Настройка служб

11 Служит для сортировки списка щелчком по заголовку столбца.

12 Служит для отображения окна свойств службы двойным щелчком мыши.

13 Служит для отображения сервера и состояния службы.

Представление «Серверы»

В представлении «Серверы» службы группируются по именам компьютеров. Чтобы показать установленные на компьютере службы, щелкните знак плюс, расположенный рядом с именем компьютера. Чтобы вывести окно свойств службы, установите указатель на ее имя и дважды нажмите кнопку мыши. Представление «Серверы» наиболее полезно на узлах, использующих несколько серверов Web, если необходимо узнать состояние службы, установленной на отдельном компьютере.

Представление «Службы»

В представлении «Службы» компьютеры группируются по именам служб. Чтобы показать компьютеры, использующие заданную службу, щелкните знак плюс, расположенный рядом с именем службы. Чтобы отобразить окно свойств службы, установите указатель на имя компьютера и дважды нажмите кнопку мыши. Представление «Службы» наиболее полезно на узлах с большим количеством серверов Web, если необходимо найти все компьютеры, запустившие отдельную службу.

Запуск, приостановка и завершение работы службы

С помощью диспетчера служб Интернета можно быстро запустить службу, временно приостановить выполнение или завершить ее работу.

Чтобы запустить службу, временно приостановить выполнение или завершить ее работу

1. В диспетчере служб Интернета выберите необходимую службу.

2. В меню Свойства выберите команды Запустить службу, Остановить службу или Приостановить службу.

Настройка и управление работой службы

В диспетчере служб Интернета можно изменять параметры работы служб WWW, FTP и Gopher. Дальнейшие изложение проводится на примере службы WWW (как наиболее часто используемой).

Чтобы отобразить окно свойств в диспетчере служб Интернета дважды щелкните имя компьютера или службы. В окне свойств выберите вкладку, содержащую необходимую группу элементов управления. После изменения свойств службы нажмите кнопку «OK». Подробные сведения о каждой вкладке окна свойств находятся в главах по системе защиты данных, управлению каталогами и ведению журнала.

Примечание.В некоторых случаях для настройки служб узла Web или Windows NT Workstation может потребоваться редактор реестра (Regedt32.exe). Сведения о записях системного реестра и их использовании см. в главе 10 «Работа с данными системного реестра».

Вкладка «Служба»

Вкладка «Служба» используется для задания методов проверок подлинности, а также для указания учетной записи, используемой при обработке анонимного запроса. Большинство узлов Интернета позволяют осуществлять анонимные подключения. Дополнительные сведения см. в главе 5 «Защита узла от недозволенного доступа».

Вкладка «Каталоги»

Вкладка «Каталоги» используется для указания доступных пользователям каталогов (папок), а также для создания узла Web, состоящего из папок, размещенных на нескольких компьютерах. Кроме того, на вкладке можно определить документ, загружаемый по умолчанию (клиент не указал в запросе имя файла) вместо отображения содержимого каталога. При просмотре содержимого каталога пользователь получит гипертекстовый список каталогов и файлов, с помощью которого можно осуществить доступ к необходимому элементу. Дополнительные сведения см. в главе 6 «Управление каталогами публикации».

Вкладка «Журнал»

Вкладка «Журнал» используется для задания параметров ведения журнала узла. В журнал записываются значимые сведения, характеризующие выполняемые на узле операции (журнал может хранится в текстовых файлах).

Кроме того, с помощью вкладки «Журнал» можно выбрать формат для журнала; журнал ведется в стандартном формате или в общем формате файлов журнала NCSA (National Center for Supercomputing).

Дополнительные сведения см. в главе 7 «Ведение журнала узла Web».

Использование средства просмотра для администрирования служб узла Web

Гипертекстовая версия диспетчера служб Интернета выполняет те же функции управления, что и диспетчер служб Интернета. Для администрирования служб узла Web через Интернет следует запустить гипертекстовую версию из средства просмотра Web (откройте страницу http://имя_компьютера/iisadmin). Чтобы управлять службами, необходимо войти в систему с правами администратора. Если средство просмотра поддерживает протокол проверки подлинности запрос/ответ Windows NT (например Microsoft Internet Explorer версии 2.0 или более поздней), следует использовать эту возможность. В противном случае придется ограничиться простой проверкой подлинности.

Внимание!При удаленном администрировании сервера Web с помощью средства просмотра:

· если средство просмотра поддерживает только простую проверку подлинности, не отключайте проверку при администрировании служб узла Web;

· если служба будет остановлена, произойдет отключение связи, после чего запуск службы с помощью гипертекстовой версии диспетчера служб Интернета будет невозможен;

· при удалении на сервере виртуального каталога Iisadmin этот компьютер не будет доступен в гипертекстовой версии диспетчера служб Интернета.

Использование других средств Windows NT

Для настройки и управления работой служб Интернета можно использовать не только диспетчер служб Интернета, но и другие приложения Windows NT. В этом разделе описано применение приложений Windows NT для настройки и управления работой служб узла Web.

Настройка параметров сервера с помощью панели управления

С помощью панели управления можно настроить параметры Windows NT.

Приложение «Сеть»

С помощью приложения «Сеть» можно настроить протокол TCP/IP (Transmission Control Protocol/Internet Protocol), включая адрес IP, маску подсети и основной шлюз. Чтобы отобразить окно диалога Свойства: TCP/IP Microsoft, в списке «Сетевые протоколы» установите указатель на название Протокол TCP/IPи дважды нажмите кнопку мыши.

Настройка параметров системы DNS (имен узла, домена и сервера DNS) выполняется на вкладке «DNS».

Приложение «Службы»

С помощью приложения «Службы» можно запускать, приостанавливать и завершать службы WWW, Gopher и FTP. Эти же действия можно выполнять в диспетчере служб Интернета.

Чтобы указать службы, запускаемые автоматически при загрузке компьютера, нажмите кнопку «Загрузка». При необходимости можно заменить учетную запись, назначенную службе WWW на вкладке «Служба» диспетчера служб Интернета. Это следует делать в соответствии с принятой системой защиты; в противном случае, используйте параметры по умолчанию, заданные в группе Вход в систему.

Приложение «ODBC»

Приложение «ODBC» применяется для определения источника данных ODBC. Дополнительные сведения о работе с приложением «ODBC» см. в главе 8 «Публикация данных и приложений».

Задание разрешения на доступ к файлу с помощью проводника Windows

Для разрешения доступа к каталогу и файлу на диске файловой системы NTFS (Windows NT File System) применяется проводник Windows NT (вкладка Безопасность, кнопка Разрешения). Предоставление разрешений на доступ в каталог и файл является важной процедурой в системе защиты узла Web. Дополнительные сведения см. в главе 5 «Защита узла от недозволенного доступа».

Управление доступом к файлу невозможно в файловой системе на основе FAT (File Allocation Table); необходимо преобразовать такую файловую систему в систему NTFS с помощью служебной программы Convert.exe. Дополнительные сведения см. в документации Windows NT.

Управление учетными записями с помощью диспетчера пользователей

Диспетчер пользователей, доступный в подменю Администрирование меню Программы, является средством управления системой защиты Windows NT Workstation. С помощью диспетчера пользователей можно:

· создавать учетные записи пользователей и управлять ими;

· создавать группы и управлять ими;

· управлять политикой защиты;

· управлять серверами.

Разрешение возникающих затруднений с помощью приложения для просмотра событий

Приложение для просмотра событий, доступное в подменю Администрирование меню Программы, является средством изучения событий, происходящих в системе. Приложение для просмотра событий можно использовать для работы с журналами событий «Система», «Безопасность» и «Приложения». Диспетчер событий может уведомлять администратора всплывающими сообщениями или заносить записи о событиях в файлы журнала. Эти сведения могут помочь вам разобраться в последовательности событий, приведших к какому-либо состоянию системы.

Наблюдение за службами с помощью системного монитора

Для анализа загруженности узла и управления им используется системный монитор Windows NT, с помощью которого можно измерять производительность объектов Windows NT, например процессов, памяти и кэша. Каждому объекту соответствует счетчик со сведениями об этом объекте. Системный монитор создает диаграммы и ведет журналы производительности, подготавливает отчеты и выдает предупредительные сигналы при превышении счетчиком порогового значения. Дополнительные сведения по системному монитору см. в справочной системе Windows NT.

Службы узла Web автоматически устанавливают в Windows NT счетчики системного монитора для служб WWW, FTP и Gopher, а также общие счетчики IIS (Internet Information Server). Эти счетчики используются для оценки производительности служб Интернета в реальном времени. Список счетчиков и их краткое описание приведены ниже. Если не оговорено противное, каждый счетчик может применяться к любой из трех служб (например, можно наблюдать количество попыток подключений для WWW, FTP или Gopher; но нельзя наблюдать количество текущих запросов CGI только для одной службы WWW).

Примечание.Служба WWW именуется в системном мониторе службой HTTP.

В диалоговом окне Добавление на диаграмму в списке Объект выберите общие счетчики IIS для вставки параметров кэша и сведений общего характера о работе служб узла Web. Предусмотрены следующие счетчики:

ГЛАВА 4

Технические условия для создания узлов Интернета и корпоративных сетей

Интернет является глобальной сетью, состоящей из локальных сетей. Корпоративная сеть представляет собой сеть отдельной организации.

В этой главе описаны:

· маршрутизаторы и устройства защиты;

· типичные сетевые решения;

· технические условия для публикации в корпоративной сети;

· приложение Internet Explorer для пользователей сети;

· использование протокола SNMP (Simple Network Management Protocol) для управления сетью.

Основные требования

В этом разделе описаны технические условия применения протокола TCP/IP (Transport Control Protocol/Internet Protocol) на любых узлах Web, особенно при использовании нескольких серверов Web. Требования для публикации в Интернете и корпоративной сети см. в соответствующем разделе настоящей главы.

Маршрутизаторы и устройства защиты

TCP/IP является протоколом, позволяющим выполнять динамическую маршрутизацию. Каждый блок данных (пакет) содержит адрес, в соответствии с которым пакет передается. Специальные устройства (маршрутизаторы) соединяют сети и передают пакеты друг другу. Маршрутизатор проверяет адрес назначения каждого пакета и, если адрес находится в другой сети, передает пакет.

Маршрутизатор может быть настроен на передачу только определенного типа пакетов; этот процесс называется фильтрацией пакетов. Фильтрация пакетов применяется для предотвращения просмотра или подключений к внутренним компьютерам и ресурсам.

Если ваша сеть является сетью TCP/IP, в ней уже работают маршрутизаторы. Часто маршрутизатор применяется для соединения сервера Web с поставщиком услуг Интернета ISP (Internet Service Provider) и используется для фильтрации входящих и исходящих пакетов. Дополнительные сведения о настройке маршрутизаторов и других подобных устройств защиты см. в документации на них или на ISP.

Типичные сетевые решения

В этом разделе описываются типичные варианты построения корпоративных сетей с узлами Web.

Узлы корпоративных сетей

Для публикации только в корпоративной сети службы узла Web могут быть интегрированы в любую сеть TCP/IP. Если сеть настроена на использование протокола DHCP (Dynamic Host Configuration Protocol) и службы WINS (Windows Internet Name Service), для подключения к серверу Web клиенты могут указывать имя соответствующего компьютера. Если сеть настроена на использование системы имен DNS (Domain Name System), следует указывать доменное имя узла.

Узлы Интернета

Если узел имеет только один компьютер, работающий под управлением служб узла Web, разрешить большинство затруднений вам может помочь поставщик услуг Интернета (ISP), например при настройке маршрутизатора и адреса IP.

Если под управлением служб узла Web работает несколько компьютеров, необходимо правильно настроить параметры TCP/IP посредством конфигурации подключений Интернета, в том числе основного шлюза и всех маршрутизаторов.

Как правило, на узлах с несколькими компьютерами, работающими под управлением служб узла Web, требуется установка дополнительного маршрутизатора. При установке дополнительного маршрутизатора все серверы могут быть выделены в отдельную подсеть, изолированную от остальной сети.

Для создания подсети необходимо иметь:

· Один компьютер с двумя сетевыми платами (следует использовать маршрутизацию TCP/IP) или выделенный маршрутизатор для подсети.

Познакомьтесь в справочной системе Windows NT с процедурой создания простого маршрутизатора на компьютере с Windows NT (для создания таблиц маршрутизации используется командаroute).

· Действующие адреса IP для каждой сетевой платы и правильную маску подсети.

· Правильную конфигурацию адреса IP для основного шлюза.

Адрес IP, маска подсети и конфигурация основного шлюза предоставляется поставщиком услуг Интернета (ISP).

Администрирование серверов с помощью диспетчера служб Интернета

Диспетчер служб Интернета можно установить на отдельный компьютер (работающий под управлением Windows NT) для администрирования компьютеров, на которых выполняется приложение Internet Information Server или службы узла Web. Для сетевой установки выделите в общее пользование папку Admin на компакт-диске с помощью диспетчера файлов или проводника Windows NT. Кроме того, серверы Интернета можно администрировать с помощью средства просмотра Web. Дополнительные сведения см. в главе 3 Настройка и управление работой служб узла Web.

Публикация в корпоративной сети

Службы узла Web могут применяться в любой сети TCP/IP для доступа пользователей к необходимым файлам и приложениям. Этот раздел объясняет условия для публикации в корпоративной сети. Далее рассматриваются:

· системы определения адресов по именам;

· использование протокола DHCP;

· использование имен компьютеров в адресах URL;

· управление сетью с помощью протокола SNMP (при использовании на узле).

Системы определения адресов по именам

Для предоставления клиентам корпоративной сети возможности применения понятных имен для обращения к серверам Web с помощью приложения Internet Explorer необходимо установить систему определения адресов по именам.

В операционной системе Windows NT Workstation для автоматического определения адресов IP можно использовать серверы DHCP и WINS.

Имена компьютеров и сервер WINS

Сервер WINS представляет собой компьютер, работающий под управлением операционной системы Windows NT Server и службы WINS (используется протокол TCP/IP). Сервер WINS управляет базой данных, в которой устанавливается соответствие адресов TCP/IP и имен компьютеров NetBIOS сети Microsoft.

Службы узла Web обращаются к базе данных сервера WINS для определения адресов TCP/IP по сетевым именам компьютеров. Служба WINS использует сеть Microsoft, которая является более гибкой, чем доменная система имен DNS. Кроме того, служба WINS существенно уменьшает объем передаваемых адресных данных между сетями и упрощает доступ клиентов к удаленным ресурсам через локальные или глобальные сети. Для работы в Интернете серверу WINS должен быть выделен действующий адрес IP.

Имена компьютеров и файл LMHOSTS

Файл LMHOSTS является простым текстовым файлом, отображающим имена компьютеров Windows на адреса IP. В небольшой и незагруженной сети можно скопировать файл LMHOSTS на каждый компьютер. Все изменения вносятся в файл LMHOSTS вручную.

Доменные имена и сервер DNS

В корпоративной сети можно установить сервер DNS и использовать доменные имена Интернета. Сервер DNS создается на компьютере, работающем под управлением операционной системы Windows NT Server.

Доменные имена и файл HOSTS

Файл HOSTS является простым текстовым файлом, отображающим доменные имена DNS на адреса IP. В небольшой и незагруженной сети можно скопировать файл HOSTS на каждый компьютер. Все изменения в файл HOSTS вносятся вручную.

Использование сервера DHCP в корпоративной сети

Для автоматического определения адресов IP в корпоративной сети можно создать сервер DHCP.

Сервер DHCP представляет собой компьютер, работающий под управлением операционной системы Windows NT Server и службы DHCP (применяется протокол TCP/IP).

При применении серверов DHCP для автоматического определения имен по адресам IP необходимо использовать серверы WINS. Протокол DHCP описан в документах RFC (Requests for Comments) 1533, 1534, 1541 и 1542. Дополнительные сведения о серверах DHCP см. в файле Tcpip.hlp системы Windows NT Workstation.

Дополнительные сведения см. в документации Windows NT Server.

Использование адресов URL и создание ссылок HTML в корпоративных сетях

При подключении в корпоративной сети к серверу или создании файлов и ссылок HTML следует именовать компьютеры в соответствии с реализованной системой определения адресов по именам. Например, при использовании серверов WINS для обращения к ресурсам применяются имена Windows, например http://sales1/homepage.htm, где sales1 является именем компьютера, выполняющего службы узла Web.

ГЛАВА 5

Защита узла от недозволенного доступа

Задача защиты данных актуальна даже для локального узла Web, к которому обращаются члены только одной рабочей группы. При подключении компьютера к корпоративной сети и предоставлении личных документов для общего использования вы не застрахованы от случайного или преднамеренного удаления необходимых файлов.

Операционная система Windows NT разработана таким образом, чтобы предоставить пользователю средства защиты данных от недозволенного доступа. Службы узла Web построены на основе модели защиты данных Windows NT и имеют дополнительные средства управления и защиты. Эта глава поможет эффективно использовать средства Windows NT и служб узла Web. Полностью изучите эту главу перед подключением вашего компьютера к сети. Если содержание главы будет непонятно, следует обратиться к документации по Windows NT, к уполномоченному поставщику Microsoft Solution Provider или к другому источнику необходимых сведений.

В этой главе объясняется, как:

· работает защита служб узла Web;

· управлять анонимным доступом;

· управлять доступом пользователей и групп;

· запрашивать имя и пароль пользователя для проверки подлинности;

· разрешать доступ в папки и файлы;

· защищать данные с помощью протокола SSL.

Как работает защита служб узла Web

Службы узла Web построены на системе защиты Windows NT, которая использует для этой цели учетные записи пользователей и пароли. Управление доступом к ресурсам компьютера осуществляется изменением прав пользователей в учетных записях. Для разрешения доступа к файлам и папкам применяются встроенные средства файловой системы Windows NT (NTFS), с помощью которых можно запретить копирование файлов (в папку или из папки), а также выполнение в папке программ.

Кроме средств защиты Windows NT, с помощью диспетчера служб Интернета можно создавать виртуальные каталоги только для чтения документов или только для выполнения приложений. Службы узла Web поддерживают протокол SSL (Secure Sockets Layer), в котором применяется шифрование при передаче данных между клиентами и серверами.

Если компьютер, работающий под управлением служб узла Web, получает запрос от клиентской системы просмотра, выполняется проверка запроса. На следующем рисунке представлена упрощенная схема проверки каждого запроса.

Следующие разделы объясняют порядок настройки Windows NT и служб Интернета для защиты вашей системы.

Управление анонимным доступом

На серверах Web большинство подключений к службам WWW, FTP и Gopher является анонимным, т.е. клиентские запросы не содержат имени и пароля пользователя. Такие подключения применяются в следующих случаях:

· клиент FTP вошел в систему с именем Anonymous;

· во всех запросах к службе Gopher;

· запрос средства просмотра Web не содержит имени пользователя в заголовке HTTP (по умолчанию в новых подключениях для большинства средств просмотра).

Даже если пользователь вошел в систему анонимно, можно управлять его доступом. Каждая служба Интернета при обработке анонимных запросов использует имя и пароль пользователя. При получении анонимного запроса разыгрывается сценарий анонимного подключения. Запрос принимается к исполнению, если анонимный пользователь имеет разрешение на доступ к запрашиваемому ресурсу в соответствии с таблицей управления доступом (ACL). Если анонимный пользователь не имеет разрешения, запрос отклоняется. Можно настроить службу WWW таким образом, чтобы после отклонения анонимного запроса пользователю автоматически предлагалось представить свое имя и пароль (эта процедура называется проверкой подлинности).

Настройка учетной записи анонимного пользователя

Настройка учетной записи анонимного пользователя выполняется с помощью вкладки Служба диспетчера служб Интернета (службы WWW, FTP и Gopher). Службы могут использовать одну и ту же или разные учетные записи анонимных пользователей. С помощью таких учетных записей в таблицах управления доступом файлов или папок можно точно определять ресурсы, доступные анонимным клиентам.

Учетная запись анонимного пользователя должна являться действующей учетной записью пользователя Windows NT на компьютере со службами Web, а пароль должен быть паролем анонимного пользователя в соответствии с базой данных пользователей этого компьютера. Учетные записи и пароли пользователей создаются и изменяются в диспетчере пользователей Windows NT с помощью команды Права пользователейв меню Политика. Учетная запись анонимного пользователя должна содержать право Локальный вход.

Учетная запись IUSR_имякомпьютера (с некоторым случайно выбранным паролем) создается автоматически при установке служб узла Web. Например, если компьютер имеет имя marketing1, то учетная запись анонимного пользователя получит имя IUSR_marketing1.

По умолчанию все клиенты Web подключаются к компьютеру по учетной записи IUSR_имякомпьютера. Учетная запись IUSR_имякомпьютера доступна только при локальном входе на компьютер со службами узла Web.

Примечание.Учетная запись IUSR_имякомпьютера также добавляется в группу Гости. Если вы изменяете параметры группы «Гости», сделанные изменения будет применяться также и к учетной записи IUSR_имякомпьютера. Следует проанализировать параметры группы «Гости» и убедиться, что они подходят для учетной записи IUSR_имякомпьютера.

В службах WWW и FTP можно разрешить или запретить анонимные подключения (все запросы службы Gopher являются анонимными). В каждой службе Web (WWW, FTP и Gopher) можно изменить учетную запись, используемую для обработки анонимных запросов, а также изменить пароль этой записи.

Чтобы разрешить анонимные подключения

1. В диспетчере служб Интернета дважды щелкните службу WWW или FTP для открытия окна свойств, затем укажите вкладку «Служба».

2. В службе WWW установите флажок «Разрешить анонимный вход». В службе FTP установите флажок «Разрешить анонимные подключения».

3. Нажмите кнопку «OK».

Чтобы изменить учетную запись, используемую для обработки анонимных запросов, а также пароль этой записи

1. В диспетчере служб Интернета дважды щелкните службу для открытия окна свойств, затем укажите вкладку «Служба».

2. В группе «Анонимные подключения» введите новое имя.

По умолчанию используется учетная запись IUSR_имякомпьютера, где имякомпьютера соответствует имени вашего компьютера. Такая учетная запись создается автоматически при установке служб узла Web.

3. В поле «Пароль» введите новый пароль.

Учетная запись IUSR_имякомпьютера имеет пароль, выбранный случайным образом.

Примечание.Изменение пароля этой записи выполняется с помощью диспетчера пользователей.

4. Нажмите кнопку «OK».

Управление доступом пользователей и групп

Для управления доступом на узел Web используется диспетчер пользователей Windows NT, с помощью которого отдельным пользователям и группам пользователей выдаются разрешения на выполнение тех или иных действий. Службы узла Web разрешают доступ к ресурсам компьютера после проверки имени и пароля пользователя, указанных в клиентском запросе.

Создание учетных записей пользователей

Для защиты ресурсов компьютера система безопасности Windows NT использует учетные записи пользователей. На компьютере, работающем под управлением операционной системы Windows NT, всегда известен инициатор каждого выполняемого действия; имя и пароль пользователя, введенные при входе в систему Windows NT, однозначно определяют пользователя и его права. Права (назначаются в диспетчере пользователей с помощью меню Политика) определяют действия, разрешенные пользователю в системе, включая право Локальный вход, которое необходимо для процедуры проверки подлинности.

Для проверки подлинности в службах Интернета по протоколу запроса/ответа Windows NT пользователям необходимо предоставить право Доступ к этому компьютеру из сети. По умолчанию это право имеет каждый пользователь.

Чтобы повысить безопасность, руководствуйтесь следующими правилами:

· Не предоставляйте учетной записи IUSR_имякомпьютера, группе «Гости» и группе Все какое-либо дополнительное право сверх прав Локальный вход и Доступ к этому компьютеру из сети.

· Убедитесь, что пароли в учетных записях всех пользователей, особенно администраторов, не являются тривиальными (т.е. не могут быть случайно угаданными). Основное внимание уделите паролю администратора (больше всего подходит достаточно длинная последовательность чисел и букв, набираемых на разных регистрах) и установите подходящую политику учетных записей. Пароли задаются с помощью диспетчера пользователей или вводятся в ответ на системное приглашение.

· Убедитесь, что указаны сроки действия паролей (это стимулирует обновление паролей), а также установите другие параметры учетных записей, например количество неудачных попыток, допускаемых в процедуре входа в систему до блокировки пользователя. Такая политика (задается в диспетчере пользователей) предназначена для предотвращения действий, направленных на дешифровку пароля полным или случайным перебором возможных вариантов.

· Ограничьте состав группы «Администраторы» доверенными лицами.

· При использовании предопределенных в Windows NT учетных записей ИНТЕРАКТИВНЫЕ и СЕТЬ убедитесь, что файлы на узле Web доступны с помощью этих учетных записей. Для предоставления файла по анонимному запросу или по запросу с простой проверкой подлинности необходимо разрешить доступ по учетной записи ИНТЕРАКТИВНЫЕ. Для предоставления файла по запросу с проверкой подлинности по протоколу запроса/ответа Windows NT необходимо разрешить доступ по учетной записи СЕТЬ.

Запрос пользовательского имени и пароля

Можно управлять доступом на узел Web только подлинных клиентов, т.е. клиентов Web, которые ввели имя и пароль, указанные в действующей учетной записи Windows NT. Если включен режим проверки подлинности, доступ не будет разрешен до тех пор, пока пользователь не введет правильные имя и пароль. Проверка пароля осуществляется для ограничения круга пользователей, имеющих доступ к ресурсам узла Web, только уполномоченными лицами или группами, определяемыми файловой системой NTFS. Доступ анонимных и уполномоченных пользователей на узел Web может выполняться одновременно.

Служба WWW поддерживает два метода проверки подлинности: простой и запрос/ответ Windows NT (иногда называемый NTLM).

В простой проверке подлинности не используется шифрование при обмене данными между клиентом и сервером. Поскольку имя и пароль пользователя передаются по сети незакодированными, они могут быть легко узнаны злоумышленниками.

Проверка подлинности по методу запрос/ответ Windows NT, поддерживаемая в настоящее время только Microsoft Internet Explorer версии 2.0 и более поздними, защищает пароль, обеспечивая безопасную работу в сети. При этом гарантируется, что учетная запись пользователя является именно той записью, с которой клиент вошел в систему на своем компьютере. Поскольку эта запись, включая домен Windows NT, должна быть действующей записью на компьютере, работающем под управлением служб узла Web, проверка подлинности по методу запрос/ответ Windows NT особенно эффективна в корпоративной сети, в которой компьютеры клиента и сервера находятся в одном домене. В связи с этим Microsoft рекомендует использовать этот метод проверки подлинности везде, где это только возможно.

По умолчанию включены оба метода проверки подлинности. Если средство просмотра поддерживает метод запрос/ответ Windows NT, оно применяет именно этот метод проверки подлинности. В противном случае используется простая проверка. Метод запрос/ответ Windows NT в настоящее время поддерживается только Internet Explorer 2.0 и его более поздними версиями.

Можно назначить проверку подлинности клиентов для всех запросов к службе FTP или только для неправильных запросов. Служба FTP поддерживает только простой метод проверки подлинности, поэтому ваш узел будет лучше защищен при разрешенных анонимных подключениях.

Чтобы разрешить проверку подлинности в службе WWW

1. В диспетчере служб Интернета дважды щелкните службу WWW для открытия окна свойств, затем укажите вкладку «Служба».

2. Установите флажки «Простая (без шифрования паролей)» и/или «Запрос/ответ Windows NT».

3. Нажмите кнопку «OK».

Чтобы разрешить проверку подлинности в службе FTP

1. В диспетчере служб Интернета дважды щелкните службу FTP для открытия окна свойств, затем укажите вкладку «Служба».

2. Чтобы выполнять проверку подлинности для неправильных анонимных подключений, снимите флажок «Разрешить только анонимные подключения».

3. Чтобы выполнять проверку подлинности для всех клиентских запросов, снимите флажок «Разрешить анонимные подключения».

Предупреждение.При использовании простого метода проверки подлинности в службах FTP и WWW передача пароля по сети осуществляется без кодирования, так же как и при проверке подлинности по протоколу HTTP.

Как взаимодействуют анонимные и проверяемые запросы

Доступ анонимных и уполномоченных пользователей на узел Web может выполняться одновременно как в службе WWW, так и в службе FTP. Этот раздел описывает взаимодействие этих способов доступа на сервер Web.

Если проверка подлинности не выполняется, но разрешены анонимные подключения, клиентский запрос, содержащий имя и пароль пользователя, обрабатывается как анонимный (личные данные пользователя игнорируются).

Служба WWW

Если служба WWW получает клиентский запрос, содержащий личные данные (имя и пароль пользователя), учетная запись анонимного пользователя не используется при обработке такого запроса. Если служба не может предоставить доступ к ресурсу по указанным личным данным, запрос отклоняется и клиенту отправляется сообщение об ошибке.

При отклонении анонимного запроса (учетная запись анонимного пользователя не содержит права доступа к запрашиваемому ресурсу) в ответе клиенту будет содержаться указание на метод проверки подлинности, применяемый в службе WWW. Если служба настроена на простой метод проверки подлинности по протоколу HTTP, большинство средств просмотра Web будут запрашивать имя и пароль пользователя и повторять запрос с указанными личными данными.

Если средство просмотра Web поддерживает проверку подлинности по методу запроса/ответа Windows NT и служба WWW настроена на использование этого протокола, анонимный запрос WWW не будет обрабатываться до тех пор, пока средство просмотра не передаст имя и зашифрованный пароль пользователя.

Если служба WWW настроена на одновременное использование простого метода проверки подлинности и метода запроса/ответа Windows NT, сервер Web вернет системе просмотра указание на применение обоих протоколов, после чего будет выполнен выбор метода проверки подлинности. Поскольку метод запрос/ответ Windows NT отображается в заголовке первым, система просмотра настроится на него. Если система просмотра не поддерживает этот метод, она будет использовать проверку подлинности по простому протоколу. Метод запрос/ответ Windows NT в настоящее время поддерживается только Internet Explorer 2.0 и его более поздними версиями.

Служба FTP

Если служба FTP получает клиентский запрос, содержащий личные данные (имя и пароль пользователя), учетная запись анонимного пользователя не используется при обработке такого запроса. Если служба не может предоставить доступ к ресурсу по указанным личным данным, запрос отклоняется и клиенту отправляется сообщение об ошибке.

При отклонении анонимного запроса (учетная запись анонимного пользователя не содержит права доступа к запрашиваемому ресурсу) в ответе клиенту будет содержаться сообщение об ошибке. Большинство средств просмотра Web будут запрашивать имя и пароль пользователя и повторять запрос с указанными личными данными.

Предупреждение.Поскольку имя и пароль пользователя передаются службой FTP (а также при использовании простого метода проверки подлинности в службе WWW) по сети незакодированными, они могут быть легко прочитаны злоумышленниками с помощью программ анализа протоколов.

Создание собственной системы проверки подлинности

Для создания собственной системы проверки подлинности следует получить копию пакета Win32 Software Development Kit (SDK) и прочитать спецификацию фильтров ISAPI на создание пользовательских библиотек динамической компоновки (DLL), управляющих процедурами проверки подлинности. Пакет Win32 SDK можно получить по подписке на Microsoft Developer Network. Дополнительные сведения см. на основной странице Microsoft (http://www.microsoft.com).

Разрешение доступа в папки и файлы

Каждый доступ к ресурсу, например: к файлу, странице HTML или приложению ISAPI (Internet Server API), выполняется службой от имени пользователя Windows NT. Служба использует личные данные (имя и пароль пользователя) при попытке чтения или запуска необходимого ресурса. Доступом к файлам и папкам можно управлять следующими способами:

· выдавая разрешения на доступ с помощью файловой системы NTFS (Windows NT File System);

· выдавая разрешения на доступ с помощью диспетчера служб Интернета.

Примечание.Файловая система на основе FAT (File Allocation Table) не поддерживает управление доступом. Однако разделы FAT могут быть преобразованы в систему NTFS с помощью служебной программы convert. Дополнительные сведения см. в документации Windows NT на эту программу.

Разрешение доступа в системе NTFS

Для управления защитой и доступом к данным следует использовать файловую систему NTFS. С помощью этой системы можно ограничить доступ отдельных пользователей и служб к тем или иным файлам данных. Особенно удобно использовать таблицы управления доступом (ACL) для служб публикации Интернета.

Таблицы управления доступом ACL разрешают или запрещают доступ к необходимым файлам и папкам в соответствии с учетными записями пользователей или групп пользователей Windows NT. Если служба Интернета пытается выполнить чтение или запуск файла по клиентскому запросу, учетная запись пользователя должна содержать необходимое разрешение в соответствии с таблицей управления доступом данного файла. Если учетная запись не имеет разрешения на доступ к файлу, запрос отклоняется и клиенту отправляется сообщение об ошибке.

Таблицы управления доступом к файлам и папкам настраиваются с помощью проводника Windows NT. Файловая система NTFS имеет простой интерфейс управления файлами, с помощью которого можно назначить пользователей и группы, а также указать тип доступа. Например, некоторые пользователи могут иметь доступ только для чтения, в то время как другие пользователи могут читать, изменять и записывать файлы. Следует проверить разрешения на доступ к ресурсам, сопоставленные учетной записи IUSR_имякомпьютера, а также учетным записям действующих пользователей.

Убедитесь, что в группу Все входят все пользователи и группы, в том числе учетная запись IUSR_имякомпьютера и группа «Гости». По умолчанию группа Все имеет полный доступ ко всем файлам системы NTFS.

Если существуют конфликты между параметрами системы NTFS и служб узла Web, согласуйте необходимые значения.

Следует проанализировать и упорядочить параметры защиты всех папок узла Web, при этом можно пользоваться следующей таблицей:

Дата добавления: 2015-07-26; просмотров: 295; Нарушение авторских прав

Мы поможем в написании ваших работ!