Учетные записи, аутентификация и политика безопасности
Изменение настроек по умолчанию для учетных записей пользователей
Учетные записи по умолчанию, устанавливаемые при инсталляции Windows 2000 и IIS, следует проверить на соответствие политике безопасности и адаптировать при необходимости. Ниже приведены соответствующие рекомендации.
Отключение и игнорирование прав и разрешений учетной записи Guest Windows 2000
Windows 2000 всегда устанавливает учетную запись Guest (Гость) по умолчанию. При правильной установке IIS учетная запись Guest должна быть отключена. Убедитесь, что это так, если вы обновили систему с Windows NT или преобразовали имевшийся сервер Windows 2000 в веб-сервер.
Для проверки состояния учетной записи Guest выполните следующие шаги.
- В консоли Computer Management (Управление компьютером) найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов. Откройте ее, затем откройте папку Users (Пользователи) для отображения имен всех учетных записей пользователей в правом окне.
- Если гостевая учетная запись отключена, то на ее значке будет изображен красный крестик.
- Если учетная запись Guest не отключена, щелкните на ней правой кнопкой мыши и выберите пункт Properties (Свойства). Откроется диалоговое окно, показанное ниже. Отметьте опцию Account Is Disabled (Учетная запись отключена), после чего нажмите на OK для сохранения изменений и закрытия окна.
Обеспечение безопасности группы Guest в Windows 2000
Группа Guest (Гость) по умолчанию устанавливается и в Windows 2000. Следует внимательно следить за настройками гостевых учетных записей. Учетная запись Windows 2000 Guest всегда входит в группу Guest, как и некоторые другие учетные записи по умолчанию.
Как и учетная запись Guest, группа Guest часто подвергается атакам хакеров, знающих о ее существовании. Атаки хакеров обычно основаны на возможности проникновения в систему, так как права и разрешения группы Guest по умолчанию настроены некорректно с точки зрения безопасности и позволяют использовать одну из учетных записей для получения доступа.
Высокоэффективная защита против атак через учетную запись Guest заключается в ее удалении из группы Guest. Но не удаляйте ее сразу. Учетная запись Internet Guest (IUSR_ %имя компьютера% ) необходима для реализации анонимного входа. Вместо удаления ее следует переименовать и переместить. Перед тем как предпринимать дальнейшие действия, прочтите два следующих раздела.
Обеспечение безопасности учетной записи Internet Guest для анонимного входа в систему
На большей части сайтов в интернете, используемых для маркетинга и распространения информации, не нужна аутентификация пользователей, так как все посетители считаются легальными. Вместо аутентификации используется анонимный вход, о котором вкратце говорилось в "Подготовка и укрепление веб-сервера" . Анонимный вход представляет собой автоматическую аутентификацию пользователей при помощи общей учетной записи с именем IUSR. (В списке ACL сервера она значится как IUSR_ %имя компьютера%.) Эту учетную запись называют гостевой записью интернета.
Важно. При использовании анонимного входа (например, если веб-сайт находится во внутренней сети, и нужна аутентификация всех пользователей без исключения) убедитесь, что учетная запись AnonymousGuest (Анонимный гость) не выбрана на вкладке IIS Directory Service (Служба каталогов IIS), и отключите ее.
Учетная запись Internet Guest (Гостевая учетная запись интернета) имеет ограниченные разрешения, которыми можно смело наделять всех посетителей сайта. Для обеспечения максимальной безопасности учетные записи должны содержать только разрешение Read (Чтение) в некоторых каталогах веб-сайта.
Рекомендуется создать новую учетную запись Internet Guest. Во-первых, уменьшается опасность использования учетной записи по умолчанию при попытке атаки. Во-вторых, на данном этапе при перезагрузке Windows 2000/IIS сбрасываются некоторые настройки, о которых вы узнаете далее. В случае изменения учетной записи Internet Guest внесенные изменения сбрасываться не будут.
Для создания новой учетной записи Internet Guest выполните следующее.
- Создайте новую группу, которой будет принадлежать учетная запись. Откройте консоль MMC Computer Management (Управление компьютером).
- Найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов и откройте ее, чтобы развернуть вложенный список. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите New Group (Создать группу).
- В диалоговом окне New Group присвойте группе название. Укажите любое желаемое имя. Имя "Siteguests" будет достаточно информативным. Нажмите на кнопку Create (Создать) для сохранения новых настроек группы.
- Переименуйте учетную запись IUSR. Вернитесь в консоль MMC Computer Management, щелкните на папке Users (Пользователи) и найдите учетную запись IUSR в правом окне консоли. Щелкните на ней правой кнопкой мыши и выберите команду Rename (Переименовать). Присвойте учетной записи имя, например, SiteIUSR_ %имя сервера%.
- Настройте параметры учетной записи и включите ее в только что созданную группы Guest. Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties.
- Убедитесь, что на вкладке General (Общие) диалогового окна Properties отмечены следующие опции: User Cannot Change Password (Пользователь не может сменить пароль) и Password Never Expires (Срок действия пароля не ограничен) (см. рисунок).
- Откройте вкладку Member Of (Член группы) и удалите учетную запись из группы Guests. Затем добавьте ее в новую группу "Siteguests". Не допускайте, чтобы эта учетная запись являлась членом какой-либо другой группы.
Совет. При необходимости можно удалить группу Web Anonymous (Анонимные пользователи интернета). Специалисты в области информационной безопасности, как правило, оставляют ее в качестве обманного маневра (убедитесь, что отключены все разрешения для данной группы).
- Нажмите на OK, чтобы сохранить изменения и закрыть диалоговое окно.