НОУ ИНТУИТ | Безопасность IIS. Лекция 4: Учетные записи, аутентификация и политика безопасности

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный

|

Вам нравится? Нравится 46 студентам

| Поделиться |

Поддержать программу

Настройка контроля доступа к веб-серверу в Windows 2000

При просмотре настроек в шаблоне безопасности Hisecweb.inf видно, что параметры контроля доступа по большей части не определены. Необходимо самостоятельно настроить эти параметры. В списке ACL каждой группе или учетной записи пользователя можно присвоить любую комбинацию прав и разрешений. Это свойство делает систему защиты Windows 2000 очень гибкой и мощной, однако в случае неправильной настройки прав и разрешений возможно появление слабого места

Настройка групп и параметров администратора по умолчанию

Первое, что необходимо сделать для управления списками ACL на веб-сервере, – заблокировать возможность управления ресурсами хранилищ данных. Иными словами, следует определить, кто имеет право на доступ к хранилищу.

В Windows 2000 устанавливается набор учетных записей администраторов, групп и пользователей по умолчанию. При установке IIS эти параметры не изменяются. В таблице 4.3 приведены учетные записи и группы по умолчанию при установке на изолированный компьютер.

Спектр прав и разрешений администраторов очень широк (см. табл. 4.4). Администратор имеет полный набор прав по управлению системой и осуществляет всесторонний контроль над ней.

Таблица 4.3. Учетные записи и группы Windows 2000 по умолчанию
Группы по умолчанию, отображаемые в ACL	Группы по умолчанию, не отображаемые в ACL	Учетные записи по умолчанию, отображаемые в ACL
Administrators (Администраторы) Backup Operators (Операторы резервного копирования) Guests (Гости) Power Users (Опытные пользователи) Replicator (Репликатор) Users (Пользователи) Everyone (Все пользователи) Web Anonymous Users (Анонимные пользователи интернета) Web Applications (При-ложения интернета)	SYSTEM (Система) CREATOR OWNER (Владелец-создатель) AUTHENTICATED USERS (Авторизованные пользователи) ANONYMOUS LOG-IN (Анонимный вход) BATCH (Пакетный файл) Service (Служба) CREATOR GROUP (Группа создателя) DIALUP (Удаленный доступ) INTERACTIVE NETWORK TERMINAL SERVICE USERS (Пользователи службы терминала)	Administrator (Администратор). Guest (Гость). IUSR_computername (IUSR_имя_компьютера). IWAM_computername (IWAM_имя_компьютера). TsInternetUser.

Таблица 4.4. Полный набор прав и разрешений Windows 2000
Право или разрешение	Описание
Traverse Folder/Execute File (Проход по каталогам/запуск файла)	Traverse Folder позволяет открывать каталог для доступа к другим файлам и каталогам, независимо от разрешений, имеющихся у пользователя относительно данной папки (только для каталогов). Используется только в том случае, если у пользователя нет права Bypass Traverse Checking (Обход проверки прохода). Execute File позволяет запускать файлы программ (только для файлов).
List Folder/Read Data (Просмотр каталога/чтение данных)	List Folder позволяет просматривать имена файлов и подкаталога (только для каталогов). Read Data позволяет осуществлять считывание файлов (только для файлов).
Read Attributes (Считывание атрибутов)	Позволяет просматривать NTFS-атрибуты файла.
Read Extended Attributes (Считывание расширенных атрибутов)	Позволяет просматривать расширенные атрибуты файла, определяемые разными программами.
Create Files/Write Data (Создание файлов/запись данных)	Create Files позволяет создавать файлы в каталоге (только для каталогов). Write Data позволяет изменять и/или перезаписывать файлы (только для файлов).
Create Folders/Append data (Создание каталогов/присоединение данных)	Create Folders позволяет создавать папки внутри папки (только для каталогов). Append data позволяет вносить изменения в конец файла (только для файлов).
Write Attributes (Запись атрибутов)	Позволяет изменять атрибуты NTFS файлов (например, "только чтение" или "скрытый").
Write Extended Attributes (Запись расширенных атрибутов)	Позволяет изменять расширенные атрибуты файла, специфичные для определенной программы.
Delete Subfolders and Files (Удаление подкаталогов и файлов)	Позволяет удалять подкаталоги и файлы независимо от присвоения подкаталогу или файлу разрешения Delete (Удаление).
Delete (Удаление)	Позволяет удалять файл или каталог.
Read Permissions (Чтение разрешений)	Позволяет просматривать разрешения, установленные для каталога или файла.
Change Permissions (Изменение разрешений)	Позволяет изменять разрешения для файла или каталога.
Take Ownership (Присвоение права собственности)	Позволяет присваивать право собственности для файла или каталога.

Как правило, во всех учетных записях отсутствует возможность полного управления списками ACL веб-сервера, если только пользователь не наделяется полномочиями администратора. Даже в этом случае его полномочия ограничиваются некоторым неполным набором администраторских привилегий и ресурсов. Например, веб-менеджер наделяется следующими разрешениями в корневом каталоге диска с содержимым веб-сервера (но только для этого каталога и только на этом диске).

Modify (Изменение). Внесение изменений в каталог.
Read & Execute (Чтение и выполнение). Запуск исполняемых программ.
List Folder Contents (Просмотр содержимого каталога). Просмотр перечня файлов в каталогах.
Read (Чтение). Просмотр файлов данных в каталоге.
Write (Запись). Сохранение новых файлов в каталоге.

Этот набор разрешений включает практически все функции всестороннего контроля над системой, за исключением некоторых. В таблице 4.5, взятой из документации Microsoft по IIS, отражены отличия прав и разрешений веб-менеджера от полномочий, позволяющих полностью управлять системой.

Учетные записи других пользователей веб-сервера (не являющихся менеджерами или администраторами), как правило, являются довольно ограниченными и обычно соответствуют лишь разрешениям на чтение (как при анонимном доступе).

Таблица 4.5. Подкатегории разрешений в сравнении с полным контролем
Разрешения полного контроля	Изменение	Чтение и выполнение	Просмотр содержимого папки	Чтение	Запись
Проход по папкам/Выполнение файла	$\surd$	$\surd$	$\surd$
Просмотр папки/Чтение данных	$\surd$	$\surd$	$\surd$	$\surd$
Чтение атрибутов	$\surd$	$\surd$	$\surd$	$\surd$
Чтение расширенных атрибутов	$\surd$	$\surd$	$\surd$	$\surd$
Создание файлов/Запись данных	$\surd$				$\surd$
Создание папок/Присоединение данных	$\surd$				$\surd$
Запись атрибутов	$\surd$				$\surd$
Запись расширенных атрибутов	$\surd$				$\surd$
Удаление подпапок и файлов
Удаление	$\surd$	$\surd$
Чтение разрешений	$\surd$		$\surd$	$\surd$	$\surd$
Изменение разрешений
Присвоение прав владения

Дальше >>

Безопасность IIS

Безопасность IIS

Учетные записи, аутентификация и политика безопасности

Настройка контроля доступа к веб-серверу в Windows 2000

Настройка групп и параметров администратора по умолчанию

Вопросы и ответы

Студенты

Авторизоваться

Безопасность IIS

Безопасность IIS

Учетные записи, аутентификация и политика безопасности

Настройка контроля доступа к веб-серверу в Windows 2000

Настройка групп и параметров администратора по умолчанию

Вопросы и ответы

Студенты