Microsoft служби вузла Web

Завдання захисту даних є актуальним навіть для локального вузла Web, до якого звертаються члени лише однієї робочої групи. При підключенні комп'ютера до корпоративної мережі та наданні особистих документів для загального використання ви не застраховані від випадкового чи навмисного видалення необхідних файлів.

У цьому розділі пояснюється, як:

    працює захист служб вузла Web;

керувати анонімним доступом;

керувати доступом користувачів та груп;

запитувати ім'я та пароль користувача для автентифікації;

дозволяти доступ до папок та файлів;

  • захищати дані за допомогою протоколу SSL.

    • Як працює захист служб вузла Web

    Крім засобів захисту Windows NT, за допомогою диспетчера служб Інтернету можна створювати віртуальні каталоги тільки для читання документів або для виконання програм. Служби вузла Web підтримують протокол SSL (Secure Sockets Layer), у якому застосовується шифрування під час передачі даних між клієнтами та серверами.

    windows

    Наступні розділи пояснюють порядок налаштування Windows NT та служб Інтернету для захисту системи.

    Управління анонімним доступом

    у всіх запитах до служби Gopher;

    Налаштування облікового запису анонімного користувача

    Обліковий запис анонімного користувача повинен бути дійсним обліковим записом користувача Windows NT на комп'ютері зі службами Web, а пароль повинен бути паролем анонімного користувача відповідно до бази даних користувачів цього комп'ютера. Облікові записи та паролі користувачів створюються та змінюються в диспетчері користувачів Windows NT за допомогою командиПравакористувачіву менюПолітика. Обліковий запис анонімного користувача має містити право Локальний вхід.

    За замовчуванням всі клієнти Web підключаються до комп'ютера з облікового запису IUSR_ім'якомп'ютера. Обліковий запис IUSR_ім'якомп'ютерадоступний лише при локальному вході на комп'ютер із службами вузла Web.

    Примітка.Обліковий запис IUSR_ім'якомп'ютератакож додається до групи Гості. Якщо ви змінюєте параметри групи «Гості», зроблені зміни буде застосовуватися також і до облікового запису IUSR_ім'якомп'ютера. Слід проаналізувати параметри групи «Гості» та переконатися, що вони підходять для облікового запису IUSR_ім'якомп'ютера.

    У службах WWW та FTP можна дозволити або заборонити анонімні з'єднання (всі запити Gopher є анонімними). У кожній службі Web (WWW, FTP та Gopher) можна змінити обліковий запис, який використовується для обробки анонімних запитів, а також змінити пароль цього запису.

    Щоб дозволити анонімне підключення

      1.У диспетчері служб Інтернету двічі клацніть службу WWW або FTP, щоб відкрити вікно властивостей, а потім виберіть вкладку «Служба».

    2.У службі WWW встановіть прапорець «Дозволити анонімний вхід». У службі FTP встановіть прапорець «Дозволити анонімні з'єднання».

    Щоб змінити обліковий запис, який використовується для обробки анонімних запитів, а також пароль цього запису

      1.У диспетчері служб Інтернету двічі клацніть службу, щоб відкрити вікно властивостей, а потім виберіть вкладку «Служба».

    Керування доступом користувачів та груп

    Створення облікових записів користувачів

    Для автентифікації в Інтернеті за запитом/відповіддю Windows NT користувачам необхіднонадати право Доступ до цього комп'ютера з мережі. За замовчуванням, це право має кожен користувач.

    Щоб підвищити безпеку, керуйтеся такими правилами:

      Не надайте облікового запису IUSR_ім'якомп'ютера, групі «Гості» та групі Все додаткове право понад права Локальний вхід та Доступ до цього комп'ютера з мережі.

    Переконайтеся, що паролі в облікових записах всіх користувачів, особливо адміністраторів, не є тривіальними (тобто, не можуть бути випадково вгаданими). Основну увагу приділіть паролю адміністратора (найбільше підходить досить довга послідовність чисел і букв, що набираються на різних регістрах) і встановіть відповідну політику облікових записів. Паролі задаються диспетчером користувачів або вводяться у відповідь на системне запрошення.

    Переконайтеся, що вказані терміни дії паролів (це стимулює оновлення паролів), а також встановіть інші параметри облікових записів, наприклад, кількість невдалих спроб, які допускаються у процедурі входу до системи до блокування користувача. Така політика (задається в диспетчері користувачів) призначена для запобігання діям, спрямованим на дешифрування пароля, повним або випадковим перебором можливих варіантів.

    Обмежте склад групи «Адміністратори» довіреними особами.

  • При використанні обумовлених у Windows NT облікових записів ІНТЕРАКТИВНІ та МЕРЕЖА переконайтеся, що файли на вузлі Web доступні за допомогою цих облікових записів. Для надання файлу за анонімним запитом або за запитом з простою автентифікацією необхідно дозволити доступ до облікового запису ІНТЕРАКТИВНІ. Для надання файлу за запитом з автентифікацією за протоколом запиту/відповіді Windows NT необхіднодозволити доступ до облікового запису МЕРЕЖА.

    • Запит імені користувача та пароля

    Служба WWW підтримує два методи автентифікації: простий і запит/відповідь Windows NT (іноді званий NTLM).

    Проста автентифікація не використовує шифрування під час обміну даними між клієнтом і сервером. Оскільки ім'я та пароль користувача передаються через мережу незакодованими, вони можуть бути легко впізнані зловмисниками.

    Можна призначити автентифікацію клієнтів для всіх запитів до служби FTP або лише для неправильних запитів. Служба FTP підтримує лише простий метод автентифікації, тому ваш вузол буде краще захищений при дозволених анонімних підключеннях.

    Щоб дозволити автентифікацію у службі WWW

      1.У диспетчері служб Інтернету двічі клацніть службу WWW, щоб відкрити вікно властивостей, а потім виберіть вкладку «Служба».

    2.Встановіть прапорці «Проста (без шифрування паролів)» та/або «Запит/відповідь Windows NT».

    Щоб дозволити автентифікацію у службі FTP

      1.У диспетчері служб Інтернету двічі клацніть службу FTP, щоб відкрити вікно властивостей, а потім виберіть вкладку «Служба».

    2.Щоб здійснити автентифікацію для неправильних анонімних підключень, зніміть прапорець «Дозволити лише анонімні підключення».

    3.Щоб здійснити автентифікацію для всіх запитів клієнта, зніміть прапорець «Дозволити анонімні підключення».

    Попередження.При використанні простого методу автентифікації у службах FTP та WWW передача пароля по мережі здійснюється без кодування, так само як і при автентифікації за протоколом HTTP.

    Як взаємодіють анонімні та перевірені запити

    Якщо автентифікація не виконується, але дозволено анонімне підключення, запит клієнта, що містить ім'я та пароль користувача, обробляється як анонімний (особисті дані користувача ігноруються).

    Служба WWW

    Служба FTP

    Створення власної системи автентифікації

    Дозвіл доступу до папок та файлів

  • видаючи дозволи на доступ за допомогою диспетчера Інтернет-служб.
    • Примітка.Файлова система на основі FAT (File Allocation Table) не підтримує керування доступом. Однак розділи FAT можуть бути перетворені на систему NTFS за допомогою службової програмиconvert. Щоб отримати додаткові відомості, див. документацію Windows NT на цю програму.

    Дозвіл доступу до системи NTFS

    Якщо виникають конфлікти між параметрами системи NTFS та службами вузла Web, узгодьте необхідні значення.

    Слід проаналізувати та впорядкувати параметри захисту всіх папок вузла Web, при цьому можна скористатися наступною таблицею: