Обеспечение безопасности ОС семейства Windows
advertisement
Обеспечение безопасности ОС семейства Windows Обеспечение безопасности ОС семейства Windows 1. Управление учетными записями пользователей 2. Локальные политики безопасности 3. Управление хранением данных 4. Удаленный доступ к рабочему столу 5. Администрирование общих папок 6. IIS - Контрольный список действий по обеспечению безопасности IIS. Управление учетными записями пользователей При планировании новых учетных записей необходимо вдумчиво подходить к выбору имен пользователей. С одной стороны, они должны быть уникальными в пределах компьютера (либо домена), с другой стороны они должны однозначно идентифицировать пользователей, но при этом не быть простыми. В частности, не рекомендуется применять имена собственные, поскольку существуют программы, перебирающие по 300 – 500 имен и производящие для каждого из них попытку подбора пароля. Лучше использовать сочетание сокращений имени и фамилии, например, CherVa – Чернов Валентин. Управление учетными записями пользователей Для противодействия подбору паролей необходимо настроить политику блокировки учетной записи, используя оснастку «Локальные политики безопасности» (secpol.msc), одноименный раздел. В нем задается: Время блокировки учетной записи Пороговое значение блокировки (число ошибок входа в систему) Время сброса счетчика блокировки. Управление учетными записями пользователей Не рекомендуется давать имена пользователям на кириллице, поскольку при доступе к компьютеру по сети с использованием различных протоколов могут применяться различные кодировки русских букв (CP-1251, KOI-8R, ISO). Имя пользователя не может целиком состоять из точек и/или пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Недопустимо применение в имени пользователя следующих символов: *\/[]:;|=+“?<> Управление учетными записями пользователей Для обеспечения информационной безопасности рекомендуется переименовывать учетную запись администратора, создаваемую при инсталляции системы (можно сделать, используя оснастку «Локальные политики безопасности» (secpol.msc), раздел «Параметры безопасности»), и иметь дополнительную учетную запись с правами администратора на случай утери пароля администратора по умолчанию. Требования к паролю изначально отсутствуют. Однако такие пароли в сочетании с простыми, совпадающими с собственными именами, именами пользователей существенно повышают риск несанкционированного доступа к системе. Управление учетными записями пользователей Требования к паролю задаются через оснастку Local Security Settings (secpol.msc), раздел «Политика паролей», и включают: максимальный (по умолчанию – 42 дня) и минимальный (по умолчанию – 0 дней) срок действия пароля; минимальную длину пароля (минимальное количество символов, содержащихся в пароле); требование неповторяемости паролей (число последних паролей, которые нельзя применять повторно); требование хранения паролей всех пользователей в домене (обеспечение уникальности паролей при наличии домена); Управление учетными записями пользователей требование сложности пароля. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям: Пароль не может содержать имя учетной записи пользователя или какую-либо его часть. Пароль должен состоять не менее чем из шести символов. В пароле должны присутствовать символы трех категорий из числа следующих четырех: Управление учетными записями пользователей прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); символы, не принадлежащие алфавитноцифровому набору (например, !, $, #, %). Проверка соблюдения этих требований выполняется при изменении или создании паролей. Например, требованиям сложности отвечает легко запоминаемый пароль вида Учебный7Класс5, который на латинской раскладке имеет вид Ext,ysq7Rkfcc5, то есть удовлетворяет всем категориям сложности. Управление учетными записями пользователей Изменение параметров входа в систему доступно только пользователям с правами администратора и позволяет отключить страницу приветствия и запретить переключение между пользователями. Отключение страницы приветствия повышает безопасность системы, поскольку в этом случае не отображаются имена учетных записей всех существующих локальных пользователей. Для входа в систему необходимо нажать клавиши AltCtrl-Del и ввести имя пользователя и пароль. По умолчанию при такой процедуре входа отображается имя последнего регистрировавшего пользователя, но его можно скрыть, используя оснастку «Локальные политики безопасности» (secpol.msc), раздел «Параметры безопасности». Локальные политики безопасности Для полноценного управления учетными записями пользователей рекомендуется применять оснастку «Локальные пользователи и группы» (lusrmgr.msc). Данная оснастка обеспечивает управление локальными учетными записями пользователей и групп – как на локальном, так и на удаленном компьютере, к которому есть доступ по сети и для которого известно имя учетной записи с правами администратора и пароль. Оснастка содержит папки «Пользователи» и «Группы». В папке «Пользователи» сразу после установки операционной системы содержится минимум четыре автоматически создаваемые учетные записи: Локальные политики безопасности Администратор – используется для установки и настройки рабочей станции. Она не может быть уничтожена, блокирована или удалена, в том числе из группы «Администраторы», ее можно только переименовать или отключить. Гость – применяется для регистрации на компьютере без использования специально созданной учетной записи. Она не требует ввода пароля и по умолчанию отключена (то есть вход в систему с ней невозможен). Она является членом группы «Гости». Ей можно предоставить возможность доступа к ресурсам, как любой другой учетной записи. Для нее не создается папка в каталоге Document and Settings. Локальные политики безопасности HelpAssistant – учетная запись помощника для удаленного рабочего стола. Используется программой RemoteAssistance. Учетная запись блокирована, если использование этой программы отключено. SUPPORT_388945a0 – компания Microsoft зарезервировала эту запись для поддержки справочной службы Help and Support Service, запись является отключенной по умолчанию. Запускать оснастку может любой пользователь, а выполнять администрирование – только администраторы и члены группы «Опытные пользователи». Локальные политики безопасности С помощью данной оснастки можно для каждого отдельного пользователя можно: Потребовать смену пароля при следующем входе в систему Запретить смену пароля пользователем Указать, что срок действия пароля неограничен Отключить учетную запись Заблокировать (снять блокировку) учетную запись. Локальные политики безопасности Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности, например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы. После включения аудита соответствующего события в консоли «Локальные политики безопасности»(secpol.msc), папке «Политика аудита», операционная система начинает отслеживать события, связанные с безопасностью. Локальные политики безопасности Полученную в результате информацию можно просмотреть с помощью оснастки «Просмотр событий» (eventvwr.msc). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения данного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия. Локальные политики безопасности Настройка аудита может выполняться в один или два приема. Например, для событий входа в систему достаточно включить аудит успехов и отказов данного события и их регистрация начнется немедленно. Для аудита доступа к объектам его включения недостаточно, необходимо в свойствах этого объекта, закладка «Безопасность», указать, для каких групп и пользователей он будет осуществляться. В консоли «Локальные политики безопасности» имеется также папка «Назначение прав пользователя», в ней можно разрешить или запретить различные системные действия для различных групп пользователей или отдельных пользователей операционной системы. Управление хранением данных Квоты дискового пространства. Администрирование компьютеров, на которых работают много пользователей, сопряжено с рядом сложностей. Одна из них – учет дискового пространства, занятого файлами пользователей. Как правило, пользователи мало заботятся об актуальности информации и об уничтожении устаревших или ненужных данных. Множество временных файлов и копий одного файла в разных папках лишь усугубляют ситуацию. В результате администратору приходится регулярно производить очистку диска для освобождения пространства. Управление хранением данных Эту проблему легко решить с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю, причем квотировать пространство можно по каждому тому и для каждого пользователя. Соответственно, нельзя задать квоту для отдельных папок или групп пользователей. Система учитывает общее пространство, занимаемое на диске файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем пространства на контролируемом диске. Управление хранением данных После установки квот пользователь сможет хранить на диске ограниченный объем данных, в то время как на диске будет оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации квоты, пользователь либо сможет либо записать информацию («мягкий» режим ограничений), либо ему будет отказано в записи изза отсутствия свободного пространства («жесткий» режим). Квоты можно использовать на локальных и общих дисках (в этом случае доступ должен быть разрешен на уровне корневого каталога диска). Управление хранением данных Сжатие файлов не имеет значения при вычислении занятого пространства –учитывается размер исходного несжатого файла. Устанавливать и просматривать квоты на диске можно только на диске NTFS и только администраторам. Для установки квоты: В папке «Мой компьютер» выберите конфигурируемый диск, откройте окно свойств, закладка «Квота». Установив флажок «Включить управление квотами», вы включите квотирование этого диска. По умолчанию будет установлен мягкий режим контроля квот – без ограничения места на диске. Управление хранением данных Для задания жесткого режима установите флажок «Не выделять место на диске при превышении квоты». После этого нужно установить размер выделяемой квоты (переключатель «Выделять на диске не более») и порог, превышение которого вызовет запись предупреждения в журнал событий (поле «Порог выдачи предупреждений»). Эти параметры устанавливаются по умолчанию одинаковыми для всех пользователей. По умолчанию же регистрация превышения квоты и порога выключена. Управление хранением данных Чтобы узнать, какие пользователи превысили выделенную им квоту (в мягком режиме), нажмите кнопку «Записи квот». Появится окно, где будет отображен список пользователей с параметрами их квот и объемом используемого ими дискового пространства. Учетные записи пользователей, которые превысили установленную для них квоту, отмечены специальным значком в столбце «Состояние». Можно изменить параметры квоты, заданные по умолчанию, для конкретного пользователя. Для этого выберите учетную запись и дважды щелкните на ней – появится диалоговое окно «Параметры квоты для …» с указанием использованного и оставшегося пространства. Управление хранением данных Если некоторый пользователь превысил квоту и установлен флажок регистрации превышения квоты, то в системном журнале регистрируется событие. Если при этом установлен жесткий режим ограничений на расходуемое дисковое пространство, то при выполнении операции записи на квотируемый диск, требующей дополнительного пространства, пользователь получит сообщение, что запись невозможна из-за отсутствия свободного места. Имеется одна особенность, связанная с операцией удаления имени пользователя из списка записей квот. Управление хранением данных Если пользователь записал хоть один файл на квотируемом диске, то его имя просто так удалить нельзя: необходимо сначала удалить всю принадлежащую ему информацию (для этого администратор может стать владельцем файла и удалить его). Это требование дает побочный эффект, удобный для администратора: при попытке удаления имени пользователя, имеющего личные файлы на квотируемом диске, легко увидеть, какие именно файлы принадлежат этому пользователю, в специальном дополнительном окне. В этом же окне администратор может выполнить операции с отображаемыми файлами: стать их владельцем, удалить или переместить на другой диск. Управление хранением данных Encrypted File System (EFS). Применение шифрования данных с помощью EFS возможно лишь на дисках с файловой системой NTFS. Конфигурация EFS, устанавливаемая по умолчанию, позволяет пользователю шифровать свои файлы без всякого вмешательства со стороны администратора. Шифрование и дешифрование может быть выполнено как для файлов, так и для каталога. Эти операции прозрачны для пользователя – он может работать с зашифрованными файлами, как с обычными. При этом временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов, то есть тоже шифруются. Управление хранением данных Пользователь может копировать и перемещать зашифрованные данные, причем при копировании и перемещении на диски с файловой системой NTFS данные остаются зашифрованными даже при попадании в незашифрованный каталог. Файловые системы FAT16 и FAT32 шифрование не поддерживают и скопированные (перемещенные) на них файлы и папки автоматически расшифровываются. Самые серьезные и нередко встречающиеся ошибки при работе с EFS заключаются в том, что пользователи шифруют данные, а потом меняют имя учетной записи, пароль, или переустанавливают операционную систему. Управление хранением данных В последнем случае данные будут безвозвратно утеряны, поскольку доступ к ним имели только два пользователя той системы, в которой данные были зашифрованы: пользователь, выполнивший эту операцию, и агент восстановления. EFS располагает встроенными средствами восстановления зашифрованных данных. Пользователи, которые могут восстанавливать зашифрованные данные (по умолчанию – встроенная учетная запись администратора) и называются агентами восстановления данных. Могут быть назначены и другие агенты с помощью консоли редактора групповой политики (gpedit.msc). Управление хранением данных Шифрование файлов и каталогов. Поскольку шифрование и дешифрование выполняется автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде. Все остальные пользователи, которые попытаются получить доступ к зашифрованному файлу, получат сообщение об ошибке доступа, поскольку они не владеют необходимым личным ключом, позволяющим им расшифровать файл. Управление хранением данных Следует отметить, что пользователи (в данном случае администраторы) не должны шифровать файлы, находящиеся в системном каталоге, поскольку они необходимы для загрузки системы, в процессе которой ключи пользователя недоступны. Это сделает невозможным дешифрование загрузочных файлов, и система потеряет работоспособность. Проводник предотвращает возможность возникновения такой ситуации, не позволяя шифровать файлы. Управление хранением данных Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок. Операции копирования, перемещения, переименования и уничтожения зашифрованных файлов и папок выполняются точно так же, как и с незашифрованными объектами. Однако следует помнить. Что пункт назначения зашифрованной информации должен поддерживать шифрование (должен иметь файловую систему NTFS 5.0). в противном случае при копировании данные будут расшифрованы, и копия будет содержать открытую информацию. Удаленный доступ к рабочему столу В системах от Windows XP и выше имеется стандартный механизм Remote Desktop, который позволяет подключаться удаленно к рабочему столу и выполнять необходимые операции по администрированию через графический интерфейс. Этот механизм использует службу терминалов и поддерживает одно (в Server 2003 и 2008 – два) удаленное подключение. Имеется также функция «Удаленный помощник» (Remote Assistance), позволяющая пользователю разрешить удаленное подключение к своему компьютеру другого пользователя и получить помощь в сложных ситуациях. Удаленный доступ к рабочему столу Кроме того, если на компьютере установлен вебсервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять доступ к любой системе Windows (XP и выше), находящейся в той же локальной сети, из веббраузера (Internet Explorer 4.0 или выше), работающего в любой операционной системе. При этом установка клиента удаленного доступа не требуется. Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP шифруется с помощью алгоритма RC4. Удаленный доступ к рабочему столу Разрешение удаленного доступа. Для управления режимом удаленного доступа (не путать с удаленным доступом через коммутируемое подключение!) используется вкладка «Удаленные сеансы» окна свойств системы. Чтобы пользователи с других компьютеров могли обратиться к этому компьютеру, установите флажок «Разрешить удаленный доступ к этому компьютеру». Нажав кнопку «Выбрать удаленных пользователей», можно явно указать, каким пользователям, имеющим учетную запись на компьютере, разрешен удаленный доступ. Удаленный доступ к рабочему столу Указанные пользователи будут добавлены в локальную группу «Пользователи удаленного рабочего стола», доступную для редактирования также из консоли lusrmgr.msc. По умолчанию пользователи из группы «Администраторы» уже имеют право удаленного доступа. Использовать учетные записи без пароля для удаленного доступа нельзя. Если в системе имеются такие учетные записи, то при установке флажка «Разрешить удаленный доступ к этому компьютеру» появится соответствующее предупреждение. Удаленный доступ к рабочему столу Запуск и конфигурирование сеанса. Для инициализации сеанса удаленного доступа служит утилита «Подключение к удаленному рабочему столу» из группы программ «Стандартные»«Связь», которую можно запустить командой mstsc из командной строки. Введите имя или IP-адрес удаленного компьютера в поле «Компьютер» и нажмите кнопку «Подключить» - и вы увидите окно, приглашающее зарегистрироваться на удаленном компьютере! Заметим, что при входе в систему через удаленный доступ текущий пользователь «выталкивается» из системы, при этом его текущий сеанс не закрывается (как и при смене пользователя). Удаленный доступ к рабочему столу Если удаленный пользователь входит с именем уже зарегистрированного пользователя, то он получает рабочую среду – открытые окна, запущенные программы – этого пользователя, который, в свою очередь, может снова войти в систему и «вытолкнуть» «пришельца». Только при использовании «Удаленного помощника» возможна одновременная работа двух пользователей в одном сеансе. В Windows Server 2003 и 2008 такого не происходит, ибо в них для удаленного администрирования разрешены 2 сессии даже без установки служб терминалов. Удаленный доступ к рабочему столу Параметры удаленного подключения определяются через нажатие кнопки «Параметры» в окне подключения. Можно, например, установить размер экрана, глубину цвета (до 24 бит), скорость подключения и прочее. Обратите внимание на вкладку «Локальные ресурсы». По умолчанию звук с удаленного компьютера переносится на локальный компьютер, и, работая на удаленном компьютере, можно выполнять печать на локальном принтере. Если установить флажок «Дисковые устройства», то можно одновременно пользоваться дисками обоих систем в окне проводника (explorer), где будут отображаться диски обоих компьютеров. Удаленный доступ к рабочему столу Удаленный доступ через Интернет. Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера введите http://<имя_сервера>/TSWeb, где :<имя_сервера> доменное имя или IP-адрес компьютера с установленными службами IIS, включая (в составе службы WWW) компонент «Интернет-подключение к рабочему столу». Заметим, что для доступа к веб-серверу необходимо в настройках его брандмауэра добавить исключение по порту 80 TCP. Удаленный доступ к рабочему столу После соединения с сервером в браузере откроется страница «Интернет-подключение к удаленному рабочему столу», где в поле «Сервер» вы должны указать имя или адрес того компьютера, к которому вы хотите подключиться, после чего нажмите кнопку «Подключить». Заметим, что имена веб-сервера и компьютера, к которому производится подключение, могут отличаться: вы входите в сеть через один компьютер, а подключаетесь к другому. При первом подключении к удаленному рабочему столу через Интернет надо согласиться с установкой компонента «Remote Desktop ActiveX Control». Удаленный доступ к рабочему столу При выборе полноэкранного режима работы панели браузера отображаться не будут. При установке флажка «Отправить учетные данные для данного подключения» появятся поля для ввода имени пользователя и домена, и при их заполнении соответствующие имена будут переданы в диалоговое окно входа в систему. Администрирование общих папок Общие папки – папки локального компьютера, для которых разрешен и настроен доступ по сети (порт 139). В операционных системах семейства Windows для управления общими папками традиционно используется программа Windows Explorer (Проводник) и окно свойств папки. В системах Windows 2000/ХР.2003 для этих целей можно применять оснастку Shared Folders (fsmgmt.msc), входящую в состав оснастки «Управление компьютером». Кроме того, для просмотра и подключения общих папок можно использовать стандартные команды net share и net use, выполняющиеся в окне консоли командной строки. Администрирование общих папок Explorer. Во всех системах Windows, начиная с Windows 95, для создания и администрирования общих ресурсов может использоваться программа Windows Explorer (Проводник). – достаточно выбрать папку и в контекстном меню выполнить команду Sharing and Security (Общий доступ и безопасность). На вкладке Sharing (Доступ) для разрешения/запрета на доступ к папке используются переключатели Share this folder (Открыть общий доступ к этой папке) и Do not share this folder (Отменить общий доступ к этой папке). Далее идет наименование общего ресурса (стрелка выпадающего списка говорит о том, что у этого ресурса может быть несколько наименований) и его описание (Примечание). Администрирование общих папок Ниже можно задать предельное число пользователей – максимально возможное, либо не более указанного в счетчике количества (по умолчанию 10). Нажав на кнопку Permissions (Разрешения), можно установить разрешения на доступ к общему ресурсу для пользователей и групп. Не путайте эти разрешения с разрешениями файловой системы, устанавливаемыми на вкладке Security (Безопасность). По умолчанию доступ разрешен всем пользователям и группам с правом только на чтение. Вы можете добавлять имена пользователей и групп и давать им разные права на общий ресурс. Администрирование общих папок Оснастка Shared Folders (Общие папки). Хотя доступ к этой оснастке сложнее, чем использование контекстного меню, она предлагает много больше возможностей по управлению общими папками. Оснастка может быть открыта непосредственно командой «Пуск» - «Выполнить» с указанием имени файла оснастки fsmgmt.msc. Оснастка «Общие папки» особенно удобна для централизованного и удаленного администрирования общих ресурсов. С ее помощью можно также управлять сеансами и открытыми файлами. Администрирование общих папок С помощью узла Shares (Общие папки) оснастки Shared Folders (Общие папки) можно разрешать и запрещать доступ к локальным папкам, а также видеть количество пользователей, подключенных к той или иной папке. В папке «Общие ресурсы» всегда есть минимум 3 ресурса, созданные при установке системы (ADMIN$ - корневой каталог операционной системы, C$ - корневой раздел тома, IPC$ используется при организации временных подключений, создаваемых приложениями для обмена данными с помощью именованных каналов). Настройки этих общих ресурсов, включая назначение прав доступа, недоступны. Контрольный список действий по обеспечению безопасности IIS Безопасность Windows Безопасность Internet Information Services Физическая безопасность Безопасность персонала Безопасность Windows Средства безопасности IIS базируются на средствах безопасности, предоставляемых Windows. Следующие действия, выполненные в Windows, послужат усилению безопасности вебузла. Файловая система. Используйте NTFS. Файловая система NTFS более безопасна, чем система FAT. Сведения о преобразовании установленной на жестком диске системы FAT в NTFS см. в документации Windows. Проверьте разрешения на каталоги. По умолчанию при создании новых папок Windows дает группе «Все» полный доступ к ним. Безопасность Windows Задайте ограничения доступа для учетной записи IUSR_ИмяКомпьютера. Это поможет ограничить доступ анонимных пользователей к вашему компьютеру. Храните исполняемые файлы в отдельном каталоге. Это облегчает аудит и назначение разрешений на доступ. Проверьте разрешения NTFS на доступ к сетевым дискам. По умолчанию при создании новых общих ресурсов Windows дает группе «Все» полный доступ к ним. Безопасность Windows Учетные записи пользователей Регулярно проверяйте учетные записи пользователей. Проверьте, все ли записи в системе созданы администратором. Просмотрите права, данные учетной записи IUSR_ИмяКомпьютера. Все пользователи, осуществляющие анонимный доступ к узлу, имеют права, данные этой учетной записи. Можно также с помощью средств аудита отслеживать, кто и когда изменял политики безопасности. Дополнительные сведения см. в разделе Аудит. Выбирайте трудные для подбора пароли. Безопасность Windows Реализуйте строгую политику учетных записей. Отслеживайте доступ, предоставленный важным учетным записям пользователей и групп. Вы также должны знать, кто имеет полномочия изменять политики безопасности. Уменьшите до минимума число участников группы «Администраторы». Обычно участники этой группы имеют полный доступ к компьютеру. Задайте пароль для учетной записи «Администратор». По умолчанию пароль для учетной записи «Администратор» не задан. Для надежной защиты выберите трудный для подбора пароль. Безопасность Windows Службы и прочие аспекты Запускайте минимальное число служб. Запускайте только те службы, которые абсолютно необходимы для ваших нужд. Каждая запущенная служба вносит дополнительный риск несанкционированного проникновения в систему. Более подробные сведения о службах и безопасности см. в книге Microsoft Windows 2000 Server Resource Kit. Не используйте PDC в роли сервера. Основной контроллер домена (PDC) постоянно обрабатывает запросы на проверку подлинности. Запуск вебслужбы на PDC приведет к снижению производительности. Безопасность Windows Включите аудит. Аудит — это очень ценное средство для отслеживания доступа к защищенным или важным файлам. Аудит можно также использовать для отслеживания серверных событий, таких как изменение политики безопасности. Журналы аудита можно архивировать для последующего изучения. При удаленном администрировании компьютера используйте шифрование. Обычно при удаленном администрировании выполняется передача конфиденциальной информации, например пароля учетной записи «Администратор». Чтобы защитить эту информацию во время передачи ее по открытой сети, используйте средства шифрования Secured Sockets Layer (SSL). Безопасность Windows Используйте для работы с Интернетом учетную запись с ограниченными правами. Регулярно выполняйте резервное копирование важных файлов и реестра. Никакая защита не может гарантировать полной безопасности данных. Регулярно выполняйте проверку на вирусы. Любой компьютер или открытая сеть могут быть заражены компьютерным вирусом. Регулярные проверки могут помочь избежать потери данных. Отмените привязку ненужных служб к сетевым адаптерам, подключенным к Интернету. Безопасность Internet Information Services IIS обеспечивает защиту самого веб-узла, включая проверку подлинности и веб-разрешения. Проверка подлинности Используйте наиболее надежную проверку подлинности из тех, которые поддерживаются клиентами. Например, встроенная проверка подлинности Windows и краткая проверка подлинности более надежны, чем обычная проверка подлинности. Для сопоставления клиентских сертификатов учетным записям Windows Вы можете использовать либо оба этих метода, либо какой-нибудь один из них. Безопасность Internet Information Services Веб-разрешения Если веб-разрешения и разрешения NTFS противоречат друг другу, то применяются те из них, которые налагают более жесткие ограничения. Синхронизацию можно выполнить как вручную, так и с помощью мастера разрешений. При удаленном администрировании IIS используйте ограничение IP-адресов. Используйте наиболее ограничивающие разрешения. Если веб-узел служит только для просмотра информации, назначайте только разрешения на чтение. Если каталог или узел содержат приложения ASP, используйте разрешение «Только сценарии», а не «Сценарии и исполняемые файлы». Безопасность Internet Information Services Разрешения «Запись» и «Сценарии и исполняемые файлы». Эту комбинацию следует использовать с большой осторожностью. Она позволяет пользователям загружать исполняемые файлы, которые могут быть потенциально опасными, на сервер и выполнять их на нем. Для обеспечения безопасности FTP-узла, используя его свойства, включите ведение журнала (закладка «FTP-узел»), запретите анонимные подключения (закладка №Безопасные учетные записи»), разрешайте только чтение (закладка «Домашний каталог»), ограничивайте доступ по IP-адресам (закладка «Безопасность каталога»). Физическая безопасность Отходя от рабочей станции блокируйте ее. Отходя от компьютера, блокируйте рабочую станцию; для этого нажмите сочетание клавиш CTRL + ALT + DELETE и нажмите кнопку Блокировка. Используйте защищаемую паролем экранную заставку. Задержка по времени до ее активизации должна быть короткой, чтобы никто не смог использовать компьютер, когда вы отойдете от него. Экранная заставка должна быть пустой; анимированные заставки уменьшают производительность сервера. Располагайте компьютер в запираемом помещении. Храните компьютер в запираемой комнате, чтобы снизить возможность физического доступа к нему со стороны злоумышленников. Безопасность персонала Используйте разные учетные записи администраторов. Каждому пользователю, имеющему полномочия администратора, нужно назначить отдельную учетную запись и пароль. Это упростит отслеживание вносимых изменений. Используйте соглашения о неразглашении. Рекомендуется использовать соглашения о неразглашении, запретив пользователям сообщать свои реквизиты другим лицам. Периодически меняйте учетные записи. Быстро удаляйте неиспользуемые учетные записи. Это позволит снизить риск получения бывшим сотрудником или партнером доступа к вашей сети.
