Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Учетные записи, аутентификация и политика безопасности

Права на доступ к каталогу для записи Internet Guest

После переименования Internet Guest (Гостевой учетной записи интернета) и включения ее в новую группу убедитесь, что у нее есть доступ к домашнему каталогу веб-сайта, и дважды проверьте ее разрешения насоответствие гостевой учетной записи интернета. Необходимо, чтобы все было максимально корректно. Если у записи Internet Guest нет прав доступа, веб-браузеры (и, соответственно, пользователи) не смогут открывать страницы для просмотра. Если ей присвоено слишком много разрешений, то считайте, что создано потенциально уязвимое место.

Основным разрешением для Internet Guest на сайте со статическими веб-страницами является разрешение на чтение корневого каталога, в котором они расположены. При использовании на сайте динамических страниц и сценариев включите разрешение Read & Execute (Чтение и выполнение) в каталоге сценариев. Ни в коем случае нельзя включать разрешение Write (Запись) в каком бы то ни было месте системы!

С точки зрения безопасности учетных записей Internet Guest рекомендуется вернуться в корневой каталог раздела, содержащего веб-сайт, запретить все разрешения, после чего по отдельности включить нужные разрешения. Ниже приведены инструкции для запрета всех разрешений.

  1. С помощью Проводника Windows или окна My Computer (Мой компьютер) найдите нужные дисковые устройства.
  2. Щелкните правой кнопкой мыши на нужном диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).
  3. Откройте вкладку Security (Безопасность), чтобы отобразить учетные записи в ACL (см. рисунок). Нажмите на кнопку Add (Добавить) и добавьте переименованную учетную запись Internet Guest, которую вы только что создали.

  4. Отметьте поля Deny (Запретить) для всех разрешений доступа. По завершении работы появится диалоговое окно подтверждения, в котором следует нажать на кнопку Yes (Да) для продолжения работы.
  5. Повторите эти шаги для всех разделов накопителей веб-сервера.

Для присвоения учетной записи Internet Guest разрешений на отдельные каталоги сайта выполните следующие шаги.

  1. Перейдите к корневому каталогу веб-сайта, содержащему статические веб-страницы, щелкните на нем правой кнопкой мыши, после чего выберите команду Properties (Свойства).
  2. В окне Properties откройте вкладку Security (Безопасность).
  3. В списке ACL должны находиться только следующие группы и учетные записи: Administrators (Администраторы), SYSTEM (Система) и созданная группа распределенного администрирования (это зависит от того, какие права имеются на сервере после изменений конфигурации прав). Нажмите на кнопку Add (Добавить), чтобы включить переименованную учетную запись Internet Guest в список ACL, если ее там еще нет.
  4. В появившемся списке учетных записей (см. рисунок) выберите переименованную учетную запись. Нажмите на OK, чтобы сохранить изменения и закрыть список.

  5. Вернитесь в окно Properties каталога, в списке ACL которого теперь присутствует учетная запись Internet Guest. Выделите ее и отметьте опцию Read (Чтение) для включения соответствующего разрешения. Отключите все остальные опции без исключения. Нажмите на кнопку Apply (Применить), чтобы сохранить изменения.

При использовании на сайте динамических страниц и сценариев повторите эти процедуры для каталога сценариев и установите разрешения Read & Execute (Чтение и выполнение). При этом автоматически отметятся опции Read (Чтение) и List Folder Contents (Просмотр содержимого каталога), но все остальные опции следует отключить.

Удаление записи Internet Guest из локальной политики безопасности

По умолчанию при создании учетная запись Internet Guest наделяется правами "доступ к данному компьютеру из сети" и "вход в систему в качестве пакетного задания". Однако эти права присваиваются только администраторам или выполняемым ими сценариям. Теперь учетная запись Internet Guest используется для анонимного входа, поэтому следует удалить эти права из локальной политики безопасности Windows 2000.

Выполните следующие действия.

  1. Откройте окно My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование), затем дважды щелкните на значке Local Security Policy (Локальная политика безопасности).
  2. Разверните список в элементе Local Policies (Локальные политики) дерева Console (Консоль), щелкните правой кнопкой мыши на папке User Rights Assignment (Присвоение прав пользователей), выберите команду Open (Открыть) (или дважды щелкните на элементе, чтобы открыть его). В правом окне консоли отобразятся параметры политик присвоения прав, как показано на рисунке.
  3. Щелкните правой кнопкой мыши на параметре, который необходимо изменить, и выберите Security (Безопасность). Откроется диалоговое окно Local Security Policy (см. рисунок) с параметрами для выбранной политики. Права включаются и выключаются при помощи соответствующих опций. Отключите опцию для переименованной учетной записи Internet Guest и для любых ссылок на прежние гостевые учетные записи интернета.

  4. Нажмите на OK для сохранения изменений и выхода из диалогового окна.
Araz Heyderov
Araz Heyderov
Россия
iketommoe ike
iketommoe ike
Тайвань (Китай)