Об управлении доступом
Об управлении доступом
Правильное управление доступом к содержимому веб- и FTP-узлов является основным элементом организации защищенного веб-сервера. Используя возможности Windows и системы безопасности IIS, можно эффективно управлять доступом пользователей к содержимому веб- и FTP-узлов. Управление доступом может быть организовано на нескольких уровнях, от всего веб- или FTP-узла до отдельных файлов.
* Анонимный доступ
* Протокол Distributed Authoring and Versioning
* Как работает управление доступом
* Правила управления доступом
Анонимный доступ
Анонимный доступ, который является наиболее широко используемым методом доступа к веб-узлам, позволяет любому пользователю посетить общие области на веб-узле, но предотвращает несанкционированный доступ к важным средствам администрирования веб-сервера и частным сведениям.
Например, если сравнить веб-сервер с музеем, то разрешение анонимного доступа аналогично приглашению посещать общие галереи и экспозиции музея. Однако некоторые комнаты должны быть закрыты, например служебные помещения и лаборатории, которые не должны посещаться посторонними. Аналогично этому, при настройке анонимного доступа к веб-серверу следует задать разрешения NTFS, запрещающие обычным пользователям доступ к личным файлам и каталогам. Дополнительные сведения о разрешениях NTFS см. ниже в разделе Разрешения NTFS.
Для входа всех пользователей на веб-сервер по умолчанию используется анонимная учетная запись. При установке сервера создается специальная учетная запись анонимного пользователя с именем IUSR_имяКомпьютера. Например, для компьютера с именем SalesDept1 учетная запись анонимного пользователя получит имя IUSR_SalesDept1. Каждый веб-узел на сервере может использовать для входа анонимных пользователей либо одну и ту же, либо разные учетные записи. Диспетчер локальных пользователей и групп Windows позволяет создать новую учетную запись для анонимного доступа. Дополнительные сведения см. в разделе О проверке подлинности.
Протокол Distributed Authoring and Versioning (WebDAV)
WebDAV представляет собой расширение стандарта HTTP 1.1 для предоставления любого носителя информации, например файловой системы, при HTTP-соединении. Используя реализацию WebDAV в IIS 5.0, можно предоставить возможность редактировать, перемещать, искать или удалять файлы, каталоги и их свойства на сервере. WebDAV конфигурируется с помощью установки разрешений веб-сервера. Дополнительные сведения см. в разделе Публикация средствами WebDAV.
Можно установить разрешения WebDAV для:
* Поиска каталогов и файлов и их свойств.
* Создания, изменения, удаления и просмотра каталогов и файлов и их свойств.
* Хранения и извлечения настраиваемых свойств файлов и каталогов.
* Блокировки файлов в общих рабочих средах.
WebDAV функционирует в файловых системах и FAT, и NTFS. Более подробные сведения о проекте спецификаций WebDAV см. в разделах Расширения распределенной разработки в Интернете (http://www.ics.uci.edu/~ejw/authoring/protocol/draft-ietf-webdav-protocol-06.html) или Internet Engineering Task Force (http://www.ietf.org/). Более подробные сведения о файловой системе NTFS см. в разделе Защита файлов средствами NTFS..
Примечание. WebDAV является реализацией предложенного проекта HTTP 1.1 и, следовательно, недоступен для служб, не являющихся службами HTTP, например узлов FTP.
Как работает управление доступом
Для того чтобы управлять доступом пользователей к содержимому веб-сервера, следует задать правильную конфигурацию средств безопасности Windows и веб-сервера. Когда пользователь пытается получить доступ к веб-серверу, сервер выполняет ряд операций по проверке пользователя и определению разрешенного уровня доступа.
Ниже приведена структура процесса:
1. Клиент запрашивает ресурс на сервере.
2. Сервер, если его конфигурация предполагает это, запросит у клиента сведения для проверки подлинности. Обозреватель или предложит пользователю ввести имя пользователя и пароль, или передаст эти сведения автоматически. Дополнительные сведения см. в разделе О проверке подлинности.
3. IP-адрес клиента проверяется на ограничения IP-адресов, заложенные в IIS. Если доступ для IP-адреса запрещен, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
4. IIS проверяет допустимость учетной записи пользователя. Если учетная запись пользователя не является допустимой, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
5. IIS проверяет наличие у пользователя веб-разрешений для запрашиваемого ресурса. Если пользователь не имеет соответствующего разрешения, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
6. Любые модули безопасности от независимых разработчиков, добавленные администратором узла веб, используются на этом этапе.
7. IIS проверяет разрешения NTFS для ресурса. Если пользователь не имеет разрешений NTFS для ресурса, запрос не выполняется и пользователь получает сообщение об ошибке "401 Access Forbidden".
8. Если пользователь имеет разрешение NTFS, запрос выполняется.
Ограничения доступа для IP-адресов
Веб-сервер может быть сконфигурирован таким образом, чтобы запрещать доступ к содержимому веб-узла со стороны определенных компьютеров, групп компьютеров и целых сетей. Когда пользователь делает первую попытку получить доступ к содержимому веб-сервера, сервер сравнивает IP-адрес компьютера пользователя со списком ограничений IP-адресов. Дополнительные сведения см. в разделе Предоставление и запрет доступа для компьютеров.
Разрешения веб-сервера
В конфигурации веб-сервера имеется возможность задать разрешения для конкретных узлов, каталогов и файлов. Эти разрешения будут действовать для всех пользователей, вне зависимости от имеющихся у них конкретных прав доступа. Например, можно отключить разрешение «Чтение» для конкретного веб-узла, чтобы запретить доступ пользователей во время обновления содержимого узла. В результате, при попытке доступа к веб-узлу сервер будет возвращать сообщение об ошибке "Access Forbidden". После включения разрешения «Чтение» все пользователи получат возможность просматривать веб-узел, за исключением случая, когда установлены ограничения файловой системы NTFS на просмотр узла пользователями. Дополнительные сведения см. в разделе Задание разрешений для веб-сервера.
Уровни веб-разрешений включают:
* Чтение (выбирается по умолчанию) Пользователи могут просматривать содержимое файла и его свойства.
* Запись Пользователи могут изменять содержимое файла и его свойства.
* Доступ к тексту сценария Пользователи получают доступ к исходным файлам. Если выбрано разрешение «Чтение», исходный текст может быть прочитан. Если установлено разрешение «Запись», можно производить запись и в исходные тексты. «Доступ к тексту сценария» разрешает доступ к исходным текстам для файлов, например сценариям в приложении ASP. Эта возможность доступна только при установленных разрешениях «Чтение» или «Запись».
* Обзор каталогов Пользователи могут просматривать списки и семейства файлов.
* Запись в журнал Запись в журнал делается для каждого посещения узла веб.
* Индексация каталога Позволяет службе индексации создать индекс для ресурса.
Примечание. Установки разрешений веб-сервера влияют на то, какие команды HTTP могут быть использованы для узла, виртуального каталога или файла.
Разрешения NTFS
IIS зависит от разрешений NTFS при обеспечении безопасности отдельных файлов и каталогов от несанкционированного доступа. В отличие от разрешений веб-сервера, которые применяются ко всем пользователям, разрешения NTFS позволяют точно указать, какие пользователи могут получать доступ к содержимому и как эти пользователи могут обрабатывать содержимое.
Уровни разрешений NTFS включают:
* Полный доступ Пользователи могут изменять, добавлять, перемещать и удалять файлы, свойства, связанные с ними, и каталоги. Кроме этого, можно изменить разрешения для всех файлов и подкаталогов.
* Изменение Пользователи могут просматривать и изменять файлы и их свойства, включая удаление и добавление файлов в каталог или свойств файла к файлу.
* Чтение и выполнение Пользователи могут запускать выполняемые файлы, включая сценарии.
* Список содержимого папки Пользователи могут просматривать список содержимого папки.
* Чтение Пользователи могут просматривать файлы и их свойства.
* Запись Пользователи могут записывать файл.
* Нет доступа Когда ни один из флажков не установлен, пользователи не имеют никакого доступа к ресурсу, даже если пользователь имеет доступ к каталогу более высокого уровня.
Важно! Установка разрешения «Нет доступа» к ресурсу для учетной записи IUSR_ИмяКомпьютера приведет к запрету доступа анонимных пользователей к этому ресурсу.
Определяется список разрешений для отдельных файлов и каталогов, который также называют таблицей управления доступом (DACL). При определении этого списка следует выбрать учетную запись пользователя или группы Windows и указать конкретные разрешения.
Приведенная ниже таблица иллюстрирует содержимое списка разрешений для воображаемого документа Microsoft Word MYSERVER:\Administration\Accounts.doc:
Учетная запись пользователя Window 2000 или группы пользователей Разрешения
MYSERVER\Administrators Полный доступ
MYSERVER\JeffSmith Изменение
MYSERVER\Guests Нет доступа
Кроме членов группы администраторов разрешение на изменение этого файла предоставлено только учетной записи с именем JeffSmith. Для обычных пользователей, которые входят как члены группы гостей Windows, доступ к этому файлу запрещен в явном виде.
После задания разрешений NTFS необходимо указать для веб-сервера способ проверки идентификации или подлинности пользователей перед предоставлением им доступа к файлам с ограниченным доступом. Имеется возможность задать в настройке веб-сервера необходимость проверки подлинности пользователей, при которой от пользователей для подключения требуется допустимое имя учетной записи Windows и пароль. Дополнительные сведения см. в разделе О проверке подлинности.
Важно! Неправильная установка таблиц управления доступом NTFS может заставить обозреватель на компьютере клиента запрашивать сведения о пользователе. Например, пользователь не имеет доступа к файлу (согласно настройкам таблиц управления доступом), IIS выдает сообщение о запрете доступа, что заставит обозреватель запросить у пользователя другое имя пользователя и пароль.
Примечание. Обеспечение безопасности сервера предполагает удаление ненужных пользователей и групп или групп, которые являются слишком распространенными. Однако удаление группы «Все» из списка управления доступом для веб-ресурсов без дальнейших изменений вызовет запрет даже неанонимного доступа. Чтобы неанонимный доступ работал правильно, в дополнение к определенным пользователям или группам должны быть установлены следующие разрешения:
* Administrator [полный контроль]
* Creator/Owner [полный контроль]
* System [полный контроль]
Описание конкретных действий см. в разделах Защита файлов средствами NTFS и Задание разрешений NTFS для каталога или файла.
Правила управления доступом
Можно уменьшить вероятность того, что сервер будет подвержен угрозам безопасности, с помощью следующих правил. Эти правила позволяют создать надежную конфигурацию системы безопасности при реализации разумной политики контроля за доступом и правильной настройке средств защиты.
Примечание. Для приложений, требующих особую степень защиты, таких как финансовые или банковские, рекомендуется обращаться к услугам специалистов по безопасности. Ряд консультационных фирм оказывает услуги по настройке и реализации систем безопасности.
Для того чтобы правильно организовать защиту содержимого веб-сервера, придерживайтесь следующих правил:
Политика строгих паролей
Пользователи, укравшие или разгадавшие пароли учетных записей пользователей, могут получить незаконный доступ к содержимому веб-сервера. Необходимо обеспечить, чтобы все пароли, в особенности защищающие привилегии администраторов, были трудными для разгадывания. Чтобы выбирать строгие пароли, придерживайтесь следующих правил:
* Не выбирайте в качестве паролей обычные слова. Компьютерный взломщик, пытающийся нарушить вашу систему защиты, может использовать для перебора паролей специальную программу подстановки по словарям.
* Требуйте, чтобы пароли имели длину не менее восьми символов и содержали как строчные, так и прописные буквы. Кроме того, пароли должны содержать цифры и, по возможности, нестандартные символы.
* Требуйте от пользователей регулярной смены паролей.
Ограничение привилегий доступа для администраторов веб-сервера
Ограничивайте доступ для группы Administrators веб-сервера. Члены группы администраторов могут получить полный контроль над всем веб-сервером и его средствами безопасности. Придерживайтесь следующих правил при определении членства в группе администраторов:
* Предоставляйте привилегии администратора только доверенным лицам.
* Используйте учетную запись администратора только для администрирования сетевого домена. Для просмотра Интернета используйте другую учетную запись пользователя с привилегиями, аналогичными гостю. Это ограничит процессы на компьютере, представленном в Интернете.
* При создании новых групп не предоставляйте им разрешение «Полный доступ», позволяющее пользователям свободно распоряжаться содержимым.
* Регулярно изменяйте пароль учетной записи администратора.
* Никогда не выполняйте непроверенные программы, если вы вошли в систему как администратор.
* При администрировании веб-сервера через удаленный доступ используйте возможности безопасности SSL.
Строгая политика учетных записей
В служебной программе групповой политики Windows задайте политику прав пользователей для групп пользователей Windows. Политика прав пользователей определяет административные действия на веб-сервере, которые могут выполнять пользователи. Например, имеется возможность задать политику, которая гарантирует, что обычные пользователи не имеют права на удаленное отключение веб-сервера. Как правило, пытайтесь установить ограничительную политику прав пользователей. Избегайте случайного предоставления пользователям возможности изменения веб-сервера и его ресурсов. Дополнительные сведения см. в документации Windows или в пакете Microsoft Windows 2000 Server Resource Kit.
Дополнительные сведения о безопасности веб-сервера, см. том IIS Resource Guide пакета Microsoft Windows 2000 Server Resource Kit.
Комментариев нет:
Отправить комментарий