Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989 |
Учетные записи, аутентификация и политика безопасности
Применение политики безопасности
Привилегии и ограничения, присваиваемые пользователям для работы с ресурсами системы, позволяют применять политику безопасности к управлению и распределению информации. Многие организации не уделяют достаточного внимания этой политике. Согласно требованиям современного информационного мира сначала необходимо ознакомиться с ключевыми параметрами безопасности ресурсов сервера (см. табл. 4.1).
Список этот довольно краткий, но все же дает необходимое представление о проблеме. Понятен ли каждый пункт таблицы? Вам предстоит обрабатывать эти параметры, так как они непосредственно связаны с управлением данными.
Перед началом работы необходимо ознакомится с концепциями безопасности Windows 2000 и соответствующей терминологией.
Принципы безопасности Windows 2000 и IIS
Сервер IIS является встроенным компонентом Windows 2000, и безопасность IIS полностью зависит от безопасности этой операционной системы. Управление безопасностью Windows 2000 основано на следующих принципах.
- Доверительные отношения.
- Рабочие группы и домены (а также Active Directory).
- Аутентификация учетных записей и групп.
- Контроль доступа (права, разрешения и ограничения).
- Наследование.
Все аспекты безопасности Windows 2000 базируются на этих принципах. Они обеспечивают безопасность системы посредством запрета, ограничения и разрешения доступа к данным и ресурсам на веб-сайте IIS.
Доверительные отношения
Безопасность Windows 2000/IIS основывается на правилах и параметрах, определяющих разрешенные и запрещенные действия в системе. Жизненно важной частью данной системы являются механизмы уникальной идентификации для отдельных пользователей, компьютеров и ресурсов. В Windows 2000 сетевые IP-адреса, имена пользователя, сертификаты (цифровые идентификаторы) и идентификационные данные Kerberos являются способами проведения идентификации. Между компьютерами и отдельными пользователями или другими компьютерами устанавливаются правила доверия, зависящие от степени доверия, имеющей место в процессе идентификации. В Windows 2000 при наивысшем уровне доверия на взаимодействующих компьютерах считается легальным любой вход в систему и обмен информацией.
Рабочие группы и домены
Рабочие группы и домены представляют собой наборы отдельных пользователей и ресурсов сети. Ресурсы состоят из устройств хранения данных, принтеров, файлов данных и прочих компонентов, связанных с серверами.
Рабочая группа отличается от домена тем, что в домене серверы при взаимодействии пользуются доверием и используют общую базу данных управления, а в рабочей группе каждый сервер обрабатывает свою собственную базу данных. Когда организации нужен более чем один сервер, несмотря на то, что сеть настроена на управление с помощью рабочих групп, целесообразно использовать домен. Доверительные отношения между серверами домена облегчают работу, как для пользователей, так и для администраторов. Пользователи, входящие в домен, осуществляют вход на все серверы одновременно, и им не нужно входить в систему каждого сервера по отдельности. Администраторам выгодно использовать такое решение, поскольку общая база данных доменов позволяет избежать создания и управления ненужными записями пользователей на каждом сервере.
На рисунке 4.1 изображена группа серверов в домене. Обратите внимание, что домен содержит систему, называемую контроллером домена, "владеющую" базой данных пользователей, которая является общей для всех остальных серверов.
увеличить изображение
Рис. 4.1. В домене Windows 2000 Server контроллер "владеет" базой данных пользователей
Организации, в которых используются домены, часто используют службу Windows 2000 под названием Active Directory. Active Directory представляет собой базу данных, которая управляет пользователями и всеми сетевыми ресурсами в логической модели. Например, пользователь видит принтеры, расположенные к сети, независимо от того, к какому именно серверу они непосредственно подключены.
В интранет-сетях многих крупных организаций технология Active Directory пользуется большой популярностью, так как централизованное управление облегчает контроль над серверами, ресурсами, учетными записями, группами и другими объектами без повторения одних и тех же процедур в консолях каждого сервера. Active Directory позволяет физически конфигурировать сетевые ресурсы без изменения их представления в графическом пользовательском интерфейсе.