Iis использование стандарта безопасности fortezza в iis


Содержание

Iis использование стандарта безопасности fortezza в iis

Добрый день уважаемые читатели и гости блога, сегодня мы с вами продолжим изучать, веб сервисы на базе Windows, а именно, посмотрим, как производится настройка SSL на IIS для одного или нескольких сайтов, как с одним Ip адресом, так и с несколькими. Для выполнения этой, поставленной задачи у вас должен быть установлен веб сервер iis, на Windows Server начиная от 2008 R2 и выше, на текущий момент самый последний, это Windows Server 2020.

Настройка https сайта на IIS

И так про создание сайта iis на windows server 2012, я вам уже рассказывал, подразумевается, что он у вас есть. Далее, когда вы прописали все DNS записи, вы генерировали запрос на выпуск сертификата и уже потом получали от центра сертификации ваш сертификат, но его еще приходилось затачивать под iis, так как ему нужен формат pfx.

Еще немного теории и ограничения

Если у вас один сайт на https на вашем iis сервере, то проблем с сертификатом не возникнет, если же планируется два сайта, то тут уже есть варианты:

  • Купить wildcard сертификат, чтобы была возможность вешать SSL на любой сайт IIS
  • Купить дополнительный ip для каждого сайта
  • Воспользоваться скриптом и применить привязку нужного SSL к нужному сайту, на одном Ip адресе
  • Воспользоваться технологией SNI (Server Name Indication)

Установка SSL в PFX

Первым делом для создания сайтов на протоколе https, вам необходимо импортировать нужный сертификат, делается это очень просто. Вы открываете, диспетчер IIS и переходите в пункт «Сертификаты сервера»

Далее в поле «Действия» вы нажимаете импортировать.

Через обзор, указываете ваш pfx архив.

Указываете пароль, в строке «Выбрать хранилище сертификатов» укажите либо «Личный» подойдет для обычного размещение, а вот пункт «Размещение веб-служб» нужен для SNI технологии.

По сути, это и есть сложная установка SSL в iis, как вам такое.

Теперь произведем привязку SSL сертификата к нужному сайту. Для начала я проверю свой сайт на протоколе http, как видите все отлично работает.

Теперь щелкаем по нужному сайту правым кликом и выберем пункт «Изменить привязки», именно там мы и произведем настройку https в iis.

Как видите ваш сайт по умолчанию, будет работать по протоколу http, нажимаем кнопку добавить.

Указываем для сайта:

  • Тип https и номер порта, по умолчанию, это порт 443, убедитесь, что он открыт у вас в брандмауэр.
  • В имени узла, пишем полное название сайта.
  • SSL-сертификат > выбираем нужный и сохраняем настройки.

Проверяем ваш сайт по протоколу HTTPS, если все отлично, то вы увидите закрытый замочек, это значит, что ssl сертификат установлен в IIS правильно.

Настройка нескольких HTTPS сайтов на разных ip

Предположим, что у вас есть два сайта:

Вам необходимо, чтобы каждый из них имел свой ip привязанный к DNS имени и так же отдельный сертификат, тут все просто. Вы так же поднимаете отдельные сайты, с той лишь разницей, что в поле ip адрес, указываете нужный и в поле имя узла, адрес вашего ресурса, ну и собственно нужный сертификат.

Сохраняем и проверяем, должно все работать, на любой из версий сервера IIS от 7,5 до 9.

Настройка нескольких HTTPS сайтов на одном ip

Теперь представим себе ситуацию, что у вас один внешний ip адрес, как быть, пробуем повесить все на него. В итоге один из сайтов у вас получит 404 ошибку, кто не в курсе, что это такое, то вам сюда.

Вся проблема в том, что в IIS по такому сценарию, в веб интерфейсе может работать, только сертификат на домен, формата wildcard *.pyatilistnik.org. Звездочка подразумевает, что вы можете использовать SSL на любой домен третьего уровня. Но не смейте сдаваться, есть два выхода:

  1. Использование технологии SNI (Server Name Indication) в IIS, подходит для всего старше версии 7.5, так, что Windows Server 2008 R2 и ниже в пролете.
  2. Использовать скрипт от Microsoft.

Вот вам пример такого сертификата.

Если у вас wildcard, то все просто, либо через диспетчер IIS все меняете, либо через конфигурационный файл.

Откройте его, здесь хранятся настройки IIS. И можно задать биндинг на разные доменные имена:

Настройка аутентификации в IIS 8

IIS 8 поддерживает интегрированный режим ASP.NET, который помимо прочего объединяет конвейер обработки ASP.NET HTTP с конвейером обработки IIS HTTP. Это предоставляет в распоряжение богатейший набор новых возможностей, которые можно использовать в сочетании с имеющимися знаниями ASP.NET. Например, одна из них — это возможность применения аутентификации с помощью форм ASP.NET для других веб-приложений, сконфигурированных в IIS 8, которые не обязательно должны быть построены на ASP.NET.

Более того, IIS 8 использует файл web.config для хранения многих частей конфигурации веб-приложений внутри веб-сервера. Это означает возможность настройки многих параметров приложения с использованием либо консоли управления IIS 8, либо за счет непосредственной модификации файла web.config. Благодаря тесной интеграции средств конфигурирования ASP.NET и IIS 8, любые изменения, внесенные непосредственно в файл web.config, немедленно отражаются в консоли управления, и наоборот.

Давайте сначала рассмотрим возможности конфигурирования аутентификации с помощью форм из среды консоли управления IIS 8. Конфигурировать аутентификацию с помощью форм можно с использованием средства настройки аутентификации консоли управления IIS 8, как показано на рисунке ниже:

После разрешения аутентификации с помощью форм подобным образом также понадобится сконфигурировать необходимые правила авторизации. Наиболее важно добавить правило deny для анонимных пользователей с помощью средства конфигурирования авторизации в консоли управления IIS 8:

Обе конфигурационные настройки затрагивают файл web.config и веб-сервер берет эту информацию из web.config для определения собственного поведения, что видно в следующем фрагменте кода:

Вы заметите, что аутентификация с помощью форм, сконфигурированная IIS, как и следовало ожидать, находится в разделе . Но по умолчанию (и если вы ранее не добавили этого вручную), никаких правил авторизации там не будет. Как упоминалось ранее, не все опции конфигурации по умолчанию помещаются непосредственно в файл web.config. Авторизация URL — одна из таких опций конфигурации.

В любом случае унифицированная консоль управления очень хорошо продумана, так что настраивать безопасность IIS и ASP.NET посредством других инструментов нет необходимости. Многие опции по умолчанию сохраняются непосредственно в файле web.config. Как известно можно даже сконфигурировать IIS так, чтобы почти все опции помещались непосредственно в web.config. Однако, как упоминалось ранее, интеграция ASP.NET предоставляет множество возможностей при запуске IIS 8 в интегрированном с ASP NET режиме.

При запуске IIS 8 в интегрированном режиме (выбираемом по умолчанию) IIS использует канал обработки HTTP для обработки как основанных на ASP.NET HTTP-модулей, так и встроенных HTTP-модулей IIS 8.

Поскольку аутентификация с помощью форм реализована в виде HTTP-модуля ASP.NET, ее можно использовать для любого веб-приложения и виртуального каталога, сконфигурированного в IIS, который функционирует в интегрированном режиме. Это значит, что аутентификацию с помощью форм можно применять вместе с приложениями других типов, такими как статические HTML-сайты, классические приложения ASP или даже приложения PHP. Все, что потребуется сделать — это настроить веб-приложение как виртуальный каталог и затем сконфигурировать аутентификацию с помощью форм через консоль управления IIS 8. Это автоматически добавит к приложению конфигурацию web.config.

Поскольку нужно позаботиться об одной дополнительной детали, давайте в этом разделе кратко рассмотрим настройку аутентификации с помощью форм для приложения, отличного от ASP.NET. Предположим, что имеется следующая страница PHP, работающая на веб-сервере:

Теперь просто откройте доступ к папке, где расположен PHP-файл (например, test.php), как к виртуальному каталогу или веб-приложению внутри IIS. После этого можно сконфигурировать аутентификацию с помощью форм и настройки авторизации, как было описано ранее.

Поскольку IIS 8 органично поддерживает аутентификацию с помощью форм, полагаясь на HTTP-модуль аутентификации с помощью форм, поставляемый в ASP.NET, она работает точно также, как работала бы с приложением ASP.NET. Все что нужно — это удостовериться в наличии необходимой страницы входа, которая сама по себе является страницей ASP.NET. Также должны быть доступны части, необходимые для страницы ASP.NET, внутри веб-приложения (или в другом виртуальном каталоге, если применяются cookie-наборы аутентификации между приложениями).

На рисунке ниже показана страница PHP вместе со страницей входа ASP.NET в виртуальном каталоге. Аутентификация с помощью форм просто конфигурируется через управляющую консоль IIS 8, как было описано ранее:

Однако просто поместить содержимое PHP вместе с основанными на ASP.NET страницами входа и сконфигурировать аутентификацию с помощью форм еще недостаточно. Когда вы попытаетесь выполнить переход на страницу PHP, аутентификация с помощью форм пока работать не будет. В зависимости от аутентификации и правил авторизации, вы либо получите ответ «unauthorized» («неавторизовано»), либо сможете переходить к странице PHP без приглашения на вход.

Причина в том, что по умолчанию управляемые HTTP-модули, в том числе и модуль аутентификации с помощью форм, настроены так, что выполняются только по запросу кода, основанного на ASP.NET. Поэтому чтобы заставить работать аутентификацию с помощью форм, потребуется изменить это поведение, вызвав средство конфигурации HTTP Modules в консоли управления IIS 8 когда ваше веб-приложение выбрано. Затем нужно отобразить детальную информацию для модуля FormsAuthentication, сконфигурированного в списке модулей, как показано на рисунке ниже:

Открыв средство конфигурации HTTP Modules, найдите FormsAuthentication и дважды щелкните на нем или выберите ссылку Edit (Правка) в панели задач справа. В открывшемся диалоговом окне снимите отметку с флажка Invoke Only for Requests to ASP.NET Applications or Managed Handlers (Вызывать только для запросов к приложениям ASP.NET или управляемым обработчикам), как показано на рисунке ниже:

После завершения этой настройки при обращении к странице PHP в каталоге веб-приложения запрос будет аутентифицирован посредством аутентификации с помощью форм ASP.NET. Конфигурационный файл web.config для веб-приложения будет выглядеть следующим образом:

Конфигурация FormsAuthenticationModule важна. Флажок в неотмеченном состоянии задает preCondition=»», которое по умолчанию установлено в managedHandler.

Администрирование Windows XP

Информационные службы интернета

Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

Что такое IIS

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

Отличительные черты IIS 5.1

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

Надежность

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

Регистрация и дросселирование. В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

  • Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
  • Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

  1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
  2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
  3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
  4. Выберите файл или папку, которые нужно скопировать на веб-сервер.
  • В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
  • В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
  • Щелкните на Copy (Копировать).
  • Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

    Обеспечение безопасности

    При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

    • Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Respose (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие — в качестве серверов баз данных стало легче и безопаснее.
    • Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
    • Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

    Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

    • Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола — SSL 3.0.
    • Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
    • Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый кешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

    Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

    Управление

    С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел «Инсталляция IIS»). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

    Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

    Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

    Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

    Приложения

    IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

    ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц «на лету». ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

    ASP-скрипты используются для создания HTML «на лету». Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

    ASP в IIS 5.1 предлагает ряд полезных инструментов.

    • Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
    • ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.

    ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

    • регистрация;
    • получение доступа к данным;
    • получение доступа к файлам;
    • использование счетчиков.

    Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

    ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

    FrontPage

    На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

    Илон Маск рекомендует:  Где купить ссылки - вечные, качественные и эффективные!
    Front Page Server Extensions

    Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

    Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

    FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

    • разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
    • добавляют функции веб-сайтам без написания программ;
    • поддерживают учет входящих на сайт пользователей;
    • поддерживают управление электронной почтой;
    • гибкая инсталляция на другие платформы;
    • автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
    • интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.
    Оснастка FrontPage

    Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

    Оснастка позволяет выполнить следующие задания:

    • инсталлировать серверные расширения на веб-сервере;
    • исправлять, обновлять и удалять существующие расширения сервера;
    • добавлять администратора;
    • запрашивать SSL для авторизации;
    • изменять конфигурацию гиперссылок;
    • включать или отключать авторизацию в глобальной сети;
    • регистрировать операции авторизации;
    • конфигурировать опции электронной почты;
    • регулировать работу в глобальной сети.

    Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

    1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
    2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
    3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
    4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
    5. Щелкните на ОК.

    Управление содержимым интранета

    Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

    Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

    Инсталляция IIS

    Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

    Выбор места

    IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

    Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

    • Серверу обеспечена физическая безопасность.
    • Сервер регулярно копируется.
    • Носители копий переносятся на вспомогательное устройство.
    • IIS имеет надежный и бесперебойный источник энергопитания.
    • Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.

    Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

    На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

    Аппаратные и сетевые компоненты

    Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

    • Сетевая карта (NIC).
    • Сетевое соединение с локальной сетью (LAN).
    • Интернет-соединение с интернет-провайдером (ISP).
    • Зарегистрированные IP-адреса (интернет).
    • Частные или зарегистрированные IP-адреса (интранет/интернет).
    • DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.

    Программное обеспечение

    После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

    • Active Server Pages (ASP);
    • NetShow;
    • Index Server;
    • Java Virtual Machine;
    • FrontPage server extensions;
    • FrontPage;
    • Seagate Crystal Reports;
    • SQL Server;
    • SNA Server;
    • Exchange Server;
    • Office XP.

    В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

    Этапы инсталляции

    Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

    1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
    2. Щелкните на Add Windows Components (Добавить компоненты Windows).
    3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
    4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost — имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

    Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

    Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

    Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

    Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

    Конфигурирование IIS

    Инсталляция — это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

    Управление IIS

    Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента — MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

    IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

    Конфигурирование веб-сервисов

    Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

    Свойства, которые, возможно, потребуется настроить, перечислены ниже.

    • Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
    • Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
    • Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
    • Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
    • Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации — Challenge/Response (Вызов/Ответ).
    • Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.

    Создать виртуальный каталог очень просто.

    1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
    2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
    3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
    4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
    5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка — Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

    Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname — это имя, которое вы задали в шаге 3.

    Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге вWindows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

    Регистрация

    IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

    Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства). В результате появится окно, показанное на рис. 7.9.

    Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

    Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

    Контроль доступа

    Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

    Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

    С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

    Конфигурирование FTP-сервера

    Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

    1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
    2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
    3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
    4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
    5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
    6. Щелкните на Next (Далее).
    7. Щелкните на Finish (Готово).

    Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

    • FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
    • Connection timeout (Время простоя соединения);
    • Maximum connections (Максимальное количество соединений);
    • Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
    • Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
    • Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
    • Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.

    Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

    Использование IIS

    Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

    В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

    Установка страниц по умолчанию

    При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

    Публикация в сетевых папках

    Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

    1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
    2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
    3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог — \Inetpub\wwwroot.
    4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.
    Публикация в FTP-папках

    Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

    1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
    2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

    Управление системой безопасности

    Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

    Разрешения

    Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

    Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

    Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

    1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
    2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
    3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
    4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
    5. Введите псевдоним для папки или файла.
    6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
      • чтение;
      • запись;
      • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
      • просмотр каталога.
  • Установите любые разрешения прикладного характера:
    • Никаких;
    • Сценарии;
    • Выполнить (включает в себя сценарии).
  • Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

    Аутентификация

    Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

    Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

    1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

    FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

    1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
    5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
    6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
    7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
    8. Нажмите на ОК.
    9. Установите необходимые NTFS-разрешения для анонимного доступа.
    Анонимная аутентификация

    Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

    Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces — ADSI (дополнительного инструмента MMC).

    Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
    2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
    4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
    5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.
    Шифрование

    Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

    Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

    Для настройки шифрования проделайте следующие шаги.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
    2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
    3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
    4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
    5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

    Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

    Управление содержимым

    Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали «живыми», в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

    После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

    С чего начать

    Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

    Если принять, что все файлы находятся на одном жестком диск с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

    Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

    Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

    Отведи меня домой

    В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

    Илон Маск рекомендует:  Что такое код yaz_itemorder

    Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

    Обходной путь

    Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

    We’re sorry, the page you’re looking for is no longer here.

    We will redirect you in a moment.

    (Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

    Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

    • из одного каталога в другой;
    • на другой веб-сайт;
    • в другой файл из другого каталога.

    Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

    С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

    1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
  • Выберите A redirection to a URL (Перенаправление на URL).
  • В поле Redirect (Переадресовать) введите URL нового каталога.
  • Для переадресовки запросов на определенный файл:

    1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
    2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
    3. Выберите A redirection to URL (Перенаправление на URL).
    4. В поле Redirect to (Переадресовать) введите URL конечного файла.
    5. Выберите The exact URL (Существующий URL), введенный выше.
    Вставки на стороне сервера

    Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

    IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

    Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

    Подключение SSI выполняется посредством следующих действий.

    1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
    2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

    Отключить SSI можно следующим образом.

    1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
    4. Выберите каталог, в котором запускается приложение.
    5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
    6. Выберите расширение и щелкните на кнопке Remove (Удалить).

    IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.

    Установка SSL сертификата на Microsoft IIS 7.x, 8.x

    Процедура покупки/установки сертификата считается относительно сложным процессом, и требует четкого соблюдения ряда правил. Если Вам, как владельцу магазина «быстро и просто нужен сертификат», то для этого мы специально ввели услугу покупки и установки сертификата под ключ, т.е. наш специалист поддержки запросит все необходимые данные, создаст почту на домене (если требуется), зарегистрирует SSL сертификат и корректно установит его на сайт (к магазину или воронки). Вы оплачиваете один раз, и далее дело за нами, услуга доступна в разделе услуги, вот тут — https://www.advantshop.net/services

    Если вы уже приобрели SSL сертификат, но не хотите, тратить время или не до конца уверены в правильности действий, то для такого случая мы так же ввели услугу установки уже купленного сертификата на ваш сайт. Специалист проверит сам сертификат на пригодность и корректно установит его на сайт, услуга «Установка SSL сертификата» доступна в разделе услуги, вот тут — https://www.advantshop.net/services

    И так, всё же, если вы твёрдо решили всё сделать самостоятельно, мы по шагам расскажем как и что нужно.

    Если вы используете тип хостинга выделенный сервер (VPS/VDS или Dedicated), вам нужно зайти на машину по протоколу RDP (Remote Deskstop) под учетной записью, которую выдал хостинг.

    • Нажмите Start.
    • Выберите Administrative Tools.
    • Запустите Internet Services Manager — IIS
    • Нажмите на название сервера (обычно это название компьютера) в дереве элементов слева

    В главном меню кликните по кнопке «Server Certificates» в разделе «Security».

    Выберите меню «Actions» (справа), нажмите на «Complete Certificate Request».

    Откроется мастер Complete Certificate Request.

    Введите место расположения вашего IIS SSL сертификата (нужно нажать кнопку browse для определения места расположения Вашего IIS SSL сертификата. Этот файл должен иметь название «yourdomainname.crt»).

    Затем введите удобное имя сертификата. Оно не является частью самого сертификата, но используется администратором сервера для легкого различения сертификата.

    Затем нажмите Ok.

    Примечание: Известно, что в IIS 7 появляется следующая ошибка: «Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created.» Вы также можете увидеть ошибку, констатирующую «ASN1 bad tag value met». Если этот тот же самый сервер, на котором Вы генерировали и CSR, то в большинстве случаев сертификат фактически установлен. Просто отмените диалог и нажмите «F5» для обновления списка сертификатов сервера. Если новый сертификат появился в списке, то Вы можете продолжать дальше. Если сертификат не появится в списке, то Вам нужно перевыпустить сертификат, используя новый CSR (смотрите наши инструкции по созданию CSR на IIS 7).

    После того как сертификат будет успешно установлен на сервер, Вам необходимо будет назначить этот сертификат на соответствующий вебсайт, используя IIS.

    В главном окне Internet Information Services (IIS) Manager в меню «Connections» выберите имя сервера, В «Sites» выберите сайт, который будет защищен SSL, далее в меню «Actions»(справа), нажмите на «Bindings».

    Откроется окно «Site Bindings».

    В окне «Site Bindings» нажмите «Add». Тем самым Вы откроете «Add Site Binding».

    В «Type» выберите https. IP адрес должен быть IP адресом сайта или * (All Unassigned), и порт, по которому будет защищен трафик посредством SSL, обычно это 443.

    Сертификат, который ранее был установлен, должен быть задан в поле «SSL Certificate».

    ЗАЩИТА IIS: мифы и факты

    Microsoft IIS занимает необычное положение в сетевой инфраструктуре: программный код, выполняемый в режиме пользователя, глубоко интегрирован с операционной системой и использует протоколы Internet для доставки приложений и контента удаленным пользователям. Для защиты IIS необходимо учесть все аспекты развертывания, в том числе сети, приложения, серверы и операционную среду.

    Удивительно, как много средств компании тратят на защиту своих серверов, забывая при этом, что кто-то может получить физический доступ к машине и загрузить ее с помощью 3,5-дюймовой дискеты. В данной статье предполагается, что читатели не нуждаются в напоминаниях о контроле над физическим доступом, необходимости вовремя устанавливать исправления, выбирать сложные пароли и изменять стандартные пароли на административных системах (например, системных мониторах). Тем не менее некоторые администраторы забывают об элементарных мерах предосторожности, и именно таким образом взломщики получают чаще всего несанкционированный доступ к серверам; более подробно об этом рассказано в опубликованной институтом SANS статье «The Twenty Most Critical Internet Security Vulnerabilities (Updated) — The Experts? Consensus» (http://www.sans.org/top20).

    Вооружившись знанием основ безопасности IIS, можно переходить к другим темам, таким как управление процессом идентификации, фильтрация портов, блокирование Web Distributed Authoring and Versioning (WebDAV) и использование инструмента безопасности URLScan. Но сначала следует развеять несколько мифов о безопасности IIS и познакомиться с некоторыми из наиболее эффективных методов и инструментов Microsoft для защиты Web-серверов.

    Мифы о безопасности IIS

    Приступая к изучению проблемы безопасности IIS, нужно прежде всего усвоить, что не следует безоговорочно верить всему прочитанному. Одна из причин, побудивших меня поделиться опытом работы с IIS, как раз и состоит в большом количестве неверной информации, исходящей из разных источников, в том числе Microsoft. Вот несколько примеров.

    Анонимному пользователю необходимо право локальной регистрации (log-on-locally). В некоторых источниках указывается, что учетной записи IUSR_, используемой IIS для анонимной аутентификации, требуется право локальной регистрации. Такие сведения содержатся в Help-файлах IIS и на Web-узле компании Microsoft, в том числе в статье «HOW TO: Set Basic NTFS Permissions for IIS 5.0» (http://support.microsoft.com/?kb >

    Из соображений безопасности лучше запретить анонимному пользователю локальную регистрацию, так как в этом случае злоумышленник не может воспользоваться учетной записью anonymous user для локальной регистрации, которая предоставляет пользователю больше полномочий, чем сетевая регистрация. Например, взломщик, использующий учетную запись IUSR для регистрации через Windows 2000 Server Terminal Services, запускает интерактивный сеанс регистрации и поэтому получает доступ к другим сетевым ресурсам. Возможно, придется потратить некоторое время, чтобы понять различия между локальной и сетевой регистрацией, но это знание необходимо для оптимального решения проблем безопасности. Краткий обзор процедуры аутентификации приведен в статье по адресу www.microsoft.com/technet/prodtechnol/winxppro/ reskit/prdp_log_csky.asp.

    Пользователям необходимы разрешения Change на журнальные файлы. В документе Secure Internet Information Services 5 Checklist (http://www.microsoft.com/technet/security/tools/ chklist/iis5chk.asp) содержится несколько ценных рекомендаций и одна крайне неудачная идея, а именно совет предоставить группе Everyone разрешения Read, Write и Change для генерируемых IIS файлов журнала регистрации (\%systemroot%system32logfiles). Дело в том, что предоставление таких разрешений группе Everyone не помешает злоумышленникам удалить эти файлы для того, чтобы замести следы, как предполагается в документе. Правильнее было бы предоставить разрешения Full Control на файлы журнала регистрации группам Administrators и System. Единственное исключение из этого правила относится к случаям, когда для записи файлов журнала регистрации IIS используется специализированное приложение для регистрации. В подобных случаях приходится предоставлять разрешение Change.

    Active Server Pages (ASP) требует разрешения NTFS Execute. Во многих документах Microsoft приводятся рекомендуемые разрешения NTFS для контента IIS. В большинстве таких документов говорится, что для сценариев необходимо разрешение NTFS Execute. Данная рекомендация нарушает важный принцип безопасности, известный как принцип минимальных полномочий. Как правило, для любого сценария, связанного с механизмом выполнения сценариев, требуется только разрешение NTFS Read.

    Администраторам IIS приходится отыскивать зерно истины среди утверждений, верных лишь наполовину. Задача осложняется тем, что иногда неверная информация исходит от самой Microsoft. Тем не менее знание мер, необходимых для защиты Web-серверов, наверняка поможет разобраться.

    Идентификация процессов

    Одно из главных правил безопасности сервера заключается в том, что все процессы имеют свой контекст безопасности. Это означает, что каждая программа на сервере выступает в роли сущности (entity). Сущностью может быть зарегистрированный пользователь или встроенная учетная запись (например, System), а каждый процесс имеет экземпляр (Identity). Администратор IIS, уделяющий внимание проблеме безопасности, обязан всегда знать имя экземпляра процесса, который исполняет Web-приложение. В таблице приведены подробные сведения о модели процессов IIS и связанных с ними именах экземпляров.

    Взломщик может использовать несколько методов для доступа к экземпляру процесса. Проведя атаку с переполнением буфера против приложения или Web-сервера, он может овладеть контекстом безопасности экземпляра процесса. Другой метод состоит в использовании функции RevertToSelf, которая может быть вызвана исполняемым файлом. Если злоумышленник может запустить такой исполняемый файл, то приложение исполняется как экземпляр процесса. Следует обратить внимание, что в Internet Information Services (IIS) 5.0 и Internet Information Server (IIS) 4.0 процесс Inetinfo работает с учетной записью System (см. таблицу). Следовательно, в целях безопасности следует избегать запуска приложений «внутри процесса» (т. е. работающих от имени процесса Inetinfo). В IIS 6.0 Web-приложения не запускаются экземпляром System, за исключением тех случаев, когда администратор явно задает этот режим или сервер настроен на работу в режиме IIS 5.0. Администратор не может запретить программе использовать экземпляр процесса, но может проанализировать двоичный файл, чтобы обнаружить вызовы RevertToSelf. Для анализа можно задействовать утилиту DumpBin, которая поставляется вместе с большинством языков программирования. Требуется ввести следующую команду:

    dumpbin /imports executable name| find «RevertToSelf»

    Более подробно об анализе исполняемых файлов рассказано в документе Secure Internet Information Services 5 Checklist.

    Фильтрация портов

    Тема фильтрации портов выходит за рамки данной статьи, но нельзя не упомянуть о некоторых основных положениях. Например, единственный порт, необходимый для работы IIS, — порт 80; все остальные порты обеспечивают дополнительную функциональность. Как правило, требуется задействовать TCP-порт 443 для SSL (Secure Sockets Layer), TCP/UDP-порт 53 для SMTP и, вероятно, другие порты для прикладных функций. Следует разрешать соединения только для необходимых служб и никогда не открывать сетевые порты приложений Microsoft (TCP/UDP-порты 137, 138, 139 и 445) подозрительным сетям. Сетевые порты и работающие через них соответствующие службы предоставляют много возможностей для нападения. Я рекомендую начать настраивать IIS с порта 80 и не открывать никаких других портов без производственной необходимости. На многих сайтах для фильтрации портов применяются брандмауэры, но я предпочитаю размещать IIS-серверы в демилитаризованной зоне (DMZ), как будто взломщик проник сквозь брандмауэр. Защита с помощью хост-машин (host-based defense), как ее иногда называют, — важный уровень эшелонированной стратегии безопасности.

    Чаще всего для фильтрации портов я пользуюсь бесплатной утилитой IP Security (IPSec), которая успешно работает и запускается из командной строки. Основное назначение IPSec не фильтрация портов, а создание двухточечных взаимно аутентифицированных и зашифрованных соединений. Предположим, что установлено соединение IPSec между IIS и брандмауэром Internet Security and Acceleration (ISA) Server 2000 и другое соединение, между брандмауэром и системой Microsoft SQL Server. Эти соединения можно настроить на взаимную аутентификацию с применением сертификатов и шифрованием всего трафика. Если взломщик получает доступ к компьютеру в DMZ, то он не сможет обратиться к машине SQL Server. Для этого требуется, чтобы сертификат, хранящийся на сервере IIS, передавался компьютеру SQL Server от компьютера с IP-адресом сервера IIS. Кроме того, злоумышленнику не удастся перехватить зашифрованный трафик. IPSec обеспечивает надежную защиту, и я рекомендую именно эту утилиту.

    С помощью IPSec можно реализовать и фильтрацию портов с учетом состояния (state-aware). Например, если адрес IIS-сервера — 1.1.1.1 и данный сервер соединен с машиной SQL Server с адресом 1.1.1.2, то машину 1.1.1.1 можно настроить на связь только с 1.1.1.2 и с использованием только порта 1433. Более подробная информация содержится в статье Microsoft «INF: TCP Ports Needed for Communication to SQL Server Through a Firewall» (http://support.microsoft.com/?kb >

    Пользовательский интерфейс IPSec требует изучения, его подробное описание дано в статье Microsoft «Building and Configuring More Secure Web Sites» (http://msdn.microsoft.com/library/en-us/dnnetsec/html/openhack.asp). Чтобы составить правила IPSec для Windows 2000, можно воспользоваться утилитой командной строки Ipsecpol, которая доступна на сайте Microsoft по адресу http://www.microsoft.com/windows2000/techinfo/ reskit/tools/existing/ipsecpol-o.asp. Например, чтобы создать правило, разрешающее только входящий трафик через порт 80, следует ввести команду

    Перед тем как использовать фильтрацию портов IPSec, нужно прочитать статью Microsoft «IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios» (http://support.microsoft.com/?kb >

    Блокирование WebDAV

    Немногие темы столь запутанны, как использование WebDAV совместно с IIS. WebDAV — стандарт, сформулированный в документе Request for Comments (RFC) рабочей группы Internet Engineering Task Force (IETF) (http://www.ietf.org/rfc/rfc2518.txt). Он позволяет создать на клиентской стороне Web-папку, URL которой указывает на IIS-сервер. Затем в папку можно перенести мышью контент для публикации на Web-сервере. Эта функция реализована как в IIS 6.0, так и в IIS 5.0. WebDAV стал широко применяться на серверах Microsoft с появлением Windows 2000. Тем не менее многие администраторы не представляют потенциальных возможностей и риска WebDAV. Конечно, такая мощная функция, как WebDAV, открывает широкое поле деятельности для злоумышленника. Поэтому неудивительно, что выпущено множество исправлений системы безопасности для httpext.dll, расширения http, в котором реализованы функции WebDAV.

    На мой взгляд, главный недостаток реализации WebDAV в Windows 2000 заключается в том, что по умолчанию он разворачивается вместе с IIS и его нельзя отключить из пользовательского интерфейса IIS. Администраторам Windows 2000 приходится с этим мириться, но администраторам Windows Server 2003, установившим IIS 6.0, будет приятно узнать, что WebDAV блокирован по умолчанию и его можно активизировать или отключить из контейнера Web Service Extensions на консоли IIS.

    Вокруг способов активизации или отключения WebDAV в Windows 2000 возникла путаница, так как в разное время специалисты Microsoft предлагали три различных метода блокирования WebDAV, у каждого из которых есть свои достоинства и недостатки. Тем не менее в различных публикациях Microsoft рекомендованы все три метода.

    Отказ в разрешении Execute для файла httpext.dll членам группы Everyone. Чтобы помешать первым злоупотреблениям WebDAV, специалисты Microsoft предложили лишить группу Everyone разрешения Execute на файл httpext.dll. Такой подход к блокировке WebDAV используется в инструменте IIS Lockdown. Однако у этого подхода есть два недостатка.

    Во-первых, необходимо запретить Execute на всех серверах и внести это изменение при создании нового сервера. Во-вторых, удаление разрешения Execute не полностью блокирует WebDAV, что отмечается в статье Microsoft «Locking Down WebDAV Through ACL Still Allows PUT and DELETE Requests» (http://support.microsoft.com/?kb >

    Добавление параметра реестра DisableWebDAV. На системах Windows 2000 SP2 и более поздних можно перейти в раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParameters, добавить параметр DisableWebDAV и присвоить ему значение 1, чтобы отключить WebDAV. Это эффективное решение, но его необходимо реализовать на всех машинах.

    Использование URLScan для блокирования команд WebDAV. Самый надежный метод защиты IIS — установить на IIS-серверах утилиту безопасности URLScan. Данный инструмент выполняет и множество других функций, помимо блокирования WebDAV, поэтому заслуживает более подробного рассмотрения.

    Реализация URLScan

    URLScan — фильтр Internet Server API (ISAPI), работающий на платформах IIS 6.0, IIS 5.0 и IIS 4.0. В ходе установки инструмента IIS Lockdown на IIS 5.0 или IIS 4.0 при желании можно развернуть URLScan 2.0. Однако я рекомендую использовать версию 2.5 с расширенной функциональностью. С Web-узла Microsoft можно загрузить различные версии URLScan. Ко времени публикации данной статьи должна быть выпущена программа установки URLScan для IIS 6.0. Для использования URLScan с IIS 6.0 не существует столь веских оснований, так как IIS 6.0 уже располагает основными функциями защиты, обеспечиваемыми утилитой.

    URLScan сравнивает входящий URL с правилами, задаваемыми администратором в файле urlscan.ini (который находится вместе с urlscan.dll в каталоге \%systemroot%system32inetsrvurlscan) и, соответственно, пропускает или блокирует запросы. Например, URLScan можно настроить на обслуживание только запросов к файлам с определенными расширениями. Такое простое правило защитит систему от многих известных атак, направленных против IIS.

    URLScan можно настроить на блокирование всех запросов, содержащих определенные заголовки HTTP, такие как заголовки WebDAV в приведенном ниже фрагменте файла urlscan.ini (хочу выразить благодарность Марку Барнетту, дополнившему этот листинг):

    Кроме того, с помощью URLScan можно блокировать URL, которые:

    • содержат символы не из заданного диапазона;
    • содержат указанные символы или последовательности символов;
    • превышают определенную длину;
    • содержат клиентские заголовки, превышающие определенную длину;
    • содержат определенные команды HTTP.

    С помощью URLScan можно записать все отвергнутые запросы в файле регистрации, а затем проанализировать журнал с использованием утилиты Log Parser Tool 2.0, которую можно получить по адресу http://www.microsoft.com/downloads, или инструмента Log Parser Tool 2.1 из комплекта ресурсов Microsoft Windows Server 2003 Resource Kit. Также можно переслать все блокированные запросы на специальную .asp-страницу для обработки; принимать запросы, но заносить определенные события в журнал как блокированные запросы; удалять или изменять серверные баннеры, которые IIS посылает клиенту.

    URLScan может блокировать URL, длина которых превышает определенную величину, но большинство URL для IIS недостаточно длинны, чтобы вызвать переполнение буфера. Проанализировав длину URL, необходимую для конкретных Web-узлов, и установив правило URLScan, блокирующее все запросы, не отвечающие требованиям, можно существенно повысить безопасность сервера. С помощью одного этого правила можно снизить угрозу для серверов, так как взломщик должен послать URL, соответствующий некоторым требованиям (например, с конкретным расширением; содержащий лишь определенные команды HTTP; не содержащий таких компонентов, как символы не из заданного диапазона, дополнительных символов или косых черт; длиной менее 400 символов).

    URLScan отличается богатой функциональностью для такой компактной программы, отсутствием каких-либо известных изъянов, а использование утилиты почти не отражается на производительности. Следует помнить, что наряду с изменением серверного баннера (и потенциальными последствиями для приложений, использующих баннер), URLScan блокирует только запросы к серверу; утилита не влияет на работу приложений и не может внезапно нарушить стабильность Web-сервера. URLScan легко удалить или перевести в режим мониторинга, в котором утилита регистрирует события, но не блокирует запросов.

    Защита, защита и еще раз защита

    Защищая Web-серверы от потенциальных взломщиков, важно понимать процесс идентификации и знать, какие приложения каких разрешений NTFS требуют. Важность фильтрации портов также трудно переоценить, но если брандмауэр взломан, настроен некорректно, или поражен другой сервер в демилитаризованной зоне, то можно использовать IPSec для защиты с помощью хост-машин. Кроме того, важно контролировать доступ по WebDAV к серверам, а с помощью URLScan можно настроить правила блокировки IIS. Наиболее эффективные из этих методов — использование URLScan и ограничение длины URL. В результате применения перечисленных инструментов взломщики переносят свои усилия с Web-серверов на приложения, исполняемые Web-серверами, но это уже тема для другой статьи.

    Бретт Хилл — организатор узла http://www.iistraining.com, консультант по Microsoft IIS, IIS MVP; автор и преподаватель курсов IIS. С ним можно связаться по адресу: brett@iisanswers.com

    Поделитесь материалом с коллегами и друзьями

    Iis использование стандарта безопасности fortezza в iis

    Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

    Что такое IIS

    IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

    Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

    Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

    IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

    Надежность

    По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

    HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

    Илон Маск рекомендует:  Следим за изменениями и запускаем задачи

    Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

    Регистрация и дросселирование. В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

    Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

    Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

    WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

    WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

    WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 1 показано, как происходит обмен документами с помощью WebDAV.

    Рис. 1. Обмен документами с помощью WebDAV

    Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard).

    Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

    Обеспечение безопасности

    При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

    · Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Respose (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие — в качестве серверов баз данных стало легче и безопаснее.

    · Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.

    · Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

    · Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола — SSL 3.0.

    · Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.

    · Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый кешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

    Управление

    С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел «Инсталляция IIS»). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

    Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

    Iis использование стандарта безопасности fortezza в iis

    Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

    Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

    Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

    Все ответы

    Основы безопасности IIS

    Административные меры безопасности IIS

    Максимальное усиление безопасности IIS

    Кратко об Internet Information Services 7.x

    Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

    На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

    Iis использование стандарта безопасности fortezza в iis

    Стандартные возможности аутентификации Internet Information Server (IIS), анонимный доступ, методы аутентификации, учетная запись IUSR_

    Большая часть серверов IIS работает без требований к пользователю аутентифицироваться — то есть в режиме анонимного доступа. На самом деле такие анонимные пользователи работают от имени специальной учетной записи IUSR _имя_компьютера. Конечно же, настоятельно не рекомендуется использовать эту учетную запись для каких-то других целей, добавлять ее в другие группы (кроме группы Guests ), в которой эта учетная запись находится по умолчанию и т.п.

    Однако в некоторых ситуациях анонимным доступом не обойтись. Обычно аутентификация требуется в двух случаях:

    1) когда на Web -сервере находятся ресурсы, доступ к которым нужен не всем пользователям (проще говоря, чтобы задействовать систему разрешений);

    2) для целей дополнительного протоколирования — чтобы можно было записывать информацию о том, какие именно пользователи обращались к ресурсам Web -сайта (во многих ситуациях, например в локальной сети, в этом случае можно обойтись без аутентификации — поскольку текущее имя пользователя автоматически записывается в логи Web -сервера).

    Аутентификация в IIS , к сожалению, полностью основывается на системе безопасности Windows . Фактически мы можем предоставить доступ только тем пользователям, для которых у нас создана локальная учетная запись (или доменная учетная запись, если компьютер с IIS входит в домен). Конечно, по этой причине доступ на IIS со стандартными средствами можно предоставлять только пользователям локальной сети (или, например, очень ограниченному числу внешних партнеров). Рассчитывать на организацию системы аутентификации для пользователей из Интернета стандартными средствами не приходится (поскольку для каждого пользователя учетную запись Windows не создашь). Обычно для таких целей используются или самостоятельно созданные Web -приложения, или специальные надстройки на IIS , которые обеспечивают отдельную, независимую от Windows систему аутентификации. Ниже будет рассмотрены стандартные возможности аутентификации, а затем — дополнительные средства других производителей.

    Настройку аутентификации стандартными методами предписывается производить из консоли Internet Information Services Manager -> свойства Web -сайта -> вкладка Directory Security -> кнопка Edit в группе Authentification and Access Control . При нажатии на эту кнопку открывается окно Authentification Method , в котором и производятся настройки параметров аутентификации. В этом окне вы можете:

    • разрешить или запретить анонимный доступ на Web -сайт и выбрать учетную запись, которая будет использована для этой цели;
    • выбрать методы аутентификации, которые могут быть использованы для доступа на Web -сервер.

    О методах аутентификации необходимо рассказать подробнее:

    • IntegratedWindowsAuthentification — единственный метод (кроме анонимного доступа), доступный по умолчанию. При использовании этого метода используются те же хэши NTLM (или Kerberos — negotiate для Windows 2000/ XP /2003), что и при обычной аутентификации в Windows (например, при обращении к файлам на файл-сервере). Конечно, ни один броузер, кроме Internet Explorer , такой аутентификации не поддерживает. Необходимо отметить, что, если прав учетной записи IUSR недостаточно (или анонимный доступ вообще отключен) следующее, что делает Internet Explorer — отсылает NTLM -хэш (его версия зависит от версии операционной системы) текущей учетной записи на сервер IIS . Если аутентификация не прошла (или прошла, но у учетной записи не оказалось прав на Web -ресурс), то открывается всплывающее окно аутентификации, в котором пользователь имеет возможность ввести данные другой учетной записи;
    • DigestAuthentification — сравнительно новая технология (появилась только в Windows 2000/ IIS 5.0), основанная на открытых Интернет-стандартах (алгоритм хэширования MD 5 и RFC 2617). При использовании этого метода аутентификации сервер посылает специальную случайную последовательность символов — nonce — клиенту (для каждого сеанса она будет сгенерирована заново). Клиент принимает эту последовательность, на основе ее и своего пароля генерирует хэш по алгоритму MD 5 и пересылает ее серверу. Сервер, который производит такую же операцию и сравнивает полученные значения. Главной проблемой применения этого метода аутентификации является то, что IIS должен получить доступ к открытым паролям пользователей, которых по умолчанию нет и на контроллерах домена. Таким образом, чтобы этот метод аутентификации заработал, необходимо для учетных записей пользователей установить параметр » Store password using reversible encryption «, что обычно в защищенных сетях недопустимо.
    • BasicAuthentification — самый простой тип аутентификации, который поддерживается практически всеми броузерами. При этом имя пользователя и пароль посылаются почти открытым текстом (на самом деле они кодируются, во избежание попадания служебных символов, по алгоритму Base 64). Те менее, конечно, расшифровать эти данные не составит никакого труда — например, при помощи утилиты Base 64 Decoder (она умеет декодировать и некоторые другие форматы) из каталога прочее на компакт-диске. Поскольку передаются таким образом на самом деле имя и пароль учетной записи Windows , то последствия могут оказаться очень серьезными (если в сети запущен сниффер). Безопасно пользоваться этим методом аутентификации можно только при использовании SSL .
    • .NETPassportauthentification — возможность использовать для аутентификации централизованную систему . NET Passport от Microsoft . Не совсем понятно, зачем эта возможность помещена на графический интерфейс IIS Manager — использовать эту возможность могут только участники программы . NET Passport , фактически — очень ограниченный круг крупных Web -коммерсантов. Существует и множество других ограничений при использовании .NET Passport .

    Есть и другие методы аутентификации, например, при помощи клиентских сертификатов (этот метод сертификации настраивается при помощи Edit в разделе Secure Certifications и о нем будет рассказано ниже), при помощи серверов RADIUS и смарт-карт, но обычно последние два способа используются в составе комплексных решений для очень защищенных Web -сайтов.

    Еще несколько слов об служебных учетных записях и группах, имеющих отношение к IIS :

    • IUSR _имя_компьютера — об этой учетной записи уже говорилось, она предназначена для обеспечения анонимного доступа на сервер IIS и никаких дополнительных прав ей предоставлять не рекомендуется;
    • IWAM_имя_компьютера — еще одна гостевая учетная запись, которой не нужно давать лишние права. От имени этой учетной записи запускаются внешние процессы, порождаемые процессом INETINFO (то есть процессом Web -сервера). Иногда для работы Web 0-приложения этой учетной записи необходимо предоставить дополнительные права, например, на запись в каталог.
    • IIS _WPG — эта группа предназначена для предоставления прав в операционной системе приложениям CGI и ASP . NET , работающим на Web -сервере. Если у вас таких приложений нет, выдавать какие-либо разрешения этой группе не нужно.
    • ASPNET — как понятно из названия, эта учетная запись используется приложениями ASP . NET , работающими на сервере IIS . Если у вас не используется ASP . NET (не установлена как компонент IIS ), то этой учетной записи не будет. Этой учетной записи нужно предоставлять права, например, если приложению ASP . NET необходимо подключаться к SQL Server .

    При помощи группы переключателей IP address and domain name restrictions можно также ограничить доступ к сайту по IP -адресам, целым IP -сетям или именам доменов DNS . Обычно такие возможности используются только в Интранет Web -серверах.

    IIS 7.0: краткая инструкция для системного администратора. Часть 1 – пpoверка результатов установки.

    Продолжаем говорить об процедуре установки веб сервера под управлением IIS 7.0 на Windows Server 2008, которая была рассмотрена в предыдущем посте.

    Теперь перейдем к проверке результатов установки IIS 7.0. Самый простой вариант проверить, работает ли веб сервер, особенно – находясь за локальной консолью, это обратиться из любого веб-браузера по адресу http://localhost/. Далее, проверить с локальной и удаленной машины по IP-адресу.

    При установке IIS 7.0 создается веб сайт по умолчанию, сконфигурированный на ответ при любом URL-запросе, поступившем на порт 80 любого сетевого интерфейса сервера, на котором установлен IIS 7.0. Т.е. запрос браузера типа http://localhost/ должен быть обработан как запрос к веб сайту по умолчанию. Содержимое сайта по умолчанию представляет собой 2 файла – iisstart.htm и welcome.png (который отображается в iisstart.htm), которые и будут открыты клиентом. Поэтому результат обращения к localhost будет иметь следующий вид:

    Теперь, если все хорошо (если «плохо» – поиск неисправностей и ошибок мы рассмотрим позже, в отдельном разделе), убедимся, что все модули, которые должны быть установлены по умолчанию – подключены и работают, а базовая конфигурация – отвечает нашим требованиям.

    1. Основным инструментом управления IIS 7.0 является консоль Internet Information Services (IIS) Manager, которая устанавливается по умолчанию, вместе с ролью Web Server в Windows Server 2008 (IIS Management Console, раздел Management Tools при установки модулей). После соответствующей установки консоль управления IIS 7.0 можно найти, как дочернюю запись внутри раздела Web Server (IIS) в разделе ролей Server Manager, либо как пункт в разделе Administrative Tools меню Start, либо выполнив команду inetmgr (в командной строке или через пункт Run того же меню Start).

    2. При старте консоль Internet Information Services (IIS) Manager открывается с «домашней страницей», на которой в виде панелей находится информация о том, к каким веб серверам и веб сайтам подключался пользователь консоли до этого (если консоль только установлена вместе с ролью Web Server (IIS), то в консоле присутствует запись только о локальном веб сервере), также присутствуют ссылки для выбора подключения к другим серверам, веб сайтам, веб приложениям и папкам, а также ссылки на внешние ресурсы, посвященные IIS.

    3. Кроме того, на домашней странице присутствует панель новостей, которые подгружаются как новостная RSS-лента с сайта www.iis.net, если администратор нажимает на ссылку Enable IIS News. Новости, кстати, очень полезные, рекомендуется включать и использовать эту информацию в повседневной работе.

    4. При подключении к какому либо веб серверу IIS 7.0 консоль Internet Information Services (IIS) Manager представляет его конфигурацию, как логическую структуру – уровень самого веб сервера, чьи настройки являются глобальными и распространяются по умолчанию на все веб сайты, пулы приложений и, сообственно, веб сайты со своими настройками. Эта конфигурационная иерархия, в виде разворачивающегося дерева, начинающегося с узла с именем (или IP) веб сервера, отображается в левой панели консоли Internet Information Services (IIS) Manager.

    5. Если выбрать какой-то узел в дереве конфигурации, то в центральной панель консоли Internet Information Services (IIS) Manager будут отображены в виде отдельных иконок все параметры (а также – модули или списки), соответствующие конфигурации выбранного узла, а в правой панели – набор контекстных задач и операций, которые администратор (или пользователь) может выполнить над данным узлом.

    6. Выбираем верхний узел, узел веб сервера, в котором представлены иконки, отвечающие за параметры работы модулей всего веб сервера, эти параметры наследуются по умолчанию для всех веб сайтов. Убеждаемся, что все необходимые модули установлены и отображены. Снимок экрана при установке конфигурации по умолчанию приведен ниже.

    7. В правой панели при выборе узла веб сайта отображаются все операции, возможные для выполнения непосредственно с веб сервером (службами IIS в целом) в данном конексте – перезапуск, останов, запуск, переход к пулам приложений и сайтам.

    8. Убеждаемся, что пулы приложений (Application Pools) сконфигурированы. Пулы приложений будут рассмотрены позже. Пулы являются дочерним узлом в дереве конфигурации для узла веб сайта. При установке по умолчанию создается только один пул – DefaultAppPool, в котором регистрируется одно приложение – сконфигурированный по умолчанию веб сайт, работу которого мы уже проверили. См. снимок экрана.

    9. Ниже узла пулов приложений в дереве конфигурации находится узел веб сайтов (Sites), при выборе которого отображается список работающих на данном веб сервере веб сайтов. По умолчанию создается один веб сайт под названием Default Web Site с внутренним номером (ID) равным 1, «привязанный» на 80 порт всех IP-адресах всех сетевых интерфейсов к любому URL в запросе, и использующий в качестве домашнего каталога своего контента каталог с путем %SystemDrive%\inetpub\wwwroot (что при установленном Windows Server 2008 на диск C: соответствует C: \inetpub\wwwroot).

    10. При выборе в левой панели консоли узла веб сайта (Default Web Site), также, как и в случае с выбором узла веб сервера, в центральной панели отображаются иконки для доступа к параметрам конфигурации различных модулей, на этот раз – конкретного веб сайта. Убеждаемся, что также, как и в случае со всем веб сервером, все необходимые модули представлены в центральной панели.

    11. В правой панели консоли, аналогично панели для всего веб сервера, отображаются контекстные команды, правда, на этот раз их список серьезно расширен – старт/стоп/перезапуск процесса веб сайта, просмотр его базовых и расширенных настроек (а не параметров модулей), настройки привязки (адрес, порт, доменное имя – по сочетанию которых будет отвечать на запросы данный веб сайт) и т.п.

    В принципе, для базовой проверки работоспособности и целостности установки данных шагов вполне достаточно. Но если вы хотите поближе познакомиться с «полным» набором настроек и конфигурацией «по умолчанию» – то можете проделать следующие шаги.

    12. Выберите узел веб сервера в дереве конфигурации в левой панели консоли Internet Information Services (IIS) Manager. В центральной панели кликните на иконку Modules. В центральной панели откроется следующий полный список установленных по умолчанию модулей, представляющий из себя перечень .dll файлов.

    13. Чтобы убедиться, что веб сервер будет работать только со статическими файлами (по умолчанию) или только с нужными вам расширениями – выберите снова узел веб сервера и в центральной панели кликните на иконку Handler Mappings. Откроется список «привязки» расширений вызываемых на веб сайте пользователем файлов и привязанных к данным расширениям модулям, выполняющим обработку данного вызова. Обратите внимание, что по умолчанию все файлы привязаны к модулю обработки статических файлов (т.е. запрос какого либо скриптового или исполнимого файла из домашнего каталога веб сайта не будет приводить к его исполнению на сервере, а лишь к передаче данного файла пользователю), а также к модулям документа по умолчанию и просмотра каталога. С этими модулями мы познакомимся позже.

    14. И, наконец, для того, чтобы убедиться в безопасности веб сайта – проверьте параметры его аутентификации. Для этого выбираем иконку Authentication в той же центральной панели. По умолчанию никаких модулей аутентификации веб сервер (и веб сайты) не поддерживает. Т.е. все подключения для него анонимны. В чем безопасность? Это значит, что пользователям будет доступен только то содержимое домашних каталогов сайтов – файлы и подкаталоги – которые имеют NTFS разрешения для чтения «всем» (Everyone). В случае, если таких разрешений файл не имеет, пользователю будет отказано в доступе с соответствующей ошибкой 401. Если же пользователь попробует каким-то образом аутентифицироваться в процессе HTTP запроса на сервере – то поскольку никаких модулей аутентификации, кроме анонимного, на веб сервере не установлено – он снова получит соответствующую ошибку 401.

    Такие настройки безопасности по умолчанию – только анонимные пользователи – позволяют гарантировать защиту данных на сервере, для которых требуются соответствующие разрешения, а также – что механизм аутентификации веб сервера (которого в данном случае просто нет) не будет использован для перебора паролей и прочих попыток «взлома» через учетные записи.

    Итак, сервер установлен и его работоспособность проверена. Теперь достаточно поместить какой либо статический контент (файлы HTML, изображения, документы и файлы для выгрузки пользователями) в домашний каталог его сайта по умолчанию (напоминаю, что это в большинстве случаев C:\inetpub\wwwroot) – и веб сайт под управлением IIS 7.0 начнет работать. Ну, и конечно, для внешних сайтов – не забыть прописать их A-record в вашей доменной зоне на публичном DNS сервере.

    В следующей части – установка IIS 7.0 в режиме командной строки, особенности работы IIS 7.0 на Server Core.

    Установка SSL-сертификата на Microsoft IIS 7

    Перед установкой SSL-сертификата от REG.RU перейдите к списку услуг и убедитесь, что услуга SSL-сертификата активна:

    Процесс установки сертификата

    Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат:

    Нажмите ОК и сертификат будет установлен на сервер.

    Из меню «Actions» в правой части страницы нажмите на Bindings. Откроется окно «Site Bindings»:

    В окне «Site Bindings» нажмите Add…, откроется окно «Add Site Binding»:

    В меню «Type» выберите https. В меню «IP address» должен быть IP-адрес сайта или «All Unassigned». Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле «SSL Certificate» надо указать точное имя сертификата, который вы установили (шаг 7):

    Ваш сертификат установлен и сайт будет работать через защищенное соединение.

    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL