Учетные записи, аутентификация и политика безопасности
Настройка атрибутов и параметров сайта IIS
Поздравляем! Работа почти закончена! Самое сложное уже позади. Вы повысили степень защищенности учетной записи Administrator, усилили контроль доступа на жестких дисках сервера, осуществили распределение полномочий администрирования на веб-менеджеров, обеспечили защиту учетной записи Internet Guest. Теперь нужно настроить дополнительные параметры в свойствах безопасности IIS перед развертыванием веб-сайта.
Параметры безопасности IIS
Настройка дополнительных параметров сайта (или сайтов) IIS осуществляется через консоль MMC Internet Services Manager (Диспетчер служб интернета). Эта процедура выполняется последовательно для каждого сайта или одновременно для всех сайтов сервера через настройки Master Properties (Главные свойства). Если параметры каждого сайта настраиваются по очереди, следует повторить каждую процедуру для всех имеющихся сайтов.
Главные свойства
Откройте вкладку Security Properties Master (Главные параметры безопасности) консоли MMC Internet Services Manager (Диспетчер служб интернета) окна Adinistration Tools (Администрирование). Затем в дереве консоли щелкните правой кнопкой мыши на сайте сервера (не на веб-сайте), который необходимо настроить, и в появившемся меню выберите Properties (Свойства) (см. рисунок).
Окно Master Properties (Главные свойства) содержит десять вкладок, предназначенных для изменения различных параметров сайта. Для нескольких сайтов придется настроить параметры каждого отдельно.
Настройка параметров анонимного доступа на веб-сайте IIS
Настройки для учетной записи Internet Guest подготовили ее для среды интернета. Теперь укажите в IIS необходимость анонимного доступа. Это можно было сделать при укреплении сервера, однако рекомендуется еще раз проверить соответствующие настройки. Кроме того, если учетная запись переименована, следует указать новое имя.
Для включения анонимного доступа откройте вкладку Directory Security (Безопасность папки) (см. рисунок), позволяющую настраивать анонимный доступ, контроль аутентификации, ограничения по IP-адресу и имени домена. В этой вкладке имеется затемненная область Secure Communications (Безопасные соединения). Она используется для настройки шифруемого соединения между сервером и веб-клиентами, осуществляемого с помощью VPN или SSL. На изолированном сервере шифрование настраивается для каждого сайта в отдельности, а не через окно Master Properties (Главные свойства). Процесс шифрования рассмотрен в "Применение шифрования" .
Выполните следующие процедуры.
- Нажмите на кнопку Edit (Изменить) в панели Anonymous Access and Authentication Control (Контроль анонимного доступа и аутентификации) вкладки Directory Security (Безопасность папки), чтобы открыть диалоговое окно Authentication Methods (Методы аутентификации), показанное на рисунке. Отметьте опцию Anonymous Access (Анонимный доступ).
Совет. Другие параметры методов аутентификации используются во внутренней сети, содержащей только клиентов Windows. В среде со смешанным набором операционных систем эти параметры имеют несколько принципиальных ограничений. Альтернативные методы аутентификации приведены в "Приложение D. Методы аутентификации Microsoft IIS" .
- Нажмите на кнопку Edit (Изменить) в верхней части диалогового окна, чтобы открыть окно Anonymous User Account (Учетная запись анонимных пользователей) и выбрать учетную запись для использования в качестве гостевой учетной записи интернета. Нажмите на кнопку Browse (Обзор), чтобы отобразить список ACL сервера и выбрать нужную учетную запись.
- Опция Allow IIS To Control Password (Разрешить управление паролями IIS) используется, если нужно применить несколько методов аутентификации с использованием служб IIS (см. "Безопасность FTP, NNTP и других служб IIS" ). Сейчас следует оставить эту опцию неотмеченной.
- Нажмите на OK для сохранения изменений и выхода из диалогового окна.
Фильтры IP-адресов и доменов
На вкладке Directory Security (Безопасность папки) присутствуют еще две категории параметров безопасности. Область Secure Communications (Безопасные соединения) позволяет настраивать сертификаты, используемые в технологиях VPN и SSL (см. "Применение шифрования" ). Ограничения IP-адресов и доменов устанавливают правила фильтрации, налагающие запрет на доступ к сайту с определенных IP-адресов или доменов DNS (см. "Особенности процесса разработки" ).
Разрешения на доступ IIS
На вкладке Home Directory (Домашний каталог) диалогового окна IIS Security Properties (Параметры безопасности IIS) имеется набор разрешений для контроля доступа к веб-сайтам, каталогам и отдельным файлам. Это разрешениями на доступ IIS, а не Windows 2000! IIS имеет инструменты для контроля доступа поверх операционной системы Windows 2000. Эти разрешения являются глобальными и не привязаны к конкретной учетной записи или группе.
Для включения разрешений на доступ IIS щелкните правой кнопкой мыши на названии веб-сайта, каталога или файла в консоли MMC Internet Service Manager (Диспетчер служб интернета) и выберите команду Properties (Свойства).
Эти права устанавливаются при создании сайта с помощью Site Creation Wizard (Мастер создания сайта). Для изменения прав всех сайтов сервера откройте вкладку Home Directory (Домашний каталог) в окне Master Security Properties (Главные свойства безопасности) на уровне веб-сайта. Или откройте вкладку Directory (Каталог) окна Properties файла (папки) (см. рисунок), выделив узел нижнего уровня в дереве консоли Internet Services Manager (Диспетчер служб интернета).
В таблице 4.6 приведено описание разрешений IIS (за исключением разрешений ведения журнала, о которых пойдет речь в "Аудит и журналы безопасности" ). Эти элементы IIS дополняют управление доступом NTFS и в совокупности образуют сложный набор разрешений. Например, пользователь, которому запрещен просмотр домашнего каталога веб-сайта, но имеющий разрешения List (Просмотр) Windows 2000, работает в рамках наиболее ограничивающего набора разрешений (т.е. ему будет отказано в просмотре файлов в папке).
С точки зрения безопасности рекомендуется использовать наиболее ограничивающие параметры, которые, тем не менее, позволят сайту нормально функционировать.
Тип доступа | Описание |
---|---|
Доступ к исходным файлам сценария | Позволяет осуществлять доступ к исходным файлам. При разрешении Read (Чтение) исходный код можно прочитать, при разрешении Write (Запись) исходный код можно записать. Под доступом к исходным файлам сценариев подразумевается доступ к коду сценариев, таких как сценарии приложения ASP. Опция недоступна, если не выбрано ни одно разрешение из пары Read (Чтение) и Write (Запись). |
Разрешение на чтение | Позволяет осуществлять просмотр и передачу содержимого браузеру-клиенту для отображения. |
Разрешение на запись | Позволяет клиентам с браузерами, поддерживающими возможность "PUT" стандарта HTTP 1.1, отгружать файлы на сервер или изменять содержимое файла, запись которого разрешена. "PUT" обычно не предоставляется, если администратор не включает данный тип доступа. |
Просмотр каталогов | Позволяет клиенту просматривать все файлы каталога. Если сервер не является общим сервером FTP, опция должна быть отключена. |