Windows - IIS Lockdown Tool

Az IIS Web kiszolgálók fokozott támadásoknak vannak kitéve, ezek elhárítására készített a Microsoft egy segédprogramot, amely sok biztonsági rést bezár. Cikkünkben azt vizsgáljuk meg, hogy milyen szinten, mit és hogyan véd a program. Az IIS kiszolgálók könnyen konfigurálható, jól működő kiszolgáló funkciókkal vannak ellátva. Feltelepítés után gyakorlatilag azonnal használható web és FTP szervert kapunk, előre beállított Interneten keresztüli adminisztrációs lehetőségekkel, előre megírt vezérlő szkriptekkel felszerelve. A sok lehetőség rossz kezekbe kerülve beláthatatlan következményekkel jár. Sajnos a gyakorlat azt mutatja, hogy vannak olyan biztonsági rések, amelyek kívülről az Internet felől a kiszolgálóból kiszolgáltatottat csinálnak. A problémák nagy része ismert és visszatérő, a Microsoft készített egy segédprogramot ezek orvoslására. A program ingyenesen letölthető a Microsoft webhelyéről a http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362 oldalról. A program használata során nincs szükség az IIS kézi leállítására, újratelepítésére a rendszer újraindítására. Amit feltétlenül el kell végezni (IIS leállítása - újraindítása) azt a program automatikusan megteszi. Ez idő alatt a Web szolgáltatás szünetel pár másodpercig. A védelem csak a www szolgáltatásra terjed ki és nem érinti az FTP, NNTP, SMTP szolgáltatásokat.

Rendszerkövetelmények:

Windows NT 4.0 Server és IIS 4.0 valamint Windows 2000 Server és IIS 5.0 kiszolgálók védelmét képes ellátni.

A telepítés:

Letöltés után egy önkicsomagoló EXE fájlt kapunk, elindítása után megkérdezi, hogy hova tömörítse ki a fájlokat. Itt bármilyen könyvtárat megadhatunk, nincs semmilyen megkötés. Gyakorlatilag nincs is más teendőnk, további telepítést nem igényel.

A konfigurálás:

A kicsomagolt állományok között egyetlen futtatható van "IISLOCKD.EXE" néven.

Indítsuk el.
Egy varázsló segít elvégezni minden műveletet. A nyitóképernyőn a "Tovább" gombra kattintva léphetünk át.

A következő oldalon két üzemmód közül választhatunk:
  • Express Lockdown
  • Advanced Lockdown
Nézzük mit takarnak ezek:

Express Lockdown:

Az üzemmód használata maximális biztonságot eredményez. Letilt minden dinamikus műveletet, szkript használatot, távoli nyomtatási funkciót, ASP oldalak használatát, stb. Hátránya, hogy ami marad az a statikus weblapok használata. Az ilyen (és csak ilyen) oldalakat használó kiszolgálóknál javasolt ezt a módot választani.

Advanced Lockdown:

Minden funkciót mi állíthatunk be. A legtöbb kiszolgáló esetében ezt az üzemmódot kell választani. Cikkünk hátralévő részében mi is ezen keresztül mutatjuk be a programot.

A következő oldalon az IIS-ben található szkript szolgáltatások felsorolása található. Ha találunk szürke színű nem állíthatót köztük, az azért van, mert az nem lett feltelepítve a rendszerbe. Hogy az itt felsorolhatók közül melyiket engedélyezhetjük vagy tilthatjuk le az a weblapjainktól függ, amelyiket használjuk valamelyik weboldalon azt értelemszerűen itt sem tilthatjuk le, különben nem lesznek elérhetők bizonyos funkciók vagy teljes oldalak.

Az "Additional Lockdown Actions" oldalon található letiltható szolgáltatások:

Ezekre is - mint a szkriptekre - vonatkozik, hogy csak azok fussanak, amelyekre feltétlenül szükség van.

"Remove sample web files":
Az IIS feltelepítése után minta oldalakat és szkripteket találunk, teljesen felkonfigurálva a webszerverünkön. Ezen keresztül IIS rendszer beállításokat is el lehet végezni. A minta fájlok példa jelleggel, tanulási céllal kerülnek fel. A gyakorlat azt mutatja, hogy ottlétük veszélyes is lehet. Ezzel a menüponttal minden ilyen oldalt eltávolítunk a kiszolgálóról.

"Remove the Scripts virtual directory":
Az előző művelethez kapcsolódóan az előre definiált szkriptekre mutató virtuális könyvtárakat is eltávolíthatjuk.

"Remove the MSADC virtual directory":
Web alapú adatbázis kezelés valósítható meg a Microsoft Advanced Data Connector és Remote Data Services szolgáltatásokon keresztül. Az MSADC virtuális könyvtárak ezekkel teremtik meg a kapcsolatot. Ha nincs ilyen szolgáltatásunk töröljük, mert veszélyes támadási felület lehet.

"Disable Distributed Authoring and Versioning (WebDAV)":
Segítségével a bejelentkezett felhasználók távolról vezérelhetik a weboldalak tartalmát. Szintén veszélyes támadási felület, ha tehetjük tiltsuk le.

"Set file permission to prevent the IIS anonymous user from executing system utilities":
Végignézi a merevlemezen található futtatható állományokat (Windows könyvtárban és a megosztásokban) és úgy állítja a jogosultságokat, hogy az Internetről érkezett névtelen felhasználók (IUSR_számítógépnév felhasználói fiók) ne indíthassák el őket. Jó példa erre a CodeRed vírus, amely a CMD.EXE (a Windows parancssora) használatával ért el elismerésre méltó eredményeket.

"Set file permission to prevent the IIS anonymous user from writing to content directories":
A névtelen felhasználóktól megvonja az írási jogokat a weboldalakat tartalmazó könyvtárakban. Olyan betöréseknél hasznos, ahol a támadó módosítani akarja a weboldal tartalmát. Ezzel a beállítással nem fogja tudni a módosított oldalt elmenteni.

Az utolsó lépés.

Miután minden beállítással végeztünk a program leállítja az IIS-t, elvégzi a szükséges beállításokat majd újraindítja az IIS-t. Mindez néhány másodpercig tart, de mi van akkor, ha valamiért meggondoltuk magunkat és vissza akarjuk állítani az eredeti állapotot (például, mert nem minden webszolgáltatásunk érhető el)?
Ebben az esetben indítsuk el ismét az IISLOCKD.EXE fájlt. Az előző varázsló helyett egy ablakot kapunk, ahol kiválaszthatjuk, hogy vissza kívánunk térni az eredeti állapothoz ("Undo") vagy ismét el akarjuk végezni az előző beállításokat ("Lockdown Again").