安全にIIS

通常、ほとんどのWebサイトは最も許容できる方法で情報に即時にアクセスできるように設計されています。過去数年の間に、ハッカー、ウイルス、ワームによって引き起こされるセキュリティ上の問題が、Webサイトのアクセシビリティに深刻な影響を及ぼしてきました。 Webサーバーは一般の真のターゲットです。

高等教育機関は、活気に満ちたユーザーフレンドリーなWebサイトを構築することと、安全性の高いWebサイトを構築することとのバランスを模索するのに苦労しています。さらに、彼らは今や技術予算の縮小に直面して彼らのウェブサイトのセキュリティを改善することに集中しなければならない（実際、彼らの民間部門の多くもまた同様の状況に直面している）。私は予算の頭痛の大学のIT管理者のためにここにいる理由です

は、彼らのIISサーバーを保護するためにいくつかのヒントを提供します。主に大学のIT専門家向けですが、これらの手法は基本的に、小さな予算でセキュリティを強化したいIISマネージャにも適用できます。実際には、これらの手法の中には、予算が厳しいIIS管理者にとっても非常に便利なものがあります。

まず、セキュリティポリシーを作成します。

Webサーバーを保護するための最初のステップは、ネットワーク管理者がセキュリティポリシー内のすべてのシステムを確実に認識できるようにすることです。同社の経営トップがサーバーのセキュリティを保護する必要がある資産と見なさない場合、保護作業はまったく意味がありません。この作業には長期的な努力が必要です。予算がそれをサポートしていない場合、またはそれが長期的なIT戦略の一部ではない場合、サーバーセキュリティの保護に多くの時間を費やす管理者は重要な管理サポートを受けられません。

ネットワーク管理者がリソースのあらゆる面でセキュリティを確立することによる直接的な影響は何ですか？特に冒険好きなユーザーの中には、外に出てしまう人もいます。それらのユーザーは会社の経営陣について不平を言い、経営陣は何が起こったのかネットワーク管理者に尋ねるでしょう。そうすると、ネットワーク管理者は安全な作業をサポートする文書を作成できないため、競合が発生します。

Webサーバーのセキュリティレベルと可用性のセキュリティポリシーにラベルを付けることで、ネットワーク管理者はさまざまなソフトウェアツールをさまざまなオペレーティングシステムに簡単に展開できます。
IISセキュリティのヒント

マイクロソフト製品は常に世間からの批判の対象になっているため、IISサーバーは攻撃者の標的になることが特に簡単です。このことを念頭に置いて、ネットワーク管理者はいくつかのセキュリティ対策を実施する準備をしなければなりません。私があなたに提供しようとしているのは、サーバオペレータが役に立つかもしれないリストです。

1. Windowsのアップグレードを維持する：

すべてのアップグレードを間に合わせて更新し、システムのすべてのパッチを修正する必要があります。すべてのアップデートをネットワーク上の専用サーバーにダウンロードし、そのファイルをWebとしてマシンに公開することを検討してください。これらのタスクを通じて、Webサーバーがインターネットに直接アクセスするのを防ぐことができます。

2. IIS防止ツールの使用：

このツールには実用上の利点がたくさんありますが、このツールは慎重に使用してください。 Webサーバーが他のサーバーと対話する場合は、まず防止ツールをテストして、Webサーバーと他のサーバー間の通信に影響を与えないように適切に設定されていることを確認します。

3.デフォルトのWebサイトを削除します。

多くの攻撃者がinetpubフォルダを標的とし、そこにこっそり攻撃を仕掛けると、サーバーがクラッシュします。この種の攻撃を防ぐ最も簡単な方法は、IISの既定のサイトを無効にすることです。それから、ワームはあなたのサイトにIPアドレスを通してアクセスするので（彼らは一日に何千ものIPアドレスにアクセスするかもしれません）、それらの要求は困っているかもしれません。実際のWebサイトにバックパーティションのフォルダを指定し、セキュリティ保護されたNTFSアクセス許可を含める必要があります（詳細については、下記のNTFSセクションを参照してください）。

4. FTPおよびSMTPサービスが必要ない場合は、それらをアンインストールしてください。

コンピュータにアクセスする最も簡単な方法はFTPを使用することです。 FTP自体は単純な読み取り/書き込みアクセスを処理するように設計されているので、認証を実行すると、ユーザー名とパスワードが平文でネットワークを介して送信されていることがわかります。 SMTPは、フォルダへの書き込みアクセスを許可するもう1つのサービスです。これら2つのサービスを無効にすることで、ハッキング攻撃を防ぐことができます。

5.管理者グループとサービスを定期的に確認します。

ある日私が教室に入ったところ、Administratorsグループにもう1人のユーザーがいることがわかりました。これは、この時点で誰かがあなたのシステムにうまく侵入したことを意味します。彼または彼女はあなたのシステムに爆弾を投げ入れるかもしれず、突然あなたのシステム全体を破壊するか、ハッカーのために多くの帯域幅を取ります。あなたがディスクを再フォーマットして毎日バックアップしているファイルをバックアップサーバから回復することしかできないのです。したがって、IISサーバー上のサービスのリストを確認し、できるだけ少ないサービスを維持することが、日常業務になるはずです。

どのサービスが存在し、どのサービスが存在してはならないかを覚えておいてください。 Windows 2000リソースキットには、tlist.exeという便利なプログラムが用意されています。このプログラムには、svchostの下で実行されるサービスが一覧表示されています。このプログラムを実行するとあなたが知りたい隠しサービスを見つけることができます。ヒントを教えてください。デーモンという言葉を含むサービスは、Windows自体に含まれるサービスではない可能性があり、IISサーバーには存在しないはずです。

6.サーバーの書き込みアクセスを厳密に制御します。

これは簡単に思えますが、大学のキャンパスでは、Webサーバーには実際にはたくさんの "作者"がいます。教員は遠隔地の学生が自分の教室の情報にアクセスできるようにしたいと考えています。スタッフは他のスタッフと仕事の情報を共有したいと思います。サーバー上のフォルダには、非常に危険なアクセス権があります。この情報を共有または拡散する1つの方法は、専用の共有と保存の目的で2台目のサーバーをインストールしてから、共有サーバーを指すようにWebサーバーを設定することです。この手順により、ネットワーク管理者はWebサーバーの書き込みアクセスを管理者グループに制限できます。

7.複雑なパスワードを設定します。

私は最近教室に入ったところ、イベントビューアから多くのハッカーの可能性を見つけました。彼または彼女がラボに入ったドメイン構造は、あらゆるユーザーのためにパスワードクラッキングツールを実行するのに十分深いです。ユーザーが弱いパスワード（ "password"やchangeme "などの辞書の単語など）を使用している場合、ハッカーはユーザーのアカウントにすばやく簡単に侵入することができます。

8. Webサーバー上での共有を減らす/除外する：

ネットワーク管理者だけがWebサーバーへの書き込み権限を持っているのであれば、共有が存在する理由は何もありません共有がハッカーにとって最大の誘惑です。あなたはIPアドレスのリストを見て、全員のアクセス権/フルコントロール権を見つけるためにコマンドを使うことができます。

9. TCP /IPプロトコルでNetBIOSを無効にします。

これは残酷です。 UNCパス名はWebサーバーにアクセスしますが、NETBIOSが無効になっているためにこれを行うことはできませんが、NETBIOSが無効になっているとハッカーはLAN上のリソースを見ることができません。ネットワーク管理者がこのツールを導入した場合、次のステップはNETBIOSが失敗した場合の情報の公開方法についてWebユーザーを教育する方法です。

10. TCPポートを使用してブロックします。
正当な理由でサーバーにアクセスするすべてのTCPポートに慣れている場合は、ネットワークインターフェースカードの[プロパティ]タブに移動し、バインドされたTCP /IPプロトコルを選択して、すべてブロックすることができます。あなたはポートを必要としません、あなたがウェブサーバの外で自分自身をロックしたくないなら、特にあなたがリモートでサーバにログインする必要があるならこのツールを注意深く使用しなければなりません。

11. * .batファイルと* .exeファイルを再確認します。* .bat

と* .exeファイルを週に1回検索して、サーバーにハッカーがいるかどうかを確認します。あなたのためにそれは悪夢の実行可能ファイルになるでしょう。これらの破壊的なファイルの中には、多分* .regファイルがあるかもしれません。システムのレジストリファイルを入力することはできますが、意味のあるものではないが侵入者に便利になるようにこれらの主キーを削除することができます。

12. IISディレクトリセキュリティの管理：

IISディレクトリセキュリティにより、拒否することができます特定のIPアドレス、サブネット、さらにはドメイン名代替として、私はどのIPアドレスがサーバー上の特定のファイルにアクセスしようとしているのかを知らせるWhosOnと呼ばれるソフトウェアを選びました。 cmd.exeにアクセスしようとしている人を見つけた場合は、このユーザーによるWebサーバーへのアクセスを拒否することを選択できますもちろん、忙しいWebサイトでは、フルタイムの従業員が必要になる可能性があります。これは非常に便利なツールで、LAN内のすべてのユーザーと特定のユーザーにリソースを提供できます。

13. NTFSセキュリティの使用：

デフォルトでは、手動で無効にしない限り、NTFSドライブはEVERYONE /フルコントロールのアクセス許可を使用します。重要なのは、自分自身を締め出すことではなく、異なるユーザーが異なる権限を必要とし、管理者がフルコントロールを必要とし、バックグラウンド管理アカウントがフルコントロールを必要とすることです。最も重要なフォルダはSystem32です、このフォルダのアクセス許可は小さければ小さいほどよいです。 WebサーバーでNTFSアクセス許可を使用すると、重要なファイルやアプリケーションを保護するのに役立ちます。

14.ユーザーアカウントの管理：

既にIISをインストールしている場合は、TSInternetUserアカウントを生成した可能性があります。このアカウントが本当に必要でない限り、無効にしてください。このユーザは侵入されやすく、ハッカーの重要な標的です。ユーザーアカウントを管理しやすくするために、ローカルセキュリティポリシーに問題がないことを確認してください。 IUSRユーザーのアクセス許可もできるだけ小さくする必要があります。

15. Webサーバーの監査：

監査はコンピュータのパフォーマンスに大きな影響を与えるため、頻繁にチェックしない場合はチェックしないでください。あなたが本当にそれを使うことができるならば、あなたがそれらを必要とするとき、システムイベントを監査して、そして監査ツールを追加してください。前述のWhosOnツールを使用している場合、監査はそれほど重要ではありません。既定では、IISは常にアクセスをログに記録し、WhosOnはこれらのレコードを非常に読みやすいデータベースに配置します。このデータベースは、AccessまたはExcelを介して開くことができます。例外データベースを頻繁に見れば、いつでもサーバーの脆弱性を見つけることができます。

概要

上記のIISのヒントとツール（WhosOnを除く）はすべてWindowsに含まれています。サイトの到達可能性をテストする前に、これらのヒントとツールを1つずつ使用することを忘れないでください。それらが一緒に展開されている場合、結果はあなたに多大な費用がかかる可能性があり、アクセスを失うために再起動する必要があるかもしれません。

最後のヒント：Webサーバーにログインして、コマンドラインからnetstat -anを実行します。あなたのポートとの接続を確立しようとしているIPアドレスの数を観察してください。そうすればたくさんの研究とやるべき研究があるでしょう。
zh-CN"],null,[1],zh-TW"]]]