Сканирование уязвимостей нашей сети дало такой ответ:
"На этом сайте проблема с IIS. Служба SMB имеет незащищенные разрешения для всех: Служба администрирования IIS (IISADMIN): DC, WD, WO http://oursite.com"
Я просматривал службы и читал о Windows SMB (Server Message Block), но до сих пор не могу определить, в чем проблема. Есть ли у кого-нибудь больше понимания службы SMB или разрешений Windows, и может ли он повернуть меня в правильном направлении?
Я просмотрел службы, есть служба «IIS Admin», и я проверил разрешения для исполняемого файла (C: \ windows \ system32 \ inetsrv \ inetinfo.exe), но в нем нет ничего аномального:
C:\Inetpub\wwwroot\FM>cacls C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe BUILTIN\Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
Я также проверил настройки локальной безопасности:
Microsoft network client: Digitally sign communications (always) Disabled
Microsoft network client: Digitally sign communications (if server agrees) Enabled
Microsoft network server: Digitally sign communications (always) Disabled
Microsoft network server: Digitally sign communications (if server agrees) Disabled
Любая помощь или направление приветствуются!
Используя команду «sc sdshow iisadmin», я смог увидеть, что «Все» имеют «Доступ» в «Дискреционных» разрешениях:
C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S:(AU;
FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Я просто удалил эту запись «WD», сбросив разрешения с помощью:
C:\Inetpub\wwwroot\FM>sc sdset iisadmin D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[SC] SetServiceObjectSecurity SUCCESS
Затем, подтверждая:
C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Я перезапустил службу, проверил все сайты, вроде все работает нормально. Мне придется подождать еще одного сканирования, чтобы узнать наверняка, поскольку сканирующая компания не предоставила более подробной информации, чем я сообщил в вопросе. В любом случае, было неплохо убрать запись «Все» из дискреционных.
Я провел много исследований и должен был это задокументировать. Я писал об этом здесь: http://bit.ly/18dYVYi для всех, кому интересно.
Прошло некоторое время с тех пор, как я работал на сервере 2003 года, но возможно, что сканирование (для меня звучит как сканирование Nessus) выявляет проблему передового опыта. Вы можете посмотреть здесь: Защитите корневую папку каждого тома диска (IIS 6.0) и проверьте, не в этом ли проблема.
В частности:
Сразу после новой установки Microsoft® Windows® Server 2003 специальная группа «Все» имеет разрешения на чтение и выполнение в корне системного тома, на котором установлена Windows Server 2003.
Любые папки, созданные под корнем системного тома, автоматически наследуют разрешения, назначенные корню системного тома. Это означает, что группа «Все» будет иметь разрешения на чтение и выполнение для любых новых папок, созданных непосредственно под корнем системного тома. Чтобы предотвратить случайное нарушение безопасности, удалите разрешения, назначенные специальной группе «Все» на выделенных веб-серверах.
и исправление:
Чтобы защитить корень системного тома, удалив разрешения
- Откройте «Стандартные» и щелкните «Проводник» Windows.
- В проводнике Windows найдите корень системного тома.
- Щелкните правой кнопкой мыши корень системного тома, выберите пункт «Свойства» и перейдите на вкладку «Безопасность».
- В списке Имена групп или пользователей щелкните Все, а затем щелкните Удалить.
- Щелкните ОК.
ОДНАКО, сканирование должно было сказать вам, что делать, чтобы решить проблему, я думаю. Вы все равно должны быть осторожны, потому что есть определенные специальные разрешения для службы администрирования IIS для группы Все: http://support.microsoft.com/kb/903072