Exchange 2003, установленный в Windows 2003, уже защищён по умолчанию. Однако, Exchange 2000 и 2003 в Windows 2000 недостаточно защищены, потому что IIS 5(встроенный в Windows 2000 web-сервер) устанавливает ряд компонентов, которые не требуются для Exchange, но могут быть использованы хакерами. Действительно, фаерволы (Firewalls) могут защитить Вас, но в настоящее время усовершенствованные вирусы и (Trojans) могут напасть изнутри, заражая Вас, когда Вы об этом даже не подозреваете. Узнайте о том, как защитить Windows 2000 IIS для инсталляций Exchange 2000/3.
Нападения, основанные на IIS, подобно другим вторжениям, пытаются найти проблемный код в активном Web контенте. Эти нападения пытаются перегрузить скрипты или посылают им запутанные вводные данные, которые выглядят как код.
Блокирование IIS важно, но оно не заменяет других средств защиты Вашего сервера, таких как фаервол(Firewall), правильно обновлённый антивирус и исправления(установка патчей) через веб-сайты Microsoft Windows Update и Exchange.
Инструмент IIS Lockdown tool развился из базового инструмента, что заключило большинство динамических средств IIS в удобный инструмент, предлагающий улучшенный интерфейс как для новичков, так и для экспертов. Теперь он предлагает функции сервера(Server roles), что приспосабливает это решение для серверных приложений. Он имеет профиль для Exchange 5.5, Exchange 2000, SBS 4.5, SBS 2000 и не требующий IIS профиль, который Вы можете использовать для защиты контроллеров доменов в Windows 2000.
Если Вы поместили сервер в соответствующие Organizational Units(организационные модули) (например, «Exchange Servers» или «Domain Controllers» ), то можете использовать создание сценариев и автоматизированные инсталляции для защиты множества серверов во всей Вашей организации.
Инсталляция
IIS Lockdown tool доступен по следующей ссылке:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
Файл iislockd.exe фактически является самораспаковывающимся файлом, который Вы можете извлечь содержащейся в нём самом утилитой декомпрессии. Он содержит:
- Документацию по IISLockdown
- Инструкции по автоматизированным инсталляциям, включающие пример командного файла(batch file)
- Инструмент IISLockdown, включая INI-файл, которым Вы можете манипулировать
- Инструмент URLScan, который Вы можете запускать при желании отдельно
- Файлы URLScan INI для серверных функций(server roles)
Использование мастера настройки(Wizard)
Как Вы можете видеть на данном скриншоте, инструмент IIS Lockdown может быть использован для защиты всего web-приложения. Он не предназначен специально для Exchange 2003, но может быть благополучно установлен, если у Вас есть Exchange 2003, установленный в Windows 2000.
Я пройду параметры настройки Exchange 2000, чтобы объяснить, что удалено.
Удаление компонентов IIS
Exchange 2000/3 требует, чтобы были установлены компоненты HTTP, SMTP и NNTP. Однако, компонент NNTP больше не требуется для операций обмена, если Вы не принимаете гостей телеконференций на Exchange, что редко бывает. Мастер IIS Lockdown может заблокировать этот сервис, только должен быть снят флажок «Remove unselected services(удалить невыбранные сервисы)», потому что сервис NNTP требуется для инсталляций сервис-паков.
Если Вы не отключаете NNTP, то будете время от времени получать в большинстве своём бесполезные события в Event Viewer(просмотрщик событий).
Exchange 2000/3 использует технологию Microsoft Active Serve Pages для публикации информации; несмотря на то, что другие технологии поддерживаются, они могут быть безопасно удалены, если Вы не размещаете(host) веб-сайт на машине Exchange.
Однако, некоторые антивирусные пакеты, может быть, не используются ASP, так что Вы должны проконсультироваться с производителем антивируса.
В состав IIS входят несколько примеров и виртуальных директорий, которые хороши для изучения ASP, но бесполезны для чего-либо ещё и могут быть удалены. Также, анонимным пользователям должны быть воспрепятствован запуск приложений и написание информации.
С другой стороны, WebDAV — это технология, которая надстроена над ASP и широко используется в Exchange.
URLScan
Утилита URL Scan-это базовая форма Intrusion Detection System(Система Обнаружения Вторжений)(IDS). Есть и более профессиональные системы IDS, которые могут защитить web-серверы от атак, но Вам они скорее всего не понадобятся, если только Вы не используете Exchange или являетесь популярным объектом для нападений.
Инструмент URLScan был отдельно устанавливаемым компонентом, а затем был интегрирован в IIS Lockdown. Теперь у него есть способности большинства фаерволов для отражения обычных нападений на IIS. Эти атаки идентифицируются по их необычной деятельности. Вам не нужно его инсталлировать, если у Вас есть внутренний фаервол, защищающий серверы в сети.
Инструмент URLScan проверяет каждый HTTP запрос прежде чем он передаётся IIS, который обычно отвечает, возвращая запрошенный файл HTML или запуская запрошенную страницу ASP. Для этого инсталлятор URLScan регистрирует Urlscan. dll в качестве фильтра ISAPI(внутренний механизм IIS, который может манипулировать web запросами). Перед тем, как запрос пропускается до IIS, URLScan ISAPI проверяет его на:
- Искажённые URL-ы, например, двоичные данные в URL
- Попытки запустить файлы с такими расширениями: EXE, HTA, IDA и т. д.
- Ограниченные типы HTTP запросов. Только GET, POST и HEAD необходимы для большинства сайтов.
Это может защитить Вас от атак Nimda и Code red stylе из Internet-а. Всегда помните, что с точки зрения Internet-а сервер Exchange 2000/3 — это всего лишь ещё один web-сервер для атаки.
После того, как инсталляция завершена, проверьте, что все страницы web всё ещё доступны. В случае возникновения проблем повторный запуск мастера позволяет Вам отменить процесс. Если впоследствии Вам нужно узнать, что cделал IIS Lockdown для проверки Вашей системы- текстовый файл Oblt-log. log сохраняется в папке, содержащей IISLockd. exe. Этот файл содержит информацию о каждом действии инструмента IIS Lockdown tool, осуществлённом в системе.
Автоматизированная инсталляция
Чтобы запустить мастер IIS Lockdown автоматически, Вы должны отредактировать файл iislock.ini после его извлечения в директорию (см. раздел Инсталляция(installation)).
Сконфигурируйте раздел [Info] файла Iislockd.ini, чтобы запустить мастер IIS Lockdown автоматизированно
- Открываете Iislockd. ini в текстовом редакторе.
- Под разделом [Info] конфигурируете установку UnattendedServerType следующим образом:
UnattendedServerType=exchange2k / для Exchange 2000
UnattendedServerType=exchange5.5 / для Exchange 5.5- Изменяете установку Unattended на TRUE.
Unattended=TRUE- Чтобы отключить сервис NNTP(т. к. это не сделано по умолчанию) заходите в раздел [exchange2k] и меняете
Enable_iis_nntp=FALSE
Заключение
IIS Lockdown — это необходимая утилита для инсталляций Exchange на Windows 2000. Хоть и пользоваться ею нужно с осторожностью, приспосабливая её к потребностям определённого сервера, принимая во внимание другие функции, которые он может иметь, и установленные приложения.
