Iis система безопасности


Содержание

Установка и конфигурирование IIS

В большинстве случаев в реальных производственных проектах один или несколько серверов будут использоваться для обслуживания клиентских запросов веб-сайта. Эти серверы могут принадлежать и управляться непосредственно вами, специализированной командой или же сторонней компанией, предоставляющей услуги хостинга. В любом случае рано или поздно наступает момент, когда написание кода и его тестирование завершено, и работа должна быть представлена широкой публике — в этом и заключается развертывание веб-сайта.

В этой и следующих статьях мы рассмотрим различные варианты развертывания. Однако во всех случаях основные предпосылки остаются неизменными. На рабочей станции имеется готовый веб-сайт, который нужно развернуть на сервере, чтобы он был доступен клиентам. Для ASP.NET таким сервером является , а его текущей версией — IIS 8. Когда он был впервые реализован, IIS представлял собой базовый веб-сервер. С годами IIS развился в сложный сервер приложений, предоставляющий широкое множество функциональных средств, наиболее важным из которых является поддержка хостинга приложений ASP.NET.

В этой статье основное внимание уделяется IIS 8. Хотя машина, на которой запущен IIS 8, здесь называется сервером, IIS можно запускать под управлением версий Windows как для рабочей станции, так и для сервера. На рабочих станциях доступны не все, но большинство функциональных возможностей, что позволяет размещать сложные веб-сайты. По возможности мы рекомендуем использовать Windows Server, однако недорогой альтернативой могут послужить Windows 7 или Windows 8.

В Microsoft привязывают выпуски IIS с выпусками Windows. В состав Windows Server 2008 и Windows Vista входит версия IIS 7.0, в состав Windows Server 2008 R2 и Windows 7 — версия IIS 7.5, а в состав Windows Server 2012 и Windows 8 — IIS 8. Версии — 7.0 и 7.5 — в Microsoft обобщенно называют IIS 7, что может вносить путаницу. Версию IIS, поддерживаемую операционной системой, изменить нельзя — Windows Server 2008 будет использовать только IIS 7.0. Например, модернизировать ее до версии IIS 7.5, используемой в Windows Server 2008 R2, не получится.

Установка IIS

Компонент IIS включен как часть установки Windows (как для сервера, так и для рабочих станций) и требует активизации и конфигурирования. Далее представлены три способа активации IIS для различных операционных систем.

Установка IIS на настольных версиях Windows (Windows Vista, Windows 7 и Windows 8)

Каждая версия операционной системы Windows предлагает свою версию IIS — IIS 8 (в Windows 8), IIS 7.5 (в Windows 7) или IIS 7 (в Windows Vista). Во всех этих версиях Windows, IIS включен, но изначально не установлен. Чтобы установить его, необходимо выполнить следующие действия:

Откройте панель управления.

Нажмите кнопку «Включение или отключение компонентов Windows». Теперь вам нужно подождать, пока Windows исследует вашу систему.

Найдите элемент Internet Information Services (Службы IIS) в верхней части списка и нажмите на галочку чтобы включить его:

Обратите внимание, что Windows позволяет включить множество компонентов IIS: поддержка FTP-сервера, дополнительные инструменты управления, службы обратной совместимости с IIS 6 и т.д.

Убедитесь, что вы выбрали поддержку ASP.NET. Для этого раскройте узел Службы Интернета Компоненты разработки приложений ASP.NET (Internet Information Services World Wide Web Services Application Development Features ASP.NET):

Если вы хотите использовать поддержку IIS в Visual Studio, которая позволяет вам создавать виртуальные каталоги IIS непосредственно в диалоговом окне New Web Site, вам нужно выбрать пункт «Совместимость управления IIS 6» в разделе «Средства управления веб-сайтом» (Web Management Tools IIS 6 Management Compatibility).

Как только вы выбрали нужные параметры IIS, нажмите кнопку OK для завершения установки.

Установка IIS в Windows Server 2008

Установка и настройка IIS одинакова для Windows Server 2008 и Windows Server 2008 R2. Необходимые шаги описаны ниже:

Запустите диспетчер сервера. Чтобы сделать это, нажмите кнопку Start и выберите All Programs Administrative Tools Server Manager.

Выберите узел Roles в дереве слева.

В правой части окна нажмите на ссылке Add Roles. Это открывает мастер, позволяющий добавить новую роль сервера.

Выполните необходимые действия в мастере. Вас вероятно попросят установить дополнительные необходимые роли — если это так, нужно просто принять операции и продолжить.

После установки вам будет предложено настроить веб-сервер. Как в настольных версиях Windows, вы можете выбрать специфические особенности IIS 7, которые должны быть включены.

Если вы работаете в ASP.NET с версией .NET Framework 4.5, то эту версию .NET Framework необходимо будет установить (центр разработчиков .NET Framework)

Установка IIS в Windows Server 2012

Процесс установки IIS в Windows Server 2012, по существу, такой же, как и в Windows Server 2008. Основное различие заключается в том, что пользовательский интерфейс несколько отличается. Подробное описание вы можете найти перейдя по ссылке Installing IIS 8 on Windows Server 2012.

Управление IIS

При установке IIS, он автоматически создает каталог с именем C:\inetpub\wwwroot, который представляет ваш веб-сайт. Все файлы в этом каталоге будет отображаться, как будто они находятся в корневом каталоге вашего веб-сервера.

Чтобы добавить дополнительные страницы на ваш веб-сервер, можно скопировать файлы HTML, ASP или ASP.NET напрямую в каталог C:\Inetpub\wwwroot. Например если добавить файл TestFile.html в этот каталог, вы можете запросить его в браузере через URL-адрес http://localhost/TestFile.html. Вы даже можете создавать вложенные папки для группирования связанных ресурсов. Например, вы можете получить доступ к C:\inetpub\wwwroot\MySite\MyFile.html через браузер, используя URL-адрес http://localhost/MySite/MyFile.html.

Каталог wwwroot удобен для запуска простых примеров и статичных страниц. Для правильного использования ASP.NET вы должны сделать свой собственный виртуальный каталог для каждого веб-приложения, которое вы создаете. Например, вы можете создать папку с любым именем на любом диске вашего компьютера и поместить ее в виртуальный каталог IIS как будто она расположена в каталоге C:\inetpub\wwwroot.

Прежде чем начать работу, вам нужно запустить диспетчер служб IIS. Его можно найти в меню Start (Пуск). Конкретное расположение может зависеть от используемой версии Windows (IIS Диспетчер служб IIS). Ярлык программы будет располагаться в разделе Programs (Программы) или Administrative Tools (Администрирование). Начальная страница IIS Manager показана на рисунке ниже:

Теперь нужно ознакомиться с рядом терминов, используемых в IIS. В левой части окна IIS Manager отображается запись с именем используемого сервера. Наш сервер имеет имя PROFESSORWEB, сгенерированное по умолчанию Windows 8, которое будет использоваться в большинстве примеров. В центральной области отображается представление сервера. Это представление отображает набор значков, которые позволяют конфигурировать параметры сервера. В правой части экрана расположен список доступных действий. Например, в этом представлении можно запускать, останавливать и перезапускать сервер.

Если развернуть элемент сервера в древовидном представлении в левой части экрана, отобразится элемент Sites (Сайты), содержащий единственную запись Default Web Site (Веб-сайт по умолчанию). Сайт — это коллекция файлов и каталогов, образующих веб-сайт. На одном сервере IIS может поддерживать несколько сайтов, как правило, на различных портах TCP/IP (по умолчанию используется порт 80). Сочетание имени сервера и порта сайта образует первую часть URL-адреса. Например, при использовании сервера mywebserver с сайтом, подключенным к порту 80, URL-адрес выглядит следующим образом:

Каждый сайт может содержать множество файлов и каталогов. Каждый из них образует часть URL-адреса. Так, URL-адрес статической страницы mypage.html, расположенной в каталоге myfiles, будет следующим:

В некоторых ситуациях имя, под которым сервер известен вам, и имя, которое клиенты используют для получения содержимого, будут различаться. Мы оставим этот нюанс без внимания, но администратор сервера или компания, предоставляющая услуги хостинга, предоставят необходимые сведения, если это важно для конкретного сервера.

Чтобы проверить работоспособность IIS выберите Default Web Site и в правой области диспетчера служб IIS выберите пункт «Запустить». После этого нажмите кнопку «Обзор *.80 (http)» чтобы открыть страницу сайта в браузере:

Как видите, в моем случае я поменял порт используемый по умолчанию (с 80 на 8080). Я сделал это, т.к. на 80-м у меня запущен локальный Apache-сервер. Если у вас возникает такая же проблема, то изменить порт можно щелкнув правой кнопкой мыши по сайту (Default Web Site) и выбрав в контекстном меню «Изменить привязки» (Bindings). После этого в диалоговом окне можно изменить порт, используемый по умолчанию.

Итак, каждый сервер может поддерживать множество сайтов, каждый из которых работает на другом порту или с другим IP-адресом. Каждый сайт может иметь множество файлов и каталогов, и сочетание этих элементов предоставляет информацию о URL-адресе. Мы вернемся к URL-адресам и использованию IIS Manager при рассмотрении каждого из подходов к развертыванию.

ИТ База знаний

ShareIT — поделись знаниями!

Полезно

Узнать IP — адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP — АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Похожие статьи

Установка Gnome на CentOS 6

Vagrant — установка и настройка

Установка CentOS 7 в Hyper-V

Установка VirtualBox 6.0 на Linux

Apache или IIS – сравнение и преимущества

Про веб — сервера

Если вы, или ваша организация намереваетесь создать Web – сервис, будь то сайт или приложение, то так или иначе вы обратите внимание на наиболее популярные на рынке платформы для создания web – серверов – Apache или Internet Information Services (IIS), которые занимают около 70% от всей доли интернета.

Многие сравнивают противостояние этих двух платформ как соперничество между Microsoft и Linux. В данной статье мы беспристрастно и объективно рассмотрим плюсы и минусы этих платформ.

Apache

Apache HTTP web – сервер – полное название платформы, распространяемой организацией Apache Software Foundation как открытое программное решение или проще говоря «open-source». Программное обеспечение сервера распространяется абсолютно бесплатно и его лицензия позволяет конечному пользователю редактировать исходный код, чтобы адаптировать Apache под свои нужды, а так же, внести вклад в будущее развитие серверной платформы.

Веб – сервер Apache может работать на всех популярных операционных системах, но чаще всего он используется в рамках Linux. Именно в паре с СУБД MySQL и PHP – скриптами образуется известный комплекс программного обеспечения LAMP Web – сервер (Linux, Apache, MySQL, PHP), который повсеместно используется в сети интернет.

В рамках исследования Netcraft, проводимого в феврале 2014 года, web – сервер Apache занимал 42% рынка. Однако стоит отметить, что в том же июне 2013 года этот показатель составлял 54% и 59% в 2010 году. Это связано с улучшением позиций основного конкурента IIS и ростом позиций Nginx.

С точки зрения функционала, Apache имеет впечатляющие характеристики. Многие функции реализуются как совместимые модули, расширяющие базовый функционал, диапазон которых варьируется от поддержки языков программирования до обеспечения различных схем аутентификации. Например, это могут быть языки Perl или Python. Модули аутентификации включают в себя элементы управления доступом к различным директориям сервера, пароль, установление подлинности и так далее. Многие другие функции, такие как Secure Sockets Layer (SSL) или TLS (Transport Layer Security) так же обеспечивается модульной системой. Помимо этого, Apache поддерживает возможность развернуть несколько web – сайтов, или графических интерфейсов приложений. Веб – сервер сжимает страницы, чтобы уменьшить их размер, что обеспечивает высокую скорость их загрузки. Наряду с высоким показателем безопасности, это является конкурентной чертой Apache.

Выделим два основных недостатка Apache HTTP web – сервера:

  • Перенасыщенность функционалом: Еще раз стоит подчеркнуть, что Apache действительно чрезвычайно богат на функции, возможности и инструментарий. Но, к сожалению, в рамках типовой инсталляции пользователь задействует только 10 % от этих функций.
  • С точки зрения архитектуры, Apache, работает по модели «процессов». Это означает, что для каждого соединения Apache выделяет отдельную «коннекцию», или другими словами поток данных, что вызывает значительную загрузку. Конкуренты, а именно асинхронные платформы и сервера работающие по модели «событий», имеют преимущество обработки нескольких процессов одновременно в рамках одной транзакции.

Internet Information Services (IIS) это веб – сервер разработки компании Microsoft и занимает второе место на рынке вслед за Apache. Платформа IIS будет работать только с Windows и поставляется в комплекте с этой операционной системы. В отличие от Apache, где основную поддержку продукта предоставляет сообщество разработчиков, IIS официально поддерживается компанией Microsoft. Разработка этого продукта не так стремительна по сравнению с Apache, но как было сказано выше, одним из главных конкурентных преимуществ IIS является официальная поддержка компании Microsoft, что очень важно для крупного бизнеса. Многие специалисты в области ИТ признают IIS одним из немногих коммерческих продуктов, который по настоящему может быть конкурентом «open-source» решению.

Постоянная доработка безопасности, производительности и удобства администрирования позволили увеличить долю присутствия на рынке IIS с 21% в 2010 году до 32% в феврале 2014 (ранее указанное исследование компании Netcraft). Самые большие продвижения были сделаны с точки зрения безопасности. Версия IIS 6.0 была уязвима к атакам: известный вирус Code Red, который заменял содержимое web – сайта на баннер об авторах вируса. Важно отметить, что многие уязвимости проявляются на уровне операционной системы.

Как и Apache, IIS использует различные расширения для внедрения дополнительного функционала. Например, работа с файлами по FTP, маршрутизация с помощью Application Request Routing (ARR), который позволяет вести балансировку нагрузки и повышать отказоустойчивость, различные медиа – компоненты, аудио, видео, динамическое изменение URL и прочие. Веб – сервер IIS предлагает более высокую совместимость с программной платформой .NET Framework и ASPX (Active Server Pages) чем Apache. Важно, что в IIS поддерживаются такие функции как мониторинг, отслеживание запросов в режиме реального времени. Конечно, IIS можно назвать «условно» бесплатным, так как распространяется он в комплекте с Microsoft Windows Server.

С точки зрения производительности, IIS уступает Apache, в виду архитектурной особенности и строгой работы на Windows.

Подведем итог


И IIS и Apache имеют свои плюсы и минусы. Определиться с web – сервером поможет учет следующих факторов: Сервер IIS должен быть приобретен в комплекте с Windows, Apache не имеет официальной технической поддержки, но имеет высокие показатели безопасности, IIS отлично совместим с .NET и так далее. В таблице ниже приведены некоторые сравнительные характеристики:

Опция Apache IIS
Поддерживаемая ОС Windows, Linux, Unix, Mac OS Windows
Техническая поддержка Сообщество Корпоративная
Стоимость Полностью бесплатно Покупается в комплекте с Windows
Разработка «open-source» Проприетарное решение
Безопасность Хорошо Отлично
Производительность Хорошо Хорошо
Рынок 42% 32%
  • WEB сервер Apache
  • IIS
  • 5895
  • 83

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свои данные в форме ниже.

IIS 7.0: краткая инструкция для системного администратора. Часть 1 – установка.

Как я и обещал в посте несколько дней назад, начинаю писать серию постов типа инструкций шаг за шагом «как это установить и настроить» для тех админов, у которых действительно мало времени «на найти и разобраться», да еще если все это на английском языке. Кстати, кому таки не лениво – вот здесь очень хорошая подборка англоязычных документов под общим названием «Windows Server 2008 Step-by-Step Guides» — очень полезно в работе. Надеюсь, найдутся время и ресурсы, чтобы их тоже «отфильтровать» и сделать на их базе русские версии.

Если вам не интересны мои мысли «почему я пишу про IIS 7.0», можете смело пропустить пару абзацев.

В ближайший месяц я буду писать о веб-платформе от Microsoft, и в основном это будет касаться администрирования Internet Information Services 7.0 (IIS 7.0), входящего в состав Windows Server 2008. Это не значит, что я не буду писать ни о чем другом – конечно буду, у меня масса планов и тем с барселонского TechEd IT Forum 2008, в основном по направлению Windows Server 2008 R2, просто про администрирование IIS7 буду писать в этот месяц намного чаще и более последовательно, чем я это делал ранее. Поэтому даже те, для кого тема IIS7 не интересна, смогут как минимум раз в неделю находить у меня на блоге что-то интересное по другим тематикам.

Почему именно IIS 7.0? Здесь несколько причин. Во-первых, в уже упомянутом сборнике документов «шаг за шагом» «Windows Server 2008 Step-by-Step Guides» по странному стечению обстоятельств документа по IIS 7.0 почему-то нет. Во-вторых, как показывает опыт семинаров TechNet в Украине – знания, и даже можно сказать – представления многих админов о технологиях Microsoft для веб базируются на «сказках-страшилках» конца прошлого века, и хотелось бы показать всем желающим простой путь попробовать все технологии самостоятельно, без каких-то предрассудков и прочих ОБС. В-третьих – мне самому, человеку, который достаточно долгий период своей жизни занимался вебом вообще и IIS в частности – а я помню и IIS 2.0, и 3.0, и 4.0 и, конечно же, 5.0 – эта тема близка и интересна, и могу сказать, что за 10 лет в этом направлении Microsoft сделал существенные, даже можно сказать – эпохальные шаги вперед. Потому хотелось бы поделиться и опытом, и знаниями в этой прогрессирующей области с коллегами. В-четвертых – небольшой сюрприз в рамках проводимой в Украине акции для тех, кто разворачивает и управляет веб-серверами под управлением продуктов Microsoft – украинский офис Microsoft проводит акцию, по которой вы можете получить лицензионный Windows Server 2008 Web Edition (коробочная версия) бесплатно для хостинга ваших проектов и сайтов в Интернете. Так что торопитесь получить такой легальный продукт – пишите через блог на почту. И, наконец, в-пятых – в Киеве проводится полигон по веб-технологиям Microsoft, в том числе и IIS 7.0, так что мои статьи послужат хорошим фоном для такого мероприятия.

Ну, вроде это вcе наиболее веские причины писать в ближайший месяц о IIS 7.0. Кроме одной – зачем вообще админу знание IIS 7.0, который, в принципе, больше является платформой для разработчиков, на которой они делают свои веб-проекты? Проблема в том, что, как показывает опыт, разработчики не очень «напрягаются» созданием архитектуры и проработкой деталей веб-проекта, таких, как безопасность, администрирование, масштабирование и т.п. будущего работаеющего решения. И все это становится головной болью админа. Другая головная боль – это работодатели, которые часто под словом «компьютерщик» понимают, что человек может и спаять сгоревшую плату, и сетку настроить, и программку бухгалтерскую написать. И конечно же – веб сайт родной фирмы «Рога и Ко» сделать – как же без него. А то, что в ИТ отрасли есть глубокая специализация – никого не волнует. И вот потом и пишет мне в Live Messenger такой админ – «Игорь, а что делать?! За что хвататься?!», или если такого «Игоря», который бы подсказал, нет рядом – начинается такое.

Вроде, мотивы мои всем понятны. получилось довольно длинно, обещаю, сами технические части будут куда короче. Итак.

Часть 1. Установка IIS 7.0

Первый вопрос, который мне задают – что такое веб сервер под Windows, что нужно установить? Ответ – вебсервер под Windows – это служба IIS 7.0. Следующий вопрос – где взять IIS 7.0, откуда скачать? Ответ очень простой – IIS 7.0 (как и предыдущие версии, начиная с IIS 5.0) интегрирован в саму серверную ОС Microsoft Windows Server 2008 (а предыдущие версии IIS – соответственно в Windows Server 2003 и Windows 2000) и устанавливается как роль Windows Server. Тогда более тривиальный вопрос – где взять «настоящий» Windows Server 2008? Пробную версию Windows Server 2008 для всех экспериментов и тестирования рекомендую брать только с сайта Microsoft http://www.microsoft.com/windowsserver2008 — проверенная и гарантированно правильная версия (только не забудьте установить все обновления). Серийный номер для Windows Server 2008 не требуется – вы просто при установке в мастере установки оставляете его пустым и на вопрос, хотите ли вы все же его заполнить – гордо отвечаете НЕТ. Фактически, если вы при установке или в ходе эксплуатации таки введете настоящий продуктовый номер – вы получите «настоящую» версию. Версия без введенного серийного номера работает 60 дней, после чего требует активации. Мало кто любит читать иструкции при загрузке файлов, особенно те, которые написаны мелким шрифтом – на самом деле, на странице загрузке есть ссылка на инструкцию, какой скрипт надо запустить, чтобы сбросить счетчик активации Windows снова на 60 дней. Такую операцию надо не забыть сделать до истечения 60дневного срока (например, на 59й день эксплуатации). Всего вы можете посторить операцию сброса счетчика 3 раза – т.е. пробную версию можно эксплуатировать 240 дней, что вполне достаточно с тем, чтобы распробовать плюсы и минусы системы. Ну а для желающих уже сейчас эксплуатировать лицензионный Windows Server 2008 для своих веб-проектов – напоминаю про акцию, пишите.

Теперь о выборе редакции, которых доступно аж 4 – Datacenter, Enterprise, Standard, Web Edition. Пожалуйста, подходите более ответственно к их выбору. Зачем, ну зачем использовать Enterprise для запуска веб-сайтов – «шоб було?». Для таких задач есть оптимизированная редакция Web Edition. Сравнение возможностей разных редакций можно найти там же, на официальном сайте http://www.microsoft.com/windowsserver2008. Кроме того, некоторые соображения по использованию лицензионных соглашений и виртуализации в разных редакциях я написал на этом блоге ранее.

После установки экземпляра Windows Server 2008 и его конфигурации (если это также вызывает затруднения – смотрим видео с семинара по Windows Server 2008) переходим непосредственно к установке IIS 7.0. Что нового в IIS 7.0, какие модули включены в него и т.д. – я рассматривать не буду, все теоретические выкладки можно найти в электронной версии журнала TechNet Magazine, которая выходит в том числе и на русском. IIS 7.0 были посвящены 2 статьи в мартовском и июльском номерах журнала. Рекомендую ознакомиться с ними перед практическим применение – знание теории, пусть даже в сжатой форме весьма полезно.

Основным нововведением в направлении установки различных компонент и служб в Windows Server 2008 является понятие «роли». Роль представляет из себя набор всех необходимых компонент, настроек системы, безопасности и т.п., которые необходимы для выполнения определенной задачи. Кроме того, имеется также информация о взаимодействии ролей между собой – одна роль может работать как подмножество другой и, наоборот – роли могут конфликтовать между собой – об этом администратор будет уведомлен при установке такой роли поверх уже существующих. Установку и конфигурацию всего необходимого система выполняет автоматически при выборе конкретной роли. Такой подход гарантирует, что даже в случае ошибки администратора, связанной с установкой той или иной роли, не требуемой в текущий момент – система будет функционировать нормально и это не затронет работоспособность других ролей. Как впрочем, это также существенно упрощает и сам подход к управлению системой Windows Server 2008 в целом.

Управление ролями осуществляется через стандартную оснастку управления Windows Server 2008 – Server Manager или в процессе начальной конфигурации сервера через Initial Configuration Tasks.

IIS 7.0 устанавливается как роль Windows Server 2008. Для этого требуется:

1. Запустить оснастку Server Manager из меню Start или из панели Quick Launch. Server Manager по умолчанию стартует автоматически при входе администратора в систему. Server Manager является основным инструментом управления сервером Windows Server 2008.

2. В оснастке на стартовой странице убедиться, что сервер сконфигурирован правильно. Желательно проверить наличие статического IP адреса. Если он не установлен, его можно поменять тут же, из консоли Server Manager, открыв в правой панели по линку «View Network Connections» сетевые интерфейсы.

3. Выбираем в левой панели Server Manager пункт Roles, в правой панели видим список текущих ролей. В зависимости от редакции ОС и установленных ролей список может варьироваться. В данном примере ни одна роль не установлена.

4. Для установки новой роли используем в правой панели в разделе «Roles Summary» линк «Add Roles».

5. Запускается мастер установки ролей «Add Roles Wizard», пропускаем первую страницу «Before You Begin» мастера, нажав кнопку «Next >»

6. На странице «Select Server Roles» в списке ролей выбираем роль «Web Server (IIS)». Список ролей может отличаться в зависимости от редакции. Данный список соответствует редакции Windows Server 2008 Enterprise Edition x64.

7. При выборе роли «Web Server (IIS)» мастер автоматически предлагает установить сервисы, которые требуются для функционирования веб сервера. Это службы активации процессов, фактически, они обеспечивают среду исполнения процессов, обслуживающих вебсайты. Соглашаемся с установкой данных служб путем нажатия кнопки «Add Required Features» и нажимаем кнопку «Next >» в мастере.

8. На странице «Select Role Services» отображается список всех доступных модулей (сервисов), входящих в состав IIS 7.0, представляющих 3 большие группы – Web, Management и FTP – и внутри сгруппированых по назначению – общие модули для поддержки HTTP Common HTTP Features, модули для исполнения сценариев и приложений Application Development, модули управления журналированием и диагностикой Health and Diagnostics, модули обеспечения безопасности Security, производительности Performance, модули управления и совместимости с предыдущей версией IIS 6.0 Management Tools, и, наконец, модули FTP. По умолчанию роль веб сервера IIS 7.0 устанавливается и конфигурируется в минимальном наборе из 9 модулей:

a. только для работы со статическим HTML контентом (модули из Common HTTP Features),

b. только с подключением анонимных пользователей и с фильтрацией вредоносных запросов (Security),

c. с базовыми модулями для журналирования запросов к вебсайтам на сервере и просмотра очереди запросов (Health and Diagnostics),

d. с модулем сжатия статического контента при передаче страниц клиенту HTTP (Performance),

e. и консоли администрирования в режиме локального подключения к веб серверу IIS Management Console.

9. На этом шаге можно добавить дополнительные модули в конфигурацию согласно задачам будущих вебсайтов, которые будут работать на данном вебсервере. Не рекомендуется «просто так» добавлять модули, особенно, если вы не знаете их назначение. Краткое описание каждого модуля можно найти прямо на странице (в правом верхнем углу), которое отображается, когда вы выбираете модуль в списке. Не стоит торопиться (или, наоборот, переставлять всю систему, если установили лишнее) – вы всегда можете доустановить модули к уже установленной роли, или удалить уже установленные модули. Функции, выполняемые наиболее важными модулями, а также их настройку, мы рассмотрим отдельно.

10. При отметке отдельного модуля для добавления, также, как и при выборе роли, мастер автоматически проводит проверку всех связей и зависимостей и предлагает установить дополнительные модули, без которых функционирование выбраного невозможно. В данном примере для установки выбран модуль ASP.NET и мастер автоматически запрашивает разрешение на установку других модулей и служб, необходимых для его работы. Соглашаемся с установкой данных служб и модулей путем нажатия кнопки «Add Required Role Services». По окончанию выбора всех модулей нажимаем кнопку «Next >» в мастере.

11. На странице «Confirm Installation Selection» отображается для подтверждения информация о всех выбранных модулях, которые будут установлены. Также отображаются служебные и информационные сообщения рекомендательного характера. Например, рекомендация после установки роли IIS 7.0 выполнить обновления ОС или установить Windows System Resource Manager (WSRM), который позволяет обеспечить распределение ресурсов системы при выполнении веб-приложений. Нажатие кнопки «Next >» на этой странице устанавливает весь указанный перечень модулей.

12. По окончании процесса установки мастер отображает станицу с результатами установки, на которой, в зависимости от предыдущих настроек системы и выбранных модулей, может потребоваться перезагрузка сервера.

13. После закрытия окна мастера установки роли в левой панели консоли Server Manager в разделе «Roles» среди других ролей появляется подраздел «Web Server (IIS)». В правой панели отображается информация о состоянии всех установленных ролей.

14. Выбираем подраздел «Web Server (IIS)» в левой панели Server Manager, в правой панели отображается информация о работе роли веб сервера. Здесь представлены:

a. Events: агрегированный список записей из всех журналов событий ОС за последние 24 часа, имеющих отношение к работе веб служб,

b. System Services: список всех системных сервисов, обеспечивающих функционирование данной роли и с возможностями по управлению ими и мониторингу их состояний,

c. Role Services: в данном случае – список всех модулей IIS 7.0 с указанием установлен данный модуль или нет и с возможностями старта мастера установки/удаления модулей данной роли (о котором мы говорили выше),

d. Resources and Support: наиболее интересный раздел информации о каждой роли, который содержит в себе базу знаний с рекомендациями по дополнительной более тонкой настройке той или иной роли для отдельных сценариев использования. Рекомендуется к широкому использованию.

Таким образом, если в п.14 вы видите, что ваша роль работает без ошибок в журналах, все требуемые сервисы работаю (не отображается информация о их аварийной остановке), все необходимые для ваших задач модули отображаются в списке как установленные – первый шаг к использованию веб сервера под управлением IIS 7.0 вы сделали – вы его установили.

Iis система безопасности

Защита Internet information Server (IIS), Windows Server 2003 Web Edition, правила настройки, обязательные и необязательные службы IIS

С точки зрения безопасности при установке Internet Information Server для обращения пользователей из Интернета рекомендуется:

  • устанавливать его на специальную версию Windows Server 2003 — Web Edition . Эта версия изначально оптимизирована для работы Web -сервера, значительное число ненужных для работы Web -сервера служб на такой сервер просто установить не удастся. Если такой редакции нет или нужны возможности других версий Windows Server 2003, то настоятельно рекомендуется не устанавливать на этот компьютер другие сетевые службы и приложения ( DNS , службы контроллера домена, Exchange Server , SQL Server и т.п.). Каждое приложение — это дополнительная уязвимость;
  • не делать сервер, на котором стоит IIS , членом основного домена вашей сети. Он должен работать в рабочей группе;
  • для всего контента Web и FTP -сайтов должен использоваться отдельный логический раздел на диске (конечно, отформатированный в файловой системе NTFS ). Это сразу отсекает многочисленный класс проблем, связанных с путями в системе каталогов Web -сервера;
  • с точки зрения сетевых установок: на Web -сервере должен использоваться статический IP -адрес (или несколько IP -адресов). Других протоколов быть не должно. На сервере должен быть установлен только протокол TCP / IP без лишних сетевых компонентов (о службах будет рассказано ниже);
  • Web -сервер должен быть защищен брандмауэром, который должен отсекать весь трафик, кроме необходимого (обычно порт 80 и 443, иногда также порт, используемый для Web -администрирования сервера — он задается при установке). При необходимости должна быть установлена и настроена система IDS (возможно, с дополнительными параметрами, например, защищающая от DDoS -атак путем реконфигурации Web -сервера);
  • лучше, чтобы Web -сервер находился в физически отделенном от остальной сети предприятия сегменте или по крайней мере — в DMZ .

Конечно же, чем меньше ненужных для работы IIS служб останется на Web -сервере — тем лучше, поскольку каждая служба — это дополнительные уязвимости. Какие службы обязательны для работы IIS :

  • WorldWideWebPublishingService — собственно говоря, это и есть Web -сервер;
  • IISAdminService — необходим для взаимодействия IIS с базой данных настроек;
  • SecurityAccountsManager — обеспечивает информирование о работе базы Security Account Manager , фактически — набор локальных учетных записей и групп и их права;
  • RemoteProcedureCall — служба, обеспечивающий стандартный программный интерфейс для взаимодействия многих компонентов Windows .

Службы необязательные, но которые могут потребоваться в разных конфигурациях:

  • FTPPublishingService — если Web -сервер используется одновременно как FTP -сервер (по возможности лучше, чтобы файлы качались по протоколу HTTP — проще организовать докачку, защиту и т.п.);
  • SimpleMailTransferProtocol и NetworkNewsTransferProtocol — если функциональность этих протоколов нужна на Web -сервере (обычно для поддержки Web -приложений);
  • NetLogon — эта служба нужна, только если необходима аутентификация пользователей в домене Windows (она обеспечивает обращения к контроллеру домена);
  • RPCLocator — эта служба нужна, если только используется удаленное администрирование Web -сервера стандартными средствами Internet Services Manager (для администрирования через Web -интерфейс такой необходимости нет).

Все остальные службы IIS не нужны (в том числе и Workstation , которая была необходима IIS в версиях до 5.0 включительно), хотя в некоторых ситуациях (для работы определенных Web -приложений) они могут потребоваться.

С точки зрения того, какие компоненты IIS необходимо устанавливать, справку следует получить у разработчика Web -приложения. Описание компонентов IIS 6.0 и информацию о том, в каких ситуациях нужен каждый из компонентов, можно получить из статьи TechNet «How To >IIS Protection \ IIS Docs ).

Неуправляемый Web -сервер (например, установленный «на всякий случай» на компьютере разработчика) — это потенциальная брешь в системе безопасности, поэтому в групповых политиках для Windows 2003 и XP появилась новая возможность — «запретить установку IIS «.

Iis система безопасности

В этом разделе

Описание всех аспектов обеспечения соответствующих уровней безопасности в организации, в которой работают веб-серверы, взаимодействующие через Интернет, выходит за рамки данного документа. В данном разделе представлены обзорные сведения, а также дополнительные рекомендуемые источники информации о согласовании потребностей организации в интернет-связи с необходимостью защиты сетевых ресурсов.

Примечание
Для серверов, которые не будут использоваться для распространения контента в интрасети или Интернете, не требуется удалять службы IIS, так как по умолчанию они не установлены в большинстве версий Windows Server 2008. Исключение составляет система Windows Web Server 2008, где службы IIS установлены по умолчанию. Если сервер используется в качестве веб-сервера, при его развертывании для выполнения других целей следует удалить с него службы IIS.

Назначение и преимущества служб IIS

Службы IIS 7.0 представляют собой одну из дополнительных службы ролей в Windows Server 2008, хотя по умолчанию они установлены в системе Windows Web Server 2008. IIS — это служба роли, обеспечивающая простой способ публикации данных в Интернете или интрасети. В управляемой среде службы IIS обычно устанавливаются только на нескольких серверах. IIS включает дополнительные компоненты безопасности и широкий диапазон административных компонентов для управления веб-сайтами. Программные компоненты, такие как Active Server Pages (ASP и ASP.NET) позволяют упростить создание и развертывание масштабируемых универсальных веб-приложений.

Службы IIS не установлены по умолчанию в версиях Windows Server 2008, за исключением Windows Web Server 2008. Службы IIS и связанные компоненты можно добавить с помощью либо интерфейса задач начальной настройки, либо диспетчера сервера. Если службы IIS 7.0 устанавливаются со стандартным набором компонентов IIS (так называемыми службами роли), они могут принимать запросы только на статические файлы. Для обслуживания динамического контента необходимо установить дополнительные компоненты IIS помимо стандартных.

Дополнительные сведения о компонентах IIS, включая компоненты обеспечения безопасности, см. в следующих ресурсах (все страницы могут быть на английском языке):

    Информационная страница IIS 7.0 по адресу:

Примеры компонентов обеспечения безопасности IIS 7.0

IIS 7.0 включает широкий ряд параметров и компонентов обеспечения безопасности, некоторые из которых приведены в списке ниже. Дополнительные сведения о компонентах обеспечения безопасности IIS 7.0 см. в ресурсах, приведенных в предыдущем разделе.

    Возможность ограничения набора компонентов веб-сервера. IIS 7.0 включает полностью модульный веб-сервер, разбитый на компоненты, количество которых в 4–5 раз превышает количество устанавливаемых компонентов в предыдущих версиях IIS. Это означает, что можно выбрать установку только нужных компонентов, что позволяет снизить контактную зону веб-сервера.

Установка по умолчанию для роли веб-сервера (IIS) включает установку служб роли для обслуживания статического контента, выполнения незначительных настроек (таких как документы по умолчанию и ошибки HTTP), отслеживания и регистрации активности сервера, а также настройки сжатия статического контента.

Основные упрощения в схеме управления безопасностью. Система управления безопасностью включает следующие упрощения.


    Обширная поддержка делегированного управления, простой и безопасный способ разрешения делегирования задач настройки и управления с указанием области пользователям, не являющимся администраторами.

Унифицированное управление проверкой подлинности и авторизацией, допускающее управление всеми типами проверки подлинности и авторизации, включая проверку подлинности с помощью форм и авторизацию URL-адреса, из одного места для всех типов контента.

Встроенные учетные записи пользователей и групп, назначенные веб-серверу, которые позволяют использовать общий идентификатор безопасности (SID) несколькими серверами. Это упрощает управление разрешениями NTFS, а также создание «песочниц» пула приложений и управление удостоверениями.

Новые компоненты обеспечения безопасности. Один из примеров новых компонентов обеспечения безопасности IIS 7.0 — фильтрация запросов. Фильтрация запросов позволяет фильтровать запросы динамически на основе команды запроса, расширения имени файла, размера, пространства имен и последовательностей. Большая часть этих функций, предоставляемых ранее средством URLScan (фильтр ISAPI, загружаемый через Интернет), теперь доступна в рамках встроенного модуля в службах IIS 7.0.

Поиск сведений о компонентах IIS 7.0

В качестве одного из способов уменьшения контактной зоны сервера служб IIS можно выделить установку только тех служб роли (компонентов IIS), которые необходимы для данного сервера. Рекомендации в следующих разделах помогут спланировать устанавливаемые службы роли и определить правильное название службы, задаваемое либо в графическом интерфейсе (мастер добавления ролей или мастер добавления служб роли, запускаемый из диспетчера сервера), либо в команде или сценарии, которые используются для автоматической установки.

    Дополнительные сведения о компонентах, доступных в среде IIS 7.0, см. на следующем веб-сайте сети TechNet (страница может быть на английском языке):

Примечание
Для получения дополнительных сведений о компонентах IIS выполните все действия в подразделе «Просмотр справки после установки служб IIS» далее в этом разделе.

Процедуры установки и удаления компонентов служб IIS 7.0

В процедурах, описанных далее, рассматриваются следующие задачи.

    Добавление роли веб-сервера (IIS) и выбор служб роли для установки на компьютер с операционной системой Windows Server 2008.

Просмотр служб роли, установленных для веб-сервера.

Установка дополнительных служб роли IIS на сервере, на котором уже установлена роль веб-сервера (IIS).

Удаление служб роли IIS с сервера, на котором уже установлена роль веб-сервера (IIS).

Просмотр справки по IIS 7.0.

Дополнительные сведения об использовании варианта установки Server Core для сервера служб IIS см. в подразделе Дополнительные ссылки далее в этом разделе.

Процедура добавления роли веб-сервера (IIS) и выбора служб роли для установки

  1. Если на сервер была только что установлена операционная система Windows Server 2008 и появляется окно Задачи начальной настройки, в разделе Настроить этот сервер выберите команду Добавить роли. Затем перейдите к шагу 3.

Если окно Задачи начальной настройки не появилось и диспетчер сервера не запущен, нажмите кнопку Пуск, выберите пункт Администрирование, а затем – пункт Диспетчер сервера. (Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.)

Затем в области Сводка по ролям окна Диспетчер сервера нажмите кнопку Добавить роли.

В окне Мастер добавления ролей при появлении страницы Перед началом работы нажмите кнопку Далее.

На странице Выбор ролей сервера в группе Роли щелкните Веб-сервер (IIS) и нажмите кнопку Далее.

Примечание
Если на сервере уже установлены службы IIS, флажок Веб-сервер (IIS) будет установлен и неактивен. Описание порядка просмотра и установки служб роли IIS в такой ситуации приведено в следующих двух процедурах.

На странице Веб-сервер (IIS) перейдите по ссылкам на разделы справки, с которыми требуется ознакомиться. Закройте прочтенные разделы и нажмите кнопку Далее.

На странице Выбор служб ролей выберите службы роли, устанавливаемые для веб-сервера (IIS), и нажмите кнопку Далее.

Следуйте указаниям мастера для завершения установки.

Процедура просмотра служб роли, установленных на веб-сервере

  1. Если диспетчер сервера не был открыт ранее, нажмите кнопку Пуск, а затем выберите пункты Администрирование и Диспетчер сервера. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.

В дереве консоли в группе Роли щелкните элемент Веб-сервер (IIS).

В правой области должен быть развернут узел Службы ролей, в котором можно просмотреть список установленных служб роли.

Процедура установки дополнительных служб роли IIS на сервере, в котором уже установлена роль веб-сервера (IIS)

  1. Если диспетчер сервера еще не открыт, нажмите кнопку Пуск, а затем выберите пункты Администрирование и Диспетчер сервера. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.

В дереве консоли щелкните пункт Веб-сервер (IIS).

В правой области в разделе Службы ролей щелкните Добавить службы ролей.

Следуйте указаниям мастера для выбора служб ролей и завершения установки.

Процедура удаления служб роли IIS с сервера, на котором уже установлена роль веб-сервера (IIS)

  1. Если диспетчер сервера еще не открыт, нажмите кнопку Пуск, а затем выберите пункты Администрирование и Диспетчер сервера. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.

В дереве консоли щелкните пункт Веб-сервер (IIS).

В правой области в разделе Службы ролей щелкните Удалить службы ролей.

Следуйте указаниям мастера для определения и удаления служб роли.

Процедура просмотра справки после установки служб IIS

  1. После установки служб IIS (включая консоль управления IIS, которая входит в установку IIS по умолчанию) в меню Пуск наведите указатель на пункт Администрирование и выберите Диспетчер служб IIS. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.

Выберите меню Справка, а затем щелкните Справка по службам IIS.

Примечание
Для получения дополнительных сведений о службах роли (компонентах) в среде IIS перейдите на вкладку Поиск и выполните поиск по ключевому слову «доступные службы ролей». Откройте раздел «Доступные службы ролей в IIS 7.0».

Дополнительные ссылки

  • Дополнительные сведения о компонентах и улучшениях служб IIS 7.0 см. на следующих веб-страницах (все страницы могут быть на английском языке):

    Информационная страница IIS 7.0 по адресу:

Ссылки на дополнительные ресурсы, посвященные безопасности, приведены в разделе Общие сведения об управлении взаимодействием с интернет-средой для Windows Server 2008 данного технического документа.

IIS Security: How to Harden a Windows IIS Web Server in 10 Steps


Last updated by UpGuard on November 6, 2020

Microsoft Internet Information Server (IIS) is widely used in the enterprise, despite a less-than-stellar reputation for security. In fact, for many “IIS security” is a contradiction of terms—though in all fairness, Microsoft’s web server solution has improved significantly over the years. IIS 8.5 for server 2012 R2 and IIS 10 for 2020 have been hardened and no longer present the dangerous default configurations of older IIS iterations, but can still be further tightened. By following these 10 steps, you can greatly increase security for your IIS web apps and servers.

1. Analyze dependencies and uninstall unneeded IIS modules after upgrading.

If you plan on upgrading from a previous version of IIS, be forewarned that your previous installation’s state information and metabase will be carried over to the new install. Be sure to disable and/or uninstall any unused IIS components and features to minimize the web server’s attack surface. Even if you haven’t upgraded, ensure that only required modules are present.

UpGuard ensures IIS modules are correct across any number of servers by transforming a known good configuration on one of the servers into executable documentation against which the others can be tested regularly.

2. Properly configure web server user/group accounts

IIS features built-in user and group accounts dedicated to the web server. So for example, separate system and application administrator accounts can be created for more granular-level access. System administrators can therefore give application administrators the rights to make application-level configuration changes without the need to grant them administrative access to the server. These accounts should be audited on a ongoing basis to ensure they are configured securely.

UpGuard tracks and visualizes which users are running which services, and tests servers against your standards to surface any user configurations that could be potential security problems. Oops, looks like this one is running as Local System, a highly privileged account:

3. Use IIS 7’s CGI/ISAPI Restrictions

CGI and ISAPI are two common ways to build upon IIS—either for generating dynamic content or for extending IIS’ native capabilities. Unfortunately, CGI files (.exe) and ISAPI extensions (.dll) are also commonly exploited in web attacks and should be restricted if not in use. For example, if you’re using PHP or ColdFusion to create dynamic content with IIS, use of CGI and other ISAPI extensions may not be needed. Like IIS modules, these configurations should be uninstalled unless they are being specifically used.

UpGuard handles IIS modules and configurations the same way, allowing you to quickly diff a set of IIS servers and see which modules are installed correctly. Use policies to keep IIS modules consistent over time by immediately surfacing any changes that violate your expected configurations.

4. Configure HTTP Request Filtering Options

UrlScan was an extension that functioned as a security tool for restricting HTTP requests. UrlScan functionality is now built right into IIS, and should be configured appropriately. Potentially harmful HTTP requests are prevented from reaching the server through rule-based filtering. These options are critical for mitigating threats like SQL injections, among others, and should be used in conjunction with your IIS-based web application.

UpGuard finds out which of your servers have the request filtering module installed and verifies that it’s configured properly. No more guesswork about whether IIS servers between production and development are the same.

5. Use Dynamic IP Restrictions

Dynamic IP address restrictions use a requestor’s IP addresses and domain name to determine whether or not to restrict access. This is essentially a whitelist—»allowUnlisted»—that IIS uses to prevent unauthorized access. So in the event of Denial of Service (DoS) and brute force attacks, IIS’ Dynamic IP Restrictions (DIPR) module can temporarily block IP addresses making unusual requests.

Dynamic IPs are just another module within IIS. UpGuard helps you keep track of where it’s installed and can proactively notify you if it’s changed. If a production server is deployed without this module, web requests become a serious vector for attack, depending on what kind of code you have out there.

6. Incorporate URL Authorization In Your Application

URL authorization grants access to URLs within an IIS application based on user names and roles, as opposed to server or system accounts. This makes it easier to restrict content based on group membership. URL authorization rules can be associated with a server, site, or application.

Group membership is another important aspect of the system state that UpGuard manages. For example, if you wanted to monitor your administrators group, UpGuard could alert you when a new user was added, or an expected user removed.

7. Use Encrypted Forms-Based Authentication

Forms-based authentication allows for the management of client registration and authentication at the application level, as opposed to on the Windows account level. Because this authentication mechanism passes form values as clear text, SSL must be installed to encrypt sensitive data.

IIS treats authentication mechanisms as features, so tracking them with UpGuard is easy. Make sure that only the auth mechanisms you’re using are installed, and make sure they’re installed everywhere with just a few clicks.

8. Use Application Pool Identities

This feature of IIS enables more granular security by running application pools under unique accounts, bypassing domain or local account creation/management. By using a low-privileged account—namely, ApplicationPoolIdentity—multiple distinct sets of anonymous website content can be isolated without having to create a unique account for each website.

This is a key operation, as an exploited web application will only have the rights the user running the application pool has, so limiting and segregating that can drastically reduce damage.

9. Isolate/Segregate Web Applications

By using a combination of the above IIS features, you can achieve more secure isolation and segregation for your web applications. In general, the following security recommendations should be taken into consideration:

  • Each application pool should be assigned to a single website.
  • The application pool should be assigned to a dedicated user.
  • Anonymous user >10. Fix Critical IIS Vulnerabilities

Last but not least, critical IIS vulnerabilities should be patched or remediated. Like any Microsoft updates, staying on top of patches and service packs helps ensure that your server is as protected as possible. Most exploits target vulnerabilities that are over a year old and have patches released, so a little regular maintenance goes a long way. Patches should first be deployed in a test environment before production, and each update should be considered and approved if possible before being authorized in the organization.

UpGuard helps ensure that patch levels are the same across your IIS servers. By building an UpGuard policy from a server with a proper patch level, other servers can be compared against it to find any outliers. Remediation can then be tracked as servers become compliant within UpGuard.

Wrap-up

In short, the modular nature of IIS allows for more granular control over web server resources and security. However, this can either make your web applications more or less secure—depending on the person or group responsible for security. Deeper, fine-grained security mechanisms require more careful management of said resources; fortunately, these arduous processes can be managed automatically with UpGuard’s platform for vulnerability detected and monitoring. Our Windows and IIS security policies can automatically scan your environment for critical vulnerabilities and security gaps.

Новые компоненты безопасности в IIS 7.0

Written on 10 Декабря 2008 . Posted in Web-серверы

ОГЛАВЛЕНИЕ

Со временем компания Microsoft перепроектировала IIS с акцентом на безопасность. В результате появилась версия IIS 6.0, признанная самым надежно защищенным коммерческим Web-сервером.

В версии IIS 7.0 надежно защищенная архитектура IIS 6.0 получила дальнейшее развитие. Благодаря модульности можно полностью удалять отдельные компоненты, снижая вероятность атаки на Web-сервер. Пулы приложений, реализованные в IIS 6.0 с целью изолировать приложения друг от друга (и процессов Web-сервера), размещены в «песочнице». Новые функции делегирования позволяют владельцам управлять сайтами без необходимости в повышении прав. Фильтрация запросов с помощью URLscan встроена в сервер. А администраторы могут непосредственно в IIS 7.0 задать правила, указывающие, кто из пользователей имеет доступ к различным URL-адресам.

Эти новшества относятся к числу улучшений безопасности IIS 7.0. Они заслуживают внимательного изучения и могут даже заставить администраторов пересмотреть подходы к управлению и настройке Web-узлов.

«Песочницы» для приложений

Представим себе компанию, которая занимается исследованиями рынка и размещает аналитические отчеты или создает небольшие сайты для конкурирующих компаний на одном компьютере. Или представьте сервер, на котором размещены платежная ведомость для небольшого числа пользователей и самостоятельно разработанный внутренний портал компании. В обоих случаях важно, чтобы приложения, выполняемые на одном сервере, были изолированы друг от друга.

Web-приложения выполняются в рабочих процессах. Пулы приложений сопоставляют Web-приложения с рабочими процессами. Конкретный рабочий процесс используется только для приложений из одного пула. Файл рабочего процесса в IIS 6.0 и IIS 7.0 — w3wp.exe.

В IIS 6.0 новые Web-узлы и приложения размещаются в одном пуле приложений. Этот пул приложений по умолчанию работает с учетной записью NetworkService. Администратор может вручную создавать новые пулы приложений и распределять Web-приложения по пулам. По умолчанию эти пулы приложений также работают с учетной записью NetworkService, что может привести к нежелательным последствиям во время выполнения, когда все Web-приложения функционируют с одинаковыми правами. Приложение в пуле A может прочитать конфигурацию пула приложений B и даже получить доступ к содержимому файлов приложений пула B. Достаточно просто создать новые пулы приложений и настроить для каждого специальные учетные записи, но управлять этими учетными записями в течение длительного времени утомительно.

В IIS 7.0 для каждого Web-узла автоматически формируется новый пул приложений. По умолчанию этот пул приложений настроен на работу с учетной записью NetworkService. Но когда создается рабочий процесс, IIS 7.0 вставляет в маркер безопасности NetworkService специальный идентификатор SID, уникальный для пула приложений. IIS 7.0 также создает файл конфигурации для рабочего процесса и настраивает список управления доступом к файлу, разрешая обращения только к уникальному идентификатору SID для пула приложений. В результате конфигурация пула приложений не может быть прочитана другими пулами.

В качестве дополнительной меры предосторожности можно изменить списки управления доступом ACL файлов с контентом, чтобы предоставить доступ к уникальному идентификатору SID пула вместо NetworkService. Это помешает приложению в пуле A прочитать файлы контента приложения в пуле B.

IUSR и IIS_IUSRS

С идентификацией процесса косвенно связан вопрос об удостоверении, используемом сервером для анонимных запросов. В прошлых версиях IIS в качестве удостоверения для анонимных пользователей применялась локальная учетная запись IUSR_servername. В IIS 7.0 появилась новая встроенная учетная запись IUSR. Нельзя выполнить локальную регистрацию с учетной записью IUSR, поэтому у нее нет пароля (то есть нет опасности отгадывания паролей). Учетная запись IUSR всегда имеет один и тот же идентификатор SID, поэтому списки управления доступом можно переносить между компьютерами Windows Server 2008 (а также компьютерами Windows Vista). Если применять учетную запись IUSR нельзя (например, если анонимным запросам требуется доступ к сети с проверкой подлинности), можно отключить учетную запись анонимного пользователя, и IIS 7.0 будет применять для анонимных запросов учетные данные рабочего процесса.

Еще одно новшество — встроенная группа IIS_IUSRS. Эта группа заменяет группу IIS_WPG. В IIS 6.0 группа IIS_WPG обеспечивает минимальные права для запуска рабочего процесса, и администратор должен вручную добавить в эту группу учетную запись, чтобы предоставить пользовательские учетные данные для рабочего процесса. В IIS 7.0 аналогичную роль играет группа IIS_IUSRS, но явно добавлять учетные записи в группу не требуется. Вместо этого IIS 7.0 автоматически зачисляет учетные записи в IIS_IUSRS, когда они назначаются в качестве удостоверения для пула приложений. Как и учетная запись IUSR, группа IIS_IUSRS — встроенная, поэтому у нее всегда одинаковое имя и идентификатор SID во всех экземплярах Server 2008. В результате списки управления доступом и другие настройки полностью переносимы между компьютерами Windows Server 2008 (и Vista).

Делегирование функций

Не каждую настройку Web-сервера нужно защищать административными правами. Некоторые настройки представляют собой простые решения уровня приложения, которые могут быть выполнены разработчиками и менеджерами продуктов. Например, в IIS 6.0 административные права необходимы, чтобы изменить документ по умолчанию для Web-приложения. Но действительно ли для замены default.aspx на profile.aspx всегда требуются административные права?

В IIS 7.0 решения о конфигурации можно делегировать владельцам сайта или приложения. В IIS 7.0 применяется новая система настройки на основе XML, созданная по образцу ASP.NET. На уровне сайта и приложения параметры конфигурации как IIS 7.0, так и ASP.NET находятся в одинаковых файлах web.config.

Делегированные настройки, такие как документ по умолчанию, можно изменить на уровне Web-узла или приложения, непосредственно изменив файл web.config, или из графического интерфейса пользователя IIS Manager (Экран 1), который обновляет web.config за администратора. В разделе system.webServer файла web.config содержатся параметры конфигурации IIS 7.0, как показано на Экране 2.

Нужные разделы определены в специальном файле конфигурации, именуемом applicationHost.config. У каждого раздела applicationHost.config есть режим делегирования по умолчанию. В примере на Экране 3 можно изменить документ по умолчанию и настройки просмотра каталогов, но не разделы asp, caching и cgi.

Как поступить, если существуют веские основания запретить владельцу Web-узла изменять документ по умолчанию? Решение простое: в IIS 7.0 можно блокировать элементы конфигурации, которые в результате нельзя назначить или изменить в файлах web.config. В случае с документом по умолчанию можно глобально изменить стандартный режим переназначения на Deny или явно установить режим переназначения Deny для конкретных мест с помощью тегов расположения. Группа разработчиков IIS предложила вводить такие изменения с помощью тегов расположения, как показано в Листинге 1. Делегирование функций очень удобно для перегруженных работой администраторов, так как позволяет наделить владельцев Web-узлов и приложений правом управлять теми настройками Web-сервера, которые влияют лишь на их сайты и приложения

Административное делегирование

Многие администраторы считают целесообразным предоставить административный доступ всем, кому нужно изменить настройки сайта или приложения. Безусловно, такой подход связан с огромным риском. К сожалению, выбор оказывается сложным: можно или щедро назначать административные права или затруднить обновления, создав единую точку администрирования. В IIS 7.0 администратор сервера может предоставить административные права для конкретного Web-узла или приложения одному или нескольким пользователям, не повышая прав пользователей.

В IIS Manager, как показано на Экране 4, пользователи могут подключиться к серверу IIS 7.0 с применением учетных данных Windows или учетных данных IIS Manager. Удобство учетных записей IIS Manager заключается в том, что они обеспечивают очень узкий и ограниченный набор прав для пользователя: административные права Web-узла IIS. Эти учетные данные вне IIS Manager бесполезны.

Для дистанционного использования имеется автономная версия IIS Manager для Windows Vista, Windows Server 2003 и XP. Прежде чем установить удаленное соединение в IIS Manager, необходимо явно разрешить дистанционное управление на Web Server:

Правила брандмауэра или политики удаленного доступа могут затруднить дистанционное использование инструментов. По этой причине IIS Manager работает через протокол HTTPS, одновременно безопасный и согласующийся с брандмауэрами. По умолчанию служба Web Management Service использует самозаверяющий сертификат и прослушивает порт 8172.

Компания Microsoft предоставляет IIS 7.0 Manager для дистанционного управления по адресу www.iis.net/go/1524. Дополнительные ресурсы (в том числе подробные инструкции по настройке) можно найти, выполнив поиск с ключевыми словами «IIS 7.0 remote administration» на сайте iis.net. На этом сайте Microsoft приведены дополнительные сведения о новых компонентах IIS.

Встроенный фильтр запросов

Многие администраторы IIS-серверов знакомы с UrlScan, загружаемым инструментом для IIS 4.0 и более поздних версий, который ограничивает типы запросов, обслуживаемых IIS. Цель фильтрации запросов — защитить Web-сервер от потенциально опасных запросов.

В IIS 7.0 инструмент UrlScan был усовершенствован и вошел в состав модуля фильтрации запросов Web-сервера. Модуль фильтрации запросов отвергает запросы на основе настраиваемого критерия. Например, модуль может отвергнуть запросы с двойным кодированием или запросы необычного размера (большой объем полезных данных POST или слишком длинные URL-адреса). Можно также отвергать запросы по типу файлов, пути или командам HTTP, не поддерживаемым на сайте.

Настройку фильтрации запросов в IIS 7.0 можно делегировать, предоставив администраторам сайтов возможность определить собственные правила фильтрации в файлах web.config, чего нельзя сделать с помощью UrlScan в IIS 6.0.

Авторизация URL

У Web-приложений часто есть области, доступ к которым предоставляется только определенным пользователям. Например, только менеджеру разрешено обращаться к отчетам о продуктивности сотрудников в системе управления кадрами. Страницы с ограничением обычно группируются в каталогах с такими именами, как Administration, Reporting или Moderation. В прошлых версиях IIS было довольно неудобно организовать надежную защиту этих разделов от несанкционированного доступа. Даже при использовании встроенной функции ASP.NET авторизации URL необходимо защитить такие данные, как файлы PDF и Excel, не подходящие для ASP.NET. Для управления правилами URL-авторизации ASP.NET приходится прибегать к утомительному процессу редактирования XML.

В IIS 7.0 сохранилась URL-авторизация ASP.NET, но в самом Web-сервере появилась дополнительная функция авторизации URL. Доступом к материалам любого типа (например, статическим, PHP, ASP) можно управлять по пользователям, группам и URL-адресам. Например, не составляет труда предоставить доступ ко всем объектам на пути Reporting только пользователям, принадлежащим к группе Managers, не затрагивая списков доступа к файлам. На Экране 5 показана конфигурация правил авторизации URL в IIS Manager.

Правила авторизации URL сохраняются в разделе system.webServer файлов web.config с синтаксисом, чуть отличным от правил авторизации ASP.NET, как показано в Листинге 2.

Поскольку правила авторизации целиком содержатся в файлах конфигурации (локальных web.config), их легко переносить между приложениями и серверами. А авторизация URL в IIS 7.0 применима к пользователям и группам Windows, так же, как к пользователям и ролям ASP.NET.

IIS совершенствуется

Разработчики IIS 7.0 усовершенствовали добротную систему безопасности IIS 6.0, сохранив базовую архитектуру IIS 6.0 с моделью изоляции пулов приложений/рабочих процессов, которая оказалась очень эффективной. При обсуждении мер безопасности IIS 7.0 особое внимание уделяется новшествам модульной архитектуры, но благодаря автоматическому распределению приложений по «песочницам», делегированию функций и авторизации URL задача надежной защиты Web-сервера стала проще.

Об авторе: Дерек Хетчард ( Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. ) — консультант и тренер, имеет звание Microsoft MVP

Листинг 1. Использование тегов расположения для назначения режима переназначения Deny

Железный RX. Безопасность на уровне IIS


Опубликовано:
26 декабря 2020 в 11:54

DirectumRX фактически является набором приложений IIS, которые имеют доступ к БД через ряд компонентов операционной системы. Приложения имеют доступ к ресурсам сети в зависимости от прав, которые были выданы системным администратором при развертывании системы. Зачастую заказчики разворачивают DirectumRX из инсталлятора и не производят дополнительных настроек, оставляя систему практически незащищенной.

Очень часто системные администраторы разворачивают приложения DirectumRX от собственной учетной записи, либо используют учетную запись локального администратора или даже доменного администратора, и выводят систему в Интернет, минуя DMZ, тем самым подвергая опасности всю сеть предприятия.

В данной статье рассмотрим основные ошибки, подсмотренные на рабочих местах пользователей локальных DirectumRX и предоставим соответствующие рекомендации по повышению безопасности DirectumRX.

Рекомендации представленные в статье не являются официальной документацией какой бы то ни было компании. Рекомендации предоставляются на основании личного опыта автора по настройке системы DirectumRX. Автор статьи не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, сведений и другой информации, а также не предоставляют никаких заверений или гарантий относительно содержащихся здесь сведений.

Ошибка №1. Общая доменная учетная запись для сервисных служб, обладающая широкими полномочиями

Допустим, некий злоумышленник нашел лазейку в сервисе IIS, использовал эксплойт на известную уязвимость и получил права выполнять какие-либо операции от имени пула IIS. В этом случае злоумышленник имеет доступ ко всем сервисам предприятия и может нарушить доступность всех сервисов, либо получить доступ ко всем информационным потокам.

  1. Для каждого пула IIS (для каждого приложений DirectumRX) необходимо завести специальную учетную запись, которая больше нигде не будет использоваться кроме данного сервера.
  2. Учетные записи должны быть различными. Если злоумышленник получит доступ к одному пулу, то для получения доступа к другим пулам ему также придется постараться, а такую активность можно быстро вычислить.
  3. Учетные записи должны обладать ограниченными правами, достаточными для выполнения задач:
    1. Сервер приложений DirectumRX должен иметь доступ к папке со своими файлами, а также иметь доступ к БД
    2. Служба Workflow должна иметь доступ к папке со своими файлами, доступ к очередям MSMQ, доступ к БД
    3. Сервис Агентов, аналогично серверу приложений

Ошибка №2. Прямой доступ в Интернет минуя DMZ

Очень часто пользовали DirectumRX с локальной инсталляцией после разворачивания системы обеспечивают прямой доступ к системе. Либо открывают прямой доступ к системе через маршрутизатор, либо в некоторых случаях размещают DirectumRX на сервере, где уже есть службы и сервисы, выведенные в Интернет.

DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) – сегмент сети, содержащий общедоступные сервисы, для которых не требуется применять корпоративные стандарты безопасности. Не следует путать DMZ с брандмауэром. При атаке на общедоступный сервис в DMZ снижается риск компрометации внутренних серверов, поскольку внешние и внутренние серверы физически отделены друг от друга.

Так к примеру, для DirectumRX успешно может применяться реверс-прокси на базе IIS (подробнее https://www.iis.net/downloads/microsoft/application-request-routing).

Такая архитектура обеспечивает полное функционирование DirectumRX с возможностью применения windows-аутентификации и базовой аутентификации клиентских приложений DirectumRX. Прочие веб-сервисы с возможностью реверс-прокси не гарантируют корректное функционирование Windows-аутентификации.

Ошибка №3. Доступ открыт всем

Одним из преимуществ локальной инсталляции DirectumRX является возможность обеспечить ограниченный доступ к системе DirectumRX. Ограничить можно как по IP адресам, так и с использованием VPN-каналов. Однако подобные решения на практике встречаются крайне редко.

Ограничение доступа к системе по IP позволяет существенно сузить круг лиц, знающих о наличии на ваших серверах доступной для работы системы документооборота, но в данном случае исключаются мобильные пользователи, IP которых не является статическим. В этом случае поможет VPN соединение, к примеру, OpenVPN, который доступен практически на всех платформах, однако VPN снижает полосу пропускания, в связи с чем снижается скорость работы мобильного клиента.

Ошибка №4. Отсутствие фильтрации по расширениям файлов

Иногда встречаются случаи, когда папка с сервисами доступна на просмотр. Это является очень грубым нарушением. Злоумышленник не только сможет получить структуру каталогов, но и получить доступ к файлам, содержащим реквизиты доступа к БД. А если на вашу систему есть ссылка на корпоративном сайте, то, считайте, поисковые системы уже проиндексировали ваши каталоги, и они стали достоянием общественности.

  1. Файлы с расширением .xml, .config, .conf
  2. Исключением является папка с клиентским приложением \Client, для нее необходимо открыть доступ на скачивание .config и .dic файлов

Ошибка №5. Равный доступ для всех администраторов в компании

Часто многие организации применяют разделение труда системных инженеров. Одни занимаются базами данных, другие безопасностью, третьи настройкой ландшафта. Такие же правила необходимо применять и при работе с IIS.

IIS позволяет настраивать роли, чтобы ограничить доступ системным инженерам, которые не допущены к настройке ландшафта. Но необходимо выдать им права на выполнение необходимых операций (аудит настроек, перезапуск определенных служб и т.п.).

Ошибка №6. Отсутствие антивирусного ПО на серверах IIS

Тут многие могут поспорить, что антивирусное ПО не требуется на серверах, куда нет доступа и не устанавливается стороннее ПО, и то что антивирус будет тормозить работу сервисов.

Однако при продуктивной работе с сервисами может случиться что угодно, либо может повлиять злоумышленник и сможет «заставить» развернутые службы скачать и исполнить вредоносное ПО. Антивирусное ПО обязательно должно быть развернуто на всех продуктивных серверах, это лучше принять как аксиому.

Чтобы снизить влияние антивируса на быстродействие служб, можно добавить в исключение папки приложений DirectumRX:

и другие веб-сервисы, относящиеся к DirectumRX, можно добавить аналогичным образом в исключения.

Однако папку с клиентским приложением, лучше оставить под контролем, чтобы пресечь распространение вредоностного ПО, если злоумышленнику все же удалось подменить файлы клиента.

Как известно, все полезно в меру, так и с безопасностью

Использование систем анализа трафика на выявление утечек и угроз, как правило парализуют работу системы DirectumRX. Служба поддержки не раз решала подобные инциденты, когда без видимых причин система не функционирует в сети пользователя. Системы анализа трафика повышают задержки при обработке запросов, подменяют SSL-сертификаты безопасности сервиса DirectumRX, что приводит к множественным ошибкам. Для анализа угроз достаточно использовать анализатор логов безопасности.

Установка автоматических обновлений также может стать источником многих неприятностей. Иногда устанавливаемые обновления могут конфликтовать с используемым в сервисах ПО, поэтому установка обновлений должна производиться в запланированное время и перед обновлением желательно сделать снимок (snapshot) инфраструктуры, чтобы при возникновении ошибок после применения обновлений можно было откатить изменения.

Вместо заключения

В данной статье мы рассмотрели основные ошибки, допускаемые пользователями локальных инсталляций DirectumRX, устраняя данные ошибки можно существенно повысить защищенность и доступность сервисов DirectumRX. В случае наличия дополнительных материалов или рекомендаций, прошу указывать в комментариях к данной статье. Самые интересные дополнения будут включены в статью с именем автора дополнения.

В следующей статье по данной тематике, мы рассмотрим настройки для повышения безопасности СУБД MSSQL.

IIS Security: How to Harden a Windows IIS Web Server in 10 Steps

Last updated by UpGuard on November 6, 2020

Microsoft Internet Information Server (IIS) is widely used in the enterprise, despite a less-than-stellar reputation for security. In fact, for many “IIS security” is a contradiction of terms—though in all fairness, Microsoft’s web server solution has improved significantly over the years. IIS 8.5 for server 2012 R2 and IIS 10 for 2020 have been hardened and no longer present the dangerous default configurations of older IIS iterations, but can still be further tightened. By following these 10 steps, you can greatly increase security for your IIS web apps and servers.

1. Analyze dependencies and uninstall unneeded IIS modules after upgrading.

If you plan on upgrading from a previous version of IIS, be forewarned that your previous installation’s state information and metabase will be carried over to the new install. Be sure to disable and/or uninstall any unused IIS components and features to minimize the web server’s attack surface. Even if you haven’t upgraded, ensure that only required modules are present.

UpGuard ensures IIS modules are correct across any number of servers by transforming a known good configuration on one of the servers into executable documentation against which the others can be tested regularly.

2. Properly configure web server user/group accounts

IIS features built-in user and group accounts dedicated to the web server. So for example, separate system and application administrator accounts can be created for more granular-level access. System administrators can therefore give application administrators the rights to make application-level configuration changes without the need to grant them administrative access to the server. These accounts should be audited on a ongoing basis to ensure they are configured securely.

UpGuard tracks and visualizes which users are running which services, and tests servers against your standards to surface any user configurations that could be potential security problems. Oops, looks like this one is running as Local System, a highly privileged account:

3. Use IIS 7’s CGI/ISAPI Restrictions

CGI and ISAPI are two common ways to build upon IIS—either for generating dynamic content or for extending IIS’ native capabilities. Unfortunately, CGI files (.exe) and ISAPI extensions (.dll) are also commonly exploited in web attacks and should be restricted if not in use. For example, if you’re using PHP or ColdFusion to create dynamic content with IIS, use of CGI and other ISAPI extensions may not be needed. Like IIS modules, these configurations should be uninstalled unless they are being specifically used.

UpGuard handles IIS modules and configurations the same way, allowing you to quickly diff a set of IIS servers and see which modules are installed correctly. Use policies to keep IIS modules consistent over time by immediately surfacing any changes that violate your expected configurations.

4. Configure HTTP Request Filtering Options

UrlScan was an extension that functioned as a security tool for restricting HTTP requests. UrlScan functionality is now built right into IIS, and should be configured appropriately. Potentially harmful HTTP requests are prevented from reaching the server through rule-based filtering. These options are critical for mitigating threats like SQL injections, among others, and should be used in conjunction with your IIS-based web application.

UpGuard finds out which of your servers have the request filtering module installed and verifies that it’s configured properly. No more guesswork about whether IIS servers between production and development are the same.

5. Use Dynamic IP Restrictions

Dynamic IP address restrictions use a requestor’s IP addresses and domain name to determine whether or not to restrict access. This is essentially a whitelist—»allowUnlisted»—that IIS uses to prevent unauthorized access. So in the event of Denial of Service (DoS) and brute force attacks, IIS’ Dynamic IP Restrictions (DIPR) module can temporarily block IP addresses making unusual requests.

Dynamic IPs are just another module within IIS. UpGuard helps you keep track of where it’s installed and can proactively notify you if it’s changed. If a production server is deployed without this module, web requests become a serious vector for attack, depending on what kind of code you have out there.

6. Incorporate URL Authorization In Your Application

URL authorization grants access to URLs within an IIS application based on user names and roles, as opposed to server or system accounts. This makes it easier to restrict content based on group membership. URL authorization rules can be associated with a server, site, or application.

Group membership is another important aspect of the system state that UpGuard manages. For example, if you wanted to monitor your administrators group, UpGuard could alert you when a new user was added, or an expected user removed.

7. Use Encrypted Forms-Based Authentication

Forms-based authentication allows for the management of client registration and authentication at the application level, as opposed to on the Windows account level. Because this authentication mechanism passes form values as clear text, SSL must be installed to encrypt sensitive data.

IIS treats authentication mechanisms as features, so tracking them with UpGuard is easy. Make sure that only the auth mechanisms you’re using are installed, and make sure they’re installed everywhere with just a few clicks.

8. Use Application Pool Identities

This feature of IIS enables more granular security by running application pools under unique accounts, bypassing domain or local account creation/management. By using a low-privileged account—namely, ApplicationPoolIdentity—multiple distinct sets of anonymous website content can be isolated without having to create a unique account for each website.

This is a key operation, as an exploited web application will only have the rights the user running the application pool has, so limiting and segregating that can drastically reduce damage.

9. Isolate/Segregate Web Applications

By using a combination of the above IIS features, you can achieve more secure isolation and segregation for your web applications. In general, the following security recommendations should be taken into consideration:

  • Each application pool should be assigned to a single website.
  • The application pool should be assigned to a dedicated user.
  • Anonymous user >10. Fix Critical IIS Vulnerabilities

Last but not least, critical IIS vulnerabilities should be patched or remediated. Like any Microsoft updates, staying on top of patches and service packs helps ensure that your server is as protected as possible. Most exploits target vulnerabilities that are over a year old and have patches released, so a little regular maintenance goes a long way. Patches should first be deployed in a test environment before production, and each update should be considered and approved if possible before being authorized in the organization.

UpGuard helps ensure that patch levels are the same across your IIS servers. By building an UpGuard policy from a server with a proper patch level, other servers can be compared against it to find any outliers. Remediation can then be tracked as servers become compliant within UpGuard.

Wrap-up

In short, the modular nature of IIS allows for more granular control over web server resources and security. However, this can either make your web applications more or less secure—depending on the person or group responsible for security. Deeper, fine-grained security mechanisms require more careful management of said resources; fortunately, these arduous processes can be managed automatically with UpGuard’s platform for vulnerability detected and monitoring. Our Windows and IIS security policies can automatically scan your environment for critical vulnerabilities and security gaps.

Администрирование Windows XP

Информационные службы интернета


Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

Что такое IIS

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

Отличительные черты IIS 5.1

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

Надежность

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

Регистрация и дросселирование. В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

  • Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
  • Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

  1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
  2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
  3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
  4. Выберите файл или папку, которые нужно скопировать на веб-сервер.
  • В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
  • В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
  • Щелкните на Copy (Копировать).
  • Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

    Обеспечение безопасности

    При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

    • Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Respose (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие — в качестве серверов баз данных стало легче и безопаснее.
    • Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
    • Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

    Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

    • Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола — SSL 3.0.
    • Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
    • Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый кешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

    Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

    Управление

    С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел «Инсталляция IIS»). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

    Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

    Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

    Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

    Приложения

    IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

    ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц «на лету». ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

    ASP-скрипты используются для создания HTML «на лету». Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

    ASP в IIS 5.1 предлагает ряд полезных инструментов.

    • Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
    • ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.

    ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

    • регистрация;
    • получение доступа к данным;
    • получение доступа к файлам;
    • использование счетчиков.

    Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

    ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

    FrontPage

    На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

    Front Page Server Extensions

    Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

    Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

    FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

    • разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
    • добавляют функции веб-сайтам без написания программ;
    • поддерживают учет входящих на сайт пользователей;
    • поддерживают управление электронной почтой;
    • гибкая инсталляция на другие платформы;
    • автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
    • интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.
    Оснастка FrontPage

    Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

    Оснастка позволяет выполнить следующие задания:

    • инсталлировать серверные расширения на веб-сервере;
    • исправлять, обновлять и удалять существующие расширения сервера;
    • добавлять администратора;
    • запрашивать SSL для авторизации;
    • изменять конфигурацию гиперссылок;
    • включать или отключать авторизацию в глобальной сети;
    • регистрировать операции авторизации;
    • конфигурировать опции электронной почты;
    • регулировать работу в глобальной сети.

    Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

    1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
    2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
    3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
    4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
    5. Щелкните на ОК.

    Управление содержимым интранета


    Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

    Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

    Инсталляция IIS

    Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

    Выбор места

    IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

    Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

    • Серверу обеспечена физическая безопасность.
    • Сервер регулярно копируется.
    • Носители копий переносятся на вспомогательное устройство.
    • IIS имеет надежный и бесперебойный источник энергопитания.
    • Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.

    Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

    На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

    Аппаратные и сетевые компоненты

    Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

    • Сетевая карта (NIC).
    • Сетевое соединение с локальной сетью (LAN).
    • Интернет-соединение с интернет-провайдером (ISP).
    • Зарегистрированные IP-адреса (интернет).
    • Частные или зарегистрированные IP-адреса (интранет/интернет).
    • DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.

    Программное обеспечение

    После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

    • Active Server Pages (ASP);
    • NetShow;
    • Index Server;
    • Java Virtual Machine;
    • FrontPage server extensions;
    • FrontPage;
    • Seagate Crystal Reports;
    • SQL Server;
    • SNA Server;
    • Exchange Server;
    • Office XP.

    В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

    Этапы инсталляции

    Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

    1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
    2. Щелкните на Add Windows Components (Добавить компоненты Windows).
    3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
    4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost — имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

    Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

    Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

    Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

    Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

    Конфигурирование IIS

    Инсталляция — это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

    Управление IIS

    Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента — MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

    IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

    Конфигурирование веб-сервисов

    Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

    Свойства, которые, возможно, потребуется настроить, перечислены ниже.

    • Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
    • Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
    • Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
    • Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
    • Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации — Challenge/Response (Вызов/Ответ).
    • Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.

    Создать виртуальный каталог очень просто.

    1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
    2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
    3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
    4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
    5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка — Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

    Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname — это имя, которое вы задали в шаге 3.

    Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге вWindows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

    Регистрация

    IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

    Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства). В результате появится окно, показанное на рис. 7.9.

    Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

    Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

    Контроль доступа

    Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

    Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

    С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

    Конфигурирование FTP-сервера

    Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

    1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
    2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
    3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
    4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
    5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
    6. Щелкните на Next (Далее).
    7. Щелкните на Finish (Готово).

    Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

    • FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
    • Connection timeout (Время простоя соединения);
    • Maximum connections (Максимальное количество соединений);
    • Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
    • Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
    • Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
    • Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.

    Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

    Использование IIS

    Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

    В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

    Установка страниц по умолчанию

    При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

    Публикация в сетевых папках

    Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

    1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
    2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
    3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог — \Inetpub\wwwroot.
    4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.
    Публикация в FTP-папках

    Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

    1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
    2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

    Управление системой безопасности


    Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

    Разрешения

    Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

    Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

    Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

    1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
    2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
    3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
    4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
    5. Введите псевдоним для папки или файла.
    6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
      • чтение;
      • запись;
      • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
      • просмотр каталога.
  • Установите любые разрешения прикладного характера:
    • Никаких;
    • Сценарии;
    • Выполнить (включает в себя сценарии).
  • Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

    Аутентификация

    Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

    Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

    1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

    FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

    1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
    5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
    6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
    7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
    8. Нажмите на ОК.
    9. Установите необходимые NTFS-разрешения для анонимного доступа.
    Анонимная аутентификация

    Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

    Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces — ADSI (дополнительного инструмента MMC).

    Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
    2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
    4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
    5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.
    Шифрование

    Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

    Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

    Для настройки шифрования проделайте следующие шаги.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
    2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
    3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
    4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
    5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

    Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

    Управление содержимым

    Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали «живыми», в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

    После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

    С чего начать

    Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

    Если принять, что все файлы находятся на одном жестком диск с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

    Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

    Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

    Отведи меня домой

    В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

    Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

    Обходной путь

    Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

    We’re sorry, the page you’re looking for is no longer here.

    We will redirect you in a moment.

    (Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

    Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

    • из одного каталога в другой;
    • на другой веб-сайт;
    • в другой файл из другого каталога.

    Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

    С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

    1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
  • Выберите A redirection to a URL (Перенаправление на URL).
  • В поле Redirect (Переадресовать) введите URL нового каталога.
  • Для переадресовки запросов на определенный файл:

    1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
    2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
    3. Выберите A redirection to URL (Перенаправление на URL).
    4. В поле Redirect to (Переадресовать) введите URL конечного файла.
    5. Выберите The exact URL (Существующий URL), введенный выше.
    Вставки на стороне сервера

    Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

    IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

    Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

    Подключение SSI выполняется посредством следующих действий.

    1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
    2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

    Отключить SSI можно следующим образом.

    1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
    4. Выберите каталог, в котором запускается приложение.
    5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
    6. Выберите расширение и щелкните на кнопке Remove (Удалить).

    IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.

    Илон Маск рекомендует:  strike в HTML
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL