Содержание

Активные занятия спортом повышают риск развития бокового амиотрофического склероза, утверждают ученые.

Автор фото, Getty Images

Регулярные и интенсивные физические нагрузки повышают риск развития бокового амиотрофического склероза у людей, генетически предрасположенных к этому заболеванию, хотя большинство из них даже не подозревает о грозящей опасности.

К такому выводу пришла группа ученых Шеффилдского университета — одного из самых престижных и авторитетных британских вузов. Авторы исследований не призывают никого бросать занятия спортом, но надеются, что полученные ими данные помогут выявить людей, относящихся к группе риска.

Боковой (или латеральный) амиотрофический склероз (БАС), известный также как болезнь моторных нейронов или болезнь Шарко — неизлечимое прогрессирующее нейродегенеративное заболевание. Оно поражает клетки спинного мозга (двигательные нейроны), которые обеспечивают координацию движений и поддержание тонуса мышц. В результате нарушается передача к мускулам мозговых импульсов, что приводит у пациента к нарастающей слабости, постепенно охватывающей все группы мышц.

По мере гибели все большего числа двигательных нейронов у больного затрудняются движения, начинаются проблемы с дыханием и речью. Смерть чаще всего наступает в результате отказа дыхательной мускулатуры.

БАС относится к редким заболеваниям, ему подвержены лишь около 0,3% населения. При этом известно, что возникновение и развитие болезни обусловлены как генетикой, так и неблагоприятными факторами, накопленными в течение жизни.

Связь между физическими тренировками и болезнью была замечена давно, но ученые никак не могли понять, можно ли считать ее причинно-следственной или же тут замешаны какие-то третьи факторы.

В частности, известно, что итальянские футболисты страдают от БАС в шесть раз чаще среднего уровня. Открыто о своей болезни рассказывали и многие другие спортсмены, в том числе бывший защитник «Ливерпуля» Стивен Дарби и полузащитник петербургского «Зенита» Фернандо Риксен, скончавшийся от болезни Шарко в 2019 году.

«Мы пришли к окончательному заключению, что интенсивные физические нагрузки действительно являются фактором риска для развития БАС, — заявил один из авторов исследования, доктор Джонатан Купер-Нок. — Неслучайно процент страдающих этим заболеванием выдающихся спортсменов непропорционально высок».

Ученые проанализировали образцы ДНК примерно полумиллиона человек, хранящиеся в британском Банке биологической информации (UK Biobank project).

При помощи метода, известного как рандомизация Менделя, они установили, что люди, генетически предрасположенные к интенсивным физическим нагрузкам, одновременно более подвержены и заболеванию БАС.

В статье, опубликованной по результатам работы, утверждается, что в результате регулярных физических тренировок некоторые гены мутируют — и у людей с наследственной предрасположенностью к развитию БАС болезнь возникает раньше, если они регулярно и интенсивно занимаются спортом.

Под «регулярными и интенсивными» в статье имеются в виду тренировки, проводимые по меньшей мере два-три раза в неделю и длящиеся не менее получаса.

В то же время ученые подчеркивают, что большинство тренирующихся в таком режиме не заболевают и пока непонятно, как определить людей, относящихся к группе риска. Тем не менее по итогам работы они надеются создать методику ранней диагностики и предупреждения болезни — наподобие той, что уже существует для проверки склонности футболистов к проблемам с сердцем.

«Мы не знаем, кто подвержен риску, и совершенно не собираемся давать людям советы — кому тренироваться можно, а кому нельзя. Если все бросят занятия спорт, вреда выйдет больше, чем пользы», — говорит доктор Купер-Нок.

«Наше исследование приближает к разгадке взаимосвязи между высокими физическими нагрузками и возникновением БАС у людей с наследственной предрасположенностью к болезни», — заявила профессор Памела Шоу, возглавляющая Институт неврологии в Шеффилде.

Считается, что пониженный уровень кислорода в организме во время интенсивных (анаэробных) тренировок вызывает так называемый оксидативный стресс двигательных нейронов, которые являются одними из самых крупных и активно потребляющих кислород клеток нашего организма.

У генетически уязвимых людей это приводит к повреждению и гибели таких двигательных нейронов.

Доктор Брайан Дикки из благотворительной Ассоциации по борьбе с БАС, считает, что коллеги из Шеффилда пошли в нужном направлении и необходимо больше подобных работ.

Генетические и внешние факторы возникновения БАС до сих пор изучались независимо друг от друга, говорит он, а «сила данного исследования в том, что оно собирает вместе кусочки пазла».

Открыть ИИС и заработать: 3 инвестиционные стратегии в 2021 году :: Новости :: РБК Инвестиции

Темпы развития ИИС за последний год сложно переоценить, но не все инвесторы нашли подходящую стратегию, которая бы приносила доход. Несколько прибыльных тактик — в колонке аналитика «БКС Мир инвестиций» Василия Карпунина

Индивидуальный инвестиционный счет (ИИС) — популярный инструмент для начинающих инвесторов, привлекший огромное количество людей на биржу за счет налоговых льгот.

По итогам июня количество открытых ИИС превысило 4,1 млн. Торговый оборот по ним с начала 2021 года составил ₽835,1 млрд, 85% этого объема пришлось на сделки с акциями. Разберем три простых торговых стратегии, которые подходят частным инвесторам, открывшим такой счет.

1. Дивидендная стратегия

Покупаем акции, у которых дивидендная доходность выше среднерыночной и ожидается рост выплат в будущем — получаем пассивный доход

Акции с высокой дивидендной доходностью традиционно пользуются значительным спросом у инвесторов. Как правило, такие бумаги выглядят сильнее рынка во время рыночной волатильности  .

Российский рынок в силу своей исторической недооценки и экономического устройства характеризуется самой высокой средней дивидендной доходностью среди фондовых площадок крупных стран. Доходностью в 6–7% никого не удивишь, и компаний, выплачивающих такие

дивиденды  , предостаточно.

Что купить сейчас ради дивидендов в 2022-м: 5 акций с лучшей доходностью

Придерживаясь стратегии покупки дивидендных акций, недостаточно просто отсортировать бумаги по столбцу «дивидендная доходность» и выбрать самые первые строчки. Важно смотреть в будущее и делать ставку на тех, кто, как минимум, не снизит выплаты в следующие годы.

Ориентироваться на ближайший дивиденд не стоит — он уже известен участникам рынка и, как правило, полностью заложен в цену. Гораздо важнее дальнейшие перспективы, ведь акция воспринимается инвесторами как

ценная бумага  с бесконечным денежным потоком. Если этот поток будет расти, то дисконтируя его, мы получаем более высокую справедливую стоимость сегодня.

Фото: LariBat / Shutterstock

На рынке много примеров, когда экстремально высокие дивиденды оказывались разовыми. Так было с двумя выплатами «Центрального телеграфа» после продажи объектов недвижимости.

Похожая ситуация произошла с дивидендами «Лензолота». Доходность по обыкновенным акциям до закрытия реестра акционеров, которым полагаются выплаты, составляла почти 50%. Но после выплаты на балансе компании почти ничего не останется.

Удивлены большими дивидендами «Лензолота»? Вот в чем риски этих выплат

Поэтому смотрим в первую очередь на компании, которые могут нарастить выплаты или сохранить их стабильность. Например, сегодня к таким можно отнести «Газпром», «Юнипро», X5 Group, МТС, «М.Видео» и «Детский мир».

Портфель дивидендных бумаг можно диверсифицировать, добавляя долларовые акции иностранных эмитентов  . На Санкт-Петербургской бирже можно найти множество дивидендных аристократов, увеличивающих размер выплат многие годы подряд: Coca-Cola, 3M, Colgate-Palmolive, Procter & Gamble и Abbvie. Также интересны с точки зрения будущих выплат Chevron, ExxonMobil и AT&T.

Важно отметить, что из-за особенностей налогообложения дивидендов американских акций можно подписать форму W-8BEN для применения льготной ставки. Информацию об этой процедуре вы можете уточнить у вашего брокера.

Инструкция для инвестора: как платить налоги по дивидендам

2. Баланс акций стоимости и акций роста

Составляем портфель из активно растущих бизнесов и зрелых устойчивых компаний по дешевой цене.

Один из подходов к классификации акций — это условное деление их на бумаги роста и бумаги стоимости. Они могут показывать различную динамику в зависимости от экономического цикла, монетарной политики центральных банков и индивидуальных особенностей самих эмитентов. Чтобы избежать ошибки и не угадывать тренды, можно сбалансировать портфель сразу двумя видами акций.

Акции роста и акции стоимости: что это такое и как их отличить?

Фото: Jirapong Manustrong / Shutterstock

Акции роста предполагают получение дохода за счет подъема котировок. Фундаментальные оценки большинства таких бумаг выше среднерыночных по мультипликаторам P/E, P/S и EV/EBITDA. Это динамично развивающиеся компании с высокими темпами роста выручки и финансовых показателей. Как правило, они работают в инновационных секторах, относятся к IT.

Динамику акций роста за последние несколько лет, кроме Apple и Amazon, показывают Activizion Blizzard, PayPal, Facebook, Amgen, Qualcomm, Tesla и Netflix. На российском рынке также есть бумаги роста. К ним относят: TCS Group и «Яндекс». Такие компании могут быть временно убыточными из-за стадии активного роста бизнеса. Мультипликаторы у подобных бумаг высоки, что означает риски опережающих темпов снижения котировок при падении широкого рынка.

Учитель Уоррена Баффета: как Бен Грэм изобрел стоимостное инвестирование

Акции стоимости — бумаги стабильных зрелых бизнесов. От таких компаний чаще всего не ждут резкого роста финансовых показателей. В периоды рыночной волатильности такие акции в основном выглядят сильнее индекса. Именно устойчивые и крепкие акции стоимости зачастую являются «дивидендными аристократами».

Для отслеживания рыночных тенденций можно использовать график соотношения двух соответствующих ETF  : iShares S&P 500 Value ETF (IVE) и iShares S&P 500 Growth ETF (IVW). Рост индикатора указывает на опережающую динамику акций стоимости относительно акций роста и наоборот. По данным Refinitiv, в период 2007-2021 годы наблюдался устойчивый перевес доходности в пользу акций роста. Они показывали гораздо более сильную динамику — 355% против 88,8% акций стоимости, но в последние 2–3 квартала мы видим попытку слома этой тенденции. 

Стратегия балансировки портфеля двумя типами бумаг сейчас как раз обусловлена тем, что общий многолетний тренд все еще на стороне «акций роста», однако накопленная перекупленность и ожидания роста процентных ставок в мире несут в себе повышенные риски именно для переоцененных технологических корпораций.

Buyback (бай-бэк) — обратный выкуп акций эмитентом. Поводом для обратного выкупа акций может служить снижение избыточной ликвидности, страх враждебных поглощений или изменение в структуре капитала.

На американском фондовом рынке среди бумаг стоимости обычно выделяют акции компаний финансового сектора, таких как Citigroup, JPMorgan и Bank of America. Также стоит называть акции стоимости крупных бизнесов в других отраслях: Pfizer, Walt Disney, Verizon, Chevron, Walmart и Intel. На российском рынке бумаги «Газпрома», ЛУКОЙЛа, «Роснефти» и «Интер РАО» можно вполне назвать надежными.

3. Индексное инвестирование

Для ИИС подойдет ежемесячная покупка индексных фондов, которые уже сбалансированы и пропорционально диверсифицированы.

Инвестиции  в ETF — это один из самых простых вариантов вложения. Он не требует от инвестора глубоких знаний по оценке и анализу финансового состояния компаний. Приобретение фондов на группу акций, облигации  или товарных инструментов избавляет от необходимости отбора отдельных активов, а также снижает риски инвестирования ввиду высокой диверсификации. На Московской бирже для выбора доступны более 80 ETF и биржевых ПИФов.

Одной из самых простых стратегий как раз является приобретении индекса широкого рынка акций. Причем портфель можно разбить пополам на фонды по российским акциями, например, «Сбербанк — Индекс МосБиржи» или «ВТБ – Индекс МосБиржи» и американским «Сбербанк – S&P 500» или FinEx USA UCITS ETF. Для инвестирования в российские корпоративные облигации можно обратить внимание на FinEx Tradable Russian Corporate Bonds ETF. Для инвестирования в золото и защиты от инфляции, например, подойдет FinEx Gold ETF.

Покупка разных ETF в определенных пропорциях позволяет создавать множество стратегии инвестирования. Комбинация обычно строиться исходя из целей инвестора и толерантности к риску. Применить обозначенные выше стратегии на ИИС может любой частный инвестор. При этом он получает возможность претендовать на налоговые льготы: вычет до ₽52 тыс (тип А) в год или освобождение от уплаты НДФЛ (тип Б).

Мнение авторов, статьи которых публикуются в разделе «Мнение профи», может не совпадать с позицией редакции.

Биржевой фонд, вкладывающий средства участников в акции по определенному принципу: например, в индекс, отрасль или регион. Помимо акций в состав фонда могут входить и другие инструменты: бонды, товары и пр. Изменчивость цены в определенный промежуток времени. Финансовый показатель в управлении финансовыми рисками. Характеризует тенденцию изменчивости цены – резкое падение или рост приводит к росту волатильности. Подробнее Лицо, выпускающее ценные бумаги. Эмитентом может быть как физическое лицо, так и юридическое (компании, органы исполнительной власти или местного самоуправления). Финансовый инстурмент, используемый для привлечения капитала. Основные типы ценных бумаг: акции (предоставляет владельцу право собственности), облигации (долговая ценная бумага) и их производные. Подробнее Долговая ценная бумага, владелец которой имеет право получить от выпустившего облигацию лица, ее номинальную стоимость в оговоренный срок. Помимо этого облигация предполагает право владельца получать процент от ее номинальной стоимости либо иные имущественные права. Облигации являются эквивалентом займа и по своему принципу схожи с процессом кредитования. Выпускать облигации могут как государства, так и частные компании. Инвестиции — это вложение денежных средств для получения дохода или сохранения капитала. Различают финансовые инвестиции (покупка ценных бумаг) и реальные (инвестиции в промышленность, строительство и так далее). В широком смысле инвестиции делятся на множество подвидов: частные или государственные, спекулятивные или венчурные и прочие. Подробнее Дивиденды — это часть прибыли или свободного денежного потока (FCF), которую компания выплачивает акционерам. Сумма выплат зависит от дивидендной политики. Там же прописана их периодичность — раз в год, каждое полугодие или квартал. Есть компании, которые не платят дивиденды, а направляют прибыль на развитие бизнеса или просто не имеют возможности из-за слабых результатов. Акции дивидендных компаний чаще всего интересны инвесторам, которые хотят добиться финансовой независимости или обеспечить себе достойный уровень жизни на пенсии. При помощи дивидендов они создают себе источник пассивного дохода. Подробнее

Точки Роста — ИИС

Лицензия на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами № 21—000—1—00028 от 22 сентября 1998 года выдана ФСФР России, без ограничения срока действия. Лицензия на осуществление деятельности по управлению ценными бумагами № 077—08158—001000, выдана ФСФР России 30 ноября 2004 года, без ограничения срока действия. Правилами доверительного управления паевыми инвестиционными фондами, находящимися под управлением ООО УК «Альфа-Капитал», предусмотрены надбавки к расчетной стоимости инвестиционных паев при их выдаче и скидки к расчетной стоимости паев при их погашении. Обращаем Ваше внимание на то, что взимание скидок и надбавок уменьшает доходность инвестиций в инвестиционные паи паевых инвестиционных фондов. Подробную информацию о деятельности ООО УК «Альфа-Капитал» и паевых инвестиционных фондов, находящихся под ее управлением, включая тексты правил доверительного управления, всех изменений и дополнений к ним, а также сведения о местах приема заявок на приобретение, погашение и обмен инвестиционных паев вы можете получить по адресу 123001, Москва, ул. Садовая-Кудринская, д. 32, стр. 1. Телефоны: +7 495 783-4-783, 8 800 200-28-28, а также на сайте ООО УК «Альфа-Капитал» в сети Internet по адресу: www.alfacapital.ru.

ОПИФ рыночных финансовых инструментов «Альфа-Капитал Еврооблигации». Правила доверительного управления № 0386-78483614 зарегистрированы ФСФР России 18.08.2005 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Баланс». Правила доверительного управления № 0500-94103344 зарегистрированы ФСФР России 13.04.2006 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Облигации Плюс». Правила доверительного управления № 0095-59893492 зарегистрированы ФКЦБ России 21.03.2003 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Резерв». Правила доверительного управления № 0094-59893648 зарегистрированы ФКЦБ России 21.03.2003 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Акции роста». Правила доверительного управления № 0697-94121997 зарегистрированы ФСФР России 12.12.2006 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Ликвидные акции». Правила доверительного управления № 0387-78483850 зарегистрированы ФСФР России 18.08.2005. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Глобальный баланс». Правила доверительного управления № 0907-94126486 зарегистрированы ФСФР России 07.08.2007 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Бренды». Правила доверительного управления № 0909-94126641 зарегистрированы ФСФР России 07.08.2007 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Ресурсы». Правила доверительного управления № 0698-94121750 зарегистрированы ФСФР России 12.12.2006 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Технологии». Правила доверительного управления № 0699-94121833 зарегистрированы ФСФР России 12.12.2006 г. ОПИФ рыночных финансовых инструментов «Альфа-Капитал Золото». Правила доверительного управления № 0908-94126724 зарегистрированы ФСФР России 07.08.2007 г., ИПИФ рыночных финансовых инструментов «Альфа-Капитал». Правила доверительного управления № 0034-18810975 зарегистрированы ФКЦБ России 05.04.1999 г. ЗПИФ недвижимости «ЖН». Правила доверительного управления № 1817-94168740 зарегистрированы ФСФР России 24.06.2010 г. ЗПИФ недвижимости «Центр-Сити». Правила доверительного управления № 3385 зарегистрированы Банком России 12.09.2017 г. ЗПИФ недвижимости «АКТИВО ШЕСТЬ». Правила доверительного управления № 3329 зарегистрированы Банком России 15.06.2017 г. ЗПИФ недвижимости «Альфа-Капитал Арендный поток». Правила доверительного управления № 3936 зарегистрированы Банком России 30.12.2019 г. БПИФ рыночных финансовых инструментов «ТЕХНОЛОГИИ 100».)»**. Правила доверительного управления № 3691 зарегистрированы Банком России 19.03.2019 г. БПИФ рыночных финансовых инструментов «ЕВРОПА 600». Правила доверительного управления № 3805 зарегистрированы Банком России 08.08.2019 г. Управляющая компания обращает внимание, что в соответствии с пунктом 7 статьи 21 Федерального закона от 29.11.2001 № 156 «Об инвестиционных фондах» инвестиционные паи биржевого паевого инвестиционного фонда при их выдаче могут приобретать только уполномоченные лица. «БПИФ рыночных финансовых инструментов «Альфа-Капитал Управляемые облигации». Правила доверительного управления № 4039 зарегистрированы Банком России 19.05.2020. ЗПИФ недвижимости «Азимут». Правила доверительного управления № 1507-94111384 зарегистрированы ФСФР России 06.08.2009 г., ЗПИФ недвижимости «АКТИВО ДЕСЯТЬ». Правила доверительного управления № 3633 зарегистрированы Банком России 28.12.2018 г., ЗПИФ недвижимости «Альфа-Капитал Арендный поток-2». Правила доверительного управления № 4093 зарегистрированы Банком России 09.07.2020 г. ОПИФ рыночных финансовых инструментов «Мой капитал Акции». Правила доверительного управления № 4145 зарегистрированы Банком России 27.08.2020 г. ОПИФ рыночных финансовых инструментов «Мой капитал Облигации». Правила доверительного управления № 4146 зарегистрированы Банком России 27.08.2020 г. БПИФ рыночных финансовых инструментов «Альфа-Капитал Управляемые Российские Акции». Правила доверительного управления №4213 зарегистрированы Банком России 23.11.2020. БПИФ рыночных финансовых инструментов «Альфа-Капитал Китайские акции». Правила доверительного управления №4222 зарегистрированы Банком России 30.11.2020. ЗПИФ недвижимости «Альфа-Капитал ФастФуд». Правила доверительного управления №4265 зарегистрированы Банком России 21.01.2021 г. ЗПИФ недвижимости «Активо одиннадцать». Правила доверительного управления № 3773 зарегистрированы Банком России 16.07.2019 г. ЗПИФ недвижимости «Активо двенадцать». Правила доверительного управления № 3999 зарегистрированы Банком России 19.03.2020 г. ЗПИФ недвижимости «АКТИВО ЧЕТЫРНАДЦАТЬ». Правила доверительного управления № 4153 зарегистрированы Банком России 03.09.2020 г. ЗПИФ недвижимости «АКТИВО ПЯТНАДЦАТЬ». Правила доверительного управления № 4184 зарегистрированы Банком России 19.10.2020 г. ЗПИФ недвижимости «АКТИВО ШЕСТНАДЦАТЬ». Правила доверительного управления № 4321 зарегистрированы Банком России 18.03.2021 г. БПИФ рыночных финансовых инструментов «Альфа-Капитал Квант». Правила доверительного управления № 4580 зарегистрированы Банком России 06.09.2021 г. БПИФ рыночных финансовых инструментов «Альфа-Капитал Космос». Правила доверительного управления № 4561 зарегистрированы Банком России 19.08.2021 г. ЗПИФ недвижимости «АКТИВО СЕМНАДЦАТЬ». Правила доверительного управления № 4557 зарегистрированы Банком России 16.08.2021 г. ЗПИФ рентный «Активо два». Правила доверительного управления № 3092 зарегистрированы Банком России 22.12.2015 г. ЗПИФ недвижимости «Активо пять». Правила доверительного управления № 3307 зарегистрированы Банком России 27.04.2017 г.

* Ожидаемая доходность стандартной инвестиционной стратегии не гарантируется управляющим и не является идентичной фактической доходности управления имуществом учредителя управления, переданного в доверительное управление по договору, приводится до вычета комиссий, расходов и налогов, рассчитывается для цели определения стандартного инвестиционного профиля в соответствии с требованиями Положения Банка России от 03.08.2015 № 482-П «О единых требованиях к правилам осуществления деятельности по управлению ценными бумагами, к порядку раскрытия управляющим информации, а также требованиях, направленных на исключение конфликта интересов управляющего»

ПИФ — паевой инвестиционный фонд.
ИИС — индивидуальный инвестиционный счет.

© Общество с ограниченной ответстсвенностью «Управляющая компания «Альфа-Капитал», 2009–2021 гг. Инвестиции в паевые инвестиционные фонды (ПИФы), Фолио, доверительное управление активами, инвестиционные стратегии, финансовое консультирование, пенсионные накопления. Инвестиции в акции, облигации и ценные бумаги. Wealth Management, Private Banking, Investing in Mutual Funds.

Информация о структуре и составе участников ООО УК «Альфа-Капитал», в том числе о лицах, под контролем либо значительным влиянием которых находится ООО УК «Альфа-Капитал», размещена на официальном сайте Банка России и соответствует информации, направленной в Банк России для размещения на официальном сайте Банка России.

Стоимость инвестиционных паев может увеличиваться и уменьшаться, результаты инвестирования в прошлом не определяют доходы в будущем, государство не гарантирует доходность инвестиций в инвестиционные фонды. Прежде чем приобрести инвестиционный пай, следует внимательно ознакомиться с правилами доверительного управления паевым инвестиционным фондом.

Финансист рассказал о возможности заработать на налоговых вычетах

Как российские граждане могут заработать с помощью индивидуальных инвестиционных счетов и какие риски при этом необходимо учесть, рассказал финансовый аналитик Артем Звездин.

Преимущества индивидуального инвестиционного счета (ИИС) очевидны. Многие россияне предпочитают такой способ дохода хранению денег в копилках или банковским депозитам, где постоянно уменьшаются проценты. На что стоит обратить внимание при выборе ИИС, рассказал трейдер Артем Звездин в разговоре с ФБА «Экономика сегодня».

Индивидуальный инвестиционный счет представляет собой своего рода «рисковую копилку», с помощью которой, кроме доходности по финансовому инструменту, можно заработать с помощью определенных налоговых вычетов и маневров, поясняет специалист. ИИС является типом счета, в котором существуют свои риски, и самый главный из них — риск фондового рынка в целом.

«Вне зависимости от финансового инструмента фондовый рынок является рисковым сам по себе», — уточняет Звездин.

Стоимость тех или иных ценных бумаг может и будет меняться. По этой причине доходность по ИИ будет зависеть от стратегии и действий самого инвестора. Существуют условно-безрисковые варианты вроде облигаций федерального займа или корпоративных. С применением налоговых вычетов инвестор может условно заработать 5% плюс гарантированную доходность по налоговому маневру, добавил собеседник.

На данный момент существуют два вида налогового маневра: «тип А» и «тип Б». Индивидуальный инвестиционный счет «типа А» — это вычет на взносы. Он позволяет получить конкретную сумму на ИИС, но не более 52 тысяч в год и той суммы, что уплачена в качестве НДФЛ. К тому же, у этого типа счета есть несколько подводных камней. Первый — ИИС должен просуществовать минимум три года. Если инвестор выводит денежные средства ранее указанного периода, сумма выплаченных денежных средств от налоговой подлежит возврату. Второй — для данного типа вычета нужен официальный доход. Если у человека нет белой зарплаты, получить вычет не получится, уверяет Звездин.

Подводным камнем может оказаться не поданная налоговая декларация. Ее необходимо обязательно оформлять, иначе в вычете будет отказано. Также нужно следить за тем, чтобы эта декларация «прошла» в системе у налоговой, то есть необходимо дождаться уведомления. К тому же, если инвестор ранее уже получал вычет в виде имущественной или социальной выплаты, ему будет отказано. Фактически «тип А» привлекателен краткосрочным вкладчикам с белой зарплатой, поясняет специалист.

&nbsp/&nbspФБА «Экономика сегодня»

ИИС «типа Б» позволяет получить налоговый вычет на доход. За исключением налога на дивиденды и купоны инвестор будет освобожден от налогообложения прибыли. Данный тип счета будет выгоден тогда, когда у гражданина образовалась очень большая доходность в связи с операциями по ценным бумагам. Наиболее выгодным событием будет среднегодовая доходность в размере 20% на протяжении всего трехлетнего периода.

«При этом вся доходность должна быть образована курсовой разницей, а не выплатой купонов или дивидендов», — напоминает эксперт.

Также данный тип счета может подойти тем, кто смог получить большую доходность на периоде более трех лет. Налоговый маневр относится ко всему сроку действия ИИС. Кроме того, «тип Б» может быть выгоден, если у человека нет официального дохода, который облагается по ставке 13%, либо таковой доход слишком мал, либо данный тип вычета уже был возвращен через имущественные или социальные вычеты. Подводным камнем в данном случае может быть риск фондового рынка. Никто не может сказать, какая стоимость ценных бумаг будет через пару лет. По этой причине инвестор может лишиться своих денежных средств и не получить доходности вовсе, подытожил Артем Звездин.

Риски индивидуального инвестиционного счета — Bilderlings

Инвестирование всегда связано с риском, не исключение — индивидуальный инвестиционный счет. Действует закономерность: чем выше доход, тем ниже надежность вложения. При выборе, куда вложить деньги, необходимо оценить несколько уровней безопасности.

Риски инвестирования

В отличие от банковских вкладов ИИС не застрахованы по государственной программе. Это означает, что потери от неудачных вложений не компенсируются. Деньги можно не пускать в оборот, а оставить лежать на счете.

Доходность при этом будет мало отличаться от обычного банковского депозита, а глобальные риски (инфляция, колебания валют) останутся, поскольку брокерские счета не страхуются. Однако даже если брокер или управляющая компания разорится, вкладчик сохранит свои активы. Их можно потерять, только если при подписании договора вы передали их в РЕПО (фактически, в долг брокеру).

Управляющие компании предлагают не инвестировать часть средств, а разместить их на депозите. Однако такой вклад также не подлежит государственному страхованию, так как его делает юридическое лицо, а не частное.

Проверка лицензии

Частный инвестор делает вложения не напрямую, а через управляющую компанию, брокера или банк. Выбирая место для открытия ИИС, необходимо проверить наличие брокерской лицензии у организации. Это доступно для любого человека через Банк России. Реестр расположен на сайте www.cbr.ru. Пользоваться услугами компаний, отсутствующих в списке, небезопасно.

Данные о ценности активов можно найти на биржевых порталах. Для новичка этой информации часто недостаточно. Стоит изучить специальные программы, графики, помогающие отслеживать и прогнозировать движения фондового или валютного рынков.

Если клиент не хочет активно вникать в закономерности торговли акциями и ценными бумагами, он может выбрать консервативную облигационную стратегию. В этом случае эксперты рекомендуют приобретать государственные ОФЗ. Доходность по ним не превышает 5-7%, срок заключения договора — не менее 3 лет, однако риски минимальны.

Доверительное управление

Большую доходность обещает доверительное управление. Такой формат предполагает активность на рынке акций и облигаций, но и гарантий не дает. При оформлении договора взимается 2% единоразово при открытии счета, а в дальнейшем 1% — комиссия за управление операциями.

С одной стороны, доверительное управление более надежный вариант, так как инвестированием будет заниматься специалист. С другой — есть нюансы, которые могут увеличить траты инвестора. Например, при прямой покупке акций ПИФ процент комиссии меньше, чем при покупке этих же акций через еще одну управляющую компанию. Гарантии доходности по приобретенным акциям брокер не дает.

Большинство брокеров предлагает возможность нанять консультанта для управления инвестиционным портфелем. Он не принимает решения единолично, а объясняет закономерности фондового рынка, помогает выбрать тактику, освоить аналитические инструменты.

Служба экстренного устранения рисков для Exchange (служба Exchange EM)

  • Чтение занимает 4 мин

В этой статье

Служба экстренного устранения рисков для Exchange (служба EM) помогает защитить безопасность серверов Exchange Server, применяя меры по устранению любых потенциальных угроз для ваших серверов. Она использует облачную службу конфигурации Office (OCS) для проверки и загрузки доступных средств защиты, а также для отправки диагностических данных в корпорацию Майкрософт.

Служба EM работает как служба Windows на сервере почтовых ящиков Exchange. При установке CU за сентябрь 2021 года (или новее) на Exchange Server 2016 или Exchange Server 2019, служба EM будет автоматически установлена на серверах с ролью почтового ящика. Служба EM не будет установлена на пограничных транспортных серверах.

Использование службы EM является необязательным. Если вы не хотите, чтобы корпорация Майкрософт автоматически применяла меры защиты к серверам Exchange, эту функцию можно отключить.

Устранение рисков

Устранение рисков — это действие или набор действий, которые выполняются автоматически для защиты сервера Exchange от известной угрозы, которая активно используется в условиях эксплойта. Чтобы защитить организацию и снизить риски, служба EM может автоматически отключать функции или функции на сервере Exchange.

Служба EM может применять 3 типа мер по устранению рисков:

  • Устранение рисков правила перезаписи URL-адресов IIS. Это правило блокирует определенные шаблоны вредоносных HTTP-запросов, которые могут поставить под угрозу сервер Exchange Server.
  • Устранение рисков службы Exchange. Это отключает уязвимую службу на сервере Exchange Server.
  • Устранение рисков пула приложений. Это отключает уязвимый пул приложений на сервере Exchange Server.

У вас есть видимость и управление применяемыми мерами по устранению рисков с помощью командлетов и сценариев PowerShell.

Как это работает

Если корпорация Майкрософт узнает об угрозе безопасности, мы можем создать и выпустить средство для устранения этой проблемы. В этом случае мера по устранению рисков будет отправлена из OCS в службу EM в виде подписанного XML-файла, содержащего параметры конфигурации, используемые для применения мер по устранению рисков.

После установки службы EM она каждый час проверяет OCS на наличие доступных мер по устранению рисков. Затем служба EM загружает XML и проверяет подпись, чтобы убедиться, что XML не был подделан, путем проверки издателя, расширенного использования ключа и цепочки сертификатов. После успешной проверки служба EM применяет меру по устранению рисков.

Каждая мера по устранению рисков является временным решением, пока не будет применено обновление безопасности, устраняющее уязвимость. Служба EM не заменяет Exchange SU. Однако это самый быстрый и простой способ устранить самые высокие риски для подключенных к Интернету локальных серверов Exchange перед обновлением.

Список выпущенных мер по устранению рисков

Ниже приводится репозиторий всех выпущенных мер по устранению рисков.

Серийный номер Идентификатор мер по устранению рисков Описание Минимальная применимая версия Максимальная применимая версия Процедура отката
1 PING1 Проба пульса EEMS. Не изменит никаких параметров Exchange. Exchange 2019 г.: CU за сентябрь 2021 г.
Exchange 2016 г.: CU за сентябрь 2021 г.
Откат не требуется.

Необходимые компоненты

Если эти необходимые компоненты еще отсутствуют на Windows Server, на котором установлен или должен быть установлен Exchange, программа установки предложит вам установить эти необходимые компоненты во время проверки готовности:

Соединение

Службе EM требуется исходящее соединение с OCS для проверки и загрузки мер по устранению рисков. Если исходящее подключение к OCS недоступно во время установки Exchange Server, программа установки выдает предупреждение во время проверки готовности.

Хотя служба EM может быть установлена без подключения к OCS, она должна иметь подключение к OCS, чтобы загрузить и применить последние меры по устранению рисков. OCS должен быть доступен с компьютера, на котором установлен Exchange Server, чтобы служба EM работала правильно.

Конечная точка Адрес Порт Описание
Служба конфигурации Office officeclient.microsoft.com/* 443 Необходимая конечная точка для службы Exchange EM

Если сетевой прокси-сервер развернут в среде для исходящего подключения, администраторам необходимо настроить параметр InternetWebProxy с помощью Set-ExchangeServer.


Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <proxy.contoso.com:port>

Сценарий Test-MitigationServiceConnectivity

Вы можете убедиться, что сервер Exchange подключен к OCS, с помощью сценария Test-MitigationServiceConnectivity.ps1 (доступного в папке «Сценария») с сервера Exchange Server.

Если у сервера есть подключение, вывод будет следующим:

Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.

Если к серверу нет подключения, вывод будет следующим:

Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.

Отключение автоматического применения мер по устранению рисков через службу EM

Одна из функций службы EM — это загрузка мер по устранению рисков от OCS и их автоматическое применение к серверу Exchange Server. Если в организации есть альтернативные меры по устранению рисков, можно отключить автоматические приложения для устранения рисков. Вы можете включить или отключить автоматические меры по устранению рисков на уровне организации или сервера Exchange.

Чтобы отключить автоматические меры по устранению рисков для всей организации, можно использовать следующий командлет. По умолчанию значение MitigationsEnabled имеет значение «True». Если установлено значение «False», служба EM по-прежнему будет проверять меры по устранению рисков ежечасно, но не будет автоматически применять их к любому серверу Exchange в организации, независимо от значения MitigationsEnabled на уровне сервера.


Set-OrganizationConfig -MitigationsEnabled $false

Чтобы отключить автоматические меры по устранению рисков на определенном сервере, используйте следующий командлет. По умолчанию значение MitigationsEnabled имеет значение «True». Если установлено значение «False», служба EM ежечасно проверяет меры по устранению рисков, но не применяет их автоматически к указанному серверу.

Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false

Сочетание этих двух параметров определяет поведение службы EM на каждом сервере Exchange в организации, как показано ниже:

Параметр организации Параметр сервера Поведение
Да Да Служба EM автоматически применяет меры по устранению рисков для сервера Exchange.
Верно. Неверно. Служба EM не будет автоматически применять меры по устранению рисков к определенному серверу Exchange.
Неверно. Неверно. Служба EM не будет автоматически применять меры по устранению рисков к любому серверу Exchange.

Примечание

Параметр MitigationsEnabled автоматически будет применяться ко всем серверам в организации и иметь значение True, как только первый сервер Exchange в организации будет обновлен до CU за сентябрь 2021 года (или новее). Это сделано намеренно, и только тогда, когда другие серверы Exchange в организации будут обновлены до CU за сентябрь 2021 года (или новее), служба EM будет учитывать значение MitigationsEnabled.

Просмотр примененных мер по устранению рисков

После применения мер по устранению рисков к серверу можно просмотреть примененные меры по устранению рисков с помощью следующего командлета.

Get-ExchangeServer -Identity <ServerName> | fl name, MitigationsApplied
Name            :   Server1
MitigationsApplied  :   {M01.1, M01.2, M01.3} 

Этот же командлет также можно использовать для просмотра списка применяемых в среде мер по устранению рисков, как показано ниже.

Get-ExchangeServer | fl name, MitigationsApplied
Name            :   Server1
MitigationsApplied  :   {M01.1, M01.2, M01.3}

Name            :   Server2
MitigationsApplied  :   {M01.1, M01.2, M01.3}

Повторное применение мер по устранению рисков

Если вы случайно отменили меру по устранению рисков, служба EM служба EM повторно применит ее, когда будет выполнять ежечасную проверку на предмет новых мер по устранению рисков. Чтобы вручную повторно применить любую меру по устранению рисков, перезапустите службу EM. Через 10 минут после перезапуска служба EM выполнит свою проверку и применит все меры по устранению рисков.

Блокировка или удаление мер по устранению рисков

Если устранение рисков критически влияет на работу сервера Exchange, его можно заблокировать и вручную отменить.

Чтобы заблокировать любые меры по устранению рисков, добавьте идентификатор мер по устранению рисков в параметр MitigationsBlocked:

Set-ExchangeServer -Identity <Servername> -MitigationsBlocked @(“M1”)

Вышеупомянутая операция заблокирует устранение рисков M1, что гарантирует, что служба EM не будет повторно применять это устранение рисков в следующем часовом цикле.

Если необходимо заблокировать более одной меры по устранению рисков, используйте следующее:

Set-ExchangeServer -Identity <Servername> -MitigationsBlocked @(“M1”, “M2”)

Блокировка мер по устранению рисков не удаляет их автоматически, но после блокировки мер по устранению рисков администратор может удалить их вручную. Способ устранения рисков зависит от типа устранения рисков. Например, чтобы удалить меру по устранению рисков правил перезаписи IIS, удалите правило в диспетчере IIS. Чтобы удалить меры по устранению рисков пула служб или приложений, запустите пул службы или приложений вручную.

Вы также можете удалить одно или несколько мер по устранению рисков из списка заблокированных мер по устранению рисков, удалите ИД меры по устранению рисков в параметре MitigationsBlocked в том же командлете.

Например.

Set-ExchangeServer -Identity <Servername> -MitigationsBlocked @()

После удаления меры по устранению рисков из списка заблокированных мер по устранению рисков, они будут повторно применены службой EM при следующем запуске. Чтобы вручную повторно применить меру по устранению рисков, остановите и перезапустите службу EM. Через 10 минут после перезапуска служба EM выполнит свою проверку и применит все меры по устранению рисков.

!Важно] Воздержитесь от внесения каких-либо изменений в параметр MitigationsApplied, поскольку он используется службой EM для хранения и отслеживания состояния мер по устранению рисков.

Просмотр примененных и заблокированных мер по устранению рисков

Вы можете просматривать как примененные, так и заблокированные меры по устранению рисков для всех серверов Exchange в организации с помощью командлета Get-ExchangeServer.

Чтобы просмотреть список примененных и заблокированных мер по устранению рисков для всех серверов, выполните следующие действия:

Get-ExchangeServer | fl name, MitigationsApplied, MitigationsBlocked
Name            :   Server1
MitigationsApplied  :   {M01.1, M01.3}
MitigationsBlocked  :   {M01.2}

Name            :   Server2
MitigationsApplied  :   {M01.1, M01.2}
MitigationsBlocked  :   {M01.3}

Чтобы просмотреть список примененных и заблокированных мер по устранению рисков для каждого сервера, выполните следующие действия:

Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Name            :   Server1
MitigationsEnabled  :   True
MitigationsApplied  :   {M01.1, M01.3}
MitigationsBlocked  :   {M01.2}

Сценарий Get-Mitigation

Вы можете использовать сценарий Get-Mitigations.ps1 для анализа и отслеживания мер по устранению рисков, предоставляемых корпорацией Майкрософт. Этот сценарий доступен в папке «\V15\Scripts» в каталоге установки Exchange Server.

Сценарий отображает идентификатор, тип, описание и состояние каждой меры по устранению рисков. Список включает все примененные, заблокированные или неудачные меры по устранению рисков.

Чтобы просмотреть сведения о конкретном сервере, укажите имя сервера в поле «Identity», например “.\Get-Mitigations.ps1 -Identity <Server>”. Чтобы просмотреть состояние всех серверов в организации, пропустите параметр «Identity».

Пример: экспорт списка примененных мер по устранению рисков и их описаний в CSV-файл с помощью параметра ExportCSV:

.\Get-Mitigations.ps1 -Identity <Server> -ExportCSV “C:\temp\CSVReport.csv”

Важно!

Сценарию Get-Mitigations требуется PowerShell версии 4.0.

Удаление мер по устранению рисков после обновления SU или CU

После установки SU или CU администратор должен вручную удалить все меры по устранению рисков, которые больше не нужны. Например, если мера по устранению рисков M1 больше не актуально после установки SU, служба EM перестанет его применять, и оно будет удалено из списка примененных мер по устранению рисков. В зависимости от типа защиты при необходимости его можно удалить с сервера.

Аудит и ведение журнала

Любые меры по устранению рисков, заблокированные администратором, будут регистрироваться в журнале событий приложения Windows. Помимо регистрации заблокированных мер по устранению рисков, служба EM также регистрирует сведения о запуске и завершении работы (как и все службы, работающие в Windows), а также сведения о своих действиях и любых ошибках, которые произошли в службе EM. Например, события 1005 и 1006 с источником «Служба устранения рисков MSExchange» будут регистрироваться для успешных действий, например при применении меры по устранению рисков. Событие 1008 с тем же источником будет регистрироваться для любых обнаруженных ошибок, например, когда служба EM не может связаться с OCS.

Вы можете использовать Search-AdminAuditLog для просмотра действий, предпринятых вами или другими администраторами, включая включение и отключение автоматических мер по устранению рисков.

Служба EM ведет отдельный файл журнала в папке «\V15\Logging\MitigationService» в каталоге установки Exchange Server. В этом журнале подробно описаны задачи, выполняемые службой EM, включая полученные, проанализированные и примененные меры по устранению рисков, а также сведения об информации, отправляемой в OCS (если отправка диагностических данных включена).

Диагностические данные

Когда доступ к данным включен, служба EM отправляет диагностические данные в OCS. Эти данные используются для выявления и устранения угроз. Дополнительные сведения о том, какие данные собираются и как отключить совместное использование данных, см. в разделе Диагностические данные, собранные для Exchange Server.

Безопасность сервера IIS

Прямо из коробки IIS мог работать как полнофункциональный веб-сервер без особой необходимости настраивать различные службы. К сожалению, злоумышленники знали об этом и могли взломать серверы и веб-сайты, которые полагались на IIS, потому что многие администраторы, установившие программное обеспечение, не знали, какие шаги им необходимо предпринять для защиты этого приложения.

С годами многое изменилось. В ответ на рост атак на веб-приложения Microsoft предприняла попытки повысить безопасность всех своих продуктов, включая IIS.В версии 6 они развернули то, что называлось подходом блокировки по умолчанию, когда многие функции и службы были исключены или отключены при установке по умолчанию. Они все еще были доступны, однако администратор должен был включить или установить их, дав им полную информацию о том, что они работают. В версии 7 этот подход снова изменился, чтобы использовать подход с минимальной установкой, при котором устанавливаются только самые минимальные компоненты, что дает злоумышленникам гораздо меньшую поверхность для работы.

Риски, связанные с IIS

Несмотря на усилия, предпринятые для защиты IIS 7 от атак, все же существуют риски, о которых веб-администратор должен знать, если они запускают это приложение в качестве своего веб-сервера — это то, что делает использование WAF (брандмауэра веб-приложений) таким привлекательным.К сожалению, некоторые из вещей, которые делают IIS от Microsoft столь привлекательным, также являются проблемами, о которых следует знать любому, кто его использует.

Это продукт Microsoft

Это небезопасно, потому что это продукт Microsoft, но тот факт, что Microsoft по-прежнему упрощает работу администраторов, по-прежнему делает его целью. IIS можно установить и запустить в Server 2008 Core, который использует интерфейс командной строки, а не Windows. В этой среде сервер намного безопаснее.Однако, когда используется Windows, соблазн использовать Internet Explorer для подключения к Интернету слишком велик и случается слишком часто. Когда серверам разрешен доступ в Интернет, они подвергаются риску. Windows позволяет ленивому администратору просто запустить IE, чтобы найти что-то на своем сервере, а не на рабочей станции.

Слишком просто установить программное обеспечение

Одна из самых больших угроз безопасности — это веб-приложение. Скорее всего, большинство серверов, использующих IIS, используют Windows.В среде Windows слишком просто установить веб-приложения, такие как WordPress, Joomla !, или ZenCart. Хотя это огромный аргумент в пользу продажи, он также представляет собой риск, потому что, если веб-администратор не имеет фоновых знаний, связанных с уязвимостями, которые присутствуют в этих или любых других веб-приложениях, они могут неосознанно устанавливать небезопасное программное обеспечение на свой сервер. .

Конечно, это может относиться и к приложениям, установленным через интерфейс командной строки или оболочку GNU / Linux, однако есть вероятность, что если человек умеет использовать эти инструменты, он также лучше осведомлен об основных рисках безопасности.

Вредоносное ПО

К сожалению для Microsoft, многие веб-администраторы до сих пор помнят, что черви Code Red и Nimda сделали с веб-серверами, использующими IIS. Дезинфекция веб-сайтов, поражение их атаками типа «отказ в обслуживании» и использование уязвимостей обхода пути.

Из-за доли рынка Microsoft она всегда будет предпочтительной целью для атак вредоносного ПО. Несмотря на то, что инженеры работают над исправлением известных уязвимостей, каждый день появляются тысячи вредоносных программ, которые представляют серьезную угрозу для любого сервера, на котором работает Microsoft.

Защита IIS

Как и в случае с любым другим сервером, необходимо предпринять определенные шаги для защиты операционной системы от атак. Хотя предотвращение вредоносных программ, системы обнаружения / предотвращения вторжений, сетевые брандмауэры и все другие инструменты и методы помогают предотвратить некоторые атаки, они не обеспечивают адекватного предотвращения атак, направленных против сторонних приложений, установленных на сервере.

dotDefender защищает веб-серверы IIS от различных уязвимостей, включая:

  • Обход пути
  • Известные черви
  • Выполнение удаленных команд
  • Зонды
  • Атаки отказа в обслуживании
  • Взломанные серверы

Выступая в качестве решения «Безопасность как услуга», dotDefender может обеспечить защиту веб-серверов независимо от того, имеет ли администратор обширный опыт в области безопасности или имеет минимальные знания по этому вопросу.

С брандмауэром веб-приложений dotDefender вы можете избежать множества различных угроз для веб-приложений, потому что dotDefender проверяет ваш HTTP-трафик и проверяет свои пакеты на соответствие таким правилам, как разрешение или запрет протоколов, портов или IP-адресов, чтобы предотвратить использование веб-приложений.

Разработанный как программное обеспечение plug & play, dotDefender обеспечивает оптимальную готовую защиту от DoS-угроз, межсайтовых сценариев, атак SQL-инъекций, обхода пути и многих других методов веб-атак.

Причины, по которым dotDefender предлагает такое комплексное решение для обеспечения безопасности ваших веб-приложений:

  • Надежная защита от известных и появляющихся хакерских атак
  • Лучшие в своем классе стандартные правила безопасности для мгновенной защиты
  • Интерфейс и API для легкого управления несколькими серверами
  • Не требует дополнительного оборудования и легко масштабируется вместе с вашим бизнесом

Необходимость избегать атак

Независимо от того, работает ли ваш веб-сервер с IIS или Apache, не имеет значения.Поскольку киберпреступники ежегодно крадут сотни миллионов долларов, уязвимости будут оставаться проблемой, поскольку известные уязвимости используются и появляются новые.

Помимо кражи денег и данных в результате взлома серверов и веб-сайтов, компаниям приходится бороться с испорченной репутацией после атаки. Когда происходит нарушение безопасности, клиенты и посетители сомневаются в посещении этого сайта, если знают, что они небезопасны. Как только поисковые системы обнаруживают вредоносное ПО или спам на веб-сайте, он может быть помечен как вредоносный и удален со страницы результатов поисковой системы, что приведет к потере легитимного трафика.

Защитите свои веб-приложения с помощью dotDefender

Уникальный подход dotDefender к безопасности устраняет необходимость изучать конкретные угрозы, существующие в каждом веб-приложении. Программное обеспечение, на котором работает dotDefender, фокусируется на анализе запроса и его влиянии на приложение. Эффективная безопасность веб-приложений основана на трех мощных механизмах безопасности веб-приложений: распознавание образов, защита сеанса и база знаний подписей.

Механизм безопасности веб-приложений с распознаванием образов, используемый dotDefender, эффективно защищает от злонамеренного поведения, такого как атаки, упомянутые выше, и многие другие.Шаблоны основаны на регулярных выражениях и предназначены для эффективной и точной идентификации широкого спектра методов атак на уровне приложений. В результате dotDefender характеризуется чрезвычайно низким уровнем ложных срабатываний.

Что отличает dotDefender, так это то, что он предлагает комплексную защиту от угроз для веб-приложений, будучи одним из самых простых в использовании решений.

Всего за 10 щелчков мышью веб-администратор без обучения безопасности может запустить dotDefender.Его предопределенный набор правил предлагает готовую защиту, которой можно легко управлять через интерфейс на основе браузера, практически не влияя на производительность вашего сервера или веб-сайта.


Статьи по теме:

Предотвращение атак межсайтового скриптинга (XSS)
Безопасность электронной коммерции
Безопасность веб-сайта

Уязвимость стека протоколов HTTP

Неустановленные версии веб-сервера Microsoft Internet Information Services (IIS) уязвимы для удаленной атаки типа «отказ в обслуживании», которая может оказаться очень опасной, если будет направлена ​​против критически важных систем.Уязвимость, которая была исправлена ​​Microsoft в MS15-034 в рамках цикла вторника исправлений за апрель 2015 г., может вызвать синий экран смерти или более известный как BSOD. Хотя нет никаких признаков возможного удаленного выполнения кода, для пользователей по-прежнему очень важно применить обновление, особенно в системах, требующих 100% времени безотказной работы. Под угрозой находятся следующие версии Windows:
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8 / 8.1
  • Windows Server 2012/2012 R2
Что такое стек протокола HTTP? Веб-сервер IIS имеет прослушиватель HTTP как часть сетевой подсистемы Windows.Это реализовано в виде драйвера устройства режима ядра, который называется стеком протокола HTTP ( HTTP.sys ). Он анализирует HTTP-запрос и предоставляет ответ клиентам. HTTP.sys предоставляет следующие преимущества:
  • Кэширование в режиме ядра. Запросы кешированных ответов обслуживаются без переключения в пользовательский режим.
  • Очередь запросов в режиме ядра. Запросы вызывают меньше накладных расходов при переключении контекста, поскольку ядро ​​перенаправляет запросы непосредственно правильному рабочему процессу. Если рабочий процесс недоступен для принятия запроса, очередь запросов режима ядра удерживает запрос до тех пор, пока рабочий процесс не получит его.
  • Предварительная обработка запросов и фильтрация безопасности.
Чтобы эта уязвимость представляла опасность, в IIS необходимо включить кэширование ядра . Это включено по умолчанию в IIS. Несколько модулей в IIS выполняют задачи, связанные с кэшированием в конвейере обработки запросов. Кэширование повышает производительность за счет сохранения обработанной информации (например, веб-страниц) в памяти на сервере, и те же данные повторно используются по запросу других запросов. В диспетчере IIS есть функция под названием «кэширование вывода», управление которой осуществляется с помощью следующих параметров:

Рисунок 1.HTTP-запрос, который вызовет уязвимость

Сценарий эксплойтов и атак Эта уязвимость эксплуатируется с помощью HTTP-заголовка Range . Этот HTTP-заголовок позволяет клиентам запрашивать определенное содержимое с сервера по их требованию. Например, клиент, которому нужно всего несколько байтов файла, может выбрать запрос только определенных частей, а не всего файла. RFC 2616 (который определяет HTTP) объясняет определение заголовков Range . Имеется соответствующий заголовок ( Accept-Ranges ), который используется серверами для уведомления клиентов о том, что они поддерживают заголовок Range .Обычно заголовок Range содержит такие значения:
Диапазон: байты = 124-5656
Он также может иметь такие значения:
Диапазон: байты = 0-
Если верхняя граница в заголовке Range отсутствует, считается, что клиент запрашивает полные данные. Это все равно, что вообще не использовать заголовок Range . Что, если вместо этого злоумышленник укажет очень высокую верхнюю границу? Все, что нужно сделать злоумышленнику, — это отправить специально созданный HTTP-запрос со специальным значением Range , что приведет к переполнению переменной Range на сервере.Это уже делается с помощью общедоступного кода эксплойта:

Рисунок 2. HTTP-запрос, который активирует уязвимость

Команду cURL также можно использовать, как показано ниже, для отправки того же эксплойта:
$ curl -v example.com -H "Хост: example.com" -H "Диапазон: байты = 0-18446744073709551615"
Верхняя граница заголовка Range — это 0xFFFFFFFFFFFFFFFF, которое является наибольшим 64-разрядным целым числом без знака. Указанное выше большое значение вызовет целочисленное переполнение.Уязвимый сервер для такого ответа на запрос со строкой состояния HTTP как «Запрошенный диапазон не удовлетворен».

Рисунок 3. Ответ на код эксплойта непропатченным сервером

Это означает, что клиент запросил часть файла, лежащую за концом файла на сервере. Успешная атака может вызвать BSOD, что приведет к отказу в обслуживании. Microsoft заявила, что эта уязвимость может привести к удаленному выполнению кода, хотя ни один эксплойт, способный на это, широко известен.После исправления заголовки HTTP теперь проверяются на наличие ошибок. Другая ошибка возвращается, если отправляется такая же атака, как и раньше:

Рисунок 4. Ответ на код эксплойта непропатченным сервером

Ответ, содержащий строку «Запрос имеет недопустимое имя заголовка», указывает на то, что сервер исправлен и атаковать его не удастся. Код подтверждения концепции уже использует эту информацию, как показано ниже:

Рис. 5. Подтверждение концепции, исходный код

Заключение Эту уязвимость очень легко использовать.Удаленный злоумышленник, не прошедший проверку подлинности, может легко выполнить удаленную атаку отказа в обслуживании на веб-серверах, на которых запущена уязвимая версия IIS. Хотя эксплойты для удаленного выполнения кода не известны, существует вероятность появления таких эксплойтов в будущем. Администраторам рекомендуется применить патч; если это невозможно сделать, немедленно отключите кеширование ядра IIS — это возможное решение. Мы выпустили следующее правило Deep Security для защиты клиентов Trend Micro:
  • 1006620 — Microsoft Windows HTTP.sys, уязвимость, связанная с удаленным выполнением кода (CVE-2015-1635)

Безопасность IIS: как повысить уровень безопасности веб-сервера Windows IIS за 10 шагов

Microsoft Internet Information Server (IIS) широко используется на предприятии, несмотря на невысокую репутацию в области безопасности. Фактически, для многих «безопасность IIS» — это противоречие терминов, хотя, честно говоря, решение Microsoft для веб-серверов за годы значительно улучшило . Службы IIS 8.5 для server 2012 R2 и IIS 10 для 2016 были усилены и больше не представляют опасные конфигурации по умолчанию для старых итераций IIS, но все еще могут быть усилены.Выполнив эти 10 шагов, вы можете значительно повысить безопасность своих веб-приложений и серверов IIS.

1. Проанализируйте зависимости и удалите ненужные модули IIS после обновления.

Если вы планируете выполнить обновление с предыдущей версии IIS, имейте в виду, что информация о состоянии вашей предыдущей установки и метабаза будут перенесены в новую установку. Обязательно отключите и / или удалите все неиспользуемые компоненты и функции IIS, чтобы минимизировать поверхность атаки веб-сервера. Даже если вы не выполняли обновление, убедитесь, что присутствуют только необходимые модули.

UpGuard гарантирует, что модули IIS корректны на любом количестве серверов, преобразуя заведомо исправную конфигурацию на одном из серверов в исполняемую документацию, с которой можно регулярно тестировать другие.

2. Правильная настройка учетных записей пользователей / групп веб-сервера

IIS имеет встроенные учетные записи пользователей и групп, выделенные для веб-сервера. Так, например, можно создать отдельные учетные записи администратора системы и приложения для более детального доступа. Таким образом, системные администраторы могут предоставить администраторам приложений права вносить изменения в конфигурацию на уровне приложений без необходимости предоставлять им административный доступ к серверу.Эти учетные записи должны проверяться на постоянной основе, чтобы гарантировать их безопасную настройку.

UpGuard отслеживает и визуализирует, какие пользователи используют какие службы, и проверяет серверы на соответствие вашим стандартам, чтобы выявить любые пользовательские конфигурации, которые могут быть потенциальными проблемами безопасности. К сожалению, похоже, что эта запущена как Локальная система, учетная запись с высокими привилегиями:

3. Использование ограничений CGI / ISAPI IIS 7

CGI и ISAPI — это два распространенных способа создания на IIS — либо для создания динамического контента, либо для расширения Собственные возможности IIS.К сожалению, файлы CGI (.exe) и расширения ISAPI (.dll) также часто используются в веб-атаках и должны быть ограничены, если не используются. Например, если вы используете PHP или ColdFusion для создания динамического содержимого с помощью IIS, использование CGI и других расширений ISAPI может не потребоваться. Как и модули IIS, эти конфигурации следует удалить, если они не используются специально.

UpGuard обрабатывает модули и конфигурации IIS таким же образом, что позволяет быстро различать набор серверов IIS и видеть, какие модули установлены правильно.Используйте политики для обеспечения согласованности модулей IIS с течением времени, немедленно обнаруживая любые изменения, которые нарушают ваши ожидаемые конфигурации.

4. Настройка параметров фильтрации HTTP-запросов

UrlScan был расширением, которое функционировало как средство безопасности для ограничения HTTP-запросов. Функциональность UrlScan теперь встроена прямо в IIS и должна быть настроена соответствующим образом. Потенциально опасные HTTP-запросы не достигают сервера с помощью фильтрации на основе правил. Эти параметры критически важны для предотвращения угроз, таких как SQL-инъекции, среди прочих, и должны использоваться вместе с вашим веб-приложением на основе IIS.

UpGuard определяет, на каком из ваших серверов установлен модуль фильтрации запросов, и проверяет, правильно ли он настроен. Больше не нужно гадать, одинаковы ли серверы IIS между производством и разработкой.

5. Использование ограничений динамического IP-адреса

При ограничении динамического IP-адреса используются IP-адреса и доменное имя запрашивающей стороны, чтобы определить, следует ли ограничивать доступ. По сути, это белый список «allowUnlisted», который IIS использует для предотвращения несанкционированного доступа.Таким образом, в случае отказа в обслуживании (DoS) и атак грубой силы модуль динамических IP-ограничений (DIPR) IIS может временно блокировать IP-адреса, отправляющие необычные запросы.

Динамические IP-адреса — это еще один модуль в IIS. UpGuard помогает вам отслеживать, где он установлен, и может заранее уведомить вас, если он был изменен. Если производственный сервер развертывается без этого модуля, веб-запросы становятся серьезным вектором атаки, в зависимости от того, какой у вас там код.

6.Включите авторизацию URL-адресов в ваше приложение

URL-авторизация предоставляет доступ к URL-адресам в приложении IIS на основе имен пользователей и ролей, в отличие от учетных записей сервера или системы. Это упрощает ограничение контента на основе членства в группе. Правила авторизации URL-адресов могут быть связаны с сервером, сайтом или приложением.

Членство в группах — еще один важный аспект состояния системы, которым управляет UpGuard. Например, если вы хотите контролировать свою группу администраторов, UpGuard может предупреждать вас о добавлении нового пользователя или удалении ожидаемого пользователя.

7. Использование проверки подлинности на основе зашифрованных форм

Проверка подлинности на основе форм позволяет управлять регистрацией и проверкой подлинности клиентов на уровне приложения, а не на уровне учетной записи Windows. Поскольку этот механизм аутентификации передает значения формы в виде открытого текста, для шифрования конфиденциальных данных необходимо установить SSL.

IIS рассматривает механизмы аутентификации как функции, поэтому отслеживать их с помощью UpGuard очень просто. Убедитесь, что установлены только те механизмы аутентификации, которые вы используете, и убедитесь, что они установлены повсюду с помощью всего нескольких щелчков мышью.

8. Использование удостоверений пула приложений

Эта функция IIS обеспечивает более детальную безопасность за счет запуска пулов приложений под уникальными учетными записями, минуя создание / управление доменом или локальной учетной записью. Используя учетную запись с низким уровнем привилегий, а именно ApplicationPoolIdentity, можно изолировать несколько отдельных наборов анонимного содержимого веб-сайта без необходимости создания уникальной учетной записи для каждого веб-сайта.

Это ключевая операция, поскольку используемое веб-приложение будет иметь только те права, которые есть у пользователя, запускающего пул приложений, поэтому ограничение и разделение может значительно снизить ущерб.

9. Изолировать / разделить веб-приложения

Используя комбинацию вышеупомянутых функций IIS, вы можете добиться более безопасной изоляции и сегрегации для своих веб-приложений. Как правило, следует принимать во внимание следующие рекомендации по безопасности:

  • Каждый пул приложений должен быть назначен одному веб-сайту.
  • Пул приложений должен быть назначен выделенному пользователю.
  • Анонимные идентификаторы пользователей должны быть настроены для использования пула приложений.

10. Исправление критических уязвимостей IIS

И последнее, но не менее важное: критические уязвимости IIS должны быть исправлены или устранены. Как и любые обновления Microsoft, постоянная доступность исправлений и пакетов обновления помогает обеспечить максимальную защиту вашего сервера. Большинство эксплойтов нацелены на уязвимости, которым больше года, и для которых выпущены исправления, поэтому небольшое регулярное обслуживание имеет большое значение. Исправления должны быть сначала развернуты в тестовой среде перед производством, и каждое обновление должно быть рассмотрено и, по возможности, одобрено, прежде чем оно будет авторизовано в организации.

UpGuard помогает обеспечить одинаковые уровни исправлений на всех серверах IIS. Создавая политику UpGuard на сервере с надлежащим уровнем исправлений, другие серверы можно сравнивать с ней, чтобы найти какие-либо отклонения. После этого исправление можно отслеживать по мере того, как серверы становятся совместимыми в UpGuard.

Заключение

Короче говоря, модульная природа IIS позволяет более детально контролировать ресурсы веб-сервера и безопасность. Однако это может сделать ваши веб-приложения более или менее безопасными — в зависимости от человека или группы, ответственных за безопасность.Более глубокие и детализированные механизмы безопасности требуют более тщательного управления указанными ресурсами; К счастью, этими сложными процессами можно управлять автоматически с помощью платформы UpGuard для обнаружения и мониторинга уязвимостей. Наши политики безопасности Windows и IIS могут автоматически сканировать вашу среду на предмет критических уязвимостей и пробелов в безопасности.

Есть ли у вас риск взлома данных?

UpGuard может непрерывно отслеживать внутренние и сторонние атаки, помогая организациям обнаруживать и устранять остаточные риски, связанные с их конфиденциальными данными.

UpGuard также поддерживает соответствие множеству структур безопасности, включая новые требования, установленные Указом Байдена по кибербезопасности.

Нажмите здесь, чтобы получить БЕСПЛАТНУЮ пробную версию UpGuard уже сегодня!

Лучшие практики безопасности для IIS 8

  • 4 минуты на чтение

В этой статье

Применимо к: Windows Server 2012 R2, Windows Server 2012

Этот документ содержит список рекомендаций по повышению безопасности вашего веб-сервера IIS 8.Хотя выполнение этих рекомендаций не гарантирует отсутствие проблем с безопасностью, эти рекомендации могут значительно снизить ваш риск.

Рекомендации сгруппированы в следующие категории:

Установка и настройка

  • Не запускайте IIS на контроллере домена или резервном контроллере домена.

    Во-первых, на контроллере домена нет локальных учетных записей. Локальные учетные записи важны для безопасности многих установок сервера IIS.Размещение веб-сервера IIS и контроллера домена на одном компьютере серьезно ограничивает параметры вашей учетной записи. Во-вторых, любой новый эксплойт, который скомпрометирует ваш веб-сервер, может также поставить под угрозу всю вашу сеть, когда веб-сервер и контроллер домена находятся на одном компьютере.

  • Установите только необходимые модули IIS.

    IIS 8 состоит из более чем 40 модулей, которые позволяют добавлять нужные модули и удалять любые ненужные модули. Если вы установите только те модули, которые вам нужны, вы уменьшите поверхность, подверженную потенциальным атакам.

  • Периодически удаляйте неиспользуемые или ненужные модули и обработчики.

    Найдите модули и обработчики, которые вы больше не используете, и удалите их из установки IIS. Старайтесь, чтобы площадь вашей IIS была как можно меньше.

  • Для массовых установок IIS запустите другие ресурсоемкие продукты, такие как SQL Server или Exchange, на отдельных компьютерах.

  • Держите антивирусное программное обеспечение в актуальном состоянии.

    Установите и запустите на сервере последнюю версию антивирусного программного обеспечения.

  • Переместите папку Inetpub с системного диска на другой.

    По умолчанию IIS 8 устанавливает папку Inetpub на системном диске (обычно это диск C). Если вы переместите папку в другой раздел, вы сможете сэкономить место на системном диске и повысить безопасность. Информацию о том, как попасть в папку Inetpub, см. В следующем сообщении в блоге: Перемещение каталога INETPUB на другой диск.

Изоляция веб-приложений

  • Изолировать веб-приложения.

    Разделяйте разные приложения по разным сайтам с разными пулами приложений.

  • Реализовать принцип наименьших привилегий.

    Запустите рабочий процесс как удостоверение с низким уровнем привилегий (удостоверение пула виртуальных приложений), уникальное для каждого сайта.

  • Изолировать временные папки ASP.NET.

    Настройте отдельную временную папку ASP.NET для каждого сайта и предоставьте доступ только соответствующему удостоверению процесса.

  • Содержание изолята.

    Обязательно установите ACL (список управления доступом) для каждого корня сайта, чтобы разрешить доступ только к соответствующему идентификатору процесса.

Аутентификация

  • Если вы используете проверку подлинности Windows, включите расширенную защиту.

    Расширенная защита защищает от ретрансляции учетных данных и фишинговых атак при использовании проверки подлинности Windows. Дополнительные сведения о расширенной защите и ее включении в IIS см. В разделе Настройка расширенной защиты в IIS 7.5.

  • Имейте в виду, что настройка анонимной аутентификации вместе с другим типом аутентификации для того же веб-сайта может вызвать проблемы аутентификации.

    Если вы настраиваете анонимную аутентификацию и другой тип аутентификации, результат определяется порядком, в котором выполняются модули. Например, если одновременно настроены анонимная проверка подлинности и проверка подлинности Windows и сначала выполняется анонимная проверка подлинности, проверка подлинности Windows никогда не выполняется.

  • Отключить анонимный доступ к каталогам и ресурсам сервера.

    Если вы хотите предоставить пользователю доступ к каталогам и ресурсам сервера, используйте не анонимный метод аутентификации.

  • Не разрешать анонимную запись на сервер.

    Аутентифицируйте пользователя с помощью неанонимного метода, прежде чем разрешить пользователю загружать что-либо на ваш веб-сайт или FTP-сайт.

Фильтрация запросов

  • Убедитесь, что правила фильтрации запросов включены.

    Фильтры запросов ограничивают типы HTTP-запросов, обрабатываемых IIS 8.Блокируя определенные HTTP-запросы, фильтры запросов помогают предотвратить попадание потенциально вредоносных запросов на сервер. Модуль фильтрации запросов сканирует входящие запросы и отклоняет нежелательные запросы на основе установленных вами правил. И веб-сайты, и FTP-сайты должны иметь защиту, обеспечиваемую правилами фильтрации запросов. Дополнительные сведения о фильтрации запросов см. В разделе Настройка фильтрации запросов в IIS.

  • Убедитесь, что пределы запросов установлены на разумные значения.

    Тщательно подумайте о значениях, которые вы присваиваете параметрам конфигурации. Например, убедитесь, что значение верхнего предела выше значения нижнего предела. В противном случае фильтр может никогда не сработать.

Удостоверения пула приложений

  • Не используйте встроенные удостоверения службы (например, сетевая служба, локальная служба или локальная система).

    Для максимальной безопасности пулы приложений должны работать под идентификатором пула приложений, который создается при создании пула приложений.Учетные записи, встроенные в IIS, — это ApplicationPoolIdentity, NetworkService, LocalService и LocalSystem. По умолчанию (рекомендуется) и наиболее безопасным является ApplicationPoolIdentity.

  • Использование настраиваемой учетной записи удостоверения допустимо, но обязательно используйте разные учетные записи для каждого пула приложений.

Дополнительные методы обеспечения безопасности

  • Периодически создавайте резервные копии сервера IIS.

    Делайте полное резервное копирование состояния системы каждый день или два.Также делайте это перед серьезным обновлением программного обеспечения или изменением конфигурации.

  • Ограничение разрешений, предоставленных не администраторам.

    Найдите папки, в которых не администраторы имеют разрешения на запись и выполнение сценариев, и удалите эти разрешения.

  • Включите SSL и сохраните сертификаты SSL.

    Обновите сертификат или выберите новый сертификат для сайта. Сертификат с истекшим сроком действия становится недействительным и может препятствовать доступу пользователей к вашему сайту.

  • Используйте SSL при использовании обычной проверки подлинности.

    Используйте обычную проверку подлинности с привязкой SSL и убедитесь, что для сайта или приложения задано требование SSL. В качестве альтернативы используйте другой метод аутентификации. Если вы используете обычную проверку подлинности без SSL, учетные данные отправляются в виде открытого текста, который может быть перехвачен вредоносным кодом. Если вы хотите продолжить использование обычной проверки подлинности, вам необходимо проверить привязки сайта, чтобы убедиться, что привязка HTTPS доступна для сайта, а затем настроить сайт так, чтобы он требовал SSL.

  • При установке правил делегирования функций не создавайте более разрешительных правил, чем значения по умолчанию.

  • Для классического приложения ASP отключите режим отладки.

IIS так же безопасен, как и другие веб-серверы, утверждает Microsoft

Microsoft заявляет, что ее Internet Information Server (IIS) так же безопасен, как и сопоставимые продукты других поставщиков. Компания сделала такое заявление в ответ на недавний отчет Gartner Inc.рекомендация предприятиям рассмотреть альтернативы IIS, если они были поражены как червями Code Red, так и Nimda.

Согласно рекомендациям Gartner, успех червя Nimda и Code Red до этого «подчеркивает риск использования IIS и усилия, необходимые для того, чтобы не отставать от частых исправлений безопасности Microsoft».

Сообщение Gartner из Стэмфорда, штат Коннектикут, было выпущено после недавней атаки массового рассылаемого червем Nimda, заразившего системы под управлением Microsoft Windows 95, 98, ME, NT и 2000.

В отличие от других червей и вирусов, Nimda распространялась через сетевую электронную почту, а также через веб-браузеры и использовала лазейки, оставленные открытыми предыдущими вирусами, такими как Code Red и Sadmind.

Когда появилась Nimda, Microsoft посоветовала устанавливать исправления и пакеты обновлений практически на все ПК и серверы с Internet Explorer, веб-серверами IIS или почтовым клиентом Outlook Express, как это было с Code Red, сказал Джон Пескаторе, аналитик Gartner и автор рекомендации.

Это постоянное исправление и поддержка привели к высокой стоимости владения IIS. В результате Пескаторе рекомендовал предприятиям, пострадавшим от Nimda и Code Red, рассмотреть альтернативы, такие как iPlanet от Sun Microsystems Inc. и программное обеспечение веб-сервера Apache.

«В рекомендации Gartner не учитывается тот факт, что безопасность является проблемой всей отрасли и что серьезные уязвимости были обнаружены во всех продуктах и ​​платформах веб-серверов», — сказал представитель Microsoft.«Глупо полагать, что, если вы переключаетесь с одного продукта на другой, вы защищены.

«Те клиенты, которые установили все [рекомендованные] исправления, были защищены от Nimda», — сказал представитель.

Но рекомендация Gartner, похоже, находит отклик по крайней мере у некоторых пользователей.

Компания Fenwick & West LLP из Пало-Альто, Калифорния, планирует перейти со своих серверов IIS на операционную среду Linux, на которой работает программное обеспечение веб-сервера Apache, из соображений безопасности.

Финансовые соображения также являются движущей силой — дешевле запускать Apache на Linux, чем запускать IIS, сказал Мэтт Кеснер, технический директор юридической фирмы.

Fenwick & West избежали заражения вирусом Nimda на прошлой неделе. Но, по словам Кеснера, опыт работы с предыдущей уязвимостью, связанной с IIS, и постоянные усилия, необходимые для обеспечения безопасности IIS, были неприятными.

По прогнозам Кеснера, переход на Apache будет трудным, и он будет предлагать меньше функциональных возможностей, чем IIS.Даже в этом случае, сказал он, «мы думаем, что [Apache] будет меньшей целью».

Из соображений безопасности Planogramming Solutions Inc., компания по управлению пространством в Джексонвилле, штат Флорида, переходит на среду Linux / Apache, хотя ее сложнее настроить, чем IIS, сказал Пэт Квик, специалист по информационным системам в компании. компания.

«Я знаю, что Windows, Office и многие другие пакеты очень популярны и имеют широкий охват, что делает их целью, к которой нужно стремиться.Но чтобы быть самым большим, нужно нести ответственность, чтобы быть лучшим. К сожалению, это не так », — написал Квик в электронном письме в адрес Computerworld.

Однако не все разделяли одни и те же чувства.

«Честно говоря, Microsoft хорошо реагировала во всех случаях», когда ее программное обеспечение подвергалось атаке, — сказал пользователь крупной компании из Сиэтла, пожелавший остаться неназванным.

«Зачем вам переходить на [Linux] без фактической поддержки, используя веб-сервер, который не имеет такой функциональности [как IIS]? В этой модели также есть скрытая стоимость владения», — сказал он.

Ужесточение безопасности сервера

Повышенная безопасность после червя Code Red и доступность кумулятивного исправления от Microsoft повысили безопасность серверов IIS.

Уязвимость сайтов IIS в этом году по сравнению с прошлым годом:

ОКТЯБРЬ 2000 АВГУСТ 2001
Доступны страницы администрирования 27.38% 10,26%
Межсайтовый скриптинг 80,95% 19,23%
Обнаружены пути к серверу 50,60% 6,41%
Просмотр исходного кода скрипта 19,64% 3,85%

Источник: Netcraft Ltd., Бат, Англия

Авторские права © 2001 IDG Communications, Inc.

Помимо безопасности | Поиск и устранение уязвимостей на странице по умолчанию Microsoft IIS, уязвимость с низким уровнем риска

Содержание

  • Важная информация по этому вопросу
  • Сканирование и поиск уязвимостей в Microsoft IIS по умолчанию, страница
  • Тестирование на проникновение (Pentest) для этой уязвимости
  • Обновления безопасности для уязвимостей в Microsoft IIS по умолчанию Страница
  • Раскрытие информации об уязвимостях в Microsoft IIS Default Page
  • Подтверждение наличия уязвимостей в Microsoft IIS по умолчанию Страница
  • Ложноположительные / отрицательные
  • Исправление / исправление этой уязвимости
  • Эксплойты, связанные с уязвимостями в Microsoft IIS Default Page

Важная информация по этой проблеме
Уязвимости на странице по умолчанию Microsoft IIS — это уязвимость с низким уровнем риска, которая является одной из наиболее часто встречающихся в сетях по всему миру.Эта проблема существует по крайней мере с 1990 года, но оказалась либо трудной для обнаружения, либо трудной для решения, либо склонной к тому, чтобы ее полностью игнорировали.

Для получения дополнительной информации по этой проблеме см .: http://www.securiteam.com/windowsntfocus/5KP0C2055A.html

Сканирование и обнаружение уязвимостей в Microsoft IIS по умолчанию Page
Использование инструментов управления уязвимостями, таких как AVDS, является стандартной практикой для обнаружения этой уязвимости. Основная ошибка VA при обнаружении этой уязвимости связана с настройкой правильного объема и частоты сканирования сети.Крайне важно, чтобы сканировался как можно более широкий диапазон хостов (активных IP-адресов) и чтобы сканирование выполнялось часто. Рекомендуем еженедельно. Ваше существующее решение для сканирования или набор инструментов для тестирования должны сделать это не только возможным, но и простым и доступным. Если это не так, рассмотрите возможность использования AVDS.

Тестирование на проникновение (пентест) для этой уязвимости
Уязвимости на странице по умолчанию Microsoft IIS подвержены ложным срабатываниям большинства решений для оценки уязвимостей.AVDS — единственная компания, использующая тестирование на основе поведения, которое устраняет эту проблему. Для всех других инструментов VA консультанты по безопасности рекомендуют подтверждение прямым наблюдением. В любом случае процедуры тестирования на проникновение для обнаружения уязвимостей в Microsoft IIS Default Page дают наивысший уровень точности обнаружения, но редкость этой дорогой формы тестирования снижает ее ценность. Идеальным было бы иметь точность пентеста, а также возможности частотности и объема решений VA, а это достигается только с помощью AVDS.

Обновления безопасности для уязвимостей в Microsoft IIS по умолчанию Страница
Самые последние обновления по этой уязвимости, пожалуйста, проверьте http://www.securiteam.com/windowsntfocus/5KP0C2055A.html. Учитывая, что это одна из наиболее часто встречающихся уязвимостей, существует — это обширная информация о смягчении последствий в Интернете и очень хорошая причина для ее устранения. Хакеры также знают, что это часто обнаруживаемая уязвимость, поэтому ее обнаружение и устранение гораздо важнее.Он настолько хорошо известен и распространен, что любая сеть, в которой он присутствует и не устранена, указывает злоумышленникам «низко висящий плод».

Раскрытие информации, связанной с этой уязвимостью

Подтверждение наличия уязвимостей в Microsoft IIS по умолчанию Страница
AVDS в настоящее время тестирует и находит эту уязвимость без ложных срабатываний. Если ваш текущий набор инструментов указывает на его наличие, но вы думаете, что это, вероятно, ложное срабатывание, свяжитесь с нами для демонстрации AVDS.

Ложные срабатывания / отрицания
Секретным убийцей значения решения VA является ложное срабатывание. В отрасли велась гонка за поиском наибольшего количества уязвимостей, включая уязвимости в Microsoft IIS Default Page, и это привело к преимуществам плохо написанных тестов, которые усиливают отчеты о сканировании, добавляя высокий процент неопределенности. Возможно, несколько лет назад здесь было продано много систем, но также почти все решения VA застряли с заведомо неточными отчетами, что увеличивает время на ремонт, который не может себе позволить ни один администратор.Beyond Security не участвовал в этой гонке за взаимно гарантированное разрушение отрасли и по сей день выпускает самые точные и действенные отчеты.

Исправление / устранение этой уязвимости
https://technet.microsoft.com/en-us/library/security/ms03-018.aspx

Уязвимости на странице по умолчанию Microsoft IIS — это уязвимость с низким уровнем риска, которая также является часто встречающейся и хорошо заметной. Это самая серьезная комбинация факторов безопасности, которая существует, и чрезвычайно важно найти ее в вашей сети и исправить как можно скорее.

Эксплойты, связанные с уязвимостями в Microsoft IIS Страница по умолчанию
https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-3436/version_id-52075/Microsoft-IIS-7.0.html
https: / /www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-3436/Microsoft-IIS.html
https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-3436/version_id-92758 /Microsoft-IIS-7.5.html

Посетите также www.securiteam.com, чтобы просмотреть любые эксплойты, доступные для этой уязвимости, или выполните поиск с помощью «Уязвимости на странице Microsoft IIS по умолчанию».

Повышение безопасности IIS — ресурсы Infosec

Безопасность является важной частью веб-приложения, и ее следует учитывать на первом этапе процесса разработки. Веб-сайт никогда не может быть достаточно безопасным, если вы не предпримете необходимые меры безопасности для защиты веб-сервера от всех нарушений, потому что хакеры могут легко проникнуть в веб-механизм, используя лазейки веб-сервера, даже если соответствующий исходный код сайт должным образом заблокирован.Даже если в самом программном обеспечении нет ошибок и совсем нет уязвимостей, оно может быть скомпрометировано из-за того, как оно взаимодействует с другой системой, или из-за плохой практики эксплуатации.

Конечно, на рынке есть ряд продуктов, которые утверждают, что делают ваш сервер более безопасным, но атаки могут быть в любой форме и непредсказуемы. Существует распространенное заблуждение, что безопасность веб-сайта можно контролировать только во время кодирования исходного кода. В то же время веб-сайт ASP.NET также может быть надлежащим образом защищен на стороне веб-сервера IIS от злого умысла.Таким образом, эта статья предназначена для раскрытия невидимых аспектов безопасности веб-сервера IIS, чтобы защитить веб-сайт от взломов.

ОСНОВНЫЕ ДАННЫЕ

Чтобы повысить надежность информационного сервера Интернета, исследователь безопасности должен хорошо разбираться в технологии .NET, в частности, в ASP.NET, поскольку веб-сайты, ориентированные на .NET, обычно управляются через IIS. Кроме того, понимание жизненного цикла фреймворка веб-сервера с необходимыми навыками программирования, где бы это ни потребовалось, в контексте ASP.NET, определенно добавит преимущества.

НАРУШЕНИЯ IIS

Существует почти неисчерпаемое количество возможных потенциальных атак на ваш веб-сайт, начиная от лазеек в базе данных и уязвимостей в исходном коде и заканчивая распространенными вирусами, даже больше через недовольных сотрудников и социальной инженерии. Однако полная классификация всех атак на сервер IIS выходит за рамки данной статьи. Но обычно злоумышленник нацелен на механизм аутентификации, авторизации и аудита веб-системы.Злоумышленник пытается доказать или идентифицировать себя как законного пользователя, взламывая соответствующие ключи доступа. Впоследствии после аутентификации злонамеренный хакер пытается получить доступ к ресурсам, для которых ему действительно не разрешено, путем отзыва списка управления доступом, поддерживаемого на сервере, который определяет действия пользователя. Наконец, он стирает следы, поскольку каждое действие пользователя обычно записывается на сервере во время всеобъемлющего процесса аудита.

Более того, некоторые хакеры проводят «пассивные» атаки, отличить которые гораздо сложнее.Здесь хакер не пытается ничего изменить в вашей существующей системе. Вместо этого пассивные хакеры только наблюдают за существующей активностью, происходящей во время двусторонней связи. Следовательно, обнаружение, предотвращение и борьба с этими классами изощренных конфронтаций могут быть трудными в среде, в которой не соблюдаются действенные процедуры администрирования и разработки.

БЕЗОПАСНОСТЬ IIS

IIS отвечает за обработку запросов, полученных на определенных портах.По этой причине на машине работают службы WWW, которые обрабатывают запросы, полученные на различных портах TCP / IP, где порт 80 обычно назначается HTTP. Прежде чем среда выполнения ASP.NET свяжется с входящим запросом, IIS сначала проверяет безопасность в соответствии со своей собственной конфигурацией. Фактически, IIS — это первый привратник в конвейере безопасности вашего веб-приложения. Следовательно, IIS предоставляет вам несколько важных механизмов безопасности, таких как аутентификация, авторизация и конфиденциальность, которые действуют как привратник перед ASP.NET начинается с обработки запроса. Таким образом, интерфейс IIS предлагает различные параметры безопасности, как показано на рисунке 1.1, которые можно использовать для ограничения доступа или отклонения типов запросов.

Рисунок 1.1 Параметры безопасности

Ограничение IP

IP-ограничение позволяет выборочно разрешать или запрещать доступ к файлам, папке, веб-сайту и веб-серверу. В целом администратор может самостоятельно определять, какой удаленный компьютер может подключаться к IIS.Пользовательские правила могут быть созданы в контексте конкретного клиента или поиска DNS для обеспечения их ограничения. Уязвимость ASP.NET позволит хакеру потенциально обойти любой код ограничения в ваше приложение до того, как ваш код будет запущен. Когда клиент, которому не разрешен доступ, запрашивает ресурс, HTTP-статус «Запрещено: IP-адрес клиента был отклонен (403.6)» или «DNS-имя клиента отклонен (403.8)» будет отражен и зарегистрирован. Более того, в этом сценарии IIS вводит два термина: IP и ограничение домена.

Обычно рекомендуется настроить ограничение подключения на самом низком уровне модели OSI, насколько это возможно. Это предотвращает неправильную конфигурацию компонента нижнего уровня, позволяющую хакеру обойти ограничение верхнего уровня.

Чтобы настроить политику по умолчанию для поиска DNS, которая разрешает любой доступ, кроме специально отклоненных клиентов, нажмите «Изменить параметры функции». После этого появится диалоговое окно IP и домена.

Рисунок 1.2 Ограничение домена

Кроме того, вы можете создавать правила для определенных удаленных хостов или подсетей. Чтобы создать правила, разрешающие или запрещающие доступ, нажмите «Разрешить вход», где вы можете указать IP-адрес или диапазон подсети из черного списка, как показано ниже.

Рисунок 1.3 Ограничения хоста

Конфигурация типа MIME

MIME предотвращает размещение неопределенных типов файлов в IIS, защищая веб-сервер, защищая злоумышленников от загрузки конфиденциальных файлов.Хотя файлы конфигурации и файлы данных обычно не хранятся в корневой веб-папке, когда хакер пытается загрузить файл, не имеющий определенного типа, IIS выдает HTTP-статус 404.3, а также записывает его в файл журнала. . Если у вас есть собственное расширение файла, которое должно быть загружено клиентами, вам нужно будет добавить новый тип MIME следующим образом.

Рисунок 1.4 Добавление нового типа MIME

Фильтрация запросов

Фильтрация запросов включает настраиваемый набор правил, который позволяет вам определять, какой тип запроса должен быть разрешен или запрещен для веб-сайта и веб-сервера.Он реализует функции, которые позволяют выполнять запросы для определенного пространства имен, и тесно интегрирован с функциями ведения журнала IIS. Он также предлагает фильтрацию запросов по HTTP, расширению файла, пределу запросов и последовательности URL-адресов.

В HTTP-фильтрации раздел глаголов разрешает или запрещает запросы, использующие определенные глаголы HTTP, такие как GET, POST и т. Д. Вы можете использовать следующие теги XML в файле конфигурации.

[html]







[/ html]

Фильтрация от имени файла, который не соответствует определенным правилам, может быть разрешена или отклонена.Если запрос отклонен, регистрируется HTTP-статус 404.7. Вы можете использовать следующие теги XML в файле конфигурации.

[html]







[/ html]

Параметр ограничения запросов позволяет ограничить размер запросов, отправляемых клиентами, что предотвращает злонамеренные запросы.Эта настройка может быть достигнута как:

[html]


maxAllowedContentLength = «200000000»
maxUrl = «30» />


90ml501 [

Наконец, фильтрация по последовательности URL-адресов позволяет отклонять запросы, которые содержат некоторую вредоносную подстроку, такую ​​как обход каталога («…») в запрошенном URL-адресе. Вы можете явно настроить отклоняемую последовательность, как показано ниже.

[html]







[/ html]

Конфигурация пула приложений

Конфигурация пула приложений

весьма полезна, когда аналогичному администратору необходимо принимать контент от внешних сторон, поскольку сложно изолировать пулы веб-приложений друг от друга.Другими словами, если несколько пулов приложений работают с одним и тем же идентификатором, то код, выполняющийся внутри одного пула, будет конфликтовать с файловыми системами других пулов приложений. Таким образом, IIS в некоторой степени предотвращает этот конфликт, вводя конфигурацию пула приложений. У каждого пула приложений есть собственный файл конфигурации, хранящийся в папке% systemdriverinetpubtempappPools, а также дополнительный идентификатор безопасности (SID), который вводится в соответствующий процесс w3wp.exe. Позже каждый процесс имеет свой собственный идентификатор безопасности, а файл конфигурации каждого пула привязан к разному идентификатору безопасности (ACL).

Несколько пулов приложений обеспечивают полную изоляцию между ними, чтобы гарантировать, что вредоносный сайт не может нанести вред другому сайту в серверной среде, где развертывается более одного сайта. Если один веб-сайт будет взломан, хакер не сможет повлиять на другой сайт на сервере.

Рисунок 1.5 Добавление пула приложений

Конфигурация ISAPI

Расширение ISAPI обеспечивает дополнительную функциональность при запросе файла определенного типа.Разработчики часто пишут собственные расширения API для расширения функциональности сервера. С точки зрения знаний, веб-сайты PHP могут размещаться в IIS с помощью настраиваемого расширения PHP ISAPI. Следовательно, веб-сайты ASP.NET могут размещаться в IIS, поскольку файлы .aspx по умолчанию сопоставляются с расширением ASP.NET ISAPI. Когда клиент запрашивает файл с расширением .aspx, обработка немедленно передается расширению IIS ISAPI, которое определяет, какую дополнительную работу следует выполнить.

IIS вводит администрирование на стороне сервера для настройки того, какое расширение ISAPI разрешено запускать на сервере.IIS позволяет устанавливать для каждого расширения ISAPI разрешенное или запрещенное состояние. Кроме того, он регистрирует и генерирует HTTP-статус 404.2 для запрещенного вредоносного расширения, поскольку хакеры могут внедрить вредоносные вирусы в атаку вторжения удаленного файла на сервере. Для настройки дополнительных расширений ISAPI необходимо предпринять дальнейшие шаги для обеспечения постоянной безопасности вашего сервера. Чтобы добавить новое расширение ISAPI, введите путь к DLL и настраиваемое имя, как показано ниже.

Рисунок 1.6 Добавление ISAPI

Конфигурация журнала

Хакеры часто проводят атаки типа «отказ в обслуживании», чтобы завалить сервер массивными запросами, что может привести к очень большому разрастанию файлов журналов.Журналы служат доказательством взлома и помогают определить способ, с помощью которого хакер получил незаконный доступ. Поэтому администраторы проводят периодические операции регистрации и аудита для обнаружения возможных следов злонамеренной активности на веб-сервере. Однако операционная система Windows также имеет встроенную функцию журналов событий Windows, в которой регистрируется важная информация, включая время регистрации, попытки подбора пароля и т. Д., Которые указывают на возможные признаки атаки. Ведение журнала можно настроить для каждого сайта с помощью W3C, который записывает записи журнала с использованием настраиваемого текста в формате ASCII.

Рисунок 1.7 Журнал W3C

Следовательно, большое количество неудачных событий входа в систему может обозначать попытку подбора пароля учетной записи. Таким образом, IIS предоставляет администратору возможность ведения журнала и аудита как для успешных, так и для неудачных попыток оповещения об обнаружении аномальной активности.

Конфигурация страниц ошибок

Вредоносные хакеры могут получить конфиденциальную информацию о веб-сервере и приложении при обнаружении ошибки.Если веб-сайт не может обработать неожиданную фатальную ошибку, он более подвержен атакам, поскольку статус HTTP по умолчанию отображается вместе с другой информацией, которая очаровывает хакеров . Например, взгляните на сгенерированную страницу ошибки, выданную сервером. Здесь можно легко получить кучу важной информации, такую ​​как имя пользователя, пароль, IP-адрес сервера, структура базы данных и т. Д.

Рисунок 1.8 Ошибка HTTP

Итак, не обрабатывать ошибки в виде кода состояния HTTP — плохая практика программирования.Вместо этого должны быть настраиваемые страницы ошибок в случае возникновения любой ошибки, чтобы конфиденциальная информация могла быть скрыта. Пользовательские страницы ошибок могут быть установлены для каждого кода состояния HTTP. Поэтому в IIS есть удобный метод отображения ошибок для конечных пользователей, а не для администраторов и разработчиков, как показано ниже.

Рисунок 1.9 Конфигурация страницы ошибок

ЗАКЛЮЧИТЕЛЬНЫЕ СЛОВА

Даже после надлежащей защиты рабочей среды и самого IIS важно не пренебрегать безопасностью приложений.В последнее время больше внимания уделяется взлому приложений, а не самого серверного программного обеспечения. Широкий спектр уязвимостей может использовать прикладное программное обеспечение, например, SQL-инъекция, межсайтовый скриптинг, воспроизведение сеанса, RFI и многие другие атаки. Злоумышленники день ото дня становятся все более изощренными, имея в своем распоряжении передовые инструменты и тактику. Следовательно, периметр должен быть защищен со всех сторон.

В этой статье мы рассмотрели требования и механизмы защиты ASP.NET, настроив основные параметры IIS, включая HTTPS, аутентификацию конечных пользователей, сертификаты клиентов, ограничение IP-адресов и многое другое. В целом, эта статья служит руководством по безопасности IIS и различным инициативам, на которые администраторы и сотрудники службы безопасности могут ссылаться при включении или ограничении функций в IIS. Таким образом, теперь вы должны иметь полное представление о различных вариантах безопасности, а также о связанных с безопасностью механизмах, относящихся к IIS.

ССЫЛКИ

[1] www.microsoft.com/technet/community

[2] www.securityfocus.com

[3] www.owasp.org/index.php

[4] http://www.microsoft.com/MSPress/books/10442.aspx

[5] SNAC

.



Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *