CFML

Настраиваем безопасность ColdFusion MX 7 в IIS 6

В этой статье описаны рекомендации лучшие практические примеры по обеспечению безопасности в веб, используя Microsoft Windows Server 2003 и Macromedia ColdFusion MX 7. Эта статья не является исчерпывающим руководством по настройке хостов на Windows 2003. Здесь описаны некоторые настройки безопасности, которые следует учитывать, чтобы повысить безопасность ColdFusion MX 7 под управлением IIS 6.0 серверов, которые обслуживают HTML контент в пределах корпоративной сети. Чтобы быть уверенным, что ColdFusion приложения в безопасности, следует выполнять процедуры мониторинга, обнаружения и реагирования.

До инсталляции:

Безопасность на уровне сети

Уязвимости в безопасности сети являются первой угрозой для любого Интернет или интранет приложения. В данном разделе описывается процесс настройки хостов против возможных угроз. Это относится к сегментации сети, управлению TCP/IP протоколами и использованию прокси серверов.

Стандарт	Разместите ColdFusion сервер внутри демилитаризованной зоны (DMZ).
Описание	Должна присутствовать по крайней мере двух уровневая сегментация для веб серверов. Отделите внешнюю сеть от DMZ, в которой находятся веб сервера, которые в свою очередь должны быть отделены от внутренней сети. Используйте firewall'ы для осуществления этих разделений. Управляйте трафиком, проходящим по каждому уровню сети, чтобы допускать прохождения только минимальных допустимых данных.
Стандарт	Используйте Network Address Translation (NAT) с RFC 1918 приватными IP адресами на ColdFusion серверах.
Описание	Назначьте приватные IP адреса (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16), чтобы усложнить попытки изменения маршрута трафика в и из NAT.
Стандарт	Используйте firewall, чтобы защитить открытые границы сети.
Описание	При выборе firewall 'a воспользуйте следующими критериями: Используйте firewall'ы, которые поддерживают прокси сервера и/или "постоянную проверку", а не просто фильтрацию пакетов. Используйте firewall, который позволяет доступ закрывать доступ ко всем службам, кроме предварительно разрешенных ("deny all services except those explicitly permitted"). Используйте firewall, который поддерживает архитектуру dual-homed или multihomed.
Стандарт	Не используйте принятые по-умолчанию для прослушивание порты для баз данных (Oracle – 1521, MS SQL – 1433).
Описание	Смотрите документацию по базам данных.

Безопасность операционной системы

Осуществляя множество системных настроек Windows 2003 через Group Policy Objects, вам не нужно вручную настраивать настройки реестра для серверов в одном домене. Однако, следует устанавливать веб сервера как самостоятельные (stand-alone), а не как члены домена организации. Использование самостоятельных серверов потенциально ограничивает количество дырок в безопасности. Для применения изменений в правах доступа на множестве серверов, используйте скрипты или отдельный домен для DMZ.

Стандарт	Устанавливайте только необходимые службы IIS.
Описание	Уязвимости служб используются атакующими для компрометации системы. Чем больше установлено служб, тем больше присутствует уязвимостей. IIS имеет опцию для установки WWW Service, IIS Admin, FTP, NNTP и SMTP. FTP и NNTP не должны быть установлены на сервере, выделенном для ColdFusion. Кроме того, если нет приложений, которым нужно локально отправлять и получать e-mail, то SMTP устанавливать не следует.
Стандарт	Установите все необходимые патчи безопасности Windows 2003.
Описание	Существует риск, что неавторизованный пользователь может получить доступ к серверу приложений, если вовремя не применены патчи и обновления. Предварительно тестируйте патчи перед применением их на рабочем сервере. Создайте политику и процедуры, чтобы регулярно проверять и устанавливать патчи.
Стандарт	Применяйте High Security Member Server Baseline Policy (MBSP).
Описание	Загрузите Windows Server 2003 Security Guide. Данный гид включает три шаблона политик (policy templates); один из них это шаблон High Security template. Примените только High Security template на IIS сервере перед установкой ColdFusion. После применения шаблона, вы должны изменить следующие настройки, чтобы позволить IIS правильно работать: Раздел User Rights Assignments: Чтобы позволить анонимным пользователям подключаться к IIS, удалите группу Guests из политики "Deny access to this computer from the network". Учетная запись IUSR является членом группы Guests. Раздел System Services: Установите HTTP SSL службу в положение Automatic. Служба HTTP SSL позволяет IIS выполнять Secure Sockets Layer (SSL) функции. Установите IIS Admin Service в положение Automatic. IIS Admin Service позволяет управлять такими IIS компонентами, как File Transfer Protocol (FTP), Application Pools, websites, web service extensions, Network News Transfer Protocol (NNTP) и Simple Mail Transfer Protocol (SMTP). Установите World Wide Web Publishing Service в положение Automatic. World Wide Web Publishing Service подключаться и управлять веб сайтами.
Стандарт	Измените или удалите web server banner.
Описание	Изменение IIS баннера имеет некоторые потенциальные преимущества, если атакующие скрипты основаны на баннере. Изменение баннера скрывает тип веб сервера, к которому подключен атакующий. Чтобы удалить баннер, установите следующий ключ в реестре: `HLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeader равно 1`
Стандарт	Разместите IIS контент на выделенном NTFS разделе диска.
Описание	Сегментация диска – это способ хранения определенных данных на разных дисках, ради дополнительной безопасности. Такой способ организации данных понижает риск атак на пересекающиеся директории. Переместите IIS inetpub(или wwwroot) папку на не системный раздел (туда, где нет папки system32) или на не загрузочный раздел.
Стандарт	Установите и настройте антивирусное программное обеспечение.
Описание	Вирус сканеры могут обнаружить зараженные файлы или следить за аномальным поведением.
Стандарт	Используйте Network Time Protocol (NTP).
Описание	Используйте NTP, чтобы синхронизировать время на всех системах, которых напрямую подключены к Интернет. На рисунке 1 показано, как настроить Интернет время в Windows Server 2003 через time.nist.gov. Рисунок 1. Настраиваем Интернет время в Windows Server 2003.

Во время инсталляции:

Теперь, после того как вы настроили Windows 2003, можно устанавливать ColdFusion. Установка ColdFusion очень проста. Помните, что в статье описана установка только ColdFusion MX 7 на IIS 6.0.

Хорошая привычка

Даже перед запуском программы установки следует обязательно проверить совместимость устанавливаемой программы и сервера. Соблюдайте необходимые правила во время установки, чтобы программа была установлена наиболее безопасным способом.

Стандарт	Авторизируйтесь в системе с наименьшими правами.
Описание	Используйте учетную запись, которая не является членом группы администраторов, а также для запуска программы установки ColdFusion используйте команду "Run As".
Стандарт	Не загружайте и не запускайте ColdFusion из таких источников, которым вы не доверяете.
Описание	Вредоносные программы могут содержать код, который может нарушить безопасность несколькими способами: кража данных, изменение и удаление данных, перегрузка ресурсов служб и т.п.

Опции программы установки

Во время установки доступно множество опций, которые способны повысить или понизить безопасность ColdFusion. В этой части статьи будут описаны главные принципы повышения безопасности, установленного вами ColdFusion сервера на IIS.

Стандарт	Не включайте RDS.
Описание	Macromedia не рекомендует включать RDS на производственных серверах. Если RDS все-таки необхадима для вашей организации, то создайте сильный RDS пароль.
Стандарт	Используйте сильные RDS и ColdFusion Administrator пароли.
Описание	Позаботьтесь о том, чтобы пароли не были легко подобранными (например, слова из словаря или варианты имени пользователя); не привязывайтесь напрямую к семье пользователя или личным интересам и включайте в пароль как буквы, так и цифры. Пароли для обычных пользователей системы не должны быть меньше шести символов. Пароли для пользователей с особыми правами не должны быть меньше восьми символов. Если ваша организация использует более сильную политику паролей, чем эта, то продолжайте использовать ваши внутренние правила.
Стандарт	Размещайте содержимое ColdFusion на выделенном NTFS разделе диска.
Описание	Разделение диска на части это процесс, которые позволяет хранить данные на разных физических дисках ради дополнительной безопасности. Такой способ хранения данных понижает риск атак на директории. Переместите содержимое ColdFusion на таот раздел диска, где нет директории system32, или на тот раздел, который не является загрузочным.
Стандарт	Утключите ненужные под-компоненты.
Описание	Программа установки ColdFusion предлагает выбрать три под-компоненты: ColdFusion MX 7 ODBC Services Позволяет подключаться к таким источникам данных, как Microsoft Access. Эта служба не нужна, если сервер баз данных находится на отдельном компьютере. Вы можете отключить ODBC службы после установки. ColdFusion MX 7 Search Services Обеспечивает индексацию локальных фалов, чтобы осуществлять поиск по содержимому веб сервера. Вы можете отключить поисковые службы после установки. Getting Started Experience, Tutorials, and Documentation Содержит примеры приложений и документацию, чтобы помочь начинающим пользователям ColdFusion. Не включайте эту опцию на производственных серверах.

После инсталляции:

Данный раздел описывает задачи, рекомендуемые для упрочнения установленного ColdFusion MX 7 сервера. ColdFusion имеет множество настроек и может работать в различных средах. Тем не менее, некоторые рекомендации могут не подойти под нужны вашей организации, а также, важно понимать, что безопасность ColdFusion связана с настройками безопасности публичного веб сервера.

Безопасность ColdFusion сервера

Следующие рекомендации применяются вне Админ. Модуля ColdFusion (cfide\administrator). Чтобы понизить риски быть атакованным, применить эти настройки сразу после установки ColdFusion.

Стандарт	Установите необходимые патчи безопасности для ColdFusion.
Описание	Существует повышенный риск, что неавторизированный пользователь можут получить доступ к серверу приложений, если вовремя не установлены патчи и обновления поставщика. Перед установко патчей их следует протестировать на совместимость с ColdFusion приложениями. В дополнение к этому, создайте правила и процедуры по регулярной проверке и установке патчей. Обновления ColdFusion можно найти на ColdFusion Support Center.
Стандарт	Удалите виртуальную директорию cfdocs.
Описание	Примеры приложений по-умолчанию установлены в виртуальной директории cfdocs и доступны всем. Эти приложения не должны присутствовать на производственном сервере: Войдите в компьютер под учетной записью, которая не в группе Administrators. Используйте команду Run As, чтобы запустить IIS Менеджер как ажминистратор. В IIS Менеджере, откройте ветку локального компьютера и откройте ветку Default website. Правой кнопкой мыши щелкните по директории cfdocs и выберите команду Delete.
Стандарт	Ограничьте доступ к виртуальной директории cfide по определенным IP адресам и NT пользователям.
Описание	CFIDE веб приложение администратора устанавливается по-умолчанию и доступно всем. Приложение предлагает только один вид защиты - пароль. Это означает, что атакующему достаточно толко угадать ваш пароль, чтобы получить доступ к администрированию ColdFusion сервера: Войдите в компьютер под учетной записью, которая не в группе Administrators. Используйте команду "Run As", чтобы запустить IIS Менеджер как ажминистратор. Чтобы назначить доступ компьютеру: В IIS Менеджере, раскройте ветку локального компьютера, правой кнопкой мыши щелкните на веб сайте, каталоге или файле, и выберите его свойства (Properties). Щелкните по вкладке Directory Security или File Security. В области IP Address and Domain Name Restrictions щелкните Edit. Выберите Denied Access. Выбрав Denied Access вы запрещаете доступ для всех компьютеров и доменов, за исключением тех, кому разрешаете доступ. Щелкните Add. Выберите Single Computer. Укажите IP адрес вашего управляющего хоста; рекомендуется указать localhost (127.0.0.1). Дважды щелкните OK. Чтобы назначить доступ NT пользователю: В разделе Authentication and Access Control щелкните Edit. Отключите опцию Enable Anonymous Access.
Стандарт	Отключите не используемые системные службы на хосте.
Описание	После инсталляции, ColdFusion создает по-умолчанию определенные системные службы, которые запускаются при включении компьютера. Множество из этих служб не обязательны. Для запуска ColdFusion MX 7 обязательны и не обязательны следующие службы: ColdFusion MX 7 Application Server (Обязательно) Указывает сервер JRun 4, который нужен ColdFusion для обработки запросов. ColdFusion MX 7 Search Server (Не обязательно) Управляет и контролирует настройками служб индексирования Verity K2.
Стандарт	Создайте учетную запись для службы ColdFusion.
Описание	ColdFusion по-умолчанию устанавливается используя учетную запись LocalSystem. Встроенная учетная запись LocalSystem легко доступна и входит в группу Administrators. Если рабочий процесс запущен под учетной записью LocalSystem, то этот процесс имеет полный доступ ко всей системе. Чтобы запустить ColdFusion MX 7 по учетной записью без административных прав, выполните следующее: В Управлении Компьютером (MMC) создайте локального пользователя, от имени которого будут запускаться службы ColdFusion. Отметьте опцию "User cannot change password". Во вкладке Member Of убедитесь, что в списке групп присутствует группа Users. Выберите Start меню > Settings > Control Panel > Administrative Tools > Services. Дваджы щелкните по службе ColdFusion MX 7 Application Server. Остановите службу. Во вкладке Log On, щелкните по опции This Account и укажите только что созданную учетную запись. Введите пароль для этой учетной записи. Дайте учетной записи для запуска служб ColdFusion следующие права. В разделе "User Rights Assignment" в "Local Security Settings" MMC: Запретить вход в систему через Terminal Services. Запретить вход в систему локально. Вход в систему как Service (уже должна быть установлена). Дайте новому пользователю разрешения "Read & Execute, List Folder Contents, and Read" на следующее: Каталог с веб содержимым ColdFusion (т.e. cfide или cfdocs) C:\cfusion или C:\cfusionmx (и все подкаталоги) Запустите службу ColdFusion MX 7 сервера.
Стандарт	Отключите неиспользуемые расширения веб служб.
Описание	Если сервер используется эксклюзивно для ColdFusion, отключите все другие веб расширения (web extensions), используя IIS Менеджер (см. Рисунок 2). Рисунок 2. IIS Менеджер

Проверка (auditing) и журналирование (logging)

Правильное и безопасное использование проверки и журналирования приложения может помочь как можно быстрее обнаружить аномальные события. Эффективное использование проверки и журналирования внутри приложения включает в себя отслеживание удачные и не удачные попытки авторизации пользователя, создание и удаление ключевых записей.

Проверки позволяют обнаруживать множество типов атак, включая следующие:

Вскрытие пароля прямым перебором вариантов (brute-force)
DoS (Denial of service) атаки
Атаки через программные скрипты

Стандарт	Источник событий журналирования создайте во время доставки (deployment), а не программно через код приложения.
Описание	Создание источника события требует привелегий администратора. Не назначайте эти привелегии запущенным процессам приложения. Наоборот, во время процедуры доставки (deployment) приложения, задокументируйте самостоятельный скрипт, который необходим для создания новых источников событий. Администратор исполнит этот скрипт только один раз. После создания источника событий скрипт уже не нужен и должен быть удален из системы.
Стандарт	Установите соответствующий список доступа (ACL - access control list) к лог файлам ColdFusion.
Описание	Управление доступом к лог файлам помогает запретить атакующему удаление зафиксированных его действий. Пользователи из группы Administrators и SYSTEM должны иметь полный доступ (Full Control) к лог файлам. Учетные записи пользователей ColdFusion должны иметь доступ только на чтение и запись.
Стандарт	Установите соответствующий список доступа (ACL - access control list) к лог файлам IIS.
Описание	Управление доступом к лог файлам помогает запретить атакующему удаление зафиксированных его действий. Убедитесь в том, что ACL на лог файлы IIS (%systemroot%\system32\LogFiles) настроены правильно. Доступы в Windows 2003 Server установлены по-умолчанию, поэтому никакие изменения не требуются. Дотсупы на директорию с лог файлами должны быть Full Control для групп Administrators и SYSTEM.
Стандарт	Записывайте логи на отдельный сервер.
Описание	Если ресурсы позволяют, то в режиме реального времени отправляйте логи на другой сервер, недоступный для атакующего, использующего Syslog, Tivoli, MOM (Microsoft Operations Manager) Server или какие-нибудь другие механизмы. Такая защита логов помогает предотвратить несанкционированные попытки их изменения. Кроме того, нахождение логов в центральном хранилище помогает их анализировать и отслеживать — например, когда вы используете множество ColdFusion серверов и кто-то пытается атаковать через подбор пароля ко многим машинам, где хакер запрашивает пароль к каждой машине.

Опции Админ. модуля ColdFusion

Данный раздел описывает большинство относящихся к безопасности опций, доступных в Админ.модуле ColdFusion. Если Админ.модуль не доступен, вы можете редактировать эти опции через XML файлы в каталоге cf_root\lib\. Однако, редактировать эти файлы напрямую не рекомендуется. После изменения этих опций вы должны перезапустить ColdFusion сервер. Если это не сделать, то ни одно из изменений не вступит в силу.

Стандарт	Server Setting > Settings > Time Requests
Описание	Устанавливает время выполнения запроса – максимум 30 секунд, чтобы защититься от ошибок в коде, ведущих к отказу работы служб. Если есть приложение, которому нужны более длительные запросы, то вы можете указать <cfsetting requesttimeout="<seconds>">, чтобы переопределить эту настройку.
Стандарт	Server Setting > Settings > Enable Use UUID for cftoken.
Описание	UUID гарантирует уникальный идентификатор для cftoken. Это понижает риск путаницы в ID сессий, что усложняет возможность атакующему получить доступ к правильной сессии.
Стандарт	Server Setting > Settings > Enable Global Script Protection.
Описание	Выберите опцию Global Script Protection. Это новая возможность в безопасности в ColdFusion MX 7, которой нет в других платформах веб приложений. Это поможет защитить переменные в контейнерах Form, URL, CGI и Cookie от скриптовых атак с других сайтов.
Стандарт	Server Setting > Settings > Specify a Sitewide Error Handler.
Описание	Prevent information leaks through verbose error messages. Specifying a sitewide error handler covers you when cftry/cfcatch are not used. This page should be a generic error message that you return to the user. Also, if the error handler displays user input, it should be reviewed for potential cross-site scripting issues.
Стандарт	Server Settings > Memory Variables > Use J2EE Session Variables.
Описание	Включите опцию Use J2EE Session Variables. ColdFusion предоставляет два вида управления сессией: собственный встроенный способ и через J2EE. J2EE сессии предоставляют следующие возможности безопасности и произвожительсности в ColdFusion: Сессия прекращается, когда пользователь закрывает окна браузера. J2EE сессия использует идентификатор сессии - jsessionid, который создается в начале каждой сессии. Есть возможность использовать одну сессию между ColdFusion и JSP страницаим или Java сервлетами, которые вы вызываете из ColdFusion страниц. Это позволяет не хранить в куки чувствительную информацию.
Стандарт	Server Setting > Memory Variables > Maximum Timeout > Session
Описание	Установите максимальное время жизни сессии на 20 минут, чтобы исключить вызов сессии в окне, спустя большой промежуток времени.
Стандарт	Server Setting > Memory Variables > Default Timeout > Session
Описание	Установите время жизни сессии по-умолчанию на 20 минут, чтобы исключить вызов сессии в окне, спустя большой промежуток времени. (По-умолчанию указано 20 минут.)
Стандарт	Server Setting > Memory Variables > Maximum Timeout > Application
Описание	Установите максимальное время жизни приложения на 24 часа.
Стандарт	Server Setting > Memory Variables > Default Timeout > Application
Описание	Установите время жизни приложения по-умолчанию на 8 часов.
Стандарт	Server Settings > Mail > Mail Server
Описание	Require a user name and password to authenticate to your mail server.
Стандарт	Server Settings > Mail > Connection Timeout
Описание	Установите время жизни установленного соединения на 60 секунд (По-умолчанию указано 60 секунд.)
Стандарт	Data & Services > Data Sources
Описание	Не используйте учетную запись администратора, чтобы из ColdFusion подключаться к источнику данных. Например, не используйте учетную запись SA, чтобы подключаться к Microsoft SQL Server. Учетной записи, которая получает доступ к базе данных, должны быть назначены права доступа только к необходимым объектам. Кроме того, учетная запись для подключения к базе данных должна быть учетной записью Windows, а не SQL. Существует больше возможностей по наблюдению за учетными записями Windows, паролями и другими связанными с ними управлениями безопасности. Например, блокировка учетных записей и требования к паролям встроены в Windows. Однако, базе данных потребуется некий код, чтобы обрабатывать эти, связанные с безопасностью, задачи.
Стандарт	Data & Services > Data Sources
Описание	Во всех источниках данных отключите следующие AllowedSQL опции: Create, Drop, Grant, Revoke, Alter. Как администратор, у вас нет контроля над тем, что разработчик посылает базе данных. Однако, могут возникнуть такие обстоятельства, когда толко что описанные команды должны быть посланы SQL серверу из веб приложения. Ограничение запросов на уровне параметров хранимых процедур или строк запросов (используя тег CFQUERYPARAM) может очень сильно понизить риск атак через SQL запросы.
Стандарт	Debugging & Logging > Debugging Settings > Enable Robust Exception Information
Описание	Отключите эту опция на производственном сервере. (По-умолчанию)
Стандарт	Debugging & Logging > Debugging Settings > Enable Debugging
Описание	Отключите эту опция на производственном сервере. (По-умолчанию)
Стандарт	Debugging & Logging > Logging Settings > Log directory
Описание	В качестве меры зашиты, храните лог файлы в месте, отличном от места по-умолчанию. Это усложнит попытки атакующего найти лог файлы.
Стандарт	Security > Sandbox Security > Enable ColdFusion Security
Описание	Песочница (sandbox) ColdFusion позволяет назначить доступ к файлам, каталогам, методам и источникам данных. Песочницы наиболее полезны хостинг провайдерам или в корпоративных интрасетях, где множество приложений расположены на одном сервере. Сначала, выберите эту опцию. Далее, настройте песочницу (sandbox). Если этого не сделать, то весь код во всех каталогах может быть исполнен без ограничений. Код в каталоге и подкаталоге наследует настройки доступа, назначенные для песочницы. Например, если компания ABC создает несколько приложений в каталоге, то все приложения имеют одни и те же права, что и у каталога родителя. Песочница, примененная к каталогу ABC-apps распространяется и на подкаталоги app1 и app2: `D:\inetpub\wwwroot\ABC-apps\app1 D:\inetpub\wwwroot\ABC-apps\app2` Заметка: Если вы создадите новую песочницу для каталога app2, то этот каталог не унаследует настройки от каталога ABC-apps. Настройки безопасности песочницы зависят от специфики приложения; однако, существуют общие правила: Создайте песочницу с правами по-умолчанию и копируйте ее настройки во все новые песочницы, по необходимости удаляя ограничения, кроме случаев с файлами/каталогами, где доступ скорее открыт, чем закрыт: Назначьте доступ только к тем источникам данных, которые нужны приложению. Ограничьте доступ к таки мощным тегам, как, например, CFREGISTRY и CFEXECUTE. Ограничьте доступ к файлам и каталогам, чтобы сократить способности тегов и функций. Для каждого приложения создавайте песочницу.

Доставка (deployment) приложений

После того, как сервер правильно настроен и ваше приложение создано, вы должны безопасно разместить приложение на производственном сервере. Данный раздел описывает некоторые рекомендации для публикуемых материалов на вашем защищенном ColdFusion сервере.

Стандарт	Отключите RDS на производственном оборудовании.
Описание	На производственных оборудованиях не следует использовать RDS. В ранних версиях ColdFusion, RDS запускалась как отдельная служба или процесс и могла быть отключена как служба. В ColdFusion MX 7 RDS интегрирована в главную службу. Чтобы ее отключить, вы должны отключить RDSServlet маппинг в файле web.xml. Следующей процедуре предполагается, что ColdFusion установлен в каталоге по-умолчанию: Создайте резервную копию файла C:\CFusionMX7\wwwroot\WEB-INF\web.xml. Откройте web.xml для редактирования. Закомментируйте RDSServlet маппинг следующим образом: `<!— <servlet-mapping> <servlet-name>RDSServlet<</servlet-name> <url-pattern>/CFIDE/main/ide.cfm</url-pattern> </servlet-mapping> -->` Сохраните файл. Перезапустите ColdFusion.
Стандарт	Используйте RDS через SSL.
Описание	Во время разработки приложений вам следует использовать SSL v3, чтобы шифровать все RDS соединения между Dreamweaver MX и ColdFusion сервером. Это включает в себя удаленный доступ к источникам данных сервера и дискам.
Стандарт	Для удаленной передачи данных используйте SFTP.
Описание	Протокол SSH входит в состав SFTP, зашиврованная замена FTP. Dreamweaver MX поддерживает SFTP. К сожалению, Windows 2003 Server не включает в себя SSH сервер. Вы можете установить SSH сервер, используя один из коммерческих или бесплатных программных пакетов. Например, программа OpenSSH бесплатна и включает в себя SSH сервер.
Стандарт	Убедитесь в том, что FTP отключен.
Описание	FTP передает данные в незашифрованном виде. Чтобы понизить риск быть атакованным, вам не следует использовать FTP. FTP по-умолчанию отключен в IIS 6. Выберите Programs > Administration Tools > Internet Information Services (IIS) Manager, чтобы убедиться, что FTP отключен или не установлен.
Стандарт	Используйте кодирование страниц.
Описание	ColdFusion MX содержит утилиту cfencode, которая скрывает исходный текст ColdFusion страниц, составляющих приложение. Однако, эта техника не сможет помещать настойчивым хакерам прочитать содержимое CFML страницы, а предотвращает только от простого изучения страниц.
Стандарт	Настройте NFTS разрешения доступа к веб содержимому.
Описание	Не смотря на то, что следующие настройки доступа зависят от приложения, есть общие правила: Типы фалов: CGI (.exe, .dll, .cmd, .pl) ACLs: Everyone (X), System and Administrators (Full Control) Типы фалов: Scripts (.cfm, .cfml, .jsp, .asp, .aspx, , .sgml, .wml, and .etc) ACLs: Everyone (X), System and Administrators (Full Control) Типы фалов: Includes (.inc, .shtm, .shtml) ACLs: Everyone (X), System and Administrators (Full Control) Типы фалов: Static content (.txt, .gif, .jpg, .html, .xml) ACLs: Everyone (R), System and Administrators (Full Control)

Использование команды "Run As"

Следующие шаги описывают как использовать команду "Run As", чтобы запускать IIS Manager из командной строки и из Start (Пуск) меню Windows:

Из командной строки наберите следующее:

runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

Также вы можете получить доступ к команде Run As используя интерфейс Windows. Выберите Start > Programs > Administrative Tools > Internet Information Services (IIS) Manager. Правой кнопкой мыши щелкните на Internet Information Services Manager и выбирете опцию Run As (см. Рисунок 3).

Доступ к команде Run As в Windows
Рисунок 3. Доступ к команде "Run As" в Windows

Источник: Configuring ColdFusion MX 7 Server Security