Улучшение защищенности служб
В составе IIS 6.0 реализован целый ряд механизмов и технологий, увеличивающих защищенность веб-приложений и оперируемых ими данных. Одно из коренных отличий служб IIS 6.0 от предыдущих версий (с точки зрения системы безопасности) заключается в том, что эти службы не инсталлируются по умолчанию непосредственно в ходе установки операционной системы. При необходимости администратор должен вручную выполнить процесс установки компонентов IIS. Тем самым сокращается количество уязвимых мест сервера под управлением Windows Server 2003 (ведь по статистике большинство атак на Windows 2000-серверы использовали уязвимости в службах IIS). Следует заметить, что службы IIS, устанавливаемые по умолчанию, зачастую просто выпадали из внимания администраторов (особенно тех, кто имел недостаточный опыт работы). Новый подход гарантирует, что службы будут устанавливаться только тогда, когда они действительно необходимы.
Другим новшеством явилось то, что даже в случае ручной установки компонентов служб IIS по умолчанию включается поддержка только статических механизмов публикации материалов. Механизмы динамической публикации содержимого веб-сайтов (такие как ASP, XML, WebDAV и другие технологии) по умолчанию отключены. Администратор должен вручную разрешить использование механизмов динамической публикации. Кроме того, обязательным условием является наличие отображений используемых расширений на соответствующие приложения. В противном случае будет возвращаться ошибка 404 (ресурс не обнаружен).
Сведения о новых функциональных возможностях IIS 6.0, обуславливающих улучшение безопасности решений на его базе, приведены в табл. 16.3.
Таблица 16.3. Функциональные возможности, улучшающие защищенность служб IIS.
Функциональная возможность | Описание |
---|---|
Цифровая аутентификация | Данный механизм аутентификации представляет собой более защищенный вариант базовой аутентификации. В отличие от последней, предполагающей передачу информации о пароле открытым текстом, в процессе цифровой аутентификации передается хэшированный пароль. Для хэширования применяется алгоритм MD5. Использование механизма цифровой аутентификации описано в рамках протокола HTTP 1.1, поэтому для его использования требуется, чтобы браузер поддерживал этот стандарт |
Безопасное взаимодействие | Для реализации защищенного канала передачи данных между клиентом и сервером могут быть использованы механизмы Security Socket Layer версии 3.0 (SSL) и Transport Layer Security (TLS). Эти механизмы могут быть также применены для организации проверки подлинности участников соединения |
Шлюзовое серверное шифрование (Server-Gated Cryptography, SGC) | Это расширение протокола SSL, которое позволяет финансовым учреждениям, использующим службы IIS в экспортном варианте, применять мощное 128-разрядное шифрование. Возможности SGC встроены в службы IIS, однако, чтобы использовать SGC, требуется специальный сертификат SGC |
Возможность выбора криптографических алгоритмов | Механизм SSL является надежным способом организации защищенного взаимодействия. Однако процесс шифрования сетевого трафика между клиентом и сервером приводит к существенной нагрузке на процессорную подсистему. IIS позволяет администратору выбрать поставщика криптографических услуг (Cryptographic Service Provider, CSP) в соответствии со стоящими перед ним задачами. Например, можно задействовать аппаратные устройства, выполняющие шифрование данных или использовать CSP стороннего производителя |
Настраиваемые полномочия рабочих процессов | Администратор может сконфигурировать пулы приложений (а соответственно и связанные с ними рабочие процессы) таким образом, чтобы они выполнялись в контексте учетной записи, обладающей полномочиями меньшими, чем учетная запись LocalSystem. Это позволяет сократить риск от возможных атак |
Мастера безопасности | В составе IIS реализованы специальные мастера, упрощающие выполнение задач администрирования сервера. Это мастер Web Server Certificate Wizard, упрощающий процесс создания запросов на получение сертификатов и управление циклом жизни сертификата, а также мастер CTL Wizard, используемый для настройки списков доверия сертификатов (Certificate Trust List, CTL). Список CTL представляет собой перечень центров авторизации или поставщиков сертификатов (Certificate Authorities, CA), получивших доверие, для заданного каталога. CTL особенно полезен для поставщиков услуг Интернета (ISP), которые держат на своем сервере много веб-узлов клиентов и должны хранить различные утвержденные списки центров авторизации для каждого узла |
Совместимость с протоколом Kerberos v5 | Службы IIS полностью интегрированы с моделью безопасности Kerberos, реализованной в Microsoft Windows Server 2003 |
Управление развертыванием служб IIS через механизм групповых политик | Используя механизм групповых политик, администратор может запретить пользователям развертывание службы IIS в рамках домена |
Управление правами доступа рабочих процессов | Рабочие процессы в рамках IIS запускаются в контексте учетной записи пользователя с ограниченными правами доступа. Это позволяет снизить риск, связанный с возможными атаками |
Защита ASP | Все встроенные ASP-функции вызываются в контексте учетной записи, обладающей ограниченными правами доступа |
Ограничение на запуск исполняемых файлов | Запуск большинства исполняемых файлов, расположенных в системной папке, разрешен ограниченному кругу лиц (например, членам группы Administrators) |
Управление обновлениями | В рамках IIS реализована возможность применения обновлений (патчей) без необходимости остановки служб IIS |
Защита от записи для содержимого веб-сайта | По умолчанию анонимным пользователям запрещено выполнение операции записи при работе с веб-сайтами |
Ограничение на объем закачиваемых данных | Администратор имеет возможность ограничения объема данных, которые могут быть закачаны на сервер |
Контроль переполнения буфера | Рабочий процесс способен обнаружить переполнение буфера и прервать программу, виновную в этом |
Управление доступом к исходному коду сценариев | Администратор может устанавливать разрешения на доступ к исходным кодам сценариев. По умолчанию это разрешение отключено |
Суб-аутентификация | Механизмы суб-аутентификации (позволяющие использовать механизмы аутентификации сторонних приложений) по умолчанию отключены в IIS 6.0 |