Gartner: "Немедленно выбросьте серверы Microsoft"

Алексей Андреев

Известная исследовательская компания Gartner Group рекомендует компаниям, пользующимся Интернетом, немедленно заменить серверное программное обеспечение Microsoft Internet Information Server (IIS) на другие, более защищенные серверные программы в свете последних эпидемий вирусов Code Red и Nimda, которые используют дыры в IIS.

“Использование серверов IIS с учетом требований безопасности может обойтись слишком дорого, – говорится в отчете Gartner, выпущенном на прошлой неделе. – Администраторы вынуждены постоянно добавлять к каждому из IIS-серверов все новые и новые заплатки от Microsoft, выходящие почти еженедельно. Вирус Nimda в очередной раз показал, что использование IIS очень рискованно, и требуется прилагать большие усилия, чтобы отслеживать и инсталлировать все заплатки.

По мнению Gartner, более безопасным серверным ПО являются iPlanet and Apache, которые не подвержены в настоящее время таким массированным атакам вирусов и червей.

Аналитики также предупреждают, что безопасность IIS едва ли станет приемлемой для корпоративного использования в течение ближайшего года. “Специалисты Gartner уверены, что вирусы и черви будут продолжать атаки на IIS до тех пор, пока Microsoft не выпустит новую, полностью переписанную, тщательно и публично протестированную версию IIS”, говорится в отчете.

При этом аналитики полагают, что с вероятностью 80 процентов такая версия (IIS 6.0) не появится до конца 2002 года. До этого времени Gartner рекомендует вообще воздерживаться от использования любых .NET-сервисов Microsoft, использующих IIS. Это достаточно серьезный удар по Microsoft, если учесть, что IIS является фундаментальной компонентой .NET-стартегии.

Правда, как отмечает ZDNet, некоторые эксперты по безопасности критикуют идею Gartner о немедленном выбрасывании IIS. По словам, Грэма Клюли из компании Sophos, массовый переход на другое программное обеспечение может принести больше хаоса, чем последовательное “залатывание дыр” в Microsoft IIS.

По мнению Клюли, частые и широкомасштабные вирусные атаки на IIS объясняются не его повышенной уязвимостью, а популярностью компании Microsoft. “Существует немного вирусов для Macintosh в сравнении с вирусами для IBM PC-совместимых компьютеров, поскольку хакеры атакуют более популярные платформы”, – заявил эксперт.

Сама же компания Microsoft в ответ на рекомендации Gartner сообщила, что процесс переписывания серверного ПО для новой версии IIS 6.0 “уже идет”. Как передает The Register, компания также объявила, что планирует ряд мер, которые повысят безопасность Microsoft IIS. В частности, обещан выпуск утилиты IIS Lockdown (средство дополнительного контроля за сервером) в составе Windows 2000 Service Pack 3, а также утилиты Auto Update под .NET-серверы (для автоматического подкачивания свежих “заплаток”).

Более того, в будущих версиях .NET-серверов программа IIS будет по умолчанию отключена.