этого запроса. Связь файлового расширения с ISAPI или программой CGI называется поддержкой приложения.

Поддержка приложений представляет угрозу для веб-сайта. Хакер может осуществить выполнение одного из приложений, передав ему файл с соответствующим типом расширения. Хакер попытается осуществить переполнение буфера при загрузке файла приложением или другое действие, позволяющее получить доступ в систему для захвата управления. Отключив поддержку приложений, можно ограничить использование этого слабого места.

Откройте Internet Information Services Manager (Диспетчер IIS).Выделите имя веб-сайта в левой панели. Папки сайтов появятся в правой панели.Удалите виртуальную папку Printers (Принтеры), если она существует (см. рисунок вверху следующей страницы).

Папка Printers (Принтеры) является виртуальной папкой. Виртуальные папки скрывают непосредственное расположение информации от веб-браузеров, отображая псевдоним в адресах URL вместо реального имени каталога. Текущим размещением папки Printers (Принтеры) является папка winnt\web\printers на загрузочном системном диске сервера. (Системный диск в документации Windows 2000 указывается в виде %systemdrive%, поэтому данная папка будет обозначена как %systemdrive%\winnt\web\printers.)

Откройте Internet Services Manager (Диспетчер служб интернета), в левой панели выделите имя веб-сайта. Папки веб-сайта появятся в правой области окна.Удалите соответствующие папки. В Internet Services Manager можно удалить виртуальные папки. В табл. 3.4 приведены имена и размещение папок, которые восстанавливаются при перезагрузке и которые следует удалить.Совет. В табл. 3.4 %webroot% представляет собой корневой каталог с веб-содержимым, а %systemdrive% означает загрузочный диск с установленной операционной системой.

Таблица 3.4. Каталоги демонстрационных файлов, сценариев и их размещение

Процедуры укрепления системы, проводимые вручную

Настало время приступить к повышению безопасности системы. В процессе работы может выясниться, что некоторые настройки уже сделаны с помощью инструмента IIS Lock. Некоторые настройки потребуется изменить после изучения приводимой здесь информации. В любом случае будет ошибкой полагать, что вся работа успешно завершится после запуска программы IIS Lock.

Для ручной настройки параметров необходимо поработать с большим набором инструментов через консоль управления Microsoft Management Console (MMC). MMC представляет собой основное приложение для управления платформой Windows 2000 и компонентом IIS, установленное наряду с другими надстройками (здесь вы не можете выбирать, что следует устанавливать, а что – нет) при инсталляции Windows 2000 и IIS. Модули MMC и надстройки по умолчанию MMC доступны в окне Start\Administrative Tools (Пуск\Администрирование).

Набор модулей и надстроек по умолчанию, связанных с безопасностью, состоит из следующих компонентов.

Computer Management (Управление компьютером). Используется для создания и конфигурирования учетных записей, групп, хранилищ данных и съемных носителей, для отслеживания информации о системе.Event Viewer (Просмотр событий). Используется для ведения системных журналов, журналов событий и журналов безопасности.Internet Services Manager (Диспетчер служб интернета). Предназначен для настройки параметров безопасности IIS.Local Security Policy (Локальная политика безопасности). Используется для настройки параметров безопасности Windows 2000.Services (Службы). Используется для управления службами, работающими на сервере.

Простота – залог успеха

Защищенный веб-сайт нужно настроить на минимальную конфигурацию. Принцип безопасности, лежащий в основе этого правила, заключается в том, что службы, не являющиеся жизненно необходимыми, представляют собой точки будущих атак хакеров. Поэтому при инсталляции системы следует указать выборочную установку базового набора компонентов, необходимого для функционирования.

Работа с инструментом Microsoft IIS Lockdown Tool

Инструмент IIS Lockdown Tool (IIS Lock) представляет собой утилиту Microsoft, автоматизирующую настройку параметров безопасности для веб-сервера. В его окнах можно описывать нужную конфигурацию. В конце работы создается шаблон политики Windows 2000/IIS Policy (Политики IIS), и к веб-серверу применяются настройки этого шаблона.

Далее мы узнаем, как с ним работать, однако это не означает, что будет сгенерирована корректная конфигурация. Настройки IIS необходимо выполнить вручную, так как нет никаких гарантий того, что сконфигурированные параметры соответствуют конкретным требованиям. В некоторых случаях требуется тонкая настройка конфигурации для ее оптимизации.

Основные процедуры, выполняемые при работе с инструментом IIS Lockdown Tool, следующие.

Запустите программу для открытия мастера, выберите конфигурацию, наиболее точно описывающую будущий сервер (см. рис. ниже). Отметьте опцию View Template Settings (Просмотреть параметры шаблона) в нижней части окна, чтобы просматривать все параметры при работе с мастером. Нажмите на кнопку Next (Далее) для открытия окна Internet Services (Службы интернета).

В окне Internet Services (изображение не приводится) выберите службы, которые следует включить и отключить (некоторые службы, которые рекомендовано отключить, затемнены, если вы последовали совету в разделе "Установка компонентов"). Разумеется, должна быть отмечена опция HTTP Service. В левом нижнем углу находится опция Remove Unselected Services (Удалить невыбранные службы), которую можно использовать для удаления служб на данном этапе. Нажмите на кнопку Next.Появится окно Script Maps (Поддержка сценариев), показанное на рисунке. Выберите нужные элементы, соответствующие сценариям, поддержку которых необходимо отключить. Перейдите к разделу "Отключение поддержки ненужных приложений", если не знаете, что означают приводимые в окне элементы. После указания нужных элементов нажмите на кнопку Next.

Совет. В данном примере устанавливается сервер, содержащий страницы Active Server Pages, поэтому поддержка этой технологии не отключается.В окне Additional Security (Дополнительные параметры безопасности) (см.
рисунок вверху следующей страницы) укажите дополнительные опции для удаления виртуальных каталогов и демонстрационных сценариев. Можно установить некоторые файловые разрешения на учетную запись анонимного гостевого пользователя и отключить возможность удаленной разработки веб-содержимого. В лекции 4 более подробно будет рассказано об учетной записи Internet Guest, и указываемые сейчас настройки могут стать неподходящими; тем не менее, отметьте все опции в данном окне и нажмите на кнопку Next.В последнем окне мастера конфигурации появится вопрос о том, следует ли устанавливать URL Scan (изображение этого окна отсутствует). Не устанавливайте этот компонент, если не знаете, как его использовать. О нем мы расскажем в лекции 7. Отключите опцию рядом с надписью Install URL Scan? (Установить URL Scan?), после чего нажмите на кнопку Next.В последний раз просмотрите настройки и убедитесь в их корректности. Нажмите на кнопку Next для отображения окна Applying Security Settings (Применение параметров безопасности) с отчетом о выбранных настройках. Нажмите на кнопку Next для применения всех параметров, после чего нажмите на Finish (Готово) для сохранения изменений и выхода из мастера.

Сетевые компоненты

Программа установки Microsoft предложит ввести имя компьютера, после чего нужно указать, находится ли данный компьютер в сети. Если веб-сервер размещен в интернете, выберите опцию Is On A Network Without A Domain (Находится в сети без домена), так как следует отделить веб-сервер от интранет-сети. Укажите любое предпочтительное имя рабочей группы.

В ходе работы мастера установки или сразу после ее завершения можно настроить интерфейсы для сетевых служб, используемых веб-сервером. Диалоговое окно настройки сетевого подключения показано на рис. 3.1. Это окно открывается выбором пункта Network Dialup and Connections (Удаленный доступ к сети и сетевые подключения) в подменю Settings (Настройка) меню Start (Пуск).

Совет. Для изменения имени компьютера и настройки домена Windows используется диалоговое окно My Computer (Мой компьютер)\Properties (Свойства), для изменения параметров TCP/IP – диалоговое окно My Network Places (Сетевое окружение)\Properties (Свойства)

Единственными службами, необходимыми для работы IIS в сети, являются Client For Microsoft Networks (Клиент для сетей Microsoft) и Internet Protocol (TCP/IP) (Протокол интернета TCP/IP), поэтому нужно отметить эти элементы. Отключите остальные протоколы и службы, такие как File And Printer Sharing For Microsoft Networks (Общие файлы и принтеры для сетей Microsoft), если нет основания для их использования на веб-сервере. Не открывайте общий доступ к интернет-соединению и никогда не используйте общий доступ к файлам в интернете.

Далее настройте стек протоколов TCP/IP сервера. Нужно указать IP-адреса, используемые сервером. Несмотря на то, что внутренняя сеть Windows 2000 содержит клиент DHCP, для веб-сервера используется фиксированный IP-адрес. Если возникнут неполадки в конфигурации внутренних DNS или WINS, доступ к серверу можно будет осуществить по его фиксированному адресу.
Этот адрес нужен для работы Windows 2000 Server и для обеспечения безопасности. Убедитесь, что адрес представляет соответствующую подсеть доверяемой сети, из которой будет осуществляться администрирование веб-сайтом.

Выберите Internet Protocol (TCP/IP) (Протокол интернета TCP/IP) и нажмите на кнопку Properties (Свойства), чтобы отобразить диалоговое окно (см. рис. 3.2). Введите адрес и маску подсети, предоставляемые поставщиком услуг интернета или сетевым администратором. Дополнительную справочную информацию можно найти на веб-сайте Microsoft Technet (www.microsoft.com/technet).

Если веб-сервер расположен в интернете (надеемся, что имеется карта сетевого интерфейса), используйте на интерфейсе фиксированный IP-адрес, относящийся к интернету. На рисунке 3.3 изображена схема конфигурации веб-сервера интернета с использованием двух интерфейсных карт при размещении его в подсетях интранет и интернет. В этом случае веб-сервер интернета является наиболее защищенным. При настройке адресов позаботьтесь о выборе нужной карты интерфейса для конфигурируемого адреса, проверив имя, отображаемое в верхней части диалогового окна (см. рис. 3.1).

Для обеспечения безопасности выполните некоторые процедуры с сетевой картой, граничащей с интернетом. В окне Connection Properties (Свойства подключения) этой карты (см. рис. 3.1) удалите компонент Client for Microsoft Networks (Клиент для сетей Microsoft), так как его копии, уже установленной для интерфейса интранета, достаточно для работы IIS.

Средства укрепления систем

Общепринятая практика при укреплении системы заключается в ограничении всех системных функций, служб, учетных записей и прав доступа для обеспечения максимального уровня безопасности, который, в то же время, позволит эффективно использовать систему. Необходимые настройки зависят от конкретного приложения, а также от понимания "эффективной работы" администраторами и пользователями. Например, политика безопасности некоторых организаций предусматривает фиксирование в журнале каждого события, происходящего на сервере. Это полезно для использования в системах с небольшим трафиком, но такой подход неразумен для веб-сайта общего доступа, так как его производительность значительно снижается. Необходимо найти оптимальное соотношение между уровнем безопасности и возможностями системы.

Компания Microsoft выпустила рекомендации для достижения этого баланса в виде инструкций по администрированию IIS, доступных на сайте Technet. Управление национальной безопасности США (NSA) разработало свои инструкции по укреплению систем. Эти средства расположены по адресам, указанным в табл. 3.1.

Таблица 3.1. Полезные инструменты для укрепления системы

Сводный перечень рекомендаций по укреплению системы

Установите сервис-пакеты, надстройки и исправления.Выполните IIS Lock.Создайте новый сайт и отключите сайт по умолчанию.Создайте новый каталог для содержимого.Убедитесь в безопасности конфигурации посредством проведения процедуры укрепления системы вручную.Отключите родительские пути.Отключите поддержку ненужных приложений.Удалите виртуальный каталог IIS Internet Printing.Удалите демонстрационные каталоги и сценарии.Удалите IP-адрес в заголовке расположения содержимого.Измените параметры Recycle Bin (Корзина) и политику системных данных файла подкачки.Удалите старые каталоги (требуется только после обновления программного обеспечения).Установите защиту на настройки CMOS.Обеспечьте безопасность физических носителей (привод гибких дисков, привод CD-ROM и т.д.)

Сводный перечень рекомендаций по установке

Располагайте сервер в физически безопасном месте.Не устанавливайте сервер на контроллере домена Windows; установите его на отдельном компьютере.Используйте несколько дисков или разделов, не устанавливайте домашний каталог веб-сервера в том же томе, что и папки операционной системы.Используйте на сервере две сетевых платы: одну – для администрирования, другую – для сети.Максимально упростите конфигурацию: установите минимальное число служб, отказавшись от установки необязательных компонентов. Не устанавливайте принтер.Не устанавливайте компоненты доступа к данным, если они не требуются.Не устанавливайте HTML-версию Internet Services Manager (Диспетчер служб интернета).Не устанавливайте MS Index Server.Не устанавливайте серверные расширения MS FrontPage на создаваемом сервере.

Требования к безопасной установке

У каждой организации имеется свой набор требований. Некоторые организации используют веб-сервер для распространения информации, для них безопасность не является основным вопросом. Другим требуется защита даже во внутренней интранет-сети, так как их сайты используются для управления информацией о сотрудниках и их заработной плате. Третьи имеют сайты в интернете для осуществления маркетинга, электронной коммерции и поддержки продукции. Каждому случаю соответствуют свои требования к настройке и защите систем.

Важно. Компьютер, на который инсталлируется IIS, ни в коем случае не должен подключаться к интернету до полного завершения установки и подтверждения защищенности сервера. Будем считать, что сервер расположен в защищенной интранет-среде (не в интернете) или вовсе не подключен к сети при установке.

Укрепление системы

Сервис-пакеты и надстройки, несомненно, устранят некоторые очевидные угрозы. Тем не менее, с помощью одних лишь надстроек нельзя предотвратить неприятности, связанные с безопасностью сервера. Мир информационных технологий не стоит на месте. Обновления, о которых идет речь, являются "заплатками" для тех "дыр", которые обнаружены. Можете быть уверены: тысячи пользователей работают на системах с такими надстройками и пытаются найти новые слабые места.

Перед размещением в информационной среде общего пользования все системы должны быть укреплены. Данный процесс заключается в удалении ненужных служб операционной системы для ликвидации слабых мест в компоненте, который даже не используется. Это обеспечит наибольший уровень безопасности.

Возможно ли устранение всех потенциальных угроз? Вероятно, нет, так как существует слишком много уязвимых мест. Но это не должно помешать вам создать систему, настолько устойчивую к атакам, чтобы цена и усилия, затрачиваемые хакером, были большими, нежели степень его потенциального успеха.

Установка компонента

Сервер Microsoft IIS интегрирован с операционной системой Windows 2000. Программа установки одновременно устанавливает Windows 2000 и IIS. Инсталляционная программа упрощает процесс установки, однако не является универсальной. Чтобы выполнить инсталляцию согласно требованиям к защищенности системы, необходимо вручную контролировать этот процесс.

Выбор компонентов служб

На рисунке показано окно Windows Components Wizard (Мастер компонентов Windows), предназначенное для выбора компонентов. Если система уже установлена, и требуется добавить или удалить компоненты, щелкните на значке Add/Remove Software Wizard (Мастер установки и удаления программ) в папке Control Panel (Панель управления) Windows 2000.

Ниже приведен полный перечень компонентов и их назначение.

Accessories and Utilities (Стандартные и служебные программы). Содержат стандартные игры Windows, приложения и утилиты: калькулятор, номеронабиратель, программа рисования, проигрыватель компакт-дисков и т.д. Эти компоненты не являются необходимыми для веб-сервера.Certificate Services (Службы сертификатов). Сервер сертификатов используется при создании сертификатов для приложений и служб, обеспечивающих безопасность посредством шифрования с открытым ключом, например, в протоколе защищенных сокетов SSL. Вам могут понадобиться и SSL, и сертифицированные права, но не следует устанавливать этот компонент на веб-сервер. Сервер сертификатов представляет отдельную защищенную систему, так как он подтверждает доверие к другим серверам. Службы сертификатов будут подробно рассматриваться в лекции 8.Indexing Information Services (Служба индексации). Индексация представляет собой метод каталогизации хранимых данных и используется для поиска на веб-сайте. Индексация должна выполняться только на диске Windows 2000 NTFS, чтобы соблюдалась безопасность разрешений NTFS. Сервер базы данных использует службы индексации для улучшения производительности, а на веб-сервере они, как правило, не нужны.Internet Information Services (Информационные службы интернета). Предназначены для управления веб-сайтом, публикациями или подключением к другим информационным службам в интернете, таким как Web, FTP, новости, электронная почта и т.д. Выберите этот компонент при установке веб-сервера IIS. Для повышения уровня безопасности установите отдельные службы на другой сервер Management and Monitoring Tools (Средства управления и наблюдения).
Предназначены для слежения за сетью и улучшения ее производительности. Протокол Simple Network Management Protocol (SNMP), используемый для передачи информации с сервера Microsoft в консоль управления SNMP Tivoli (средство управления большими и сложными сетями), не является безопасным. Не используйте SNMP на веб-сервере, если не осуществляется сложное управление, оправдывающее риск нарушения безопасности.Message Queuing Services (Службы очереди сообщений). Выполняет работу с сообщениями, используется приложением, асинхронно соединенным с компонентами клиента и сервера или с другими приложениями. При создании собственного веб-приложения на базе IIS этот компонент может понадобиться. Однако его установка вызовет угрозу успешного выполнения атаки, основанной на сообщениях. Если нет необходимости, то не устанавливайте этот компонент.Networking Services (Сетевые службы). Содержит набор сетевых служб и протоколов, таких как система имен доменов DNS, протокол динамической конфигурации узла DHCP и прокси-сервер служб интернета. Все эти компоненты нужны для функционирования сети, но их следует устанавливать на другом сервере.Other Network File and Print Services (Другие службы доступа к файлам и принтерам сети). Позволяют открывать общий доступ к файлам и принтерам сети для компьютеров, на которых установлена операционная система, отличная от Windows. Эти службы на веб-сервере не нужны, так как веб-протоколы HTML и HTTP совместимы с другими операционными системами.Remote Installation Services (Службы удаленной установки). Обеспечивают удаленную установку Windows 2000 Professional на компьютерах-клиентах с возможностью удаленной загрузки. Используются для управления большой и географически протяженной сетью. В этом случае у вас будет широкий выбор других серверов, на которые можно установить данные службы. Не инсталлируйте этот компонент на веб-сервер.Remote Storage (Удаленное хранилище). Позволяет серверу Windows 2000 осуществлять копирование файлов на диск или ленточный накопитель для хранения редко используемых файлов.


Используется на файловых серверах, хранящих файлы пользователей, занимающих в совокупности большое пространство; он позволяет освободить место на жестких дисках, переместив файлы на отдельный накопитель. Веб-сервер используется для совершенно других целей, вы будете постоянно работать с его содержимым, поэтому данный компонент не понадобится.Script Debugger (Отладчик сценариев). Диагностирует неполадки, связанные со сценариями сервера. Используйте его в системе, предназначенной для разработки, но не устанавливайте на веб-сервер.Terminal Services (Службы терминала). Обеспечивает среду терминала, позволяющую серверу Windows 2000 поддерживать многопользовательскую работу клиентов с приложениями Windows. В распределенной сетевой среде службы терминала используются для удаленного управления. Работа этой службы представляет собой опасность, так как она открывает дополнительный порт. О том, как использовать данную службу, соблюдая меры безопасности, говорится в лекции 6. При установке сервера ее следует отключить. Совет. Не выбирайте компонент Terminal Services Licensing (Лицензирование службы терминала): лицензии предназначены для использования Windows 2000 в качестве удаленного сервера приложений. Службы терминала нужны для удаленного управления, а для его осуществления на веб-сервере данный компонент не требуется. Windows Media Services (Службы Windows Media). Осуществляют потоковую передачу мультимедийного содержимого через сеть. Данные доставляются как в "прямом эфире", так и в записанном виде на один или несколько компьютеров одновременно. При использовании этого компонента имейте в виду, что в нем присутствуют слабые места, для устранения которых потребуется настройка безопасности Microsoft (см. лекции 10).

Аутентификация

Домены Windows (и Active Directory) облегчают работу пользователей при аутентификации. Аутентификация – это процесс подтверждения подлинности пользователя компьютера, осуществляемый посредством ввода имени пользователя и пароля. Централизованный контроль над учетными записями и паролями в домене Windows (в Active Directory) исключает необходимость входа пользователей на каждый сервер по отдельности.

Доверительные отношения

Безопасность Windows 2000/IIS основывается на правилах и параметрах, определяющих разрешенные и запрещенные действия в системе. Жизненно важной частью данной системы являются механизмы уникальной идентификации для отдельных пользователей, компьютеров и ресурсов. В Windows 2000 сетевые IP-адреса, имена пользователя, сертификаты (цифровые идентификаторы) и идентификационные данные Kerberos являются способами проведения идентификации. Между компьютерами и отдельными пользователями или другими компьютерами устанавливаются правила доверия, зависящие от степени доверия, имеющей место в процессе идентификации. В Windows 2000 при наивысшем уровне доверия на взаимодействующих компьютерах считается легальным любой вход в систему и обмен информацией.

Фильтры

Фильтры представляют собой параметры, дополняющие списки ACL. Они усиливают ограничения на доступ. Хотя фильтры не очень распространены, они являются важной частью политики безопасности, так как устанавливают правила, не поддерживаемые списками ACL. Например, фильтр IP используется для ограничения доступа всех посетителей, пытающихся получить доступ к сайту с определенного IP-адреса или домена DNS. Ограничения, налагаемые фильтрами, представляют собой нечто, являющееся обратным разрешениям. Фильтры повсеместно используются в брандмауэрах, о которых пойдет речь в лекции 6 и в лекции 9. Например, одним из распространенных правил фильтрации является блокировка брандмауэром всего трафика, поступающего на веб-сервер, за исключением трафика HTTP через порт 80.

Фильтры IP-адресов и доменов

На вкладке Directory Security (Безопасность папки) присутствуют еще две категории параметров безопасности. Область Secure Communications (Безопасные соединения) позволяет настраивать сертификаты, используемые в технологиях VPN и SSL (см. лекции 8). Ограничения IP-адресов и доменов устанавливают правила фильтрации, налагающие запрет на доступ к сайту с определенных IP-адресов или доменов DNS (см. лекции 6).

Главные свойства

Откройте вкладку Security Properties Master (Главные параметры безопасности) консоли MMC Internet Services Manager (Диспетчер служб интернета) окна Adinistration Tools (Администрирование). Затем в дереве консоли щелкните правой кнопкой мыши на сайте сервера (не на веб-сайте), который необходимо настроить, и в появившемся меню выберите Properties (Свойства) (см. рисунок).

Окно Master Properties (Главные свойства) содержит десять вкладок, предназначенных для изменения различных параметров сайта. Для нескольких сайтов придется настроить параметры каждого отдельно.

Интранет против интернета

По иронии судьбы некоторые правила безопасности веб-сервера нередко конфликтуют с преимуществами, обеспечиваемыми доменами Windows и технологией Active Directory. Например, если веб-сервер расположен в интернете, он не должен иметь доверительных отношений с другими системами. В таком случае, стоит ли делать веб-сервер частью домена Windows? Да, при наличии соответствующих мер защиты. По другую сторону от брандмауэра, т.е. в сети интранет, организация может расположить веб-сервер в домене, если при входе на веб-сервер будет затребована аутентификация. Домен исключает повторный ввод на сервере идентификационных данных пользователей, паролей и т.д. (это очень существенно для крупных сетей), уже имеющихся в базе данных контроллера домена.

Каждый раз при создании доверительных отношений между системами повышается степень их уязвимости до уровня ошибки системы безопасности лишь в одном из компьютеров, поэтому управление веб-сервером интернета безопаснее всего осуществлять в отдельных системах. Веб-серверы настраиваются на специальный тип аутентификации, называемый анонимным входом, при котором не указывается уникальный идентификатор учетной записи. Использование анонимного входа в систему является различием в конфигурациях веб-серверов интернета и интранета. В остальном параметры безопасности довольно похожи.

Совет. Для любого правила можно найти исключения. На некоторых веб-серверах интранет используется анонимный вход без указания идентификатора и пароля. С другой стороны, некоторые веб-серверы интернета требуют аутентификацию. В этом случае, если управляющая сервером организация использует серверы FTP, серверы новостей и другие, она может объединить их в изолированный домен управления. Сейчас мы не будем рассматривать эти исключения.

Изменение и применение шаблонов безопасности

Добавленные в консоли MMC оснастки Security Templates и Security Configuration and Analysis используются для изменения и применения параметров шаблона к серверу.

Для проверки и изменения настроек шаблона откройте его с помощью оснастки Security Templates. Выполните следующие процедуры.

Откройте консоль MMC, содержащую оснастку Security Templates (Шаблоны безопасности).Щелкните на оснастке для отображения вложенных элементов. Щелкните на папке Security Templates для отображения шаблонов, находящихся в папке. Дважды щелкните на шаблоне с именем hisecweb (или щелкните на нем правой кнопкой мыши и выберите Open), чтобы открыть его.

Сохраните шаблон под новым именем, чтобы можно было изменять его параметры. Щелкните правой кнопкой мыши на значке hisecweb и выберите Save As (Сохранить как). Укажите нужное имя и нажмите на кнопку Save (Сохранить). После этого в папке шаблонов появится файл новой политики безопасности.

Для просмотра и редактирования новой политики безопасности найдите соответствующий файл, щелкните на нем правой кнопкой мыши и выберите команду Open (Открыть), чтобы отобразить параметры политики в правой области окна MMC. Щелкните правой кнопкой мыши на любой политике, которую необходимо изменить, и выберите команду Change (Изменить). Таким способом изменяются любые параметры шаблонов.

Теперь можно работать с шаблоном. Перед запуском средства конфигурирования проведите сопоставление созданных настроек шаблонов и текущих параметров сервера для выяснения различий. Для этого используйте средство Security Configuration and Analysis (Анализ и настройка безопасности), которое запишет результирующие данные в файл журнала (в контексте оснастки используется термин "база данных"). Ниже приведены соответствующие инструкции.

В консоли MMC, содержащей оснастку Security Configuration and Analysis, щелкните правой кнопкой мыши на оснастке и выберите команду Open Database (Открыть базу данных), как показано на рисунке.

Откроется диалоговое окно Open Database, в котором укажите название базы данных для сохранения результатов сравнения.
Введите любое предпочитаемое имя. Если в окне присутствуют файлы баз данных, созданные в результате предыдущих сравнений, их можно проигнорировать. В данном случае подойдет имя "test" (файлу базы данных будет присвоено расширение .sdb). После этого нажмите на кнопку Open.Появится диалоговое окно Import Template (Импорт шаблона) (см. рисунок). В центральном окне отобразится список шаблонов. Выделите созданный шаблон и нажмите на кнопку Open, чтобы вернуться в консоль MMC. На первый взгляд никаких изменений не произойдет, однако, если новый шаблон теперь находится среди шаблонов Microsoft по умолчанию, то можно провести процедуру сравнения.

Изменение имени учетной записи Administrator и создание устойчивого пароля

Поскольку Administrator является учетной записью по умолчанию, она часто используется при проведении атак, так как о ней известно большинству хакеров. Вы будете сильно удивлены, когда узнаете о том, насколько часто эти атаки заканчивались успехом в случае недостаточно стойких паролей. Одним из способов защиты является переименование учетной записи. Следует делать пароль администратора устойчивым (т.е. пароль должен представлять собой комбинацию букв, цифр и знаков препинания длиной не менее восьми символов) для противостояния атакам грубой силы и словарным атакам, направленным на взлом парольной защиты. Обе процедуры выполнить достаточно легко.

В консоли MMC Computer Management (Управление компьютером) найдите папку Local Users and Groups (Локальные пользователи и папки) в дереве ресурсов консоли и откройте ее, чтобы отобразить показанный на рисунке список.

Щелкните на пункте Users (Пользователи) для отображения списка учетных записей пользователей сервера в правом окне.Щелкните правой кнопкой мыши на учетной записи Administrator и выберите команду Rename (Переименовать). Присвойте учетной записи предпочитаемое имя.Если применен шаблон Hisec.web, то сервер предъявит повышенные требования к стойкости парольной защиты. Даже при отсутствии принудительной политики в учетной записи Administrator следует использовать пароль с высокой степенью устойчивости. Щелкните правой кнопкой мыши на переименованной учетной записи Administrator и выберите команду Set Password (Установить пароль), чтобы изменить текущий пароль на более устойчивый. Нажмите на OK для сохранения изменений.

Изменение настроек по умолчанию для учетных записей пользователей

Учетные записи по умолчанию, устанавливаемые при инсталляции Windows 2000 и IIS, следует проверить на соответствие политике безопасности и адаптировать при необходимости. Ниже приведены соответствующие рекомендации.

Консоль Microsoft Management Console

Инструменты пакета MMC находятся в папке Administrative Tools (Администрирование) в меню Start (Пуск). На отдельном сервере все локальные учетные записи пользователей, группы, пароли и другие настройки управляются посредством MMC и хранятся локально в файле диспетчера безопасности учетных записей (SAM).

Некоторые средства управления безопасностью в Active Directory MMC несколько отличаются от аналогичных инструментов отдельного сервера. Например, для управления пользователями и группами на отдельном сервере используются папки Local Users (Локальные пользователи) и Groups (Группы) в компоненте MMC Computer Management (Управление компьютером). В среде домена/Active Directory используется компонент Active Drectory Users and Computers (Пользователи и компьютеры Active Directory). Active Directory хранит информацию о домене в отдельном файле, который называется NTDS.DIT и имеется на других контроллерах доменов.

Те читатели, чьи веб-сайты соединены только с интернетом, при выполнении рекомендаций (см. лекции 3) не должны были включать свои веб-серверы в домен и, следовательно, использовали локальные средства управления MMC для Windows 2000 и IIS. Обратите внимание, что большая часть параметров локальной безопасности веб-сайта, находящегося в домене, настраивается с помощью локальных инструментов управления MMC. Исключением является управление пользователями и группами интранет-сети, осуществляемое инструментами MMC Active Tools. Причиной заключается в том, что пользователи и группы могут быть общими для всех серверов сети интранет. Однако в этой лекции мы не будем рассказывать о средствах Active Directory. В дальнейшем речь пойдет только об управлении локальной политикой безопасности сервера. Таблица 4.2 содержит перечень средств MMC, предназначенных для управления локальной безопасностью Windows 2000/IIS.

Таблица 4.2. Инструменты управления локальной безопасностью для IIS

Наследование

После установки прав и разрешений для папки новые файлы и подпапки, созданные в ней, по умолчанию наследуют параметры ACL. Другими словами, новым файлам и папкам (именуемым дочерними объектами) присваиваются те же права и разрешения учетных записей и групп, что и для папки, в которой они созданы (эта папка называется родительской). Данное условие можно изменить при необходимости обхода параметров наследования. В процессе изучения материала вы узнаете, как это делается.

Настройка атрибутов и параметров сайта IIS

Поздравляем! Работа почти закончена! Самое сложное уже позади. Вы повысили степень защищенности учетной записи Administrator, усилили контроль доступа на жестких дисках сервера, осуществили распределение полномочий администрирования на веб-менеджеров, обеспечили защиту учетной записи Internet Guest. Теперь нужно настроить дополнительные параметры в свойствах безопасности IIS перед развертыванием веб-сайта.

Настройка групп и параметров администратора по умолчанию

Первое, что необходимо сделать для управления списками ACL на веб-сервере, – заблокировать возможность управления ресурсами хранилищ данных. Иными словами, следует определить, кто имеет право на доступ к хранилищу.

В Windows 2000 устанавливается набор учетных записей администраторов, групп и пользователей по умолчанию. При установке IIS эти параметры не изменяются. В таблице 4.3 приведены учетные записи и группы по умолчанию при установке на изолированный компьютер.

Спектр прав и разрешений администраторов очень широк (см. табл. 4.4). Администратор имеет полный набор прав по управлению системой и осуществляет всесторонний контроль над ней.

Таблица 4.3. Учетные записи и группы Windows 2000 по умолчанию

Таблица 4.4. Полный набор прав и разрешений Windows 2000

inf видно, что параметры контроля

Настройка параметров анонимного доступа на веб-сайте IIS

Настройки для учетной записи Internet Guest подготовили ее для среды интернета. Теперь укажите в IIS необходимость анонимного доступа. Это можно было сделать при укреплении сервера, однако рекомендуется еще раз проверить соответствующие настройки. Кроме того, если учетная запись переименована, следует указать новое имя.

Для включения анонимного доступа откройте вкладку Directory Security (Безопасность папки) (см. рисунок), позволяющую настраивать анонимный доступ, контроль аутентификации, ограничения по IP-адресу и имени домена. В этой вкладке имеется затемненная область Secure Communications (Безопасные соединения). Она используется для настройки шифруемого соединения между сервером и веб-клиентами, осуществляемого с помощью VPN или SSL. На изолированном сервере шифрование настраивается для каждого сайта в отдельности, а не через окно Master Properties (Главные свойства). Процесс шифрования рассмотрен в лекции 8.

Настройка политики безопасности с помощью шаблонов

Шаблоны безопасности представляют собой централизованный метод установки параметров безопасности при работе с оснастками MMC Security Configuration and Analysis (Анализ и настройка безопасности) и Security Template (Шаблон безопасности). На сайте Microsoft Technet находится шаблон безопасности Microsoft. Он содержит основные параметры безопасности для IIS, которые, по мнению Microsoft, должны применяться к защищаемым веб-сайтам. Шаблоном является файл с именем Hisecweb.inf, который можно загрузить с веб-сайта Microsoft по адресу http://support.microsoft.com/support/misc/kblookup.asp?id =Q316347.

Шаблон безопасности представляет хорошую основу для реализации защиты сервера. При запуске программы IIS Lock (см. лекции 3) этот компонент применял к серверу настройки файла Hisecweb.inf.

С помощью шаблонов эффективно разрабатывается локальная политика безопасности. Шаблон Hisecweb.inf можно использовать в качестве базы, затем внести в него изменения, после чего сохранить под другим именем для создания собственной политики. Так можно просматривать, настраивать и применять к локальному компьютеру широкий спектр настроек безопасности. Этот метод используется для определения изменений, которые вносятся в настройки политики безопасности Microsoft IIS по умолчанию.

Политики безопасности в шаблоне Hisecweb.inf содержат настройки следующих параметров.

Account Policies (Политики учетных записей). Защита паролей, блокировки учетных записей и аутентификации Kerberos.Local Policies (Локальные политики). Ведение журналов событий, связанных с безопасностью, а также учет присвоения прав пользователям и группам.Restricted Groups (Ограниченные группы). Администрирование членов локальной группы.Registry (Реестр). Безопасность параметров локального реестра.System Services (Системные службы). Режим запуска и безопасность локальных служб.Security Options (Параметры безопасности). Правила для других настроек безопасности.

Для получения полного представления о количестве рассматриваемых параметров нужно ознакомиться со всеми лекциями книги. На данном этапе работы необходимо настроить оснастки, так как они понадобятся в последующих лекциях. А сейчас мы создадим шаблоны, работу с которыми продолжим позже.

в Windows 2000. Следует внимательно

Обеспечение безопасности учетной записи Internet Guest для анонимного входа в систему

На большей части сайтов в интернете, используемых для маркетинга и распространения информации, не нужна аутентификация пользователей, так как все посетители считаются легальными. Вместо аутентификации используется анонимный вход, о котором вкратце говорилось в лекции 3. Анонимный вход представляет собой автоматическую аутентификацию пользователей при помощи общей учетной записи с именем IUSR. (В списке ACL сервера она значится как IUSR_%имя компьютера%.) Эту учетную запись называют гостевой записью интернета.

Важно. При использовании анонимного входа (например, если веб-сайт находится во внутренней сети, и нужна аутентификация всех пользователей без исключения) убедитесь, что учетная запись AnonymousGuest (Анонимный гость) не выбрана на вкладке IIS Directory Service (Служба каталогов IIS), и отключите ее.

Учетная запись Internet Guest (Гостевая учетная запись интернета) имеет ограниченные разрешения, которыми можно смело наделять всех посетителей сайта. Для обеспечения максимальной безопасности учетные записи должны содержать только разрешение Read (Чтение) в некоторых каталогах веб-сайта.

Рекомендуется создать новую учетную запись Internet Guest. Во-первых, уменьшается опасность использования учетной записи по умолчанию при попытке атаки. Во-вторых, на данном этапе при перезагрузке Windows 2000/IIS сбрасываются некоторые настройки, о которых вы узнаете далее. В случае изменения учетной записи Internet Guest внесенные изменения сбрасываться не будут.

Для создания новой учетной записи Internet Guest выполните следующее.

Создайте новую группу, которой будет принадлежать учетная запись. Откройте консоль MMC Computer Management (Управление компьютером).Найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов и откройте ее, чтобы развернуть вложенный список. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите New Group (Создать группу).В диалоговом окне New Group присвойте группе название. Укажите любое желаемое имя. Имя "Siteguests" будет достаточно информативным.
Нажмите на кнопку Create (Создать) для сохранения новых настроек группы. Переименуйте учетную запись IUSR. Вернитесь в консоль MMC Computer Management, щелкните на папке Users (Пользователи) и найдите учетную запись IUSR в правом окне консоли. Щелкните на ней правой кнопкой мыши и выберите команду Rename (Переименовать). Присвойте учетной записи имя, например, SiteIUSR_%имя сервера%.Настройте параметры учетной записи и включите ее в только что созданную группы Guest. Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties.Убедитесь, что на вкладке General (Общие) диалогового окна Properties отмечены следующие опции: User Cannot Change Password (Пользователь не может сменить пароль) и Password Never Expires (Срок действия пароля не ограничен) (см. рисунок).

Windows 2000 всегда устанавливает учетную

Отключение прав на администрирование хранилища для группы Everyone

Один из параметров безопасности по умолчанию в Windows 2000 и IIS создает уязвимое место в настройках устройств хранения данных, так как группе Everyone (Все пользователи) при установке присваиваются права полного контроля по умолчанию. Следует отключить для этой группы права полного контроля и управления устройствами сервера.

Группа Everyone состоит из множества пользователей, включая анонимных, поэтому данный параметр предоставляет полномочия слишком большому кругу пользователей. Такими правами на доступ к серверу обладают только администраторы или пользователи, ответственные за работу сервера.

Если вы создали отдельный раздел для веб-содержимого, то придется выполнить процедуру отключения прав для группы Everyone на нескольких дисках. Ниже приведены соответствующие инструкции.

Откройте Windows Explorer (Start\Accessories\Windows Explorer –Пуск\Программы\Проводник Windows) или дважды щелкните на значке My Computer (Мой компьютер) на рабочем столе и найдите устройства, с которыми будете работать. Совет. Для установки разрешений на доступ и управление в корневом каталоге устройства используется консоль MMC Computer Management (Управление компьютером). Однако функции консоли не настолько гибки для выполнения этой задачи, как возможности Проводника Windows.Щелкните правой кнопкой мыши на нужном устройстве и выберите Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность).

Удалите группу Everyone (Все пользователи), выделив ее и нажав на кнопку Remove (Удалить). Если параметры накопителей сервера изменились в процессе работы после создания групп и учетных записей в списках ACL, то их также следует удалить. После этого нажмите на кнопку Apply (Применить) для сохранения изменений в системе.Повторите шаги 1 – 3 по отношению к остальным устройствам.

Параметры безопасности IIS

Настройка дополнительных параметров сайта (или сайтов) IIS осуществляется через консоль MMC Internet Services Manager (Диспетчер служб интернета). Эта процедура выполняется последовательно для каждого сайта или одновременно для всех сайтов сервера через настройки Master Properties (Главные свойства). Если параметры каждого сайта настраиваются по очереди, следует повторить каждую процедуру для всех имеющихся сайтов.

Перечень действий по настройке параметров сайта IIS

Настройте сайт на разрешение анонимного доступа или встроенной аутентификации Windows.Установите разрешения контроля доступа IIS на Read Only (Только чтение) для папок с содержимым и на Read and Execute (Чтение и выполнение) для сценариев.Отключите возможность просмотра каталогов броузером.Используйте виртуальные каталоги для обеспечения дополнительной защиты сайта.

Передача прав на администрирование

Можно наделить пользователя полномочиями для выполнения операций с веб-сайтом, такими как управление содержимым или поддержка FTP-каталогов. Например, поручить ежедневную поддержку сайта веб-менеджеру, для чего создать учетную запись с правами более широкими, нежели права обычного пользователя, но все же более ограниченными, чем полномочия системного администратора. Разрешения веб-менеджера в папке содержимого веб-сервера должны позволять ему чтение, изменение и запись файлов. В IIS имеется роль по умолчанию с именем Operator, позволящая устанавливать разрешения на доступ, вести журнал, настраивать безопасность каталога и изменять документ по умолчанию.

Для пользователей, выполняющих администрирование содержимого, рекомендуется создать специальную группу с учетными записями этих пользователей. С точки зрения безопасности не нужно наделять их полными правами администратора, так как столь широкие полномочия не требуются для управления содержимым сайта.

Польза от разделения процесса администрирования сайта становится видна, когда один и тот же сервер используется для управления несколькими веб-сайтами. Это позволяет организациям распределять работу по управлению сайтами, не предоставляя ни одной группе пользователей полного контроля над всеми сайтами сервера и не наделяя их без особой надобности всесторонними полномочиями.

Права на доступ к каталогу для записи Internet Guest

После переименования Internet Guest (Гостевой учетной записи интернета) и включения ее в новую группу убедитесь, что у нее есть доступ к домашнему каталогу веб-сайта, и дважды проверьте ее разрешения насоответствие гостевой учетной записи интернета. Необходимо, чтобы все было максимально корректно. Если у записи Internet Guest нет прав доступа, веб-браузеры (и, соответственно, пользователи) не смогут открывать страницы для просмотра. Если ей присвоено слишком много разрешений, то считайте, что создано потенциально уязвимое место.

Основным разрешением для Internet Guest на сайте со статическими веб-страницами является разрешение на чтение корневого каталога, в котором они расположены. При использовании на сайте динамических страниц и сценариев включите разрешение Read & Execute (Чтение и выполнение) в каталоге сценариев. Ни в коем случае нельзя включать разрешение Write (Запись) в каком бы то ни было месте системы!

С точки зрения безопасности учетных записей Internet Guest рекомендуется вернуться в корневой каталог раздела, содержащего веб-сайт, запретить все разрешения, после чего по отдельности включить нужные разрешения. Ниже приведены инструкции для запрета всех разрешений.

С помощью Проводника Windows или окна My Computer (Мой компьютер) найдите нужные дисковые устройства.Щелкните правой кнопкой мыши на нужном диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).Откройте вкладку Security (Безопасность), чтобы отобразить учетные записи в ACL (см. рисунок). Нажмите на кнопку Add (Добавить) и добавьте переименованную учетную запись Internet Guest, которую вы только что создали.

Отметьте поля Deny (Запретить) для всех разрешений доступа. По завершении работы появится диалоговое окно подтверждения, в котором следует нажать на кнопку Yes (Да) для продолжения работы.Повторите эти шаги для всех разделов накопителей веб-сервера.

Для присвоения учетной записи Internet Guest разрешений на отдельные каталоги сайта выполните следующие шаги.

Применение политики безопасности

Привилегии и ограничения, присваиваемые пользователям для работы с ресурсами системы, позволяют применять политику безопасности к управлению и распределению информации. Многие организации не уделяют достаточного внимания этой политике. Согласно требованиям современного информационного мира сначала необходимо ознакомиться с ключевыми параметрами безопасности ресурсов сервера (см. табл. 4.1).

Таблица 4.1. Параметры политики безопасности веб-сервера

Список этот довольно краткий, но все же дает необходимое представление о проблеме. Понятен ли каждый пункт таблицы? Вам предстоит обрабатывать эти параметры, так как они непосредственно связаны с управлением данными.

Перед началом работы необходимо ознакомится с концепциями безопасности Windows 2000 и соответствующей терминологией.

Принципы безопасности Windows 2000 и IIS

Сервер IIS является встроенным компонентом Windows 2000, и безопасность IIS полностью зависит от безопасности этой операционной системы. Управление безопасностью Windows 2000 основано на следующих принципах.

Доверительные отношения.Рабочие группы и домены (а также Active Directory).Аутентификация учетных записей и групп.Контроль доступа (права, разрешения и ограничения).Наследование.

Все аспекты безопасности Windows 2000 базируются на этих принципах. Они обеспечивают безопасность системы посредством запрета, ограничения и разрешения доступа к данным и ресурсам на веб-сайте IIS.

Присвоение прав и разрешений группе распределенного администрирования

Минимальный набор прав для менеджера сайта – это разрешения на доступ к каталогу для изменения папок с информацией веб-сайта. Вероятно, нужно наделить некоторыми полномочиями и пользователей, работающих под контролем менеджера. Если членам группы распределенного администрирования нужны полные права операторов IIS по умолчанию, используйте MMC Interent Services Manager (Диспетчер служб интернета) для добавления группы в список ACL Operators (Операторы). Для более ограниченного набора прав настройте их непосредственно в списках ACL Windows 2000.

Выполните следующие процедуры для присвоения прав и разрешений в локальном списке ACL сервера.

С помощью Проводника Windows найдите корневой каталог содержимого веб-сайта в окне My Computer (Мой компьютер).Щелкните на нем правой кнопкой мыши, выберите Properties (Свойства), чтобы открыть диалоговое окно, откройте вкладку Security (Безопасность), после чего появится окно настроек Properties (см. рисунок).

На вкладке Security (Безопасность) отображены группы Admini-strators и System, которым ранее были присвоены полные разрешения на доступ ко всему жесткому диску. Теперь, находясь в корневом каталоге папок содержимого, добавьте новую группу с правами на доступ к ним.Нажмите на кнопку Add (Добавить), чтобы открыть диалоговое окно Select Users, Computers, or Groups (Выбор пользователей, компьютеров или групп) (см. рисунок). Прокрутите вниз список групп, чтобы отобразить новую группу администрирования, созданную для управления содержимым сайта. Выберите эту группу и нажмите на кнопку Add (Добавить).

Нажмите на OK, чтобы сохранить изменения и закрыть окно. Вы вернетесь в диалоговое окно Properties для корневого каталога веб-сайта.В окне Properties корневого каталога в списке ACL появилась новая группа администрирования. При ее выделении отобразятся свойства, приписанные этой группе по умолчанию (убедитесь, что выделена нужная группа). Этих разрешений, по умолчанию установленных в IIS, недостаточно для управления содержимым сайта, поэтому расширьте их.Для добавления возможности изменения и записи данных отметьте опции разрешений Modify (Изменение) и Write (Запись).
Нажмите на кнопку Apply (Применить) для сохранения изменений.Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.

Присвоение прав полного доступа группам Administrators и System

После исключения ненужных групп из списков ACL накопителей можно добавить нужные группы и учетные записи и установить для них права и разрешения. Группы по умолчанию Administrators (Администраторы) и System (Система) добавляются в обязательном порядке. Группа System представляет операционную систему, которой, естественно, требуется доступ ко всем ресурсам компьютера. Члены группы Administrators осуществляют управление сервером. Можно добавить и другие группы, если стратегия управления и политика безопасности организации предусматривает использование вспомогательных ролей с некоторыми наборами администраторских полномочий.

Для добавления нужных групп выполните следующие шаги.

Откройте окно Start\Administration Tools\Computer Management (Пуск\Администрирование\Управление компьютером) и найдите диски компьютера в дереве ресурсов консоли или перейдите к соответствующему устройству с помощью Проводника Windows.Щелкните правой кнопкой на нужном диске и в появившемся меню выберите Properties для открытия окна Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность) и нажмите на кнопку Add (Добавить) для добавления новых групп в ACL.Выделите группы Administrators и System и нажмите на кнопку Add для внесения изменения. Нажмите на OK для сохранения изменений и возврата в окно Local Disk Properties.

После добавления групп и учетных записей установите права и разрешения. Группам Administrators и System следует присвоить права полного доступа к устройству и настроить устройство на наследование разрешений при создании новых директорий на диске.

Ниже приведены инструкции по установке разрешений для каждой группы или учетной записи, добавленной в список ACL.

На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) выделите группу Administrators в верхнем окне, чтобы отобразить права и разрешения групп в нижнем окне, как показано на рисунке.

Отметьте опцию Full Control Allow (Разрешить полный доступ) для включения всех разрешений для группы, затем нажмите на Apply (Применить) для сохранения изменений.
Для новой учетной записи нужно включить наследование для рассматриваемого объекта.Нажмите на кнопку Advanced (Дополнительно), расположенную внизу диалогового окна, чтобы отобразить окно Access Control Settings for Local Disk (Параметры контроля доступа для локального диска) (см. рисунок).

ПРОБЛЕМА

Виртуальные каталоги помогают защитить сайт, но они все же не защищают от атак с декодированием URL. С помощью нескольких известных эксплоитов были успешно реализованы атаки на сайты IIS с виртуальными каталогами, и злоумышленники получили доступ к структуре каталогов веб-сайта. Единственной защитой от атак с применением декодирования является обновление сервера сервис-пакетами и надстройками безопасности.

Не следует переоценивать безопасность каталогов. Применяйте к ним все способы защиты, обсуждаемые в книге, не полагайтесь на какое-то одно средство. Помните о том, что папки веб-сервера связаны с другими серверами с помощью виртуальных каталогов и создают для этих серверов потенциальные угрозы. При нарушении безопасности сервера пользователь перейдет в корневой каталог без ограничений на доступ и откроет в нем любую папку. Он сможет загрузить или удалить (изменить) любой файл или папку, псевдонимы которых находятся на веб-сайте.

Предотвратить эту опасность можно с помощью полного запрета на использование виртуальных каталогов, связанных с другими серверами. При установке связи веб-сервера с другими системами используйте методы, описанные в третьей части.

Рабочие группы и домены

Рабочие группы и домены представляют собой наборы отдельных пользователей и ресурсов сети. Ресурсы состоят из устройств хранения данных, принтеров, файлов данных и прочих компонентов, связанных с серверами.

Рабочая группа отличается от домена тем, что в домене серверы при взаимодействии пользуются доверием и используют общую базу данных управления, а в рабочей группе каждый сервер обрабатывает свою собственную базу данных. Когда организации нужен более чем один сервер, несмотря на то, что сеть настроена на управление с помощью рабочих групп, целесообразно использовать домен. Доверительные отношения между серверами домена облегчают работу как для пользователей, так и для администраторов. Пользователи, входящие в домен, осуществляют вход на все серверы одновременно, и им не нужно входить в систему каждого сервера по отдельности. Администраторам выгодно использовать такое решение, поскольку общая база данных доменов позволяет избежать создания и управления ненужными записями пользователей на каждом сервере.

На рисунке 4.1 изображена группа серверов в домене. Обратите внимание, что домен содержит систему, называемую контроллером домена, "владеющую" базой данных пользователей, которая является общей для всех остальных серверов.

Организации, в которых используются домены, часто используют службу Windows 2000 под названием Active Directory. Active Directory представляет собой базу данных, которая управляет пользователями и всеми сетевыми ресурсами в логической модели. Например, пользователь видит принтеры, расположенные к сети, независимо от того, к какому именно серверу они непосредственно подключены.

В интранет-сетях многих крупных организаций технология Active Directory пользуется большой популярностью, так как централизованное управление облегчает контроль над серверами, ресурсами, учетными записями, группами и другими объектами без повторения одних и тех же процедур в консолях каждого сервера. Active Directory позволяет физически конфигурировать сетевые ресурсы без изменения их представления в графическом пользовательском интерфейсе.

Работа с виртуальными каталогами

IIS позволяет использовать псевдонимы для реальных путей каталогов с веб-содержимым. Эти псевдонимы называются виртуальными каталогами. Виртуальные каталоги IIS скрывают от веб-браузеров расположение информации посредством отображения в адресах URL псевдонимов вместо реальных каталогов. Браузер воспринимает виртуальные каталоги как подкаталоги в корневом каталоге /wwwroot.

Виртуальные каталоги повышают уровень безопасности, скрывая реальные физические параметры сервера. При создании виртуального каталога для домашнего каталога сайта (для другого каталога) выполните следующее.

В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на сайте, для которого создается виртуальный каталог, затем выберите команду New\Virtual Directory(Создать\Виртуальный каталог).Мастер поможет создать каталог. В первом окне мастера введите нужное имя псевдонима и нажмите на кнопку Next (Далее).В следующем окне введите путь к каталогу – перейдите к реальному каталогу, нажав на кнопку Browse (Обзор), затем нажмите на Next.В последнем окне укажите разрешения IIS для создаваемого сайта. Еще раз нажмите на Next.По окончании работы нажмите на кнопку Finish (Готово), и виртуальный каталог будет создан.

Разрешения на доступ IIS

На вкладке Home Directory (Домашний каталог) диалогового окна IIS Security Properties (Параметры безопасности IIS) имеется набор разрешений для контроля доступа к веб-сайтам, каталогам и отдельным файлам. Это разрешениями на доступ IIS, а не Windows 2000! IIS имеет инструменты для контроля доступа поверх операционной системы Windows 2000. Эти разрешения являются глобальными и не привязаны к конкретной учетной записи или группе.

Для включения разрешений на доступ IIS щелкните правой кнопкой мыши на названии веб-сайта, каталога или файла в консоли MMC Internet Service Manager (Диспетчер служб интернета) и выберите команду Properties (Свойства).

Эти права устанавливаются при создании сайта с помощью Site Creation Wizard (Мастер создания сайта). Для изменения прав всех сайтов сервера откройте вкладку Home Directory (Домашний каталог) в окне Master Security Properties (Главные свойства безопасности) на уровне веб-сайта. Или откройте вкладку Directory (Каталог) окна Properties файла (папки) (см. рисунок), выделив узел нижнего уровня в дереве консоли Internet Services Manager (Диспетчер служб интернета).

В таблице 4.6 приведено описание разрешений IIS (за исключением разрешений ведения журнала, о которых пойдет речь в лекции 5). Эти элементы IIS дополняют управление доступом NTFS и в совокупности образуют сложный набор разрешений. Например, пользователь, которому запрещен просмотр домашнего каталога веб-сайта, но имеющий разрешения List (Просмотр) Windows 2000, работает в рамках наиболее ограничивающего набора разрешений (т.е. ему будет отказано в просмотре файлов в папке).

С точки зрения безопасности рекомендуется использовать наиболее ограничивающие параметры, которые, тем не менее, позволят сайту нормально функционировать.

Таблица 4.6. Разрешения на доступ IIS

Создание группы распределенного администрирования

Для создания группы распределенного администрирования выполните следующие шаги.

Откройте консоль MMC Computer Management (Управление компьютером) и в дереве ресурсов консоли найдите папку Local Users and Groups (Локальные пользователи и группы), после чего откройте ее, чтобы развернуть список, как показано на рисунке. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите команду New Group (Создать группу).

В появившемся диалоговом окне New Group (Создание группы) (см. рисунок) присвойте группе имя. Укажите любое желаемое имя. Введите требуемое описание (например, описание "Siteadmin" говорит о том, что группа предназначена для администрирования сайта на сервере с одним сайтом). Если на сервере работают несколько сайтов, в названии группы укажите имя сайта.

В окне Members (Члены) укажите пользователей, которые будут обладать полномочиями управления. Если сервер находится в сети интранет, то в одном из доменов выберите имя учетной записи пользователя в списке учетных записей, отображаемом в этом окне. В этом списке имена учетных записей будут отсутствовать, если сервер изолирован. Ничего страшного в этом нет, так как при создании учетных записей можно присвоить учетную запись созданной группе.Нажмите на кнопку Create (Создать) и закройте окно.

Списки контроля доступа

Доступ к серверам Windows 2000 осуществляется через систему учетных записей пользователей и групп. После аутентификации на сервере пользователь может использовать ресурсы сервера согласно своим правам и разрешениям. Права и разрешения для учетных записей и групп хранятся в локальном списке Access Control List (ACL) (Список контроля доступа). Параметры списка ACL определяют то, какие действия учетная запись или группа может выполнять на сервере, эти параметры не являются общими с другими системами, даже если компьютер представляет собой часть домена Windows.

Права и разрешения определяются следующим образом.

Права. Право – это возможность выполнения какого-либо действия, часто носящего административный или ограниченный характер, например запуск и остановка системы или создание новых учетных записей и групп пользователей.Разрешения. Альтернатива правам, позволяющая пользователям получать доступ к каталогам, файлам и принтерам. Для каталогов и файлов разрешения представляют собой любые комбинации возможностей просмотра, считывания, изменения, записи и выполнения файлов.Совет. Если управление доменами осуществляется посредством Active Directory, ресурсы принадлежат сети, а не серверу, и авторизация осуществляется не локально, а при помощи контроллера домена.

Администрирование параметров безопасности веб-сайта влечет за собой изменения в локальных списках ACL для отказа, расширения или передачи прав и разрешений, присвоенных группам и учетным записям для доступа к ресурсам сервера. После этого определяются правила паролей, правила безопасности IP, правила аудита и ряд других дополнительных настроек (см. табл. 4.1).

Средства управления локальной безопасностью

Управление локальными параметрами и политикой не зависит от того, работаете вы с отдельным сервером или с сервером, являющимся частью домена интранет-сети или использующим технологию Active Directory. Локальные настройки и политика применяются к тому компьютеру, на котором они установлены. Даже если компьютер является частью домена, другим системам в домене неизвестны локальные настройки отдельных компьютеров и на них не распространяются.

Windows 2000 и IIS используют три основных набора инструментов для конфигурирования и управления локальными настройками безопасности сервера.

Пакет средств Microsoft Management Console (MMC).IIS Lockdown (IIS Lock).Анализ и настройка безопасности MMC и шаблоны.

Набор средств MMC представляет собой пакет инструментов, предназначенных для конфигурирования безопасности и ее поддержки, включая настройку параметров аутентификации, создание пользователей и групп, управление ACL и т.д. Компоненты IIS Lockdown и Security Configuration and Analysis (Анализ и настройка безопасности) являются специализированными средствами. IIS Lock используется для автоматизации настройки параметров безопасности при начальной установке или при изменении конфигурации сервера. Оснастка Security Configuration and Analysis и связанные с ней шаблоны безопасности используются для построения и применения особых локальных политик безопасности.

В лекции 3 вы познакомились с MMC и с IIS Lock и даже использовали эти компоненты для укрепления своего сервера. IIS Lock вновь потребуется при установке новых сервис-пакетов, служб FTP, NNTP и SMTP. MMC используется постоянно, причем не только для защиты, но и для поддержки сервера IIS.

Сводный перечень действий по настройке аутентификации учетных записей

Отключите права администрирования накопителей для группы Everyone (Все пользователи).Обеспечьте полный контроль над ресурсами для групп Administrators (Администраторы) и System (Система).Переименуйте учетную запись Administrator (Администратор) и создайте устойчивый пароль.Создайте группу с распределенными полномочиями Administration (Администрирование) для управления веб-содержимым (не обязательно).Отключите гостевую учетную запись Windows 2000 Guest (Гость) по умолчанию и отключите права на доступ.Переименуйте гостевую учетную запись по умолчанию.Удалите права по умолчанию для учетной записи Internet Guest (Гостевая учетная запись интернета) из локальной политики безопасности.Установите для учетной записи Internet Guest разрешения на доступ Read Only (Только чтение).

Удаление записи Internet Guest из локальной политики безопасности

По умолчанию при создании учетная запись Internet Guest наделяется правами "доступ к данному компьютеру из сети" и "вход в систему в качестве пакетного задания". Однако эти права присваиваются только администраторам или выполняемым ими сценариям. Теперь учетная запись Internet Guest используется для анонимного входа, поэтому следует удалить эти права из локальной политики безопасности Windows 2000.

Выполните следующие действия.

Откройте окно My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование), затем дважды щелкните на значке Local Security Policy (Локальная политика безопасности).Разверните список в элементе Local Policies (Локальные политики) дерева Console (Консоль), щелкните правой кнопкой мыши на папке User Rights Assignment (Присвоение прав пользователей), выберите команду Open (Открыть) (или дважды щелкните на элементе, чтобы открыть его). В правом окне консоли отобразятся параметры политик присвоения прав, как показано на рисунке.

Щелкните правой кнопкой мыши на параметре, который необходимо изменить, и выберите Security (Безопасность). Откроется диалоговое окно Local Security Policy (см. рисунок) с параметрами для выбранной политики. Права включаются и выключаются при помощи соответствующих опций. Отключите опцию для переименованной учетной записи Internet Guest и для любых ссылок на прежние гостевые учетные записи интернета.

Нажмите на OK для сохранения изменений и выхода из диалогового окна.

Управление локальной безопасностью

Большинство аспектов безопасности, помимо управления аутентификацией, являются похожими для сайтов в интернете и интранете. Веб-серверы обоих типов имеют параметры, которые настраиваются отдельно на самом сервере. Даже если веб-сайт является частью домена Windows интранет-сети, к серверу необходимо применить меры безопасности, отличающиеся от остальных компьютеров домена. На веб-сервере требуется больший уровень защищенности, нежели на файловом сервере, так как веб-технологии содержат большее количество слабых мест. Основные параметры безопасности веб-сервера должны настраиваться с помощью управления параметрами его локальной безопасности. Параметры локальной безопасности на веб-сервере IIS или другом компьютере с Windows 2000 контролируют все аспекты безопасности, являющиеся уникальными для сервера.

Управление несколькими веб-сайтами

В IIS можно работать с несколькими сайтами на одном и том же компьютере. Такие сайты называются виртуальными серверами. Виртуальные серверы полезны в случае разделения информации для различных категорий пользователей. С точки зрения безопасности нужно использовать отдельный раздел диска для каждого сайта, чтобы успешный взлом хакером одного сайта не позволил ему получить доступ к информации на всех других.

При использовании виртуальных серверов поддержка учетных записей веб-менеджеров и записей анонимного входа осуществляется различными способами. Простейший и самый безопасный способ – это использование уникальной учетной записи с распределенными полномочиями Administration (Администрирование) для каждого сайта и общей учетной записи Internet Guest для всех сайтов.

Если последовать данной рекомендации, то при использовании отдельного домашнего каталога и папки с содержимым для каждого сайта за каждый набор папок будет отвечать свой веб-менеджер (см. рис. 4.2).

Такая конфигурация учетной записи позволит контролировать доступ веб-менеджеров к содержимому веб-сайта. Если всем менеджерам нужен один и тот же уровень доступа, настройте разрешения Windows 2000 на уровне группы или отдельно для каждого менеджера в соответствующих каталогах. А наличие одной учетной записи Internet Guest для всех сайтов уменьшит вероятность ошибок.

Виртуальный сервер создается при помощи консоли MMC Internet Server Manager (Диспетчер сервера интернета). В лекции 3 говорилось, как это делается, при создании нового сайта и отключении сайта по умолчанию. Для одновременной работы нескольких сайтов создайте уникальный идентификатор для каждого сайта; с его помощью система DNS будет отправлять браузеры на соответствующие виртуальные серверы IIS. Уникальным идентификатором является альтернативное имя DNS или IP-адрес.

Установка оснасток Security Configuration и Security Template

Для использования шаблона необходимо скопировать его в системный раздел веб-сервера, после чего установить оснастки MMC Security Templates (Шаблоны безопасности) и Security Configuration and Analysis (Анализ и настройка безопасности). Выполните приведенные ниже процедуры.

Скопируйте шаблон (файл Hisecweb.inf) в каталог шаблонов безопасности системного раздела веб-сервера c:\WINNT\security\templates.Для установки оснастки откройте MMC в авторском режиме. Можно создать новую консоль MMC для оснасток или добавить оснастки в имеющуюся консоль Computer Management (Управление компьютером).

Для добавления оснастки в имеющуюся консоль выполните следующие действия.

Откройте окно Administrative Tools (Администрирование) и найдите значок Computer Management.Щелкните правой кнопкой мыши на значке Computer Management и выберите пункт Author (Авторский режим). Консоль Computer Management откроется в авторском режиме. Установите нужные средства в Computer Management, а не в Console Root (Корень консоли).

Для создания новой консоли выполните следующие действия.

В меню Start (Пуск) выберите Run (Выполнить).Запустите исполняемый файл MMC, напечатав mmc.exe в диалоговом окне Run. Откроется пустое окно консоли в авторском режиме (см. рисунок).

Откройте меню Console (Консоль) и выберите Add/Remove Snap-in (Добавить/удалить оснастку), чтобы открыть диалоговое окно, показанное на рисунке ниже. Нажмите на кнопку Add (Добавить). Откроется перечень Snap-in Selection (Выбор оснастки).

В списке, изображенном на рисунке ниже, выберите Security Configuration And Analysis (Анализ и настройка безопасности), после чего нажмите на кнопку Add (Добавить). Повторите процедуру для консольного средства Security Templates (Шаблоны безопасности). Закройте окно Snap-in (Оснастка), и оснастка будет добавлена в консоль.

Нажмите на OK, чтобы закрыть диалоговое окно и сохранить изменения. Если вы создали новое консольное средство, сохраните его посредством присвоения имени при закрытии консоли. Оно будет добавлено в папку Administrative Tools (Администрирование) в меню Start (Пуск).

---