Сделай Сам Свою Работу на 5

Правила управления доступом

Об управлении доступом

Правильное управление доступом к содержимому веб- и FTP-узлов является основным элементом организации защищенного веб-сервера. Используя возможности Windows и системы безопасности IIS, можно эффективно управлять доступом пользователей к содержимому веб- и FTP-узлов. Управление доступом может быть организовано на нескольких уровнях, от всего веб- или FTP-узла до отдельных файлов.

1. Анонимный доступ

2. Как работает управление доступом

3. Правила управления доступом

Анонимный доступ

Анонимный доступ, который является наиболее широко используемым методом доступа к веб-узлам, позволяет любому пользователю посетить общие области на веб-узле, но предотвращает несанкционированный доступ к важным средствам администрирования веб-сервера и частным сведениям.

Например, если сравнить веб-сервер с музеем, то разрешение анонимного доступа аналогично приглашению посещать общие галереи и экспозиции музея. Однако некоторые комнаты должны быть закрыты, например служебные помещения и лаборатории, которые не должны посещаться посторонними. Аналогично этому, при настройке анонимного доступа к веб-серверу следует задать разрешения NTFS, запрещающие обычным пользователям доступ к личным файлам и каталогам. Дополнительные сведения о разрешениях NTFS см. ниже в разделе Разрешения NTFS.

Для входа всех пользователей на веб-сервер по умолчанию используется анонимная учетная запись. При установке сервера создается специальная учетная запись анонимного пользователя с именем IUSR_имяКомпьютера. Например, для компьютера с именем SalesDept1 учетная запись анонимного пользователя получит имя IUSR_SalesDept1. Каждый веб-узел на сервере может использовать для входа анонимных пользователей либо одну и ту же, либо разные учетные записи. Диспетчер локальных пользователей и групп Windows позволяет создать новую учетную запись для анонимного доступа. Дополнительные сведения см. в разделе О проверке подлинности.

Как работает управление доступом

Для того чтобы управлять доступом пользователей к содержимому веб-сервера, следует задать правильную конфигурацию средств безопасности Windows и веб-сервера. Когда пользователь пытается получить доступ к веб-серверу, сервер выполняет ряд операций по проверке пользователя и определению разрешенного уровня доступа.



 

Ниже приведена структура процесса:

  1. Клиент запрашивает ресурс на сервере.
  2. Сервер, если его конфигурация предполагает это, запросит у клиента сведения для проверки подлинности. Обозреватель или предложит пользователю ввести имя пользователя и пароль, или передаст эти сведения автоматически. Дополнительные сведения см. в разделе О проверке подлинности.
  3. IP-адрес клиента проверяется на ограничения IP-адресов, заложенные в IIS. Если доступ для IP-адреса запрещен, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
  4. IIS проверяет допустимость учетной записи пользователя. Если учетная запись пользователя не является допустимой, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
  5. IIS проверяет наличие у пользователя веб-разрешений для запрашиваемого ресурса. Если пользователь не имеет соответствующего разрешения, запрос не выполняется и пользователь получает сообщение об ошибке "403 Access Forbidden".
  6. Любые модули безопасности от независимых разработчиков, добавленные администратором узла веб, используются на этом этапе.
  7. IIS проверяет разрешения NTFS для ресурса. Если пользователь не имеет разрешений NTFS для ресурса, запрос не выполняется и пользователь получает сообщение об ошибке "401 Access Forbidden".
  8. Если пользователь имеет разрешение NTFS, запрос выполняется.

Ограничения доступа для IP-адресов

Веб-сервер может быть сконфигурирован таким образом, чтобы запрещать доступ к содержимому веб-узла со стороны определенных компьютеров, групп компьютеров и целых сетей. Когда пользователь делает первую попытку получить доступ к содержимому веб-сервера, сервер сравнивает IP-адрес компьютера пользователя со списком ограничений IP-адресов.

Разрешения веб-сервера

В конфигурации веб-сервера имеется возможность задать разрешения для конкретных узлов, каталогов и файлов. Эти разрешения будут действовать для всех пользователей, вне зависимости от имеющихся у них конкретных прав доступа. Например, можно отключить разрешение «Чтение» для конкретного веб-узла, чтобы запретить доступ пользователей во время обновления содержимого узла. В результате, при попытке доступа к веб-узлу сервер будет возвращать сообщение об ошибке "Access Forbidden". После включения разрешения «Чтение» все пользователи получат возможность просматривать веб-узел, за исключением случая, когда установлены ограничения файловой системы NTFS на просмотр узла пользователями.

Уровни веб-разрешений включают:

  • Чтение (выбирается по умолчанию) Пользователи могут просматривать содержимое файла и его свойства.
  • Запись Пользователи могут изменять содержимое файла и его свойства.
  • Доступ к тексту сценария Пользователи получают доступ к исходным файлам. Если выбрано разрешение «Чтение», исходный текст может быть прочитан. Если установлено разрешение «Запись», можно производить запись и в исходные тексты. «Доступ к тексту сценария» разрешает доступ к исходным текстам для файлов, например сценариям в приложении ASP. Эта возможность доступна только при установленных разрешениях «Чтение» или «Запись».
  • Обзор каталогов Пользователи могут просматривать списки и семейства файлов.
  • Запись в журнал Запись в журнал делается для каждого посещения узла веб.
  • Индексация каталога Позволяет службе индексации создать индекс для ресурса.

Примечание. Установки разрешений веб-сервера влияют на то, какие команды HTTP могут быть использованы для узла, виртуального каталога или файла.

Разрешения NTFS

IIS зависит от разрешений NTFS при обеспечении безопасности отдельных файлов и каталогов от несанкционированного доступа. В отличие от разрешений веб-сервера, которые применяются ко всем пользователям, разрешения NTFS позволяют точно указать, какие пользователи могут получать доступ к содержимому и как эти пользователи могут обрабатывать содержимое.

Уровни разрешений NTFS включают:

  • Полный доступ Пользователи могут изменять, добавлять, перемещать и удалять файлы, свойства, связанные с ними, и каталоги. Кроме этого, можно изменить разрешения для всех файлов и подкаталогов.
  • Изменение Пользователи могут просматривать и изменять файлы и их свойства, включая удаление и добавление файлов в каталог или свойств файла к файлу.
  • Чтение и выполнение Пользователи могут запускать выполняемые файлы, включая сценарии.
  • Список содержимого папки Пользователи могут просматривать список содержимого папки.
  • Чтение Пользователи могут просматривать файлы и их свойства.
  • Запись Пользователи могут записывать файл.
  • Нет доступа Когда ни один из флажков не установлен, пользователи не имеют никакого доступа к ресурсу, даже если пользователь имеет доступ к каталогу более высокого уровня.

Важно! Установка разрешения «Нет доступа» к ресурсу для учетной записи IUSR_ИмяКомпьютера приведет к запрету доступа анонимных пользователей к этому ресурсу.

Определяется список разрешений для отдельных файлов и каталогов, который также называют таблицей управления доступом (DACL). При определении этого списка следует выбрать учетную запись пользователя или группы Windows и указать конкретные разрешения.

Приведенная ниже таблица иллюстрирует содержимое списка разрешений для воображаемого документа Microsoft Word MYSERVER:\Administration\Accounts.doc:

Учетная запись пользователя Window 2000 или группы пользователей Разрешения
MYSERVER\Administrators Полный доступ
MYSERVER\JeffSmith Изменение
MYSERVER\Guests Нет доступа

Кроме членов группы администраторов разрешение на изменение этого файла предоставлено только учетной записи с именем JeffSmith. Для обычных пользователей, которые входят как члены группы гостей Windows, доступ к этому файлу запрещен в явном виде.

После задания разрешений NTFS необходимо указать для веб-сервера способ проверки идентификации или подлинности пользователей перед предоставлением им доступа к файлам с ограниченным доступом. Имеется возможность задать в настройке веб-сервера необходимость проверки подлинности пользователей, при которой от пользователей для подключения требуется допустимое имя учетной записи Windows и пароль. Дополнительные сведения см. в разделе О проверке подлинности.

Важно! Неправильная установка таблиц управления доступом NTFS может заставить обозреватель на компьютере клиента запрашивать сведения о пользователе. Например, пользователь не имеет доступа к файлу (согласно настройкам таблиц управления доступом), IIS выдает сообщение о запрете доступа, что заставит обозреватель запросить у пользователя другое имя пользователя и пароль.

Примечание. Обеспечение безопасности сервера предполагает удаление ненужных пользователей и групп или групп, которые являются слишком распространенными. Однако удаление группы «Все» из списка управления доступом для веб-ресурсов без дальнейших изменений вызовет запрет даже неанонимного доступа. Чтобы неанонимный доступ работал правильно, в дополнение к определенным пользователям или группам должны быть установлены следующие разрешения:

  • Administrator [полный контроль]
  • Creator/Owner [полный контроль]
  • System [полный контроль]

Описание конкретных действий см. в разделах Защита файлов средствами NTFS и Задание разрешений NTFS для каталога или файла.

Правила управления доступом

Можно уменьшить вероятность того, что сервер будет подвержен угрозам безопасности, с помощью следующих правил. Эти правила позволяют создать надежную конфигурацию системы безопасности при реализации разумной политики контроля за доступом и правильной настройке средств защиты.

Примечание. Для приложений, требующих особую степень защиты, таких как финансовые или банковские, рекомендуется обращаться к услугам специалистов по безопасности. Ряд консультационных фирм оказывает услуги по настройке и реализации систем безопасности.

Для того чтобы правильно организовать защиту содержимого веб-сервера, придерживайтесь следующих правил:

Политика строгих паролей

Пользователи, укравшие или разгадавшие пароли учетных записей пользователей, могут получить незаконный доступ к содержимому веб-сервера. Необходимо обеспечить, чтобы все пароли, в особенности защищающие привилегии администраторов, были трудными для разгадывания. Чтобы выбирать строгие пароли, придерживайтесь следующих правил:



©2015- 2019 stydopedia.ru Все материалы защищены законодательством РФ.