Тип каталога Предлагаемое разрешение на доступ

Документы Чтение

Программы Чтение и выполнение

Базы данных Чтение и запись

Чтобы защитить файлы на диске системы NTFS

1. Разместите файлы данных на диске системы NTFS и добавьте их на узел Web с помощью вкладки «Каталоги» окна свойств диспетчера служб Интернета.

2. В проводнике Windows NT установите указатель на нужную папку (каталог) и нажмите правую кнопку мыши (укажите корневой каталог узла, чтобы изменить параметры защиты узла в целом), затем выберите команду Свойства.

3. В диалоговом окне Свойства укажите вкладку Безопасность.

4. На вкладке Безопасность нажмите кнопку Разрешения.

5. В окне диалога Разрешения: Каталог нажмите кнопку «Добавить» для добавления пользователей и групп.

6. В окне диалога Добавление пользователей и группдобавьте необходимых пользователей и группы.

7. Нажмите кнопку «OK».

8. В окне диалога Разрешения: Каталог выделите пользователей и группы, которым следует выдать разрешения.

9. В списке Тип доступавыберите разрешение для выделенных пользователей или групп.

10. Нажмите кнопку «OK».

Аудит разрешений на доступ

Для своевременной идентификации недозволенного доступа к защищенным данным можно проводить аудит доступа к файлам и папкам системы NTFS. Например, можно отслеживать попытки пользователей осуществить чтение файлов. Следует периодически проверять записи аудита для выявления недозволенного доступа. Чтобы разрешить аудит, в диспетчере пользователей установите параметр Доступ к файлам и объектам и, далее, укажите в проводнике Windows NT необходимые файлы и типы отслеживаемых событий. Для чтения записей аудита воспользуйтесь приложением для просмотра событий.

Дополнительные сведения о параметрах аудита файлов и папок см. в документации Windows NT.

Управление доступом в каталог WWW

При создании каталога (папки) публикации Web в диспетчере служб Интернета можно выдать разрешения на доступ в основной или виртуальный каталог, а также во все вложенные подкаталоги. Эти разрешения, выдаваемые службой WWW, являются дополнением к разрешениям, предоставляемым файловой системой NTFS:

Чтение.Разрешение на чтение предоставляет клиентам Web право читать или загружать файлы основного или виртуального каталога. Если клиент отправляет запрос на загрузку файла без разрешения на чтение, сервер Web вернет сообщение об ошибке. Как правило, разрешение на чтение необходимо для доступа в каталоги, содержащие публикуемую информацию (например в файлах HTML). В каталогах, содержащих приложения CGI (Common Gateway Interface) и библиотеки динамической компоновки ISAPI (Internet Server Application Program Interface), не следует предоставлять разрешение на чтение для избежания загрузки исполняемых файлов.

Выполнение.Разрешение на выполнение предоставляет клиентам Web право запускать программы и сценарии основного или виртуального каталога. Если клиент отправляет запрос на запуск файла без разрешения на выполнение, сервер Web вернет сообщение об ошибке. В целях безопасности не предоставляйте право на выполнение в каталогах для публикации.

Клиентский запрос может активизировать приложение CGI или ISAPI двумя способами:

· Имя исполняемого файла CGI или библиотеки динамической компоновки ISAPI указано в запросе URL, например:

http://inetsrvr.microsoft.com/scripts/httpodbc.dll/scripts/pubs.idc?lname=Smith

Для обработки этого запроса файл Httpodbc.dll должен находиться в дереве публикации Web (иерархии каталогов, содержащих публикуемые документы), при этом для папки файла (в примере это Scripts) должно быть установлено разрешение на выполнение. Администратор разрешает запускать приложения (CGI или ISAPI), как правило, в ограниченном числе тщательно контролируемых каталогах.

· Приложения CGI и ISAPI можно настроить для запуска с помощью функции отображения расширений имен файлов Web, при этом исполняемые файлы и библиотеки динамической компоновки можно хранить в месте, отличном от дерева публикации Web, например:

http://inetsrvr.microsoft.com/scripts/pubs.idc?lname=Smith

В этом примере файл сценария (Pubs.idc) хранится в папке дерева публикации Web, для которой установлено разрешение на выполнение. В ответ на полученный запрос служба будет использовать отображение расширений имен файлов для поиска приложения, местоположение которого произвольно. Этот механизм позволяет не запускать приложения CGI и ISAPI с помощью добавления параметров непосредственно в адрес URL и, следовательно, является более безопасным для выполнения приложений и сценариев Web. Дополнительные сведения см. в разделе Отображение расширений имен файлов в главе 10 Работа с записями системного реестра.

Чтобы предоставить разрешения на доступ в каталог

1. В диспетчере служб Интернета дважды щелкните службу WWW для открытия окна свойств, затем укажите вкладку «Каталоги».

2. Выделите необходимую папку.

3. Нажмите кнопку «Свойства».

4. Чтобы предоставить клиентам Web право чтения и загрузки документов, хранящихся в папке, установите флажок «Чтение».

5. Чтобы предоставить клиентам Web право запуска программ и сценариев, хранящихся в папке, установите флажок «Выполнение».

6. Нажмите кнопку «OK», затем нажмите кнопку «OK» снова.

Примечание.Рекомендуется устанавливать только один флажок (либо «Чтение», либо «Выполнение»). Исполняемые сценарии и программы следует содержать отдельно от статических документов Web.

Применение других сетевых служб

Следует проанализировать необходимость использования тех или иных сетевых служб на каждом компьютере, имеющем выход в Интернет.

Запускайте только необходимые службы

Чем меньше служб запущено на компьютере, тем меньше вероятность ошибки при администрировании системы. Для отключения на сервере Интернета ненужных служб применяется приложение Службы панели управления.

Удаление связи неиспользуемой службы с сетевой платой, подключенной к Интернету

Используйте вкладку Привязки приложения Сеть панели управления для удаления связи неиспользуемой службы с сетевой платой, подключенной к Интернету. Например, служба Сервер может применяться для копирования новых изображений и документов по внутренней сети, однако вы не хотите, чтобы удаленные пользователи имели доступ к этой службе непосредственно из Интернета.

Чтобы предохранить службу Сервер от недозволенного доступа из глобальной сети, удалите связь этой службы с сетевой платой, подключенной к Интернету. Службу Сервер можно запускать вместе с Интернетом; для этого следует подробно изучить функции системы защиты и подчиняться лицензионному соглашению на Windows NT Server.

Служба Сервер использует протокол SMB (Server Message Block), а не протокол HTTP, при этом лицензионное соглашение на Windows NT Server, по которому нельзя осуществлять подключения HTTP, удовлетворяется.

Проверка разрешений на доступ к сетевым ресурсам

При привязке службы Сервер к сетевой плате Интернета внимательно проверьте список разрешений для общих ресурсов, созданных в системе. Кроме того, следует проверить разрешения для файлов, содержащихся в общих папках.

Не разрешайте просмотр каталогов

Следует разрешать просмотр каталогов на вкладке «Каталоги» окна свойств только в тех случаях, когда эта функция является предусмотренным средством интерфейса узла. Функция просмотра каталогов раскрывает структуру каталогов публикации Web; при неправильной настройке службы существует вероятность недозволенного доступа к исполняемым файлам и защищенным данным. Если документ, загружаемый по умолчанию (Default.htm), отсутствует и разрешен просмотр каталога, служба WWW вернет страницу Web со списком файлов указанного каталога. В каждом каталоге, просмотр которого нежелателен, следует иметь документ Default.htm.

Защита передачи данных с помощью протокола SSL (Secure Sockets Layer)

Предыдущие разделы главы касались средств защиты компьютера от недозволенного доступа. В этом разделе обсуждаются протоколы, применяющие шифрование для защиты данных при обмене между компьютерами.

Службы узла Web предполагают использование специального протокола для защиты данных при переходе от уровня HTTP к уровню TCP/IP. Этот протокол, называемый протокол SSL (Secure Sockets Layer), обеспечивает шифрование данных, проверку подлинности и целостность сообщения для соединения по протоколу TCP/IP.

Протокол SSL предложен рабочей группой W3C по безопасности в качестве стандарта для систем просмотра Web и серверов Интернета. Протокол SSL обеспечивает защиту взаимоподстройки при соединении по протоколу TCP/IP. Взаимоподстройка представляет собой процесс согласования клиента и сервера по уровню используемой защиты и осуществляет проверку подлинности соединения. С этого момента назначение SSL состоит в шифровании и дешифровании потока байтов применяемого протокола (например HTTP). Таким образом, вся информация в запросе HTTP и ответе HTTP полностью зашифрована, в том числе адрес URL в клиентском запросе, содержимое стандартных форм (например номера кредитных карточек), учетные данные (имена и пароли пользователей) и все сведения, возвращаемые от сервера клиенту.

Сервер SSL может осуществлять соединения по Интернету с клиентами SSL (средствами просмотра), например Microsoft Internet Explorer 2.0 или его более поздними версиями.

Протокол SSL замедляет передачу данных за счет выполнения процедуры шифрования. Чтобы избежать уменьшения производительности узла в целом, попробуйте использовать протокол SSL только в виртуальных каталогах, содержащих секретные сведения, например формы с данными кредитных карточек.

Чтобы защитить сервер Web с помощью протокола SSL:

1. Создайте файл ключей и файл запроса.

2. Запросите сертификат в агентстве сертификации.

3. Установите сертификат на вашем сервере.

4. Разрешите использовать протокол SSL в папках службы WWW.

Внимание!При включении протокола SSL помните о следующем.

· Можно защитить как корневой каталог узла Web (по умолчанию \Wwwroot), так и один или несколько виртуальных каталогов.

· Если протокол SSL правильно настроен, только клиенты, использующие SSL, смогут подключаться к папкам WWW.

· Для указания документов в папках WWW в адресе URL следует использовать префикс https:// вместо http://. Любая связь с документом в защищенной папке, содержащая префикс http://, работать не будет.

Создание пары ключей

Чтобы защитить сервер Web с помощью протокола SSL (Secure Sockets Layer), необходимо создать пару ключей и получить сертификат. Для выполнения этой процедуры служит диспетчер ключей (устанавливается вместе со службами и располагается в группе программ Службы узла Web Microsoft).

Чтобы создать пару ключей

1. В подменю Службы узла Web Microsoft выберите команду Диспетчер ключей или нажмите кнопку Диспетчер ключей на панели инструментов диспетчера служб Интернета.

2. В меню Ключ выберите команду Создать новый ключ.

3. В диалоговом окне Создание нового ключа и запроса сертификата введите необходимые данные:

Дата добавления: 2015-07-26; просмотров: 307; Нарушение авторских прав

Мы поможем в написании ваших работ!