Россия |
Учетные записи, аутентификация и политика безопасности
Управление несколькими веб-сайтами
В IIS можно работать с несколькими сайтами на одном и том же компьютере. Такие сайты называются виртуальными серверами. Виртуальные серверы полезны в случае разделения информации для различных категорий пользователей. С точки зрения безопасности нужно использовать отдельный раздел диска для каждого сайта, чтобы успешный взлом хакером одного сайта не позволил ему получить доступ к информации на всех других.
При использовании виртуальных серверов поддержка учетных записей веб-менеджеров и записей анонимного входа осуществляется различными способами. Простейший и самый безопасный способ – это использование уникальной учетной записи с распределенными полномочиями Administration (Администрирование) для каждого сайта и общей учетной записи Internet Guest для всех сайтов.
Если последовать данной рекомендации, то при использовании отдельного домашнего каталога и папки с содержимым для каждого сайта за каждый набор папок будет отвечать свой веб-менеджер (см. рис. 4.2).
увеличить изображение
Рис. 4.2. Используйте общую для всех сайтов учетную запись анонимного доступа и отдельные учетные записи для управления сайтом
Такая конфигурация учетной записи позволит контролировать доступ веб-менеджеров к содержимому веб-сайта. Если всем менеджерам нужен один и тот же уровень доступа, настройте разрешения Windows 2000 на уровне группы или отдельно для каждого менеджера в соответствующих каталогах. А наличие одной учетной записи Internet Guest для всех сайтов уменьшит вероятность ошибок.
Виртуальный сервер создается при помощи консоли MMC Internet Server Manager (Диспетчер сервера интернета). В "Подготовка и укрепление веб-сервера" говорилось, как это делается, при создании нового сайта и отключении сайта по умолчанию. Для одновременной работы нескольких сайтов создайте уникальный идентификатор для каждого сайта; с его помощью система DNS будет отправлять браузеры на соответствующие виртуальные серверы IIS. Уникальным идентификатором является альтернативное имя DNS или IP-адрес.
Процедура создания виртуального сервера состоит из следующих шагов.
- Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета).
- Щелкните правой кнопкой мыши на сервере в дереве консоли и в появившемся меню выберите New Web Site (Создать веб-сайт). Откроется мастер для создания нового сайта.
- Присвойте сайту название в первом окне мастера, затем нажмите на кнопку Next (Далее). В следующем окне укажите IP-адрес, номер порта или заголовок узла. Любого из этих значений достаточно для создания уникального идентификатора сайта. При использовании уникального IP-адреса или доменного имени DNS скоординируйте свои действия с агентством интернета или администратором внутренней сети для обновления баз данных DNS.
- В следующих окнах мастера укажите расположение домашнего каталога и присвойте разрешения доступа (см. рисунок). Укажите минимальный набор разрешений. При необходимости их можно будет изменить позже.
- Нажмите на кнопку Finish (Готово) для создания сайта.
Работа с виртуальными каталогами
IIS позволяет использовать псевдонимы для реальных путей каталогов с веб-содержимым. Эти псевдонимы называются виртуальными каталогами. Виртуальные каталоги IIS скрывают от веб-браузеров расположение информации посредством отображения в адресах URL псевдонимов вместо реальных каталогов. Браузер воспринимает виртуальные каталоги как подкаталоги в корневом каталоге /wwwroot.
Виртуальные каталоги повышают уровень безопасности, скрывая реальные физические параметры сервера. При создании виртуального каталога для домашнего каталога сайта (для другого каталога) выполните следующее.
- В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на сайте, для которого создается виртуальный каталог, затем выберите команду New\Virtual Directory(Создать\Виртуальный каталог).
- Мастер поможет создать каталог. В первом окне мастера введите нужное имя псевдонима и нажмите на кнопку Next (Далее).
- В следующем окне введите путь к каталогу – перейдите к реальному каталогу, нажав на кнопку Browse (Обзор), затем нажмите на Next.
- В последнем окне укажите разрешения IIS для создаваемого сайта. Еще раз нажмите на Next.
- По окончании работы нажмите на кнопку Finish (Готово), и виртуальный каталог будет создан.
ПРОБЛЕМА
Виртуальные каталоги помогают защитить сайт, но они все же не защищают от атак с декодированием URL. С помощью нескольких известных эксплоитов были успешно реализованы атаки на сайты IIS с виртуальными каталогами, и злоумышленники получили доступ к структуре каталогов веб-сайта. Единственной защитой от атак с применением декодирования является обновление сервера сервис-пакетами и надстройками безопасности.
Не следует переоценивать безопасность каталогов. Применяйте к ним все способы защиты, обсуждаемые в книге, не полагайтесь на какое-то одно средство. Помните о том, что папки веб-сервера связаны с другими серверами с помощью виртуальных каталогов и создают для этих серверов потенциальные угрозы. При нарушении безопасности сервера пользователь перейдет в корневой каталог без ограничений на доступ и откроет в нем любую папку. Он сможет загрузить или удалить (изменить) любой файл или папку, псевдонимы которых находятся на веб-сайте.
Предотвратить эту опасность можно с помощью полного запрета на использование виртуальных каталогов, связанных с другими серверами. При установке связи веб-сервера с другими системами используйте методы, описанные в третьей части.
Сводный перечень действий по настройке аутентификации учетных записей
- Отключите права администрирования накопителей для группы Everyone (Все пользователи).
- Обеспечьте полный контроль над ресурсами для групп Administrators (Администраторы) и System (Система).
- Переименуйте учетную запись Administrator (Администратор) и создайте устойчивый пароль.
- Создайте группу с распределенными полномочиями Administration (Администрирование) для управления веб-содержимым (не обязательно).
- Отключите гостевую учетную запись Windows 2000 Guest (Гость) по умолчанию и отключите права на доступ.
- Переименуйте гостевую учетную запись по умолчанию.
- Удалите права по умолчанию для учетной записи Internet Guest (Гостевая учетная запись интернета) из локальной политики безопасности.
- Установите для учетной записи Internet Guest разрешения на доступ Read Only (Только чтение).
Перечень действий по настройке параметров сайта IIS
- Настройте сайт на разрешение анонимного доступа или встроенной аутентификации Windows.
- Установите разрешения контроля доступа IIS на Read Only (Только чтение) для папок с содержимым и на Read and Execute (Чтение и выполнение) для сценариев.
- Отключите возможность просмотра каталогов броузером.
- Используйте виртуальные каталоги для обеспечения дополнительной защиты сайта.