Безопасность IIS

         

Архивация журналов


Файлы журналов могут достигать довольно больших размеров. Процедуры архивирования перемещают файлы на резервный носитель, сохраняя их для будущих нужд и освобождая место для новой информации. Следует регулярно архивировать файлы журналов.

Архивирование файла журнала Windows 2000. Для архивации файла журнала Windows 2000 выполните следующие действия.

Откройте программу Event Viewer (Просмотр событий) и щелкните правой кнопкой мыши на файле журнала, который нужно заархивировать. Выберите команду Save Log File As (Сохранить файл журнала как).В диалоговом окне Save As (Сохранить как) введите путь и имя файла для создаваемого архива. В идеале, необходим ресурс для длительного хранения заархивированных журналов, так как неизвестно, когда хакер произведет атаку. А в этом случае вам придется выяснить, в течение какого времени в системе выполнялись скрытые действия. Подходящим хранилищем является сетевой диск на внутреннем сервере. Не забывайте сохранять архивы в формате .evt (журнал событий), исключая тем самым наличие двоичных данных в записях журналов (чтобы файлы считывались программой Event Viewer).После архивации файлов, если не указана необходимость перезаписи событий в свойствах файла журнала, следует очистить журналы в программе Event Viewer (Просмотр событий) и освободить место для новых записей. Для очистки щелкните правой кнопкой мыши на файле журнала и в появившемся меню выберите команду Clear All Events (Удалить все события).

Архивация файла журнала IIS. Архивация файлов журнала IIS может производиться автоматически в зависимости от настройки параметров IIS Extended Logging (Расширенные параметры ведения журнала). Свойства файла журнала IIS можно настроить таким образом, чтобы новый файл журнала с новым именем создавался согласно одной из следующих временных схем:

через каждый час;


в конце каждого дня;в конце каждой недели;в конце каждого месяца;по достижении файлом определенного размера;никогда (т.е. неограниченный размер файла журнала).

При указанных настройках, за исключением опции Unlimited File Size (Неограниченный размер файла), старый файл журнала будет сохраняться, а взамен него по истечении периода действия будет автоматически создаваться новый файл журнала.


Ниже приведены шаги по архивации файлов журнала IIS.

Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и щелкните правой кнопкой мыши на веб-сайте, для которого нужно изменить параметры архивации, либо щелкните правой кнопкой мыши на сервере (если требуется изменить параметры глобально для всех сайтов), затем выберите в появившемся меню команду Properties (Свойства).На вкладке Web-site (Веб-узел) окна Web Site Properties (Свойства веб-узла) (или окна Master Properties) нажмите на кнопку Properties рядом с полем для выбора формата файла журнала.В окне Extended Logging Properties (Расширенные параметры ведения журнала) на вкладке General (Общие) выберите нужный параметр в области Log Time Period (Период ведения журнала). Чуть ниже расположен параметр Use Local Time For File Naming And Rollover (Использовать местное время в именах файлов), который также можно выбрать для использования местного времени при определении окончания ведения журнала. По умолчанию значением данного параметра является 12:00 A.M. (0:00) по Гринвичу.В нижней части вкладки General Properties (Общие свойства) укажите новое расположение файлов журнала. Укажите нужную папку (а лучше – сетевой диск, расположенный на другом сервере), после чего нажмите на OK, чтобы закрыть окно и сохранить изменения.Совет. Имена новых файлов журнала, создаваемых IIS, могут различаться в зависимости от выбранного значения параметра Log Time Period (Время ведения журнала). При ежедневном обновлении журнала имена файлов имеют вид exyymmdd.log; при ежемесячном обновлении – exyymm.log и т.д. При выборе параметра в области New Log Time Period (Новое время ведения журнала) на вкладке General (Общие) окна Extended Logging Properties (Расширенные параметры ведения журнала) внизу окна отображается вид имени файла для соответствующего формата. Помните, что старые файлы сохраняются при создании новых файлов в текущей папке, поэтому время от времени их нужно перемещать вручную в место длительного хранения.


Аудит


В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

Таблица 5.1. Типы аудита в Windows 2000 и IIS

Тип аудитаСистемы, в которых применяется аудит
Система и реестрWindows 2000 и IIS.
Файловая системаWindows 2000 и IIS.
Учетная запись пользователяWindows 2000 и IIS.
Посетители домашней страницыТолько IIS.
АвторствоТолько IIS.

При аудите отслеживаются события согласно правилам аудита, определенным в локальной политике безопасности сервера и/или параметрах веб-сайта. Осуществляется аудит событий, входящих в следующие девять категорий.

События системы. События, связанные с безопасностью, такие как отключение системы и ее перезапуск; события, влияющие на журнал безопасности.Отслеживание процесса. Детализированное отслеживание вызова процесса, дубликатов процессов, непрямого доступа к объектам и уничтожения процесса.Изменение политики. Изменение политики безопасности, включая присвоение привилегий, модификацию политики аудита и параметров доверия.Использование привилегий. Использование привилегий, присвоение специальных привилегий.Управление учетной записью. Создание, изменение, удаление пользователей и групп; изменение паролей.Доступ к службе каталогов. Отслеживание доступа к Active Directory. Включается для разрешения аудита определенных объектов каталога, работает только на контроллерах домена.События входа в учетную запись. Аутентификация на локальном компьютере в консоли или через сеть.События входа. Интерактивный вход или сетевые подключения к локальному компьютеру; генерируются в том месте, где происходит вход.Доступ к объектам. Попытки доступа к определенным объектам: файлам, каталогам, учетным записям пользователей и параметрам реестра.

Событие, для которого выполнен аудит, имеет два значения: успех и неудача. Для каждой категории событий возможен аудит успешных, неудачных или обоих типов событий. Тревожным признаком является высокая концентрация событий в журнале или необычная последовательность событий. Например, большое число событий ввода неправильного пароля означает, что сервер подвергся атаке на взлом пароля.


В Windows 2000 и IIS имеется специальная функция по отслеживанию безопасности – аудит, фиксирующая в журнале безопасности события, связанные с ресурсами IIS и Windows 2000 либо с объектами управления системой. Аудит является сложным процессом, использующим средства для анализа собранной информации и диагностики событий сайта, связанных с безопасностью.

Windows 2000 предоставляет три типа возможностей по аудиту объектов и ресурсов, свои функции имеются и в IIS (см. табл. 5.1).

Таблица 5.1. Типы аудита в Windows 2000 и IIS

Тип аудитаСистемы, в которых применяется аудит
Система и реестрWindows 2000 и IIS.
Файловая системаWindows 2000 и IIS.
Учетная запись пользователяWindows 2000 и IIS.
Посетители домашней страницыТолько IIS.
АвторствоТолько IIS.

При аудите отслеживаются события согласно правилам аудита, определенным в локальной политике безопасности сервера и/или параметрах веб-сайта. Осуществляется аудит событий, входящих в следующие девять категорий.

События системы. События, связанные с безопасностью, такие как отключение системы и ее перезапуск; события, влияющие на журнал безопасности.Отслеживание процесса. Детализированное отслеживание вызова процесса, дубликатов процессов, непрямого доступа к объектам и уничтожения процесса.Изменение политики. Изменение политики безопасности, включая присвоение привилегий, модификацию политики аудита и параметров доверия.Использование привилегий. Использование привилегий, присвоение специальных привилегий.Управление учетной записью. Создание, изменение, удаление пользователей и групп; изменение паролей.Доступ к службе каталогов. Отслеживание доступа к Active Directory. Включается для разрешения аудита определенных объектов каталога, работает только на контроллерах домена.События входа в учетную запись. Аутентификация на локальном компьютере в консоли или через сеть.События входа. Интерактивный вход или сетевые подключения к локальному компьютеру; генерируются в том месте, где происходит вход.Доступ к объектам. Попытки доступа к определенным объектам: файлам, каталогам, учетным записям пользователей и параметрам реестра.

Событие, для которого выполнен аудит, имеет два значения: успех и неудача. Для каждой категории событий возможен аудит успешных, неудачных или обоих типов событий. Тревожным признаком является высокая концентрация событий в журнале или необычная последовательность событий. Например, большое число событий ввода неправильного пароля означает, что сервер подвергся атаке на взлом пароля.



Аудит IIS




Аудит IIS дополняет аудит Windows 2000 широким спектром возможностей, гибких опций и высоким уровнем детализации. Аудит IIS можно настроить глобально для всех сайтов сервера, можно включить и выключить для каждого веб-сайта по отдельности. Можно указать, аудит каких событий необходимо осуществлять для каждого сайта, каталога, виртуального каталога или файла. Если ведение журнала включено для всего сайта, его можно отключить для отдельных объектов.

Журнал и аудит IIS фиксируют события, связанные с IIS и относящиеся к входящему и исходящему трафику HTTP (или FTP и NNTP), а также информацию об IP-адресах, которая не фиксируется в журналах и аудитом Windows 2000. По этой причине аудит IIS отслеживает действия посетителей сайта и идентифицирует их по IP-адресу. Можно фиксировать данные о попытках доступа посетителей к веб-страницам или к другой части сервера, а также записывать выполняемые ими действия.

Аудит IIS выявит действия посетителей, которые, как правило, являются признаками вторжения или попытки атаки:


большое количество неудавшихся попыток входа с одного и того же IP-адреса;неудавшиеся попытки доступа или изменение файлов .bat или .cmd, запуск исполняемых файлов или сценариев;


несанкционированные попытки доступа к защищенным каталогам или отгрузка файлов в папку с исполняемыми файлами.



в Windows 2000 осуществляет сбор


Аудит в Windows 2000 осуществляет сбор информации об использовании ресурсов файловой системы, учетных записей пользователей, ключей реестра, системных ресурсов. Аудит объектов по умолчанию не включен, его нужно активировать и настроить в окне Properties (Свойства) ресурса, аудит которого выполняется.

Аудит осуществляется отдельно для каждого объекта. Нужно указать, какие объекты и действия подлежат аудиту. Аудит объектов полезен при идентификации несанкционированных попыток использования файлов. Имейте в виду, что Microsoft рекомендует отключить политику аудита успешного доступа к объектам (см. табл. 5.4) для сервера с IIS 5. В общем случае следуйте данной рекомендации, поскольку аудит IIS и так достаточно детализирован. Тем не менее, иногда необходимо отслеживать доступ администраторов к системной папке загрузочного системного диска с помощью основных утилит операционной системы. В обычной ситуации таких данных окажется немного, поэтому журнал не будет перегружен информацией, кроме того, эта информация покажет, осуществлялся ли доступ в эту папку другими авторизованными (или неавторизованными) администраторами.



Совет. Для аудита каталогов или системных объектов включите разрешение списка ACL для учетной записи в свойствах безопасности объекта, иначе при настройке параметров аудита



появится сообщение об ошибке. Другими словами, при попытке аудита действий учетной записи для объекта, разрешения для которого в ней отсутствуют, Windows 2000 выдаст ошибку.

Имеет смысл осуществлять аудит доступа администраторов к системным папкам по умолчанию, а также при настройке параметров аудита объектов файловой системы, если полномочиями администратора обладают несколько пользователей. Эти параметры настраиваются средствами локального управления сервером. Удобно применять шаблон безопасности при повторении настройки параметров безопасности для нескольких серверов (параметры на всех серверах будут одинаковы).

Совет. Чтобы применить шаблон безопасности для установки параметров аудита объекта файловой системы, откройте консоль MMC, в которую уже добавлены надстройки Security Analysis and Configuration (Анализ и настройка безопасности) и Security Templates (Шаблоны безопасности).
Найдите файл шаблона безопасности, в котором нужно выполнить настройку политики, откройте его, затем откройте вложенную папку File System (Файловая система). Щелкните правой кнопкой мыши на папке и выберите команду Add File (Добавить файл). После этого продолжите работу с шага 2 следующей процедуры.

Ниже приведена процедура настройки аудита системной папки Windows 2000 с помощью локальных средств управления.

Откройте Windows Explorer (Проводник Windows) либо окно My Computer (Мой компьютер), перейдите к системной папке по умолчанию веб-сервера.Щелкните правой кнопкой мыши на папке и выберите команду Properties (Свойства). В диалоговом окне Properties откройте вкладку Security (Безопасность). Отобразится окно настройки, имеющее следующий вид.Нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна, чтобы открыть окно контроля доступа Access Control Window для объекта. Откройте вкладку Auditing (Аудит), чтобы отобразить параметры аудита (см. рисунок).Выберите опцию Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries (Сбрасывать записи аудита на всех дочерних объектах и включить передачу наследуемых записей аудита), чтобы аудит осуществлялся для всех объектов в каталоге.Нажмите на кнопку Add (Добавить), чтобы выбрать группу Administrators (Администраторы) в списке ACL. Выберите соответствующие права и разрешения в появившемся диалоговом окне Audit Entry (Запись аудита), после чего нажмите на OK. После нажатия на кнопку Apply (Применить) внесенные изменения будут применены.


Аудит резервных копий


Право на выполнение резервного копирования является очень весомой привилегией. Резервирование и восстановление прав игнорирует ограничения Windows NTFS на файлы, что позволяет операторам резервного копирования считывать и записывать данные в любой файл системы при их копировании на резервные носители или восстановлении.

Поэтому необходимо осуществлять аудит действий по резервированию файлов. Аудит резервирования, заключающийся в аудите действий группы пользователей под названием Backup Operators (Операторы резервного копирования), позволяет администраторам безопасности выявлять необычные действия. При запуске IIS Lockdown включается аудит резервирования файлов.

Для включения или проверки данного параметра используется средство MMC Local Security Policy (Локальная политика безопасности). Выполните следующие процедуры.

Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administration Tools (Пуск\Администрирование). Или откройте в окне My Computer (Мой компьютер) папку Control Panel (Панель управления) и дважды щелкните на значке Local Security Policy (Локальная политика безопасности).Разверните перечень под элементом Local Policies (Локальные политики) в левой области консоли, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите в появившемся меню команду Open (Открыть) (либо просто дважды щелкните на папке). В правой области отобразятся опции политик безопасности, как показано на рисунке.


увеличить изображение

Щелкните правой кнопкой мыши на политике Audit Use Of Backup And Restore Privilege (Вести аудит использования привилегии резервного копирования и восстановления) в правой области консоли и в появившемся меню выберите Security (Безопасность).Отобразится диалоговое окно, в котором можно включить и отключить аудит резервного копирования посредством соответствующей опции. Убедитесь, что включена политика аудита резервного копирования и восстановления.

С помощью аудита, помимо усиления мер безопасности резервирования (см. лекцию 6), можно контролировать и отслеживать процесс резервного копирования, выполнение которого требует высокого уровня безопасности.



Цели и задачи аудита


Планирование, политика и поддержка являются ключевыми моментами для сбора важной информации, которая пригодится в критической ситуации. При четкой постановке целей легче определить тип фиксируемой информации и настроить журналы на запись необходимого количества данных. Параметры запуска IIS Lockdown и/или шаблона Hisecweb.inf обеспечивают надежную базовую политику. Их настройки можно изменить для фиксирования дополнительной информации.

Нужно решить, для каких ресурсов и объектов управления необходим аудит, затем для каждого класса ресурсов или объектов выявить отслеживаемые события. В таблице 5.2 приведена информация из официального издания "Security Auditing in Windows 2000" ("Аудит безопасности в Windows 2000"), расположенного на веб-сайте Microsoft Technet (www.Microsoft.com/technet). Таблица содержит примеры событий, связанных с безопасностью различных ресурсов и объектов. Она показывает использование целенаправленного подхода к аудиту, но он может и не подойти вашей организации. Необходимо самостоятельно принять решение о необходимости аудита ресурсов и отслеживаемых событий. Например, при выполнении атаки на объект лучшими индикаторами будут события ошибок, так как они зафиксируют попытки доступа пользователя, не имеющего соответствующего разрешения.

Таблица 5.2. События, помогающие идентифицировать проблемы безопасности

Потенциальная угрозаТип аудитаРезультирующие события
Взлом пароля с использованием генератора случайных паролейУчетная запись пользователяНеудача процедуры аудита для событий входа/выхода из системы. Большое число событий означает повторяющиеся попытки входа, часто являющиеся результатом систематической атаки.
Вход с использованием украденного пароляУчетная запись пользователяУспешный аудит событий входа/выхода для идентификации пользователей системы с целью определения места, откуда инициировано вторжение.
Несанкционированный доступ к секретным файламФайловая системаУспех и неудача аудита для событий доступа к файлам и объектам в сильно защищенных ресурсах. Успех и неудача аудита доступа для чтения/записи секретных файлов подозреваемыми пользователями или группами.
Злоупотребление привилегиямиФайловая система и реестрУспешный аудит прав пользователей, управления пользователями и группами, изменения политики безопасности, перезапуска, выключения и системных событий для выявления пользователей, внесших изменения, и определения этих изменений.



Информация журналов событий


Журналы Windows 2000 и IIS можно настроить на запись большого числа различных событий и действий. IIS по умолчанию сохраняет файлы журнала в текстовом формате, их можно просматривать в любом приложении, поддерживающем этот формат. Обычно файлы анализируются посредством их загрузки в программу генерации отчетов, которая осуществляет фильтрацию, сортировку и управление данными. На рисунке приведен пример содержимого файла журнала IIS.


увеличить изображение

Системный журнал Windows 2000 по умолчанию хранится в специальном формате в файлах с расширением .evt. Программа Event Viewer (Просмотр событий) Windows 2000, доступная в консоли MMC в папке Administration Tools (Администрирование), позволяет просматривать сообщения в журналах Windows 2000 и упорядочивать их по дате, времени, источнику, степени значимости и по другим переменным. Event Viewer используется также для преобразования файлов журнала в текстовый формат для просмотра в другой программе. На рисунке показана консоль программы Event Viewer.


Анализ аспектов безопасности при помощи файлов журналов требует некоторых навыков. Следует различать типы сообщений и понимать, что они означают. Когда ваш сервер начнет свою работу, внимательно следите за ним в течение некоторого времени и фиксируйте признаки нормальной работы, чтобы выявлять впоследствии отклонения от нормы.

Каждая из пяти категорий записей журналов имеет свой собственный значок. Каждое сообщение содержит идентификатор события ID, дату, время, объект, имя компьютера, категорию и тип номера события сообщения. Ниже приведены категории сообщений и их назначение.

Информационные сообщения о событиях. Описывают успешное выполнение операций, таких как запуск службы.Предупреждающие сообщения о событиях. Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас.Сообщения о событиях ошибок. Описывают ошибки, возникшие из-за неудачного выполнения задач.Сообщения о событиях успешного выполнения той или иной операции. Описывают события безопасности, выполненные Windows 2000 согласно запросу.Сообщения о событиях неудачного выполнения операции. Описывают события безопасности, не выполненные Windows 2000 согласно запросу.

На рисунке 5.1 приведен пример сообщения об ошибке в системном журнале Windows 2000, зафиксировавшего неожиданное отключение сервера. Это событие выходит за рамки нормальной работы и его необходимо исследовать. По идентификационному номеру ID события его можно найти в базе данных Microsoft Knowledge Base, если не понятно, что оно означает.


Рис. 5.1.  Сообщение системного журнала Windows 2000, информирующее о неожиданном отключении



Настройка параметров аудита IIS


Терминология IIS расплывчато описывает различие между ведением журнала и осуществлением аудита, и это обстоятельство вводит в некоторое заблуждение. Разобраться в терминах и разработать шаги по обеспечению аудита проще всего посредством включения журнала. Аудит IIS настраивается через параметры веб-сайта. Настройки аудита IIS дополняют параметры аудита Windows 2000. Параметры аудита IIS отвечают за отслеживание следующих объектов.


Домашний каталог. Отслеживает посещения домашнего каталога сайта и его страниц.Процессы приложений. Осуществляет запись неудачных запросов клиентов в журналы событий.Изменения с помощью серверных расширений. Отслеживает изменения, вносимые в сайт при помощи серверных расширений FrontPage.


Совет. В лекции 3 не рекомендовалось использовать серверные расширения на создаваемом сервере, но они могут быть полезными на сервере разработки.


Затем убедитесь, что в области выделения Master Properties (Главные свойства) отображается WWW Services (Службы WWW), и нажмите на кнопку Edit (Изменить), чтобы открыть окно Properties рассматриваемого сайта.Откройте вкладку Home Directory (Домашний каталог) и убедитесь, что опция Log Visits (Вести учет посещений) отмечена, как показано на рисунке. Для настройки параметров на отслеживание неудачных процессов приложений нажмите на кнопку Configuration (Настройка) в нижней панели вкладки Home Directory (Домашний каталог), после чего откроется окно Application Configuration (Настройка приложения).Откройте вкладку Process Options (Параметры процессов) и отметьте опцию Write Unsuccessful Client Requests To Event Log (Записывать неудачные запросы клиентов в журнал событий). Совет. Опция, о которой идет речь в шаге 6, доступна только тогда, когда на приложении установлена защита High Isolation (Высокий уровень изоляции). Данный параметр обеспечивает изоляцию пространства памяти, в котором выполняется приложение, для предотвращения работы вредоносных приложений, которые могут захватить контроль над системой.

Аудит событий, фиксируемых посредством настроек в расширенных параметрах ведения журнала. Расширенные параметры ведения журнала вкратце описаны в разделе "Настройка параметров файла журнала IIS" при обсуждении настройки журнала на веб-сайте IIS. Расширенные параметры настраиваются на вкладке Web Site (Веб-сайт) окна свойств сервера Properties (Свойства).

Список, приведенный ниже, содержит рекомендации Национальной службы безопасности США (NSA) по настройке дополнительных параметров для аудита веб-сервера.

Дата и время события. Указывает время события.IP-адрес клиента. Указывает место, откуда клиент выполнял свои действия.Имя пользователя, осуществлявшего доступ к сайту. Отражает имя авторизованного пользователя, осуществившего доступ на сайт. К анонимным пользователям этот параметр не относится.Метод HTTP. Обозначает действие, которое пытался выполнить клиент (например, метод GET, используемый при загрузке файлов и при работе с формами).Ресурс URI.Записывает ресурс, к которому осуществлял доступ клиент (страница HTML, сценарий или приложение ISAPI).Запрос URI. Отображает запрос, который выполнял клиент.Время, затраченное на обработку запроса. Указывает время, в течение которого посетитель находился на сайте, или время, затраченное на выполнение события.Состояние запроса. Отображает состояние запроса (в терминах HTTP и/или в терминах Windows 2000).Предыдущий сайт. Указывает URL последнего сайта, посещенного клиентом (указывается путь, после которого указывается событие).Порт сервера. Фиксирует номер порта, к которому был подключен клиент.


Настройка параметров журнала


Для отображения информации журнала, для установки и управления его параметрами используется программа Windows 2000 Event Viewer (Просмотр событий). Event Viewer позволяет устанавливать размер файла журнала, выбирать действие по перезаписи, включать и выключать параметр "CrashOnAuditFail". Для управления файлами журнала IIS используется консоль MMC Internet Services Manager (Диспетчер служб интернета).

Настройка размера и перезаписи файла журнала Windows 2000. Процедуры настройки размера файла журнала и параметров его перезаписи в Windows 2000 одинаковы для всех типов журнала.

Откройте программу Event Viewer (Просмотр событий) в окне Administrative Tools (Администрирование). В левом окне консоли Event Viewer щелкните правой кнопкой мыши на записи Security Log (Журнал безопасности) и выберите Properties (Свойства). Откроется окно Security Log Properties (Свойства журнала безопасности) (см. рис. 5.2).На вкладке General (Общие) укажите размер файла журнала в области Log Size (Размер журнала). Значением по умолчанию является 1024 Кб. Введите нужное значение в зависимости от размера диска или раздела сервера, от объема получаемого сайтом трафика. Можете в течение некоторого времени отслеживать размер файла журнала, чтобы выяснить величину этого размера.


Рис. 5.2.  Настройка свойств журнала безопасности в окне Security Log (Журнал безопасности)

Определите параметр перезаписи файла посредством выбора одной из опций. Выбор опции зависит от периодичности, с которой планируется проводить архивацию данных журнала. При высоком уровне доступности сайта безопаснее всего использовать опцию Overwrite events as needed (Перезапись событий по мере надобности) и запретить заполнение журнала до отказа, так как в этом случае можно потерять данные.Нажмите на OK после выбора опции, чтобы сохранить изменения и закрыть окно.


Сервер будет отключаться, если в локальной политике безопасности включен параметр отключения, а параметр перезаписи файла журнала установлен на значение Do not overwrite (Не осуществлять перезапись). Данная опция по умолчанию отключена.

Для активизации политики отключения при ошибках аудита используется консоль MMC Local Security Policy (Локальная политика безопасности). Ниже приведена соответствующая процедура.

Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Administrative Tools (Администрирование).Разверните список в элементе Local Policies (Локальные политики) в области слева, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите команду Open (Открыть) (либо дважды щелкните на папке, чтобы открыть ее). В правом окне средства Local Security Settings отобразятся параметры политик безопасности (см. рисунок).


увеличить изображение

Щелкните правой кнопкой мыши на параметре Shut Down System Immediately If Unable To Log Security Audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) в правом окне консоли и в контекстном меню выберите Security (Безопасность), чтобы отобразить диалоговое окно Policy Setting (Настройка политики).В диалоговом окне Policy Setting (Настройка политики) включите политику, нажав на кнопку Enable (Включен).

Изменение параметров файла журнала IIS. Параметры файла журнала IIS аналогичны параметрам файла журнала Windows 2000, но осуществляют управление несколько иным образом. Параметры файла журнала IIS можно установить глобально для всех веб-сайтов на сервере либо отдельно для каждого сайта. Ниже приведены действия по установке параметров файла журнала IIS.

Откройте консоль Internet Services Manager (Диспетчер служб интернета) в окне Administration Tools (Администрирование).При глобальной настройке параметров для всех сайтов выберите в окне имя сервера. В противном случае укажите в области слева конкретный веб-сайт.


Откройте вкладку Extended Properties (Расширенные параметры), показанную ниже, чтобы отобразить доступные параметры. Указанные Microsoft настройки по умолчанию, настройки IIS Lockdown достаточно всесторонни, однако в зависимости от ситуации можно отследить дополнительную информацию.

В таблице 5.3 приведен полный перечень расширенных параметров ведения журнала.

Таблица 5.3. Расширенные параметры файла журналаПолеВидОписание
ДатаdateДата события.
ВремяtimeВремя события.
IP-адрес клиентаc-ipIP-адрес клиента, осуществившего доступ к серверу.
Имя пользователяc-usernameИмя авторизованного пользователя, осуществившего доступ к серверу, исключая анонимных пользователей, представляемых в виде дефиса.
Имя службы и номер событияs-sitenameНомер службы интернета и события, выполнявшиеся на компьютере-клиенте.
Имя сервераs-computernameИмя сервера, на котором создана запись журнала.
IP-адрес сервераs-ipIP-адрес сервера, на котором создана запись журнала.
Методcs-methodДействие, выполняемое клиентом (например, метод GET).
Ресурс URIcs-uri-stemРесурс, к которому осуществлялся доступ.
Запрос URIcs-uri-queryЗапрос (если есть), выполняемый клиентом.
Состояние HTTPsc-statusСостояние действия в терминах HTTP.
Состояние Win32sc-win32-statusСостояние действия в терминах Windows 2000.
Байт отправленоsc-bytesЧисло байт, отправленное сервером.
Байт принятоcs-bytesЧисло байт, полученное сервером.
Порт сервераs-portНомер порта, к которому подключен клиент.
Затрачено времениTime-takenПромежуток времени, который заняло действие.
Версия протоколаcs-protocolВерсия протокола (HTTP, FTP), используемая по умолчанию клиентом. В случае с HTTP - HTTP1.0 или HTTP 1.1.
Агент пользователяcs(User-Agent)Браузер, работающий на клиенте.
Cookiecs(Cookie)Содержимое, отправленное или принятое элементом cookie, если таковое имеется.
Предыдущий сайтcs(Referer)Предыдущий сайт, который посетил пользователь. Данный сайт содержит ссылку на текущий сайт.

Настройка политики аудита


Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.

Параметры политики домена.Параметры политики сайта.Параметры локальной политики.

Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.

Политики аудита устанавливаются локально с помощью консоли MMC Local Security Policy (Локальная политика безопасности). Просматривать и изменять политику аудита в системе можно следующим образом.

Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование) (см. рисунок).В области слева щелкните на папке Local Policies (Локальные политики) для отображения вложенных папок. Щелкните на папке Audit Policy (Политика аудита), чтобы отобразить отдельные параметры политики аудита в правой области консоли.В правой области щелкните правой кнопкой мыши на политике, которую требуется изменить, и в появившемся меню выберите команду Security (Безопасность) (либо просто дважды щелкните на политике), чтобы открыть диалоговое окно.Каждая из настроек политики аудита содержит одни и те же параметры – Success (Успех) (фиксируемая успешная попытка доступа) и Failure (Неудача) (фиксируемая неудачная попытка доступа), которые можно настраивать. Отметьте опции Success и Failure в соответствии со своей политикой аудита.Совет. Если одни и те же параметры аудита применяются к нескольким серверам, то эффективнее использовать шаблон политики безопасности Security Policy Template.
Использование оснасток Security Configuration (Настройка безопасности) и Security Templates (Шаблоны безопасности) обсуждалось в лекции 4.

Таблица 5. 4 содержит параметры конфигурации политики аудита, используемые при выполнении программы IIS Lockdown или шаблона High Security Template (hisecweb.inf) (см. лекции 3, 4).

Совет. Данный материал соответствует рекомендациям Microsoft по настройке политики аудита в Windows 2000. Если вы не хотите придерживаться этих рекомендаций, то в приложении C содержится более подробный перечень параметров.

Таблица 5.4. Настройки политики аудита IIS, используемые в IIS LockПараметрУспехНеудача
Account Logon (Вход учетной записи)Вкл.Вкл.
Account Management (Управление учетной записью)Вкл.Вкл.
Directory Service Access (Доступ к службе каталогов)Выкл.Выкл.
Logon (Вход в систему)Вкл.Вкл.
Object Access (Доступ к объектам)Выкл.Вкл.
Policy Change (Изменение политики)Вкл.Вкл.
Privilege Use (Использование привилегий)Вкл.Вкл.
Process Tracking (Отслеживание процессов)Выкл.Выкл.
System (Система)Вкл.Вкл.

Обеспечение безопасности журналов


Безопасность журналов важна так же, как аудит и анализ файлов журнала. К файлам журнала должны иметь доступ только уполномоченные пользователи с привилегированным доступом к системе. Файл с зафиксированными системными событиями должен быть недоступен посторонним пользователям. Файлы журнала нужно защищать от атак опытных хакеров, направленных на изменение информации для скрытия следов злоумышленных действий.

Данные журнала событий передаются службе Windows 2000 Event Log другими компонентами системы или приложениями, работающими в системе. В таблице приведены пути для каждого файла журнала.

ЖурналПуть
Системный журнал<SystemRoot>\System32\Config\SysEvent.Evt
Журнал приложений<SystemRoot>\System32\Config\AppEvent.Evt
Журнал безопасности<SystemRoot>\System32\Config\SecEvent.Evt
Журнал IIS<SystemEvent>\System32\LogFiles\W3SVC2\exyymmdd.log*

*IIS автоматически присваивает имя файла с использованием даты вместо шаблона "yymmdd".

Для обеспечения безопасности используются две процедуры. Первая из них является жизненно необходимой и заключается в ограничении доступа к файлам журнала Windows 2000 всем группам и учетным записям, кроме группы Administrators (Администраторы) и учетной записи System (Система). Второй шаг является полезным, но не обязательным; он заключается в изменении расположения файлов журнала. Лучше всего разместить их в другом разделе (не в системном томе), в котором ничего не записано и имеется достаточный объем дискового пространства для хранения файлов больших размеров.

При перемещении файлов журнала в изолированное место легче управлять доступом для запрета просмотра и изменения их посторонними пользователями. Рассмотрим процедуру перемещения файлов журнала.

Изменение расположения файлов журнала. Изменить расположение файла журнала IIS достаточно легко. Изменить свойства сервера можно в консоли MMC Internet Services Manager (Диспетчер служб интернета) на той же вкладке, где устанавливались параметры файла журнала IIS.



увеличить изображение

Вернитесь к разделу " Настройка параметров файла журнала IIS" и выясните, какая консоль и какие окна использовались для изменения папки файла журнала.


увеличить изображение

Для изменения расположения файлов журнала Windows 2000 измените строку реестра, указывающую его текущее расположение. Для редактирования реестра используется утилита Regedit.

Совет. Некорректное изменение реестра может привести к переустановке операционной системы. Найдите в лекции 6 описание процедуры создания



резервной копии реестра, выполните эту процедуру и создайте диск экстренного восстановления.Выберите команду Start\Run (Пуск\Выполнить), чтобы открыть диалоговое окно Run.Введите Regedit, после чего нажмите на OK. Откроется окно программы Regedit.В окне Regedit убедитесь, что текущим местом работы является локальный компьютер. Щелкните на папке с именем HKEY_LOCAL_MACHINE, чтобы открыть ее и отобразить находящиеся в ней файлы.Откройте папку System\CurrentControlSet\Services\EventLog\. В ней находятся журналы событий Application, Security и System, как показано на рисунке.Выберите журнал Security Log. В правой области отобразится информация о значениях в файле журнала безопасности.Дважды щелкните на значении File, чтобы открыть диалоговое окно String Editor (Изменение строкового параметра), показанное на рисунке ниже. Укажите символ нового устройства, путь к новой папке, но имя файла оставьте прежним – \SecEvent.Evt. После этого нажмите на OK.



Повторите эти шаги для других файлов журналов. Затем выйдите из программы и перезагрузите компьютер.



В окне Administration Tools\Computer Management (Администрирование\ Управление компьютером) найдите диски компьютера в дереве ресурсов. Либо откройте окно My Computer (Мой компьютер) на рабочем столе и найдите нужные диски там. Щелкните правой кнопкой мыши на диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).Откройте вкладку Security (Безопасность), показанную на рисунке. Удалите группу Everyone (Все пользователи), если она присутствует



в списке ACL, выделив ее и выбрав команду Remove (Удалить). Если жесткие диски сервера содержат в списках ACL другие группы или учетные записи, помимо Everyone (Все пользователи), удалите эти группы и учетные записи.Нажмите на кнопку Apply (Применить), чтобы система сохранила изменения.

Предоставьте привилегии полного контроля пользователям группы System и аудиторам. После удаления ненужных групп из списков ACL добавьте нужные группы и учетные записи, а также установите права и разрешения. По умолчанию имеется группа System (Система) и содержит права и разрешения полного доступа.

Важно. Не нужно, чтобы группа аудита была группой администрирования Administrators (Администраторы). Кто-то должен вести аудит группы администраторов. Если в группе Administrators много пользователей, то имеет смысл создать отдельную группу с именем Auditors (Аудиторы), члены которой наряду с учетной записью System обладают правами полного доступа. В противном случае следует создать отдельную учетную запись.На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) нажмите на кнопку Add (Добавить) и добавьте новые группы в список ACL.В диалоговом окне (см. рисунок) выберите группу System (Система) и группу аудита и нажмите на кнопку Add (Добавить), чтобы внести изменение.Нажмите на OK, чтобы вернуться в окно Local Disk Properties (Свойства локального диска).

После успешного добавления групп и учетных записей присвойте разделу или папке файла журнала права и разрешения.Пользователю System и группе аудита предоставьте права полного доступа и настройте для них наследование разрешений при создании новых подкаталогов в этой папке (разделе).


Отслеживание событий сайта


События, происходящие на веб-сервере Windows 2000/IIS, отслеживаются при помощи просмотра и анализа журнала, в который отправляются сообщения от других служб, приложений или операционной системы. Эти сообщения учитывают события, происходящие в системе: выключение, запуск, создание новой учетной записи и т.д. IIS дополнительно отслеживает события собственного набора служб, например, запросы от посетителей сайта, отправленные на сервер для осуществления анонимного входа.

В Windows 2000 имеются журналы шести различных типов. Если вы имеете опыт системного администрирования Windows 2000, то уже знакомы с некоторыми из них. IIS ведет свой собственный отдельный журнал. Ниже приведен полный перечень журналов, работающих на сервере.

Системный журнал. Фиксирует события компонентов: остановку и запуск службы или возникновение ошибки.Журнал безопасности. Записывает события, связанные с безопасностью: вход пользователей и использование ресурсов, например, создание, открытие и удаление файлов.Журналы приложений. Фиксируют события, связанные с приложениями, выполняемыми на сервере.Журнал службы каталогов. Фиксирует информацию о работе службы Active Directory, например, проблемы с подключением к глобальному каталогу.Журнал сервера DNS. Записывает события, связанные с работой службы Windows 2000 DNS в Active Directory.Журнал службы репликации файлов. Фиксирует значимые события, происходящие при попытке контроллера домена обновить другие контроллеры домена.Журнал IIS. Фиксирует события, происходящие при работе служб IIS (WWW, FTP и т.д.).

Для веб-сервера IIS не требуется работа всех без исключения журналов, например, не нужны журналы сервера DNS и службы репликации файлов. Журнал службы каталогов включается, если сервер является частью домена Windows Active Directory, причем ведется он на другом сервере. Веб-сервер работает с системным журналом, журналом приложений, журналом безопасности и журналом IIS.

Системный журнал Windows 2000 и журнал приложений активируются по умолчанию при установке IIS для автоматического фиксирования системных событий и событий приложений. Остальные журналы запускаются только после их непосредственной настройки и/или запуска. При выполнении IIS Lockdown автоматически активируется журнал безопасности Windows 2000 и IIS.



ПРОБЛЕМА


Если вы умеете работать с журналами, то узнаете много о действиях, выполняемых пользователями, посещающие сайт. Несколько лет назад был пойман и осужден Кевин Мытник, в судебном процессе над которым главным вещественным доказательством был файл журнала. В нем содержались данные о том, какие действия выполнялись Мытником на взломанных системах.

Ниже приведен пример этих данных, состоящих из полей: Время, IP-адрес клиента, Метод, Ресурс URI, Состояние HTTP и Версия HTTP.

#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 1998-05-02 17:42:15 #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version 17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

Строка #Software означает программное обеспечение сервера, строка #Version – журнал, использующий расширенный формат файла. Строка #Date содержит информацию о дате. Для правильного прочтения файлов журнала необходимо знать следующие параметры:

ПрефиксЗначение
s-Действия сервера.
c-Действия клиента.
cs-Действия клиент-сервер.
sc-Действия сервер-клиент.

Руководствуясь приведенными данными, расшифруем две последние строки файла журнала.

ПолеДанные поляРасшифровка
time17:42Время: 17 часов 42 минуты 15 секунд.
c-ip172.16.255.255IP-адресом клиента был 172.16.255.255
cs-methodGETКлиент запросил метод HTTP GET на сервере.
cs-uri-stem/default.htmЗапрошенным ресурсом была домашняя страница.
sc-status200 HTTP/1.0Код состояния HTTP v1.0 "200" означает успешное выполнение запроса.

В данном примере не показано, что при настройке параметров можно выбрать большее число полей для включения в журнал. Если в полях журнала нет данных, то вместо информации отображается прочерк (—).



Регистрация процедур настройки и поддержки в журнале


Совместная работа журналов и аудита отслеживает работу системы, однако этого недостаточно для аудита безопасности. Для надежного аудита безопасности имеются процедуры просмотра файлов журнала для обеспечения их сохранности, архивного состояния и правильного функционирования. Только при правильной настройке журналов, их включении и регулярном обслуживании аудит безопасности осуществляется конфиденциально и с высокой степенью доверия. Журналы помогут восстановить цепь событий при нарушении безопасности, послужат официальными доказательствами в суде по искам в области информационной безопасности.

Ведение журналов и аудит в Windows 2000 и IIS настраиваются на фиксирование определенного числа событий. При настройке системы на запись слишком большого количества информации журналы событий быстро заполняются. Какой смысл записывать данные, которые никогда не понадобятся? С другой стороны, при фиксировании малого числа событий можно утерять важную информацию. Решение о записи тех или иных событий является очень ответственным и должно быть тщательно обдумано.



Сводный перечень действий, относящихся к ведению журналов и выполнению аудита


Управление файлами журнала.Установка размера файла журнала Windows 2000 и параметров его перезаписи.Установка параметров политики "Отключение системы при ошибке аудита" в соответствии с требованиями политики безопасности.Настройка параметров файла журнала IIS: формата (рекомендуется использовать W3C);параметров присвоения имен;расширенных параметров.

Настройка безопасности и архивации файлов журнала.Изменение расположения файла журнала.Удаление группы Everyone (Все пользователи) и присвоение прав полного доступа группам System (Система) и Auditors (Аудиторы).Определение политики и процедуры архивации журналов.Аудит: установка политики для Windows 2000 в консоли MMC Local Security Policy (Локальная политика безопасности);установка параметров аудита Windows 2000 для объектов, подлежащих аудиту;установка параметров аудита IIS для объектов и событий;настройка политики аудита резервного копирования.



Управление журналами


Каждый файл журнала Windows 2000 имеет свои параметры конфигурации. Они позволяют изменять объем пространства, отводимого для файлов журналов на диске, и указывать действие, выполняемое после заполнения журнала. Эти параметры приведены ниже.

Максимальный размер файла журнала. Настраивается при помощи приложения Event Viewer (Просмотр событий), значение по умолчанию – 512 Кб.Перезапись файла журнала после его заполнения. Имеет три значения: перезапись событий при необходимости, перезапись событий, возраст которых превышает определенное число дней, и запрет перезаписи.Отключение сервера при ошибке аудита. Вызывает остановку сервера в случае заполнения журнала безопасности при отсутствии перезаписи событий. В материалах Microsoft он называется "CrashOnAuditFail" и соответствует значению, устанавливаемому политикой безопасности в системном реестре.

IIS имеет аналогичные параметры файла журнала, но они отличаются от рассмотренных выше. Параметры файла журнала IIS следующие.

Разрешение неограниченного размера файла журнала.Создание нового файла журнала по достижении файлом определенного размера.Создание нового файла журнала по прошествии определенного периода времени (час, день, неделя, месяц).

При управлении файлами журнала укажите для этих параметров соответствующие значения и действия. Убедитесь в их защищенности и обеспечьте периодическую архивацию для освобождения пространства под новые файлы и записи истории событий.



Установка политики Windows 2000 "Ошибка аудита при отключении"

Установка политики Windows 2000 "Ошибка аудита при отключении". Рекомендуется осуществлять самоотключение сервера при заполнении файла журнала до отказа при работе с высокозащищенными веб-приложениями, так как лучше не выполнить приложение, чем выполнить его без аудита. Сервер будет отключаться, если в локальной политике безопасности включен параметр отключения, а параметр перезаписи файла журнала установлен на значение Do not overwrite (Не осуществлять перезапись). Данная опция по умолчанию отключена.

Для активизации политики отключения при ошибках аудита используется консоль MMC Local Security Policy (Локальная политика безопасности).
Расширенный формат W3C Extended является стандартом, определенным в интернете Консорциумом World Wide Web. Журналы ODBC (Открытый интерфейс доступа к базам данных) позволяют записывать информацию в базу данных на другом сервере вместо файла журнала IIS. Организации с большим объемом трафика иногда прибегают к этому. Формат NCSA является альтернативным текстовым форматом файла, разработанным другой организацией, утверждающей стандарты. Этот формат используется серверами UNIX.



Щелкните на поле Properties в правом нижнем углу вкладки, чтобы открыть окно Extended Logging Properties (Расширенные параметры ведения журнала), показанное ниже.В верхней части вкладки General Properties (Общие свойства) можно указать неограниченный размер файла журнала, его максимальный размер либо автоматическое закрытие файла журнала по прошествии определенного промежутка времени. В каждом случае IIS будет создавать новый файл журнала IIS по достижении текущим файлом установленного предела и присваивать ему имя согласно шаблону даты "ггммдд", если используется формат W3C. При использовании другого формата вид даты будет другим.Отметьте опцию Use Local Time For File Naming And Rollover (Использовать местное время в имени файла), если нужно, чтобы день начинался в 12:00 по локальному времени вместо установленного по умолчанию в Windows 2000 времени по Гринвичу 12:00 A.M. (0:00).



В IIS можно настроить дополнительные параметры. Они контролируют детали фиксируемой журналом IIS информации. Откройте вкладку Extended Properties (Расширенные параметры), показанную ниже, чтобы отобразить доступные параметры. Указанные Microsoft настройки по умолчанию, настройки IIS Lockdown достаточно всесторонни, однако в зависимости от ситуации можно отследить дополнительную информацию.

В таблице 5.3 приведен полный перечень расширенных параметров ведения журнала.

Таблица 5.3. Расширенные параметры файла журналаПолеВидОписание
ДатаdateДата события.
ВремяtimeВремя события.
IP-адрес клиентаc-ipIP-адрес клиента, осуществившего доступ к серверу.
Имя пользователяc-usernameИмя авторизованного пользователя, осуществившего доступ к серверу, исключая анонимных пользователей, представляемых в виде дефиса.
Имя службы и номер событияs-sitenameНомер службы интернета и события, выполнявшиеся на компьютере-клиенте.
Имя сервераs-computernameИмя сервера, на котором создана запись журнала.
IP-адрес сервераs-ipIP-адрес сервера, на котором создана запись журнала.
Методcs-methodДействие, выполняемое клиентом (например, метод GET).
Ресурс URIcs-uri-stemРесурс, к которому осуществлялся доступ.
Запрос URIcs-uri-queryЗапрос (если есть), выполняемый клиентом.
Состояние HTTPsc-statusСостояние действия в терминах HTTP.
Состояние Win32sc-win32-statusСостояние действия в терминах Windows 2000.
Байт отправленоsc-bytesЧисло байт, отправленное сервером.
Байт принятоcs-bytesЧисло байт, полученное сервером.
Порт сервераs-portНомер порта, к которому подключен клиент.
Затрачено времениTime-takenПромежуток времени, который заняло действие.
Версия протоколаcs-protocolВерсия протокола (HTTP, FTP), используемая по умолчанию клиентом. В случае с HTTP - HTTP1.0 или HTTP 1.1.
Агент пользователяcs(User-Agent)Браузер, работающий на клиенте.
Cookiecs(Cookie)Содержимое, отправленное или принятое элементом cookie, если таковое имеется.
Предыдущий сайтcs(Referer)Предыдущий сайт, который посетил пользователь. Данный сайт содержит ссылку на текущий сайт.

Безопасность IIS


   Интернет-Университет Информационных Технологий

   http://www.INTUIT.ru

Безопасность IIS

6. Лекция:

Особенности процесса разработки: версия для печати и PDA

Разработка представляет собой этап, на котором воплощаются в жизнь все ваши планы и подготовительные мероприятия. После подключения сайта к сети он становится доступным извне и подвергается различным угрозам, поэтому нужно обеспечить все возможные меры безопасности.



Безопасность резервного копирования


Необходимо соответствующим образом настроить политику безопасности, если вы планируете поручать резервирование другим пользователям, поскольку они имеют доступ ко всем файлам на сервере.



Безопасность удаленного управления


Если веб-сайт расположен у провайдера или локально в демилитаризованной зоне, отделяющей веб-сайт от интранет-сети, то обеспечен необходимый и хорошо действующий барьер безопасности. Сетевой экран, отделяющий DMZ от интранет-сети, блокирует трафик, представляющий угрозу для внутренних систем. К сожалению, консоль MMC Internet Information Services Manager (Диспетчер IIS) не работает через сетевой экран по умолчанию, поэтому нельзя осуществлять удаленное управление веб-сайтом без изменения сетевой конфигурации. Microsoft объясняет это тем, что IIS Manager изначально создан для обеспечения безопасности, так как обычное TCP-приложение потенциально представляет угрозу статусу секретности информации о сети.

Разумеется, если вы не находитесь рядом с сервером, этот вариант для вас неприемлем, особенно, если сайт расположен у провайдера. Для решения проблемы выберите один из следующих подходов.

Используйте консоль MMC Internet Information Services Manager (Диспетчер IIS) через виртуальную частную сеть VPN. Используя протокол туннелирования PPTP или протокол безопасного интернета IPSec, встроенного в протокол L2TP, можно организовать виртуальную частную сеть с шифрованием через сетевой экран в удаленное место, где находится веб-сайт.Используйте HTMLA через SSL. HTML-версия диспетчера IIS (называется HTML Administration, HTMLA – HTML-администрирование) работает через сеанс шифруемого соединения SSL.Используйте службы терминала Windows 2000. Компонент Terminal Services (Службы терминала) позволяет запускать консоль MMC на удаленной рабочей станции с использованием шифрования для администрирования IIS с рабочего стола.Совет. Мы не рекомендуем использовать веб-интерфейс HTMLA, даже вместе с SSL, так как он работает совсем недавно, и рано судить о степени его безопасности. В качестве альтернативы канала VPN или шифруемого канала используйте службы терминала.



Фильтрация с помощью сетевых экранов и маршрутизаторов


Для защиты сетевого периметра требуются устройства, обеспечивающие безопасность каждой точки доступа в сети. Эти устройства осуществляют блокировку и фильтрацию сетевого трафика, в результате для выполнения через периметр допускаются только действия по определенным адресам или с определенных адресов, а также через определенные порты, как показано на рисунке.


увеличить изображение

Устройства периметровой защиты называются сетевыми экранами. Сетевые экраны предотвращают сканирование внутренней сети организации, обеспечивают запрет действий по сбору данных о сети, игнорирование массовых потоков пакетов, отправляемых при атаках на отказ в обслуживании, а также запрещают другие действия, используемые хакером для проникновения во внутреннюю сеть. Правила блокировки и фильтрации определяются политикой безопасности организации.

Совет. Выше рассказывалось об использовании сетевых экранов для защиты внутренней сети от атак из интернета. Эти устройства используются и для защиты ресурсов от атак во внутренней сети. Сетевые экраны отделяют и защищают один сегмент сети от другого, независимо от типа сети (общая или частная) и систем, имеющихся в сегментах.

Лучшие сетевые экраны обеспечивают работу служб безопасности, включающих фильтрацию пакетов, сетевую трансляцию адресов (NAT) и проверку корректности пакетов. Фильтрация пакетов в сетевом экране блокирует запросы Internet Control Message Protocol (ICMP). Сетевая трансляция адресов скрывает реальный сетевой адрес веб-сервера. Проверка корректности пакетов заключается в том, что пакеты сетевого трафика проверяются, а пакеты, поступившие из интернета и не являющиеся текущим сетевым сеансом, открытым во внутренней системе, блокируются. При совместном использовании эти функции обеспечивают надежную защиту системы.

Службы сетевого экрана всегда предоставляются в комплекте с сетевым маршрутизатором, соединяющим две сети по обе стороны от него. В зависимости от своей комплексности маршрутизатор настроен на выполнение фильтрации пакетов и трансляции сетевых адресов; он позволяет также блокировать порты и проверять пакеты.

Такая конфигурация увеличивает среднюю производительность сети. На рисунке показана конфигурация сети, работающая именно таким образом.


увеличить изображение

Безопаснее и проще в данном случае настроить сетевой экран на блокировку всех портов и проверку всех пакетов. После этого можно выборочно открыть порты для работы нужных служб. Чтобы сделать веб-сервер доступным для работы через интернет, достаточно открыть только порты 80 (http-протокол) и 443 (https-SSL протокол).



Функция фильтрации IIS


IIS позволяет устанавливать правила фильтрации, запрещающие доступ к сайту с определенных IP-адресов или доменов DNS. Выше шла речь о том, что фильтрация Windows 2000 недостаточно эффективна для использования в интернете. Для этого идеально подходит фильтрация IIS, например, домены и ограничения IP-адресов могут использоваться для запрета доступа к сайту конкурентов вашей организации. Фильтры работают посредством создания общего правила, отказывающего в доступе (или предоставляющего доступ) для доменного имени, определенных сетевых IP-адресов или диапазона IP-адресов с последующим указанием исключений для игнорирования общих фильтров.

Управление этой функцией осуществляется через MMC Internet Services Manager (Диспетчер служб интернета). Фильтр можно применить ко всем сайтам на сервере либо по отдельности к каждому.



Использование демилитаризованной зоны сети


К сожалению, если порты открыты через периметр, защищаемый одним сетевым экраном, то безопасность периметра будет слабой. Это все же лучше, чем отсутствие сетевого экрана, но такой способ защиты не является оптимальным. Если поставщик услуг интернета предоставляет такую возможность и при наличии ресурсов, для максимального уровня защиты следует применить конфигурацию сети, называемую демилитаризованной зоной. Демилитаризованная зона (DMZ) позволяет разместить веб-сервер в отдельном сегменте сети вне интранет-сети (см. рисунок).


увеличить изображение

Аббревиатура DMZ происходит от военного термина "демилитаризованная зона", описывающего нейтральную территорию между двумя враждующими армиями. Примером является зона между Северной и Южной Кореей. Демилитаризованная зона изолирует две страны друг от друга так же, как сетевая DMZ разделяет две сети. Чаще всего демилитаризованная зона применяется между интернетом и внутренней сетью организации. Если хакер успешно преодолеет первый сетевой экран, он сможет атаковать только серверы в демилитаризованной зоне.

Принцип работы DMZ заключается в том, что трафик не может переходить из одной сети в другую без маршрутизации. Располагая веб-сервер в демилитаризованной зоне, вы тем самым размещаете его в другой подсети, поэтому маршрутизатор, граничащий с внутренней сетью, и сетевой экран используются для фильтрации и проверки трафика в процессе маршрутизации. DMZ представляет собой проверенный способ защиты, и при ее использовании желательно разместить в ней и другие службы интернета, например, Simple Mail Transfer Protocol/Post Office Protocol (почтовые протоколы SMTP и POP).

Сетевой экран, расположенный между DMZ и внутренней сетью, должен содержать правила, отличные от правил сетевого экрана, установленного перед демилитаризованной зоной. Этот сетевой экран должен пропускать только вызовы служб, относящихся к внутренним приложениям, и не допускать проникновения произвольного входящего веб-трафика внутрь сети через порт 80.
Иными словами, сетевой экран должен пропускать только входящий трафик, поступающий с сервера в DMZ, которому необходимо установить связь с одной из внутренних систем, будь это сеанс браузера на настольном компьютере или приложение, к которому подключен веб-сервер. Например, если веб-серверу нужно извлечь или отобразить данные из базы данных клиентов, он подключается к базе данных с помощью языка SQL, для чего открывает порты TCP на сетевом экране для пропуска запросов и ответов SQL и блокирует все остальные данные. Для Microsoft SQL Server это порт 1433 для исходящего трафика и порты с1024 по 65535 для исходящего (порты индивидуальны для каждого приложения).

Для усиления защищенности сети используются различные типы сетевых экранов по обе стороны от демилитаризованной зоны, каждый из которых имеет свои преимущества и недостатки. Если на подступах к сети расположить сетевые экраны различных типов, то хакер не сможет использовать один и тот же эксплоит для преодоления обеих систем. Ошибка на одном из сетевых экранов, вероятно, отсутствует на другом. Поэтому использование двух сетевых экранов обеспечит еще один уровень безопасности, усложнит взлом системы и повысит вероятность того, что защита устоит перед атаками хакеров.


Экстренное восстановление


В общем случае при повреждении системы используется диск установки Windows 2000. Однако на случай более основательных сбоев нужно создать набор гибких дисков для запуска компьютера и выполнения восстановления, если программа установки системы не распознает на поврежденном диске образ предыдущей системы. Набор гибких дисков состоит из загрузочных установочных дисков и диска экстренного восстановления.



Элементы управления архивацией данных


Ниже показаны некоторые ограничения для операторов резервного копирования.

Привилегии по резервному копированию не должны присваиваться учетным записям обычных пользователей. Резервирование выполняется администраторами или группами пользователей со специальными полномочиями. В Windows 2000 есть для этого группа Backup Operators (Операторы резервного копирования). Помните, в лекции 5 шла речь о параметре Enable Auditing For Backups (Включить аудит резервного копирования) для группы Backup Operators? Очень важно использовать эту группу при передаче полномочий другим лицам.Члены группы Backup Operators должны иметь специальные учетные записи для входа в систему. Ни один пользователь не должен иметь привилегии резервного копирования помимо прав обычной учетной записи. Операторам резервного копирования даются новые учетные записи с полномочиями резервирования, даже если в результате у них окажется на сервере две учетные записи.Рекомендуется устанавливать ограничения на учетную запись операторов резервного копирования, например, принудительный вход пользователя с определенной системы и выполнение резервирования только в определенные часы.

Угроза, создаваемая передачей полномочий резервирования, заключается в том, что пользователи с правами на резервирование могут восстановить архивируемые файлы на другой системе (несмотря на то, что они не могут напрямую считывать архивируемые файлы). Меры предосторожности предназначены для контроля над процессом резервирования. Используйте аудит группы Backup Operators и создание контрольного журнала. Ограничения на расположение позволят применить для повышения безопасности системы регистрацию и проверку носителей.



Настройка контроля доступа к резервированию и установка ограничений


Создать учетные записи операторов резервного копирования достаточно просто. Если веб-сервер является отдельным сервером, то для локального создания учетных записей используется консоль MMC Computer Management (Управление компьютером). Если сервер находится в домене Windows интранет-сети, используется средство Active Directory Users and Computers (Пользователи и компьютеры Active Directory).

Ниже приведены шаги соответствующей процедуры.

Выберите нужное средство MMC в меню Start (Пуск) или в папке Administrative Tools (Администрирование) в панели управления. Отобразится консоль, имеющая следующий вид.


увеличить изображение

Откройте записи в дереве и найдите папку Users (Пользователи) в папке Local Users and Groups (Локальные пользователи и группы). Щелкните правой кнопкой на папке Users и выберите в появившемся меню New User (Новый пользователь), чтобы открыть диалоговое окно New User, показанное ниже.


Введите новое имя пользователя учетной записи, описание и пароль (согласно локальной или групповой политики безопасности), после чего нажмите на кнопку Create (Создать). После закрытия окна новая учетная запись пользователя появится в папке Local Users and Groups (Локальные пользователи и группы) консоли MMC.Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties (Свойства), чтобы открыть окно Properties для добавления учетной записи в группу Backup Operators (Операторы резервного копирования). В окне Properties откройте вкладку Member Of (Член группы).Рекомендуется удалить учетную запись из группы Users, так как необходимо отслеживать абсолютно все действия, выполняемые оператором резервного копирования.Нажмите на кнопку Add (Добавить) и выберите группу для добавления учетной записи в список Backup Operators (Операторы резервного копирования), показанный на рисунке. Вы увидите, что новая учетная запись теперь является членом группы.


После добавления членов в группу Backup Operators для завершения настройки требуется установить ограничения на расположение. В Windows 2000 это делается с помощью политики "разрешенной рабочей станции входа".



Обеспечение безопасности сетевого периметра


Все уровни защиты, установленные до сих пор, созданы на самом сервере, а этого недостаточно для всестороннего обеспечения безопасности. Когда веб-сервер станет общедоступным в интернете, сеть сыграет свою роль в защите веб-сайта и IT-ресурсов.

Внешним уровнем защиты сайта является безопасный сетевой периметр. Если ISP предоставляет возможность размещения сервера, внешние границы сетевого периметра расширятся до объемов услуг хостинга, предоставляемых провайдером. Если предпочтительней разместить сайт в собственной организации, то сетевой периметр будет гораздо уже. В любом случае, с сетевого периметра начинается защита веб-сайта, и нужно убедиться в отсутствии внутри периметра элементов, которые могут навредить сайту или вызвать неполадки в другой системе.



План восстановления


В политику безопасности нужно включить процедуры по восстановлению сайта. Основой этой стратегии являются регулярно обновляемые резервные копии, а также резервирование данных при каждом обновлении сайта, даже если не подошло время запланированного обновления.

Каждый раз при внесении изменений в конфигурацию сайта следует создавать набор дисков экстренного запуска и восстановления. Диски экстренного восстановления (ERD) возвращают веб-сайт в рабочее состояние после сбоев, вызванных вторжением вируса или вредоносной атакой, выведшей из строя операционную систему. Всегда создавайте резервную копию реестра при создании этих дисков, так как информация о настройках Windows 2000 и IIS хранится именно в реестре. После проведения трудоемкой работы по обеспечению безопасности сайта было бы глупо не сохранить восстанавливаемый набор настроек.

Как же создаются резервные копии содержимого сайта? На общедоступных сайтах используется автоматическое резервирование, например, зеркала дисков или дуплексирование. Использование зеркал дисков заключается в подключении второго диска к контроллеру диска сервера для одновременной записи данных на оба диска. Дуплексирование данных заключается в установке второго контроллера, чтобы у каждого диска был собственный контроллер. Такие системы позволяют создавать полную копию диска сервера, которую можно сразу подключить к работе при выходе из строя основного диска. Но и эти системы не гарантируют полной безопасности и не устраняют необходимость создания копий на съемных носителях вручную, так как и они уязвимы к различным атакам. Например, файловый вирус может легко распространиться на оба диска.

Резервные копии на съемных носителях позволяют физически отделить их от работающей системы, расположить копии в защищенном месте на случай чрезвычайных обстоятельств, таких как пожар, ограбление или стихийное бедствие. Храните резервные копии в удаленном месте, иначе вы решите только половину проблемы!



Подготовка диска экстренного восстановления


Следующим шагом является создание диска экстренного восстановления Windows 2000 (ERD). При возникновении системной ошибки или повреждении сервера этот диск используется для восстановления главных системных файлов с компакт-диска исходной установки Windows 2000 без полной переустановки системы.

При помощи ERD можно выполнить следующие действия по восстановлению.

Проверка и восстановление загрузочного сектора. Проверяется связь загрузочного сектора системного раздела диска с файлом загрузки операционной системы NTLDR и его повреждение (или изменение).Проверка и восстановление среды загрузки. Если необходимые для загрузки файлы отсутствуют или повреждены, то они переписываются с установочного компакт-диска Windows 2000.Проверка системных файлов Windows 2000 и замена отсутствующих или поврежденных файлов. На загрузочном системном диске Windows 2000 сравниваются системные файлы с файлами установочного компакт-диска, проверяется наличие всех файлов и отсутствие повреждений. Любой файл, не прошедший данный тест, заменяется.Совет. При начальной установке Windows 2000 и IIS в загрузочном системном разделе создается папка с именем %systemroot%\Repair, в которую записывается информация о настройках системы. Не следует изменять или удалять данную папку. Исключением из правила является процесс укрепления системы (см. лекцию 3), а именно, удаление файла Security Accounts Manager (Диспетчер безопасности учетных записей). Эта мера сводит к минимуму угрозу атак, направленных на файлы с паролями. Но данное действие делает невозможным восстановление паролей и учетных записей пользователей при восстановлении системы. Восстановить учетные записи и пароли можно с помощью восстановления файла SAM, сохраненного во время последнего полного резервирования системы.



ПРОБЛЕМА


Фильтрация широко используется для обеспечения информационной безопасности. Она применяется в Windows 2000, в сетевых экранах, на веб-серверах, в других продуктах. Вы уже использовали эту возможность ранее. Отключая протокол NetBIOS при укреплении сервера (см. лекции 3), вы выполняли фильтрацию пакетов по этому протоколу. В этом случае вы не создавали собственное правило, так как фирма Microsoft предоставила соответствующую опцию.

Не принято использовать метод номеров протоколов фильтрации TCP/IP для отдельного протокола. Тем не менее, он пригодится при создании собственных приложений на сервере Windows 2000 или веб-сайте IIS, использующем специальные протоколы и номера портов. В этих случаях можно блокировать все протоколы, кроме протокола, используемого определенным приложением.

Ниже приведена процедура настройки фильтрации IIS.

Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета), выбрав команду Start\Administrative Tools (Пуск\Администрирование). Отобразится консоль Internet Information Services, показанная ниже.


увеличить изображение

Щелкните правой кнопкой мыши на имени сервера, если требуется настроить свойства глобально для всех веб-сайтов, или на отдельном веб-сайте под именем сервера. В появившемся меню выберите команду Properties (Свойства). При установке глобальных свойств для всех веб-сайтов отобразится окно Server Properties (Свойства сервера), показанное на рисунке. Убедитесь, что отмечена опция WWW Service (Служба WWW) в диалоговом окне Master Properties (Главные свойства), после чего нажмите на кнопку Edit (Изменить) для перехода в окно Properties.


Если рассматривается каждый сайт по отдельности, то при выборе команды Properties перейдите в следующее окно, содержащее вкладки со свойствами сайта. Откройте вкладку Directory Security (Безопасность директории).


В области IP Address And Domain Name Restrictions (Ограничения IP-адресов и имен доменов) вкладки Directory Security нажмите на кнопку Edit (Изменить), чтобы открыть следующее диалоговое окно.






Диалоговое окно IP Address and Domain Name Restrictions используется для создания правил доступа. Начните с выбора опции Granted Access (Доступ разрешен) или Denied Access (Доступ запрещен) для установки правил своей политики. Выбор зависит от того, какая цель стоит перед вами. Если требуется открыть полный доступ к сайту, но заблокировать доступ через небольшое число доменов или адресов, выберите опцию Granted Access (Доступ разрешен), а затем создайте список запрещенных сайтов. Если требуется полностью закрыть доступ, но предоставить доступ столь же малой группе, как в предыдущем случае, выберите опцию Denied Access (Доступ запрещен) и создайте небольшой список сайтов, доступ которым разрешен.

Ниже приведена процедура создания правила, блокирующего отдельные IP-адреса или имена доменов.

Выберите опцию Granted Access (Доступ разрешен), чтобы создать основу для правила.Определите исключения из правила (т.е. адреса, доступ с которых необходимо блокировать), нажав на кнопку Add (Добавить) для открытия окна Deny Access On (Запретить доступ с), в котором создается перечень адресов или доменов (если таковые есть).



В диалоговом окне Deny Access On (Запретить доступ с) выполните одно из действий. Запретите доступ с одного компьютера локальной подсети или определенного домена, для чего выберите опцию Single computer (Один компьютер) и введите его IP-адрес в поле IP Address и имя домена, если компьютер находится не в вашей локальной подсети. Для указания домена нажмите на кнопку DNS Lookup (Поиск по DNS).Запретите доступ группе компьютеров в той же подсети, для чего выберите опцию Group of computers (Группа компьютеров) и введите идентификатор сети и маску подсети в поля ввода данных в нижней части диалогового окна. Идентификатором является первый IP-адрес в диапазоне блокируемых адресов. Маска подсети обозначает размер диапазона. Это значение варьируется для каждой организации и зависит от типа используемых адресов (Class A, Class B или Class C). Например, если организация использует адреса типа Class C, а нужно заблокировать все адреса с начала вашего диапазона до адреса 128, значением маски подсети будет 255.255.255.128, так как в адресах типа Class C первые три поля обозначают номер сети, а последнее число – номер узла. Совет. Осуществите поиск в интернете по строке "TCP/IP Addressing", чтобы получить дополнительную информацию о типах адресов и масках подсети.


Хорошим источником информации является сайт http://www.techtutorials.com/tutorials/tcpguide.shtml.Запретите доступ к домену интернета, для чего выберите опцию Domain Name (Доменное имя) и введите имя домена в поле внизу диалогового окна.

Повторите процесс добавления для любых других адресов, групп адресов или доменов, фильтрация которых необходима. После создания правил отказа в доступе они отобразятся в списке исключений окна IP Address and Domain Name Restriction (Ограничения на доступ с IP-адресов и доменов).

Совет. Появится сообщение с предупреждением о снижении производительности работы, если указана блокировка для отдельных компьютеров в определенных доменах, так как в этом случае серверу придется выполнять обратный поиск по DNS. Иными словами, сервер будет сопоставлять адрес каждого посетителя с масками подсети доменов в DNS при каждом посещении сайта новым пользователем. Подумайте о том, разумно ли применять фильтрацию при блокировке доступа большого числа компьютеров.Важно. Фильтрация по IP-адресам работает эффективно только в случае, если системы используют фиксированный IP-адрес. В интранет-подсети, использующей протокол динамической конфигурации узла (DHCP), многие адреса систем не являются постоянными, поэтому фильтрация по адресу проблематична и бесполезна, но в интернете, тем не менее, будет работать фильтрация имен доменов.


ПРОБЛЕМА. О восстановлении и устранении неполадок


Надеемся, что вам никогда не понадобятся диски экстренной загрузки и экстренного восстановления. Но если все-таки придется восстанавливать поврежденную систему, имейте в виду одно обстоятельство. При запуске программы установки Microsoft для восстановления системы в окне Setup (Установка) предлагаются два варианта восстановления. Это окно содержит следующую информацию:

Установка Windows 2000 Server Параметры восстановления Windows 2000 Чтобы восстановить Windows 2000 с помощью консоли восстановления, нажмите C. Чтобы восстановить Windows 2000 с помощью процедуры экстренного восстановления, нажмите R. Если опции восстановления не помогут успешно восстановить систему, запустите еще раз программу установки Windows 2000.

При выборе второго варианта установки Windows 2000 (процесса экстренного восстановления) будет восстановлена копия исходного реестра, созданная при инсталляции сайта, а не копия из папки %systemroot%\ Repair\RegBack, полученная при создании диска экстренного восстановления. В этом случае все настройки, выполненные в процессе работы с первыми пятью лекциями этой книги, будут утеряны! Используйте консоль восстановления для копирования резервных файлов реестра, содержащих изменения конфигурации, в папку %systemroot%\System32\ Config.

Если изменялась только конфигурация сайта, то не нужно выполнять полное восстановление сервера. Используйте программу восстановления Windows 2000, позволяющую резервировать только состояние системы. При выборе опции резервирования состояния системы осуществляется резервное копирование следующей информации.

Реестр сервера (данные конфигурации).Файлы загрузки (необходимы для запуска компьютера).Файлы операционной системы (необходимы для запуска операционной системы).База данных регистрации классов COM+ (информация, используемая службами компонентов и приложениями COM+).

Процедура резервирования состояния системы Windows 2000/IIS выполняется следующим образом.

Выберите команду Start\Accessories\System Tools\Backup (Пуск\ Программы\Служебные\Архивация данных).
Затем щелкните на значке Backup Wizard (Мастер восстановления) вверху окна.При работе с мастером появится окно (см. рисунок) для выбора данных, необходимых для резервирования. Выберите опцию Only Back Up The System State Data (Только данные о состоянии системы). После этого нажмите на Next (Далее).



Выберите устройство и место расположения резервной копии в окне, показанном ниже. Рекомендуется сохранять резервную копию на съемном носителе, чтобы хранить ее в другом месте, не на этом компьютере. Присвойте файлу имя и нажмите на кнопку Next (Далее).



Нажмите на кнопку Finish (Готово), и процесс создания резервной копии начнется.

Можете перед началом резервирования указать дополнительные параметры, например, резервирование только внесенных изменений. Этот параметр используется, если резервная копия состояния системы представляет файл очень большого размера. На следующем рисунке показан отчет о проведении резервирования состояния системы. Файл резервной копии имеет размер около 250 Мб, а процедура резервирования данных с удаленного диска через сеть заняла менее двух минут.




Службы терминала) на сервере IIS


Для установки Terminal Services ( Службы терминала) на сервере IIS в режиме удаленного администрирования войдите на сервер в качестве администратора и выполните следующие действия.

В панели управления откройте значок Add/Remove Programs (Установка и удаление программ). Отобразится окно, показанное на рисунке.



Запустите мастер Add/Remove Windows Components (Установка и удаление компонентов Windows); мастер поможет установить компонент Terminal Services (Службы терминала) (см. рисунок).



Отметьте опцию Terminal Services и нажмите на кнопку Next (Далее). Отобразится страница настроек мастера.



Выберите опцию Remote Administration Mode (Режим удаленного администрирования) и нажмите на кнопку Next (Далее), чтобы начать установку.

По завершении установки откройте меню Start (Пуск), выберите группу Administrative Tools (Средства администрирования), затем – Terminal Services Configuration (Настройка служб терминала) и дважды щелкните на подключении, для которого необходимо изменить уровень шифрования. В окне Encryption Level (Уровень шифрования) укажите высокий уровень шифрования.

Для установки файлов клиента терминала на удаленную рабочую станцию, с которой вы будете управлять сервером, откройте меню Start (Пуск), выберите группу Administrative Tools (Администрирование) и далее – Terminal Services Client Creator (Создание клиента служб терминала), чтобы создать установочные диски для компьютеров-клиентов Terminal Services.

Совет. Для запуска Terminal Services в режиме удаленного администрирования не нужна лицензия доступа для клиента сервера терминала. В режиме удаленного администрирования по умолчанию допускается максимум два одновременных подключения на сервере терминала.


Содержимое диска экстренного восстановления


В программе резервного копирования Windows 2000 есть мастер для создания диска экстренного восстановления ERD. ERD создается посредством копирования отдельных файлов из папки Windows 2000 %systemroot%\Repair на гибкий диск (см. табл. 6.1).

ERD не восстанавливает пользовательские данные или программы. Он просто хранит список файлов, установленных в системе, в файле Setup.log. Это текстовый файл, в котором записаны сведения о компонентах Windows 2000 и их расположении, установленных на сервере. Содержимое файла Setup.log можно просмотреть в любом текстовом редакторе. На рисунке 6.1 показан пример файла Setup.log.

Таблица 6.1. Файлы, хранящиеся на ERD

Имя файлаОписание
Autoexec.ntИспользуется для инициализации среды MS-DOS.
Config.ntИспользуется для инициализации среды MS-DOS.
Setup.logЖурнал, хранящий записи об установленных файлах и их расположении, а также CRC (контрольную сумму файла), которая используется в процессе экстренного восстановления. Файл имеет атрибуты "только чтение", "системный" и "скрытый" и является невидимым, если My Computer (Мой компьютер) не настроен на отображение всех файлов.

Каждая строка журнала содержит подробную информацию о файлах и каталогах системной папки сервера (папка в загрузочном разделе, содержащая исполняемые файлы, шрифты драйверов и другие файлы). В конце строки записывается CRC (контрольная сумма файла) в двоичном виде. Она вычисляется программой резервирования/восстановления и показывает размер файла. При использовании диска экстренного восстановления ERD с помощью CRC определяется, был ли текущий системный файл изменен (удален, поврежден и т.д.). В этом случае программа восстановления заменит исходный файл новым.

Диск ERD не содержит копии файлов реестра. Тем не менее, при создании диска можно зарезервировать файлы из каталога %systemroot%\Repair. Используйте эту возможность! При повреждении реестра файлы из этой папки помогут восстановить его без выполнения полного восстановления системы.



Создание диска экстренного восстановления


Для создания диска экстренного восстановления используется программа резервного копирования Windows 2000. Приготовьте отформатированный гибкий диск, так как эта программа не сможет выполнить форматирование, и выполните следующие шаги.


Рис. 6.1.  Файл Setup.log показывает все, что установлено в системе

Выберите команду Start\Accessories\System Tools\Backup (Пуск\ Программы\Служебные программы\Архивация данных). Откроется окно, показанное на рисунке ниже.


увеличить изображение

Нажмите на кнопку Emergency Repair Disk (Диск экстренного восстановления). Появится диалоговое окно Emergency Repair Diskette, показанное на рисунке. На данном этапе создайте резервную копию реестра посредством выбора опции Also Backup The Registry (Архивировать реестр). Резервная копия реестра используется при восстановлении системы в случае повреждения реестра.


Важно. Резервная копия реестра будет создана в папке RegBack в каталоге %systemroot%/Repair съемного тома операционной системы. Расположение резервной копии реестра на том же диске, что и исходный реестр, сохраняет угрозу повреждения реестра. Копия реестра, созданная посредством ERD, может оказаться полезной, но все-таки лучше физически отделить ее от сервера.Нажмите на OK, и диск будет подготовлен. После окончания процедуры появится диалоговое окно, предписывающее пометить диск названием и текущей датой.

Процедура создания дисков закончена. Следует повторно создавать диски установки и экстренного восстановления при каждом обновлении драйвера, версии, установке нового сервис-пакета или при другом значимом изменении в конфигурации.



Создание резервной копии реестра и информации о состоянии системы


Диск ERD не является альтернативой правильной процедуре резервирования данных. Как говорилось выше, следует также выполнять резервное копирование при внесении серьезных изменений в конфигурацию сервера, даже если время регулярного резервирования данных еще не пришло. Несмотря на то, что полное описание процесса резервирования Windows 2000/IIS выходит за рамки данной книги, некоторые моменты, связанные с этой процедурой, необходимо иметь в виду.

Совет. Инструкции по выполнению резервного копирования и восстановления подробно описаны в документации Microsoft и в справочной литературе на сайте www.microsoft.com/technet.



Создание загрузочных дисков установки


Для подготовки гибких дисков используется установочный компакт-диск Windows 2000. Вам понадобятся четыре пустых отформатированных 3,5-дюймовых дискеты объемом 1,44 Мб для установочных дискет и одна дискета для диска экстренного восстановления системы. Пометьте первые четыре дискеты меткой "Установочный диск Windows 2000" с номерами от одного до четырех, а пятую дискету пометьте как "Диск экстренного восстановления Windows 2000".

Для создания установочных дискет Windows 2000 выполните следующее.

Вставьте компакт-диск установки Windows 2000 в компьютер и выберите команду Start\Run (Пуск\Выполнить). Появится диалоговое окно Run, показанное на рисунке ниже.


Введите команду Z:\bootdisk\makebt32 a: и нажмите на OK (Z: – это обозначение устройства для чтения компакт-дисков, a: – привод гибких дисков).При выполнении команды окно консоли (см. ниже) выдаст инструкцию, согласно которой нужно вставить первый диск. Следуйте инструкциям программы и меняйте диски до тех пор, пока все установочные дискеты не будут готовы.


увеличить изображение

Теперь у вас имеется набор загрузочных установочных дискет на случай, если система не загрузится с жесткого диска или с компакт-диска. Эти дискеты позволят восстановить Windows 2000, о чем мы расскажем далее.



Структура сети и фильтрация пакетов в интранет-сети


В результате работы по физической защите сайта (укрепления сервера, настройки локальной политики безопасности, аутентификации, настройки доступа и аудита действий пользователей) создаются защитные барьеры, предотвращающие несанкционированный доступ к системе. Во внутренней сети еще одним барьером защиты является фильтрация.

Совет. Если вы используете фильтрацию на веб-сервере в интранет-сети и физически расположили сервер в защищенном месте, то фильтрация на сетевом интерфейсе, предназначенном для управления сервером, не нужна. Не используйте фильтрацию, если приняты основательные меры по физической защите.



Сводный перечень подготовительных действий перед началом работы сайта


Создайте набор средств восстановления перед подключением веб-сервера к интернету: создайте загрузочные диски установки;создайте диск экстренного восстановления;создайте резервные копии реестра и состояния системы.Выполните полное резервное копирование системы с сохранением копии отдельно от сайта.Используйте фильтрацию Windows 2000 для обеспечения дополнительной защиты в сети интранет.Убедитесь, что обеспечена безопасность сетевого периметра веб-сервера в интернете: примените демилитаризованные зоны;примените фильтрацию пакетов с помощью сетевых экранов для блокирования внешнего трафика;рассмотрите вопрос об использовании каналов VPN.Используйте шифруемый сеанс связи для удаленного управления.



Виртуальные частные сети


Технология виртуальных частных сетей (VPN) обеспечивает безопасные подключения к удаленно управляемому веб-сайту посредством выделения авторизованного шифруемого канала связи между двумя расположениями. С помощью MMC через VPN успешно осуществляется удаленное управление, но его довольно сложно настраивать.

Если сайт расположен у интернет-провайдера, то, скорее всего, последний поддерживает службу VPN, на которую можно подписаться. При отсутствии такой возможности можно самостоятельно настроить свой собственный канал VPN.

При использовании виртуальных частных сетей существуют следующие варианты.

Применение служб VPN, основанных на Microsoft Windows 2000. Придется выделить сервер в расположении веб-сайта, который станет сервером VPN, чтобы не снижать производительности веб-сайта.Использование служб VPN, имеющихся на сетевых экранах (CheckPoint или Raptor) либо на маршрутизаторах фирм Cisco, 3Com и др.Использование выделенной программно-аппаратной платформы сервера VPN.

При выборе нужного варианта руководствуйтесь следующими соображениями. При выборе VPN-служб Windows 2000 появится возможность использовать PPTP, но нельзя будет применять IPSec. В остальных случаях вы будете использовать IPSec, что потребует применения цифровых сертификатов и PKI. О шифровании пойдет речь в лекции 8, в которой также имеется обзор PKI. Лекция 9 рассказывает об использовании служб Windows 2000 ISA для каналов VPN и о сторонних продуктах VPN.



Windows 2000 содержит возможность фильтрации


Windows 2000 содержит возможность фильтрации в стеке протоколов TCP/IP. Используется простой набор правил, блокирующий все порты, кроме указанных (или открывающий доступ ко всем портам, кроме указанных), либо блокирующий (разрешающий) доступ по всему протоколу в целом.

Совет. Возможности Windows 2000 используются как в интернете, так и в интранет-сетях. Тем не менее, если сайт организации подключен к интернету, то сетевые экраны обычно используются для блокировки и фильтрации пакетов. Сетевые экраны имеют большие возможностями по блокировке, используя сложный набор методов для предотвращения проникновения в сеть различных видов трафика интернета. Полезные в интранет-сетях фильтры Windows 2000 не заменят собой хороший сетевой фильтр интернета.

Ниже приведены шаги по применению фильтрации TCP/IP в Windows 2000.

Выберите команду Start\Settings\Control Panel (Пуск\Настройка\ Панель управления) либо щелкните правой кнопкой мыши на значке My Network Places (Сетевое окружение) на рабочем столе и откройте панель управления.Щелкните на значке Network And Dialup Connections (Сеть и удаленный доступ), щелкните правой кнопкой мыши на значке Local Area Connection (Подключение по локальной сети) и в появившемся меню выберите команду Properties, чтобы открыть окно Local Area Connection Properties (Свойства подключения по локальной сети), показанное ниже.



Отметьте компонент Internet Protocol (TCP/IP) и нажмите на кнопку Properties, чтобы открыть окно Internet Protocol (TCP/IP) Properties (Свойства протокола интернета TCP/IP).Нажмите на кнопку Advanced (Дополнительно) в левом нижнем углу окна Internet Protocol Properties, чтобы открыть окно Advanced TCP/IP Settings (Дополнительные параметры TCP/IP), после чего откройте вкладку Options (Параметры). На рисунке показаны параметры TCP/IP.



В списке опций выберите TCP/IP Filtering (Фильтрация TCP/IP) и нажмите на кнопку Properties, чтобы открыть диалоговое окно TCP/IP Filtering (Фильтрация TCP/IP), показанное на рисунке.



Используемые правила фильтрации зависят от назначения сайта и от выполняемых на нем приложений.
Если веб-сайт содержит только статические веб-страницы, заблокируйте все, за исключением порта TCP 80 для HTTP. Для этого выберите опцию Permit Only (Разрешить только) в столбце TCP, нажмите на кнопку Add (Добавить) и в появившемся диалоговом окно укажите номер порта. При использовании сайтом протокола защищенных сокетов (SSL) необходимо указать порт 443. Перед нажатием на кнопку OK отключите опцию Enable TCP/IP Filtering (all adapters) [Включить фильтрацию TCP/IP (все адаптеры)], если не будете применять это правило к сетевому интерфейсу, используемому для управления сервером. Важно. Будьте осторожны с правилами! Если вы выберете Permit Only (Разрешить только) и не укажете ни одного номера порта, это будет интерпретировано как запрет по всем портам, и на сайт не сможет попасть ни один пользователь.

Процесс фильтрации аналогичен процессу, выполняемому для протокола UDP. Необходимо знать номер порта, для которого создается правило. Третий столбец в диалоговом окне TCP/IP Filtering (Фильтрация TCP/IP), имеющий заголовок IP Protocol (Протокол IP), используется для фильтрации по определенному протоколу. Необходимо указать протокол по номеру из справочной таблицы, поддерживаемой орагнизацией интернет-стандартов Internet Engineering Task Force (IETF) (см. приложение C). По мере необходимости можете добавлять в список новые протоколы.

Совет. Информация по параметрам IP-протокола имеется на сайте Microsoft Technet (www.Microsoft.com/technet) в разделе "IP Protocol Filtering" или в документе с номером Q309798.


Дополнительные сведения об отслеживании файла журнала


В лекции 5 обсуждалось использование программы Event Viewer (Просмотр событий), с помощью которой можно вести журналы операционной системы и просматривать файлы формата W3C в поисках признаков атак.

Несмотря на то, что поиск слабых мест в защите подобен поиску иголки в стоге сена, все же обратите внимание на элементы, указывающие на наличие проблемы безопасности. Microsoft рекомендует уделять особое внимание событиям, приведенным в табл. 7.1. В ней содержатся идентификаторы событий и вопросы, которые нужно задать самому себе по мере изучения информации.

Таблица 7.1. Подозрительные записи журнала безопасности

Идентификатор событияКомментарий
517Журнал аудита был очищен. Вы сами выполнили это действие, или это попытка хакера замести следы?
529Осуществлена попытка входа в систему с использованием неизвестной учетной записи или имеющейся учетной записи с указанием неправильного пароля. Неожиданно большая частота повторения этого события означает попытки угадывания пароля.
531Осуществлена попытка входа в систему посредством использования отключенной учетной записи. Чья это попытка, и каково ее назначение?
539Осуществлена и отклонена попытка входа, так как учетная запись была заблокирована. Кто пытался войти и зачем?
612Изменена политика аудита. Выясните, кто изменил ее и зачем.
624Создана учетная запись. Кто ее создал – вы или доверенное лицо?
628Установлен пароль пользователя. Кто это сделал – вы или доверенное лицо?
640Внесено изменение в базу данных SAM. Вы вносили это изменение?

Если вы отслеживаете большое количество событий, то не будете страдать от отсутствия информации. Смысловая обработка этой информации достаточно сложна. Windows 2000 имеет программные средства, позволяющие просматривать и осмысливать зафиксированную информацию. Существуют и коммерческие продукты, предназначенные для этой цели (см. лекцию 9), однако мы остановимся на продуктах Microsoft.



Другие признаки атаки


Атаки некоторых типов выявить довольно легко, например атаки на переполнение буфера, которые немедленно выводят из строя сервер, но некоторые атаки имеют менее явные симптомы. Журналы и оповещения Windows 2000 и IIS обнаруживают попытки выполнения таких атак. Ниже приведены некоторые общие признаки атак, которые следует искать.

Неожиданное увеличение исходящего трафика. Это могут быть как действия легальных пользователей сайта, так и злоумышленные действия, особенно при исходящем трафике, как было в случае с червем Code Red. Данный признак наблюдается и тогда, когда компьютер сети управляется для участия в распределенной атаке на отказ в обслуживании. Маршрутизаторы или сетевые экраны должны иметь возможность измерять как входящий, так и исходящий трафик. В самых лучших устройствах этого типа имеются средства, генерирующие отчеты, проверяемые еженедельно, ежедневно или немедленно.Большое число пакетов, обнаруженное фильтрами выхода маршрутизатора или сетевого экрана. Фильтрами выхода называются наборы политик маршрутизаторов, проверяющие исходящие пакеты и отслеживающие их исходные адреса. Так как в большинстве организаций известны сетевые адреса, защищенные сетевым экраном, сразу отбрасываются пакеты, исходные адреса которых не совпадают с адресами сети. Такие системы блокируют потенциально опасный трафик, который возникает при скрытом захвате хакерами узла и генерировании исходящих от него пакетов, которые призваны перегрузить заранее известную цель в интернете. Фильтры выхода предотвращают выход исследующих пакетов из сети, поэтому при обнаружении таких пакетов необходимо выяснить их источник, так как они являются признаками проникновения в сеть.Неожиданный скачок числа некорректных пакетов на сетевом экране. Большинство сетевых экранов и маршрутизаторов ведут сбор статистики о пакетах на границе сети, используя коммерческое программное обеспечение. Неожиданные скачки числа некорректных пакетов, как правило, говорят о том, что система подвергается атаке на отказ в обслуживании.



Двойная проверка безопасности сервера


Программа Microsoft Baseline Security Analyzer (MBSA) предназначена для сканирования компьютеров с Windows 2000 и определения примененных в системе обновлений безопасности, политик безопасности и соответствующих параметров. MBSA представляет расширенную версию HFNetChk – широко известной программы, используемой многими системными администраторами Windows 2000. MBSA сканирует сервер для определения операционной системы, наличия сервис-пакетов и программ, после чего исследует базу данных Microsoft и определяет надстройки безопасности для установленного программного обеспечения.

MBSA, как и HFNetChk, проверяет создаваемые надстройкой ключи реестра и наличие на сервере определенной надстройки, а также выясняет версию и контрольную сумму каждого файла, установленного надстройкой. MBSA проверяет также соответствие настроек системы общим рекомендациям по безопасности сервера, например, устойчивость паролей, состояние учетной записи Guest (Гость), тип файловой системы, общедоступные файлы, группу администраторов, наличие распространенных ошибок в конфигурации. После выполнения процедуры генерируется отчет. Ниже приведен список проверок MBSA для сервера IIS.

Простые пароли. MBSA в процессе сканирования проверяет компьютеры на наличие пустых, простых и неправильно указанных паролей: пароль пуст;пароль = имя пользователя (имя учетной записи);пароль = имя компьютера;пароль = "password";пароль = "admin";пароль = "Administrator".Группа Administrators (Администраторы). Определяет и создает перечень учетных записей, принадлежащих группе Local Administrators (Локальные администраторы). При обнаружении более двух учетных записей администраторов программа выводит список их имен и обозначает потенциальное слабое место. Рекомендуется свести к минимуму число администраторов, так как они по природе своей деятельности осуществляют полный контроль над системой.Аудит. Определяет включение аудита на сканируемом компьютере. Аудит Microsoft Windows отслеживает и фиксирует в журнале определенные системные события, такие как успешные и неудачные попытки входа в систему.
Следует всегда вести журнал и отслеживать события системы, чтобы определять потенциальные угрозы безопасности и вредоносные действия.Автоматический вход в систему. Определяет включение автоматического входа, наличие шифрования пароля входа в реестре или хранение его в открытом виде. Если включен автоматический вход в систему, и пароль хранится в открытом виде, это будет отражено в отчете безопасности как серьезное слабое место. Если включен автоматический вход, и пароль шифруется в реестре, это будет отражено в отчете безопасности как потенциальное слабое место.Проверка наличия ненужных служб. Определяет включение служб, содержащихся в текстовом файле services.txt. Если планировалось отключение какой-либо службы, но этого не произошло, или служба перезапустилась, то данная проверка выявит этот факт.Гостевая учетная запись. Определяет включение встроенной учетной записи Guest (Гость). Гостевая учетная запись используется для входа на компьютер с ОС Windows 2000 и должна быть отключена.Виртуальные каталоги MSADC и Scripts на сервере IIS. Определяет установку виртуальных каталогов MSADC (образцы сценариев доступа к данным) и Scripts. Сценарии в этих каталогах нужно удалить для снижения вероятности проведения атаки.Виртуальный каталог IISADMPWD. Определяет установку виртуального каталога IISADMPWD. В IIS 4.0 пользователи могут через него изменять свои пароли. IISADMPWD является слабым местом, через которое возможно раскрытие паролей. При обновлении сервера до IIS 5 этот каталог нужно удалить, Средство IIS Lockdown. Определяет выполнение на компьютере версии 2.1 программы IIS Lockdown. IIS Lockdown отключает ненужные возможности и настраивает политику безопасности IIS для уменьшения степени уязвимости защиты.Журнал IIS. Определяет включение журнала IIS и использование расширенного формата файла журнала W3C. Ведение журнала IIS выходит за рамки функций Windows и позволяет обнаружить возможные области атаки сервера или сайтов. Эта возможность должна быть всегда включена.Родительские пути IIS.


Определяет включение параметра ASPEnableParentPaths. При включении родительских путей на страницах Active Server Pages (ASP) используются относительные пути от текущего каталога к домашнему каталогу (пути, использующие символ "..").Демонстрационные приложения IIS. Определяет установку на компьютере папок с демонстрационными файлами: \Inetpub\iissamples \Winnt\help\iishelp \Program Files\common files\system\msadc

Эти каталоги и все виртуальные каталоги нужно удалить.Члены роли Sysadmin (Системный администратор). Определяет число членов роли Sysadmin и отображает результаты в отчете безопасности. Как правило, в роли Sysadmin должно содержаться как можно меньше пользователей.Окончание срока действия пароля. Определяет наличие в учетных записях локального пользователя пароля с неограниченным сроком действия. Пароли должны регулярно меняться для предотвращения атак на взлом паролей. Такие учетные записи будут указаны в отчете.Ограничение анонимных пользователей. Определяет использование ключа реестра RestrictAnonymous для ограничения анонимных подключений разрешениями Read (Чтение) или Read and Execute (Чтение и выполнение) в каталогах сценариев (если они имеются).Общие объекты. Определяет наличие общих папок. В отчете будут показаны все найденные на компьютере общие объекты, включая администраторские общие папки, а также их разрешения уровня общего доступа и уровня NTFS. На веб-сервере ни в коем случае не должны присутствовать общие папки!

Перед запуском MBSA следует уяснить две вещи. Во-первых, проверка входа вызовет создание записей в журнале событий безопасности, если на компьютере включен аудит событий входа/выхода из системы. Во-вторых, тест на ненужные службы использует файл services.txt в качестве контрольного списка. Отредактируйте этот файл таким образом, чтобы он содержал конкретные службы для проверки на каждом сканируемом компьютере. Файл services.txt, устанавливаемый по умолчанию с этой программой, содержит следующие службы:

MSFTPSVC (FTP) TlntSvr (Telnet) RasMan (Диспетчер службы удаленного доступа) W3SVC (WWW) SMTPSVC (SMTP)

Перечень остальных служб, которые необходимо отключить, см. в лекции 3.


Использование журнала и уведомлений о сбоях в качестве средства защиты


Для получения доступа к серверу хакеры, скорее всего, будут пытаться вызвать не нем сбой, поэтому желательно отслеживать информацию о сбоях. В дополнение к файлу журнала сбоев используются еще два метода уведомления и фиксирования сбоев посредством изменения некоторых переменных в реестре Windows 2000.

Для настройки уведомления о сбоях сервера выполните следующие шаги.

Выберите команду Start\Run (Пуск\Выполнить) и запустите программу Regedit.В редакторе реестра включите административное уведомление посредством присвоения параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControl/SendAlert значения 1. При следующем сбое сервера сгенерируется административное оповещение.Включите журнал операционной системы, фиксирующий сбои в журнале событий, присвоив параметру HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/CrashControlLogEvent значение 1 для фиксирования точного времени сбоев.

Включенное уведомление о сбоях оповестит о возникших проблемах. Информация, записанная в журнале, используется в аудите безопасности для определения того, был ли сбой сервера вызван умышленно.



Экспорт журналов в текстовые файлы


В файлы журнала можно записать неограниченное количество информации. В реальной жизни такой объем затрудняет работу. Иногда информацию экспортируют в текстовый файл и открывают в программе типа электронных таблиц или баз данных. В этих программах можно отсортировать списки по номерам событий или осуществить поиск определенных сообщений. Журналы IIS автоматически сохраняются в текстовом формате, а вот файлы журналов Windows 2000 необходимо преобразовывать.

Это делается двумя способами. Используйте команду Save As (Сохранить как) в программе Event Viewer (Просмотр событий) для сохранения файла в виде текста с разделителями-табуляцией либо в формате файла с разделителями-запятыми (CSV). Можно вывести журнал событий с помощью программы dumpel.exe – средства командной строки, доступного для загрузки по адресу http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.

При обращении к прежним журналам для получения информации этот метод значительно облегчит задачу. Dumpel.exe преобразовывает журнал событий локальной или удаленной системы в текстовый файл с разделителями-табуляцией и осуществляет фильтрацию файла для нахождения искомой информации, руководствуясь указанными в командной строке параметрами. В программе dumpel.exe используется следующий синтаксис:

dumpel.exe –f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3…] [-r] [-t] [-d x]-f file – указывает имя результирующего файла. Для параметра –f не установлено значение по умолчанию, поэтому обязательно укажите файл.-s \\server – указывает сервер, для которого записывается журнал событий. Обратные слэши перед именем сервера вводить необязательно.-l log – определяет, какой журнал (системный журнал, журнал приложений, журнал безопасности) следует записать. Если указано неправильное имя журнала, то записывается журнал приложений.-m source – указывает, в каком источнике (например, редиректор (rdr), последовательный порт и т.д.) следует преобразовать записи журнала в текстовый файл. Если указан источник, не зарегистрированный в реестре Windows, в журнале приложений будет осуществлен поиск записей данного типа.-e n1 n2 n3 – осуществляет фильтрацию события с идентификатором nn (можно указать до 10 элементов). При использовании ключа -r будут записываться только записи этих типов. Если ключ -r не используется, будут выбраны все события из указанного источника. Данный параметр нельзя использовать без ключа -m.-r – указывает, нужно ли осуществлять фильтрацию для поиска определенных источников или записей, либо отбросить их.-t – указывает, что отдельные строки разделяются символами табуляции. Если параметр -t не используется, строки разделяются пробелами.-d x – записывает события за последние x дней.



Методология жизненного цикла


Жизненный цикл управления использует стандартизированный повторяемый набор процедур для обновления, переоценки и защиты сайта. Стандартизация обеспечивает правильную конфигурацию программного обеспечения, последовательное и предсказуемое выполнение задач. При помощи точно разработанных концепций политики обеспечивается эффективное реагирование. Схема жизненного цикла управления приведена на рис. 7.1.

Это очень важный подход, поскольку в динамической и изменяющейся среде интернета требуется процесс управления, постоянно адаптирующийся к возникающим ситуациям. Процесс укрепления системы основан только на фактах, о которых уже многое известно. Реализация жизненного цикла обеспечит переоценку подхода и знание тех изменений в технологиях, которые оказывают влияние на сайт.


увеличить изображение
Рис. 7.1.  Схема жизненного цикла управления



Настройка предупреждений Windows 2000 и IIS


Помимо изучения файлов журналов, которое представляет собой обработку уже произошедшего события, используется интерактивное отслеживание и обнаружение посредством предупреждений. Индикатор производительности Windows 2000 содержит функцию counters (счетчики), которая выявляет возможные атаки хакеров и автоматически сообщает о неполадках.

Performance Monitor (Индикатор производительности), как видно из названия программы, используется для отслеживания вопросов, связанных с производительностью системы. Эта программа обеспечивает безопасность, если созданы отдельные правила отслеживания системных событий или событий служб интернета. Правила инициируют определенное действие, когда встречается указанное условие. Например, с помощью функции counters для установки порога события можно отобразить через сеть сообщение в случае преодоления порога. При инициировании оповещения сервером предпринимаются следующие действия.

Отправка сетевого сообщения.Создание записи в журнале событий приложений.Запуск журнала данных о производительности.Запуск указанной программы.



Отслеживание признаков атак


Часто случается так, что атаки не сразу выводят из строя сервер, а оставляют на нем программы, заражающие сайт и воздействующие на него в течение продолжительного времени. Следует следить за содержимым журналов для выявления таких программ. Как и вирусы, многие атаки с использованием червей или "троянских коней" являются автоматизированными атаками, оставляющими признаки присутствия (предсказуемые наборы событий или записанных файлов) в файлах журналов, по которым можно судить об их наличии в системе. Например, во многих организациях червь Code Red был выявлен посредством нахождения характерного GET-запроса на файл default.ida в файлах журналов. Подпишитесь на рассылки с новостями в области информационной безопасности или регулярно посещаете сайт CERT для получения новых сведений об этих признаках, чтобы обнаруживать их в журналах.



Ответные действия


Если система находится в интернете, она рано или поздно будет атакована. То же самое относится и к интранет-сети. Следовательно, необходим план ответных действий при обнаружении ненормальной активности в сети.

Помните, что за успешными атаками часто следует череда неудачных атак. Если средства отслеживания определили атаку, даже безуспешную, необходимо на нее отреагировать. Если атака на компьютер будет успешной, то чем раньше вы ее обнаружите и отреагируете, тем проще предотвратить повреждение системы.



Переоценка угроз


Переоценка угроз представляет собой критический процесс, определяющий степень защищенности любой системы; этот процесс необходимо планировать как обычную процедуру управления безопасностью, так как в программно-аппаратных продуктах постоянно обнаруживаются все новые и новые слабые места. Программные продукты должны проверяться на стойкость к новым угрозам, выявляемым организациями типа института SANS после последних обновлений Microsoft.

Каждую систему нужно исследовать с помощью структурированного процесса, проверяющего текущее состояние защиты. Периодическая переоценка включает в себя мероприятия, описываемые в сводных перечнях этой книги и в других источниках информации о безопасности. Необходимо запускать новейшие средства безопасности, выпущенные Microsoft, для обработки всех возможных обстоятельств, связанных с безопасностью. Разумеется, средства, которые изначально использовались для повышения уровня безопасности (см. лекцию 3), обновляются Microsoft по мере обнаружения новые слабых мест.

Структурированный подход является ключом к успешной защите веб-сайта. Легко не выполнить какой-либо шаг или не завершить задачу, но вероятность таких ошибок уменьшится, если следовать упорядоченной схеме выполнения процесса. Ниже приведено краткое описание процесса переоценки.

Примените последние исправления и процедуры по укреплению системы, имеющиеся в разделе безопасности веб-сайта Microsoft TechNet (www.microsoft.com/technet/security). Так как эти исправления часто меняются, то здесь не указан конкретный адрес URL.Дважды проверьте основу безопасности сайта, запустив новое средство Microsoft Security Baseline Analyzer (MSBA) для проверки политики Windows 2000 и слабых мест в конфигурации, которые не были исправлены при помощи надстроек безопасности. Более подробную информацию об этой программе и инструкции по ее загрузке можно найти в документе Q320454 на сайте TechNet.Еще раз выполните IIS Lockdown, чтобы удостовериться в корректности конфигурации и политики безопасности IIS (см. лекцию 3).Проведите тестирование безопасности системы, настраивая основные параметры безопасности и применяя рекомендации в качестве превентивных мер защиты.Повторите этот цикл в соответствии с политикой безопасности организации.



Переоценка угроз и предупредительное отслеживание


Предупредительное отслеживание ограничивает попытки вторжений посредством периодической переоценки угроз. С точки зрения управления этот процесс выполняется на веб-сайте с целью своевременного обнаружения попыток вторжения и немедленного реагирования на возникшие угрозы. Отслеживание системы включает в себя регулярно проводимые обзоры журналов, а также более динамичные формы мониторинга с выводом уведомлений о потенциальных проблемах.



ПРОБЛЕМА


Обнаружив, что компьютер атакован, довольно трудно оставаться спокойным и хладнокровным, но это необходимо для принятия здравых и правильных решений. Не все инциденты, связанные с нарушением безопасности, являются реальными. Может возникнуть ложная тревога, если средства наблюдения зафиксировали происшествие, которое на самом деле не является атакой или вредоносным действием.

В таких стрессовых ситуациях поможет четкое и последовательное выполнение действий. Клиентам не особо понравится, если вы отключите сайт, и обиднее всего, если в действительности на сайт не было произведено никакой атаки. Ниже приведен перечень процедур, который поможет выявить и определить источник подозрительных событий.

В ситуациях, связанных с возможным нарушением безопасности сайта, выполните следующие шаги.

Определите все системы, задействованные в происшествии.Предотвратите перезагрузку компьютера, вход и выход из системы или случайный запуск вредоносного кода.Проверьте журналы аудита на наличие признаков несанкционированных действий. Отсутствие журналов или пустые места в файлах журналов представляют собой явные признаки сокрытия следов атаки.Проверьте ключевые учетные записи и группы. Попробуйте обнаружить попытки входа через учетные записи по умолчанию. Проверьте группы Administrators (Администраторы), Backup Operators (Операторы учетных записей) и Web Site Operators (Операторы веб-сайта) на наличие несанкционированных записей или членов группы. Проверьте учетные записи на повышенные привилегии. Отследите активность в нерабочие часы.Осуществите в каталогах веб-сервера поиск файлов, которые вы там не располагали. Осуществите поиск в системе средств хакеров ("троянских коней", таких как Subseven, и т.п.).Проверьте Task Manager (Диспетчер задач) Windows 2000 (открывается нажатием комбинации Ctrl+Alt+Del) на наличие неизвестных приложений или процессов. Проверьте конфигурацию служб на наличие автоматически запускаемых служб, которые не включались в процессе укрепления системы.



Проведение аудита безопасности


Итак, что же следует искать при аудите сайта после инцидента, связанного с нарушением безопасности? Ответ на этот вопрос либо очень прост – поиск всего, что свидетельствует о подозрительной или необычной активности, либо ответ заключается в отсутствии ответа на этот вопрос. В данном случае больше подходит вопрос: "С чего начать?". Начать следует с просмотра журналов на предмет обнаружения улик в различных областях.

Необходимо определить нанесенный ущерб. Утеряны ли файлы? Имел ли место явный сбой в работе сервера? Обнаружен ли признак хорошо известной атаки в журналах? Присутствует ли в системе вирус? Ответы на эти вопросы и будут той базой, на основе которой вы продолжите "разбор полетов".

После этого исследуйте каждую категорию событий для выявления этапов проведения атаки. При включенном аудите (см. лекцию 5) фиксируются данные о следующих категориях событий:

события входа;управление учетными записями;доступ к объектам;использование привилегий;изменение политики;системные события.

В общем, с помощью исследования файлов или объектов, на которые было оказано воздействие, можно выявить последовательность событий, которая привела к сбою.

В лекции 6 содержатся подробные инструкции по аудиту, предоставленные Microsoft Security Operations Guide Windows 2000 Server (Руководство по безопасности сервера Windows 2000). Это руководство содержит детали всех конкретных событий, которые необходимо отследить. Адрес URL данного руководства очень велик и, скорее всего, уже изменился, поэтому здесь он не приводится. Можно найти это руководство через поиск на сайте Microsoft TechNet (www.microsoft.com/technet) строки "Security Operations Guide for Windows 2000 Server".



Реагирование на атаку


Если выяснилось, что защита сервера преодолена, следует быстро и правильно принять решение об ответном действии. Во-первых, попытайтесь определить атакующего. Просмотрите журналы сервера и сетевого экрана, чтобы определить, из какого места исходила атака – с другой взломанной системы в сети или из интернета. Не делайте предположений – старайтесь выявлять факты.

Когда вы узнаете, откуда была выполнена атака, попытайтесь остановить ее. Можно применить фильтрацию адреса или домена для блокировки источника. Отключите компьютеры от сети, если уверены, что на них находятся вредоносные файлы, или что они заражены червем или вирусом. Если вы подверглись распределенной атаке на отказ в обслуживании (DDoS), обратитесь за помощью к поставщику коммуникационных услуг.



Сводный перечень действий, формирующих жизненный цикл управления безопасностью


Дважды проверьте и протестируйте основные аспекты безопасности системы. Примените самые последние обновления и надстройки безопасности.Воспользуйтесь программой Microsoft Basic Security Analyzer.Еще раз выполните IIS Lockdown.Осуществите проверку наличия уязвимых мест в реальных условиях. Обеспечьте превентивный контроль безопасности.Осуществляйте регулярный просмотр журналов.Ведите аудит выключения сервера и просматривайте журналы сразу после сбоев.Осуществляйте поиск признаков атак в файлах журналов.Установите оповещения Windows 2000 и IIS.Попробуйте обнаружить внешние признаки атак в журналах сетевого экрана и маршрутизатора. Реагируйте на инциденты, связанные с нарушением безопасности.Попытайтесь отследить источник атаки.Как можно скорее предотвратите действие атаки посредством фильтрации исходных адресов и отключения сервера от сети при необходимости.Примите решение о том, чтобы оставить сайт функционирующим. Обратитесь за инструкциями к политике безопасности.Осуществите аудит безопасности для определения размеров ущерба и источника атаки. Четко фиксируйте обнаруженные факты.Определите, какие меры безопасности необходимо предпринять, и реализуйте их. Исключите всякую возможность проникновения в систему посторонних людей.Верните систему к нормальному функционированию.



Тестирование на уязвимость в реальном режиме


Специалисты в области информационной безопасности рекомендуют проводить тестирование в реальном режиме для проверки воздействия атак, посредством которых хакеры определяют степень защищенности веб-сайта. В статье "Переоценка уязвимости: превентивные меры по обеспечению безопасности вашей организации", опубликованной на веб-сайте SANS, говорится, что при проведении переоценки уязвимых мест используемый набор средств должен быть похож на тот набор инструментов, который использует противник. Это обеспечит защищенность систем от атак, которые в данный момент находятся на пике популярности среди хакеров.

Ниже приведен список некоторых полезных средств, которые можно бесплатно загрузить из интернета. Коммерческое программное обеспечение для сканирования выпускается такими производителями как Symantec, Network Associates, BindView, eDigital Security и Internet Security Systems.

Nmap – утилита для исследования сети и/или аудита безопасности. Быстро и аккуратно сканирует сети и определяет доступные узлы, работающие службы и используемые операционные системы. Доступна по адресу http://www.insecure.org.Nessus – удаленный сканер безопасности. Осуществляет аудит сети и определяет наличие уязвимых мест. Программа запускает имеющиеся в ее комплекте эксплоиты и выводит отчет о степени успеха работы каждого из них. Доступна по адресу http://www.nessus.org.Whisker – интернет-сканер CGI. Осуществляет сканирование на предмет наличия известных уязвимых мест в веб-серверах с предоставлением URL, вызвавшего событие. Определяет тип функционирующего веб-сервера, легко обновляется и имеет множество полезных возможностей. Доступна по адресу http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2.Enum – консольная Win32-утилита для сбора информации. С помощью недействительных сеансов получает перечни пользователей, компьютеров, общих объектов, имен, групп и членов групп, а также информацию о паролях и политике. Осуществляет примитивную атаку грубой силы, направленную на отдельные учетные записи. Доступна по адресу http://razor.bindview.com/tools/index.shtml.

Некоторые из этих средств работают под Windows, некоторые – под UNIX или Linux. Если вы немного разбираетесь в хакерстве, имеете доступ к платформам, использующим отличную от Windows платформу, и достаточно времени для тестирования, то сможете самостоятельно выполнить нужные тесты для подтверждения защищенности сервера. Однако большинство из вас не сможет этого сделать.

Существует альтернативный подход. Один из вариантов – обращение к консультанту. Также можно использовать новый, доступный в интернете, тип служб, осуществляющий автоматическое сканирование сайта. Выполнив поиск в системе Google по строке "Online Vulnerability Testing Service", вы получите перечень компаний, предлагающих подобные услуги. Некоторые из этих услуг имеют бесплатные демонстрационные версии, и вам стоит потратить время на их изучение.



Установка оповещения операционной системы


Один из подходов к использованию счетчиков производительности и оповещений на веб-сервере без анонимной аутентификации заключается в выдаче уведомления при возникновении большого числа ошибок входа в систему, означающего атаку злоумышленника. Так, например, если установить порог, равный 25 ошибкам входа, то после превышения этого порога система будет выдавать сообщение.

Ниже приведена процедура настройки данного типа оповещения.

Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2). Щелкните правой кнопкой мыши на значке Alerts (Оповещения) и в появившемся меню выберите New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее параметр, например, Logon Failures (Ошибки входа).


увеличить изображение
Рис. 7.2.  Используйте индикатор производительности для создания оповещения

После присвоения правилу имени появится диалоговое окно Logon Failures (Ошибки входа), в котором определяется правило для создаваемого оповещения (см. рис. 7.3) с пустыми полями. Эта процедура начинается на вкладке General (Общие). Добавьте комментарий в верхнее поле, после чего нажмите на кнопку Add (Добавить) для начала создания правила.


Рис. 7.3.  Первым шагом в создании оповещения является добавление правила

Счетчики являются первым параметром правила, который необходимо определить. Диалоговое окно Select Counters (Добавить счетчики) изображено на рис. 7.4. При подсчете событий на локальном компьютере выберите опцию Use Local Computer Counters (Использовать локальные счетчики). При подсчете событий на другом сервере в домене Windows укажите имя компьютера, выбрав опцию Select Counters From Computer (Выбрать счетчики с компьютера).


Рис. 7.4.  В диалоговом окне Select Counters (Добавить счетчики) определяются параметры счетчика

Выберите тип объекта производительности, отслеживаемого компьютером, в ниспадающем списке Performance Object (Объект).
В нашем примере выберите Server Object (Сервер).Определите сам счетчик. Внизу диалогового окна выберите опцию Select Counters From List (Выбрать счетчики из списка) и в списке выберите опцию Errors Logon (Ошибок входа). Будет доступна и другая опция – All Counters (Все счетчики), но правило столь широкого действия не потребуется для нашего примера.Нажмите на кнопку Add (Добавить) для создания счетчика, после чего нажмите на Close (Закрыть) для выхода из окна и возврата к предыдущему окну.В окне Logon Failures (Ошибки входа) (см. рис. 7.3) определите способ применения счетчика. Щелкните на ниспадающем меню рядом с полем Alert When The Value Is (Оповещать, когда значение) и выберите Over (Больше). Установите предел, равный 25.Внизу диалогового окна показано, что правило установлено на съем показаний счетчика через каждые 5 с (значение по умолчанию). Так как это обеспечивает слишком частый съем показаний (даже автоматизированная программа вряд ли сможет осуществить столько попыток входа за 5 с), укажите более подходящее значение, равное 60 с, для уменьшения затрачиваемых ресурсов и повышения чувствительности счетчика.Теперь определите действие, инициирующее оповещение. Откройте вкладку Action (Действие) (см. рис. 7.5). В появившемся диалоговом окне выберите параметры действий, которые необходимо предпринимать. В данном случае разумно установить всплывающее сетевое сообщение, отправляемое в консоль управления сервером (сервер будет отправлять сообщение самому себе для немедленного предупреждения администратора). Более того, при удаленном управлении нужно отправлять сообщение на вашу рабочую станцию, для чего необходимо указать имя вашего рабочего компьютера.


Рис. 7.5.  Во вкладке Action (Действие) определите для сервера способ обработки оповещения

После определения действия правило готово к работе. Можно создать расписание работы правила с помощью вкладки Schedule (Расписание), однако Windows 2000 по умолчанию предусматривает немедленный запуск правила, если не указаны другие параметры.Нажмите на кнопку Apply (Применить), чтобы созданное правило вступило в силу, после чего нажмите на OK для выхода из окна.


Установка оповещения веб-службы


Аналогично оповещениям операционной системы можно установить оповещения для событий в веб-службах IIS. Используется широкий набор порогов веб-служб для создания правил: число вхождений событий в секунду, текущее количество подключений, общее число отклоненных событий и другие. В таблице 7.3 показаны некоторые полезные оповещения (этот список далеко не полон).

Для установки оповещения веб-службы выполните процедуры, описанные в разделе "Установка оповещения операционной системы", но в диалоговом окне Select Counters (Добавить счетчики) укажите другие параметры.

Откройте консоль MMC Performance Monitor (Производительность) (см. рис. 7.2), щелкните правой кнопкой мыши на значке Alerts (Оповещения). Во всплывающем меню выберите команду New Alert Settings (Новые параметры оповещений). При появлении запроса укажите имя, описывающее данный параметр.Определите правила для создаваемого оповещения в диалоговом окне Logon Failures (Ошибки входа) (см. рис. 7.3). Добавьте комментарий в верхней части окна и нажмите на кнопку Add (Добавить), чтобы начать создание правила.В диалоговом окне Select Counters (Добавить счетчики) (см. рис. 7.6) еще раз выберите опции Use Local Computer Counters (Использовать локальные счетчики) и Select Counters From List (Выбрать счетчики из списка). На этот раз в поле Performance Object следует выбрать Web Services (Веб-службы).Станет активной правая часть окна. Выберите All Instances (Все вхождения), если нужно, чтобы счетчик был активен на всех веб-сайтах сервера, либо укажите определенные сайты.

Таблица 7.3. Оповещения IIS и их возможные причины

Счетчик веб-службОписание
Не обнаружено ошибок в секундуПри превышении значения означает попытку раскрытия на сервере адреса URL виртуальных каталогов.
Всего попыток подключенияПри превышении значения означает, что сайт подвергся атаке на отказ в обслуживании (DoS) посредством перегрузки сервера соединениями.
Текущие анонимные пользователиПри превышении значения означает проникновение на веб-сайт для сохранения элементов, связанных с другим сайтом. Это менее опасно по сравнению с атакой DoS, так как сервер не выводится из рабочего состояния, но при этом используются ваши ресурсы. Набор аналогичных счетчиков, фиксирующих текущее или полное число одновременных событий, поможет выявить ненормальное использование ресурсов.


Рис. 7.6.  При установке счетчика веб-служб укажите нужные веб-сайты

Откройте вкладку Action (Действие) и выберите действие, инициирующее правило (см. рис. 7.4). После этого нажмите на кнопку Add (Добавить) для добавления правила и закройте окно.Вернувшись к окну Logon Failures (Ошибки входа), нажмите на кнопку Apply (Применить) для активирования правила, затем нажмите на OK для выхода из окна.



Устранение проблемы


В ответ на вторжение необходимо обеспечить защиту сайта от подобных атак в будущем. Хакеры придают взлом систем широкой огласке, регулярно предоставляют друг другу адреса систем и обмениваются информацией. Злоумышленники пытаются получить доступ по имеющимся у них адресам систем повторно через достаточно продолжительный период времени.

Перед тем как снова включать сайт в нормальную работу, необходимо удостовериться, что он более не является уязвимым. После определения источника атаки посетите веб-сайт Microsoft для выяснения того, появилась ли надстройка, устраняющая это уязвимое место. Если оно возникло в периметре сети, проверьте сайты фирм-производителей сетевых экранов и маршрутизаторов и обновите правила фильтрации.

В качестве компонента успешного вторжения злоумышленники, как правило, устанавливают "черные ходы", позволяющие впоследствии снова получить доступ к системе-жертве. Если вы не уверены, что подобные программные элементы отсутствуют на компьютере, то полностью переустановите все программное обеспечение системы. Так как трудно судить, что же именно было объектом атаки, многие администраторы предпочитают переустанавливать систему согласно устоявшейся политике. На сервере следует также сменить все имена и пароли учетных записей пользователей.