Защита IIS: от уязвимостей по умолчанию к минимальной конфигурации

Угрозы, заложенные в стандартной установке IIS

Серверы Microsoft Internet Information Services (IIS) широко используются в российском корпоративном сегменте для размещения веб-приложений, сервисов и порталов. Однако штатная процедура установки часто создаёт избыточную, потенциально опасную конфигурацию. Проблема не в конкретной уязвимости, а в философии «включить всё для удобства», которая противоречит базовым принципам информационной безопасности, закреплённым в документах ФСТЭК России и 152-ФЗ. Атака на такой сервер начинается не с попыток взлома, а с пассивного анализа, который сканеры проводят за считанные секунды.

Конкретные «странности» установщика по умолчанию

После стандартной установки роли «Веб-сервер (IIS)» система предоставляет атакующему множество векторов для разведки и последующей атаки:

Избыточные модули обработки: Включаются десятки модулей для поддержки устаревших технологий (например, CGI, ISAPI), которые не используются современными приложениями на ASP.NET Core. Каждый такой модуль — потенциальная точка входа при обнаружении соответствующей уязвимости.
Подробные сообщения об ошибках: По умолчанию сервер возвращает детализированные сообщения об ошибках (Error Pages 500.xx, 404), раскрывающие версии ПО, пути к файлам на диске и фрагменты стека вызовов. Это прямое нарушение принципа минимизации выдачи технологической информации.
Включённый просмотр каталогов (Directory Browsing): Для некоторых путей по умолчанию может быть разрешён листинг содержимого директорий. Это позволяет злоумышленнику изучать структуру приложения, находить резервные копии, конфигурационные файлы.
Наличие тестовых и документационных страниц: Установка может добавить стандартные страницы типа `iisstart.htm`, а также виртуальные директории для доступа к содержимому `%SystemDrive%inetpub`.

Какие метаданные «щедро раздаёт» сервер

Технологические метаданные — это служебная информация, которую сервер передаёт в HTTP-заголовках или в теле ответа. В стандартной конфигурации IIS может раскрывать:

Заголовок Server: Полная версия IIS и операционной системы (напр., `Server: Microsoft-IIS/10.0`).
Заголовок X-Powered-By: Указывает на технологии, такие как ASP.NET, его версию.
Заголовки X-AspNet-Version, X-AspNetMvc-Version: Конкретные версии фреймворков Microsoft.
Файлы web.config или appsettings.json при некорректной обработке ошибок: Могут временно попадать в тело ответа, раскрывая строки подключения к базам данных, ключи шифрования, логины и пароли.
Маркеры сессий в логах или URL: При использовании настроек по умолчанию для аутентификации.

Подходы к защите: барьеры и минимизация

Цитируемое в начале утверждение о том, что «защита — это не добавление барьеров, а последовательное удаление ненужных возможностей», верно отражает суть принципа минимально необходимой функциональности, но является упрощением. В реальности защита корпоративного веб-сервера в рамках требований регуляторов — это сбалансированный подход, включающий два ключевых направления:

Минимизация поверхности атаки. Это и есть «удаление ненужного»: отключение неиспользуемых модулей, протоколов, закрытие неиспользуемых портов, удаление демонстрационного контента.
Установка контролирующих барьеров. Это активные меры: настройка брандмауэра веб-приложения (WAF), строгая аутентификация и авторизация, шифрование трафика (TLS), контроль целостности, актуальные обновления безопасности, сегментация сети.

Требования ФСТЭК России (например, руководящие документы по защите от НСД) прямо предписывают как минимизацию привилегий и сервисов, так и применение комплексных средств защиты. Превратить сложную систему корпоративного уровня в «простую» — недостижимая цель. Реальная задача — сделать её понятной, документированной и контролируемой. Каждый включённый модуль, каждое открытое правило должны иметь обоснование в рамках бизнес-процесса.

Практические шаги к минимальной конфигурации IIS

Переход от уязвимой конфигурации по умолчанию к защищённой должен быть методичным процессом. Ниже представлен план действий, соответствующий лучшим практикам и духу требований 152-ФЗ к обработке персональных данных.

1. Аудит и инвентаризация установленных компонентов

Перед любыми изменениями необходимо понять, с чем вы работаете. Используйте диспетчер IIS или PowerShell для анализа.

# Получение списка всех установленных модулей IIS
Get-WebGlobalModule | Select-Object Name, Image | Format-Table

Создайте таблицу соответствия: модуль — его назначение — используется ли в ваших приложениях. Аналогичную процедуру проведите для обработчиков (Handler Mappings) и функций веб-сервера (в мастере добавления ролей).

2. Отключение ненужных модулей и обработчиков

На основе проведённого аудита отключите всё, что не требуется для работы ваших конкретных приложений. Типичные кандидаты на отключение:

WebDAV (если не используется для публикации)
CGI
Протокол FTP (лучше использовать отдельный, изолированный сервис)
Сжатие статического контента (если используется аппаратный балансировщик с этой функцией)
Модули аутентификации, кроме необходимых (например, Anonymous, Windows)

# Пример отключения модуля WebDAv
Remove-WebGlobalModule -Name "WebDAVModule"

3. Настройка безопасных заголовков ответов

Исправьте файл `web.config` на уровне сервера или отдельных приложений, чтобы убрать или изменить информативные заголовки.

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-Powered-By" />
            <remove name="X-AspNet-Version" />
            <remove name="X-AspNetMvc-Version" />
            <add name="X-Content-Type-Options" value="nosniff" />
            <add name="Strict-Transport-Security" value="max-age=31536000;" />
        </customHeaders>
    </httpProtocol>
    <security>
        <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>

4. Настройка детализации ошибок и журналирования

Установите режим возврата пользовательских страниц ошибок для удалённых клиентов. При этом детальная информация должна записываться только в защищённые журналы на сервере для последующего анализа администратором.

# Включение детального журналирования ошибок IIS для административного анализа
Set-WebConfigurationProperty -Filter "/system.webServer/httpErrors" -Name errorMode -Value "DetailedLocalOnly"

5. Удаление демонстрационного контента и зачистка структур

Физически удалите файлы `iisstart.htm`, `welcome.png` и другие из корневых каталогов. Пересмотрите виртуальные каталоги и убедитесь, что они указывают на необходимые для бизнес-логики пути, а не на системные папки.

Интеграция в процессы регуляторики

Работа по приведению IIS к безопасной конфигурации не должна быть разовой акцией. Её необходимо встроить в жизненный цикл информационной системы.

Приёмка в эксплуатацию (ввод в опытную эксплуатацию по 152-ФЗ): Базовая «зачищенная» конфигурация IIS должна быть частью стандартного образа (gold image) или конфигурации Infrastructure as Code (Ansible, PowerShell DSC). Без её применения система не должна допускаться к работе с реальными данными.
Регулярный контроль (мониторинг): Настройте средства мониторинга (например, на базе Zabbix или отечественных аналогов) на отслеживание изменений в критичных файлах конфигурации (`applicationHost.config`, `web.config`), а также на появление нестандартных модулей.
Аудит и аттестация: Конфигурация веб-сервера является объектом проверки при проведении внутренних и внешних аудитов на соответствие требованиям ФСТЭК. Наличие задокументированного и обоснованного набора включённых модулей существенно упростит эту процедуру.
Реагирование на инциденты: В случае атаки «чистая» конфигурация позволяет быстрее локализовать источник, так как список активных компонентов и их поведение известны и предсказуемы.

Заключение

Защита сервера IIS — это системная работа, начинающаяся с отказа от излишеств установки по умолчанию. Первоочередная задача — тщательная минимизация: удаление ненужных модулей, скрытие метаданных, отключение неиспользуемых функций. Этот этап напрямую соответствует принципу минимальности привилегий, заложенному в российских регуляторных требованиях. Однако остановиться на этом нельзя. Полноценная защита требует дополнения минимизации активными барьерами: WAF, контролем целостности, строгой аутентификацией. Итогом такой работы становится не «простая» система, а контролируемая система, где для каждого включённого компонента известно его назначение, риск и владелец. Именно такой подход позволяет строить ИТ-инфраструктуру, устойчивую не только к известным уязвимостям, но и к ошибкам конфигурации, которые часто становятся причиной серьёзных инцидентов.