Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Учетные записи, аутентификация и политика безопасности

Аннотация: После укрепления сервера (см. лекцию 3) сразу же настройте учетные записи пользователей и администратора, а также параметры безопасности Windows 2000 и IIS для них. Следует немедленно отключить ненужные учетные записи по умолчанию. Придется проверить и/или изменить десятки параметров для повышения защищенности веб-сервера. Специалисты в области безопасности считают эти процедуры неотделимыми от процессов укрепления системы. Они настолько важны, что для их описания пришлось выделить целую лекцию.
Ключевые слова: распределение информации, ключевой параметр, сервер установки, список, представление, пункт, Windows, сервер, IIS, безопасность, управление безопасностью, доверительные отношения, пользователь сертификата, степень доверия, база данных пользователей, остановка системы, изменение записей, Active, directory, компьютер, MMC, ACL, security, configuration, AND, analysis, анализ, FTP, NNTP, smtp, Computer Management, NTDS, DIT, системное событие, анонимный доступ, security policy, системная служба, централизованный метод, журнал ошибок, power user, anonymous user, authenticated user, dialup, traversal, executable file, bypassing, атрибут файла, создание каталогов, subfolder, local disk, имя учетной записи, propagate, родительский объект, родительский каталог, раздел диска, соответствие политике безопасности, вложенный каталог, directory service, динамические страницы, administrator, контроль доступа, Internet, guest, secure communication, authentication method, управление паролями

Применение политики безопасности

Привилегии и ограничения, присваиваемые пользователям для работы с ресурсами системы, позволяют применять политику безопасности к управлению и распределению информации. Многие организации не уделяют достаточного внимания этой политике. Согласно требованиям современного информационного мира сначала необходимо ознакомиться с ключевыми параметрами безопасности ресурсов сервера (см. табл. 4.1).

Таблица 4.1. Параметры политики безопасности веб-сервера
Параметр Описание
Правила безопасности IP Установка фильтров IP-трафика. Определение причин и способов шифрования пакетов.
Присвоение/создание переданных (распределенных) полномочий администрирования Назначение администратора, ответственного за содержимое и безопасность сервера. Установка псевдо-административных ролей, таких как операторы резервирования данных.
Присвоение/создание учетных записей пользователей Установка анонимной и аутентифицируемой учетных записей.
Правила безопасности учетных записей Указание групп, к которым принадлежат учетные записи. Использование блокировки при вводе неправильного пароля. Указание числа попыток ввода пароля перед блокировкой, а также длительность блокировки. Указание срока действия пользовательского билета Kerberos.
Правила безопасности групп Указывают группы, членов групп, а также правила, примененные к группам.
Определение правил безопасности паролей Установка минимальной длины паролей, разрешения/запрещения использования "пустых" паролей. Установка отказа на повторное использование паролей. Установка требований для численно-буквенных паролей. Установка правила периодической смены паролей пользователей (если такая возможность имеется).
Правила конфиденциальности данных Установка разрешений на каталоги и файлы.

Список этот довольно краткий, но все же дает необходимое представление о проблеме. Понятен ли каждый пункт таблицы? Вам предстоит обрабатывать эти параметры, так как они непосредственно связаны с управлением данными.

Перед началом работы необходимо ознакомится с концепциями безопасности Windows 2000 и соответствующей терминологией.

Принципы безопасности Windows 2000 и IIS

Сервер IIS является встроенным компонентом Windows 2000, и безопасность IIS полностью зависит от безопасности этой операционной системы. Управление безопасностью Windows 2000 основано на следующих принципах.

  • Доверительные отношения.
  • Рабочие группы и домены (а также Active Directory).
  • Аутентификация учетных записей и групп.
  • Контроль доступа (права, разрешения и ограничения).
  • Наследование.

Все аспекты безопасности Windows 2000 базируются на этих принципах. Они обеспечивают безопасность системы посредством запрета, ограничения и разрешения доступа к данным и ресурсам на веб-сайте IIS.

Доверительные отношения

Безопасность Windows 2000/IIS основывается на правилах и параметрах, определяющих разрешенные и запрещенные действия в системе. Жизненно важной частью данной системы являются механизмы уникальной идентификации для отдельных пользователей, компьютеров и ресурсов. В Windows 2000 сетевые IP-адреса, имена пользователя, сертификаты (цифровые идентификаторы) и идентификационные данные Kerberos являются способами проведения идентификации. Между компьютерами и отдельными пользователями или другими компьютерами устанавливаются правила доверия, зависящие от степени доверия, имеющей место в процессе идентификации. В Windows 2000 при наивысшем уровне доверия на взаимодействующих компьютерах считается легальным любой вход в систему и обмен информацией.

Рабочие группы и домены

Рабочие группы и домены представляют собой наборы отдельных пользователей и ресурсов сети. Ресурсы состоят из устройств хранения данных, принтеров, файлов данных и прочих компонентов, связанных с серверами.

Рабочая группа отличается от домена тем, что в домене серверы при взаимодействии пользуются доверием и используют общую базу данных управления, а в рабочей группе каждый сервер обрабатывает свою собственную базу данных. Когда организации нужен более чем один сервер, несмотря на то, что сеть настроена на управление с помощью рабочих групп, целесообразно использовать домен. Доверительные отношения между серверами домена облегчают работу, как для пользователей, так и для администраторов. Пользователи, входящие в домен, осуществляют вход на все серверы одновременно, и им не нужно входить в систему каждого сервера по отдельности. Администраторам выгодно использовать такое решение, поскольку общая база данных доменов позволяет избежать создания и управления ненужными записями пользователей на каждом сервере.

На рисунке 4.1 изображена группа серверов в домене. Обратите внимание, что домен содержит систему, называемую контроллером домена, "владеющую" базой данных пользователей, которая является общей для всех остальных серверов.

В домене Windows 2000 Server контроллер "владеет" базой данных пользователей

увеличить изображение
Рис. 4.1. В домене Windows 2000 Server контроллер "владеет" базой данных пользователей

Организации, в которых используются домены, часто используют службу Windows 2000 под названием Active Directory. Active Directory представляет собой базу данных, которая управляет пользователями и всеми сетевыми ресурсами в логической модели. Например, пользователь видит принтеры, расположенные к сети, независимо от того, к какому именно серверу они непосредственно подключены.

В интранет-сетях многих крупных организаций технология Active Directory пользуется большой популярностью, так как централизованное управление облегчает контроль над серверами, ресурсами, учетными записями, группами и другими объектами без повторения одних и тех же процедур в консолях каждого сервера. Active Directory позволяет физически конфигурировать сетевые ресурсы без изменения их представления в графическом пользовательском интерфейсе.

Araz Heyderov
Araz Heyderov
Россия
iketommoe ike
iketommoe ike
Тайвань (Китай)