ГЛАВА 5
Защита узла от недозволенного доступа
Задача защиты данных актуальна даже для локального узла Web, к которому обращаются члены только одной рабочей группы. При подключении компьютера к корпоративной сети и предоставлении личных документов для общего использования вы не застрахованы от случайного или преднамеренного удаления необходимых файлов.
Операционная система Windows NT разработана таким образом, чтобы предоставить пользователю средства защиты данных от недозволенного доступа. Службы узла Web построены на основе модели защиты данных Windows NT и имеют дополнительные средства управления и защиты. Эта глава поможет эффективно использовать средства Windows NT и служб узла Web. Полностью изучите эту главу перед подключением вашего компьютера к сети. Если содержание главы будет непонятно, следует обратиться к документации по Windows NT, к уполномоченному поставщику Microsoft Solution Provider или к другому источнику необходимых сведений.
В этой главе объясняется, как:
Как работает защита служб узла Web Кроме средств защиты Windows NT, с помощью диспетчера служб Интернета можно создавать виртуальные каталоги только для чтения документов или только для выполнения приложений. Службы узла Web поддерживают протокол SSL (Secure Sockets Layer), в котором применяется шифрование при передаче данных между клиентами и серверами.
Если компьютер, работающий под управлением служб узла Web, получает запрос от клиентской системы просмотра, выполняется проверка запроса. На следующем рисунке представлена упрощенная схема проверки каждого запроса.
![[05_i257c 5437 bytes ]](05_i257c.GIF)
Следующие разделы объясняют порядок настройки Windows NT и служб Интернета для защиты вашей системы.
Управление анонимным доступом
Учетная запись анонимного пользователя должна являться действующей учетной записью пользователя Windows NT на компьютере со службами Web, а пароль должен быть паролем анонимного пользователя в соответствии с базой данных пользователей этого компьютера. Учетные записи и пароли пользователей создаются и изменяются в диспетчере пользователей Windows NT с помощью команды Права пользователей в меню Политика. Учетная запись анонимного пользователя должна содержать право Локальный вход.
Учетная запись IUSR_имякомпьютера (с некоторым случайно выбранным паролем) создается автоматически при установке служб узла Web. Например, если компьютер имеет имя marketing1, то учетная запись анонимного пользователя получит имя IUSR_marketing1.
По умолчанию все клиенты Web подключаются к компьютеру по учетной записи IUSR_имякомпьютера. Учетная запись IUSR_имякомпьютера доступна только при локальном входе на компьютер со службами узла Web.
Примечание. Учетная запись IUSR_имякомпьютера также добавляется в группу Гости. Если вы изменяете параметры группы «Гости», сделанные изменения будет применяться также и к учетной записи IUSR_имякомпьютера. Следует проанализировать параметры группы «Гости» и убедиться, что они подходят для учетной записи IUSR_имякомпьютера.
В службах WWW и FTP можно разрешить или запретить анонимные подключения (все запросы службы Gopher являются анонимными). В каждой службе Web (WWW, FTP и Gopher) можно изменить учетную запись, используемую для обработки анонимных запросов, а также изменить пароль этой записи.
2. В службе WWW установите флажок «Разрешить анонимный вход». В службе FTP установите флажок «Разрешить анонимные подключения».
3. Нажмите кнопку «OK».
2. В группе «Анонимные подключения» введите новое имя.
Управление доступом пользователей и групп Для проверки подлинности в службах Интернета по протоколу запроса/ответа Windows NT пользователям необходимо предоставить право Доступ к этому компьютеру из сети. По умолчанию это право имеет каждый пользователь.
Чтобы повысить безопасность, руководствуйтесь следующими правилами:
Служба WWW поддерживает два метода проверки подлинности: простой и запрос/ответ Windows NT (иногда называемый NTLM).
В простой проверке подлинности не используется шифрование при обмене данными между клиентом и сервером. Поскольку имя и пароль пользователя передаются по сети незакодированными, они могут быть легко узнаны злоумышленниками.
Проверка подлинности по методу запрос/ответ Windows NT, поддерживаемая в настоящее время только Microsoft Internet Explorer версии 2.0 и более поздними, защищает пароль, обеспечивая безопасную работу в сети. При этом гарантируется, что учетная запись пользователя является именно той записью, с которой клиент вошел в систему на своем компьютере. Поскольку эта запись, включая домен Windows NT, должна быть действующей записью на компьютере, работающем под управлением служб узла Web, проверка подлинности по методу запрос/ответ Windows NT особенно эффективна в корпоративной сети, в которой компьютеры клиента и сервера находятся в одном домене. В связи с этим Microsoft рекомендует использовать этот метод проверки подлинности везде, где это только возможно.
По умолчанию включены оба метода проверки подлинности. Если средство просмотра поддерживает метод запрос/ответ Windows NT, оно применяет именно этот метод проверки подлинности. В противном случае используется простая проверка. Метод запрос/ответ Windows NT в настоящее время поддерживается только Internet Explorer 2.0 и его более поздними версиями.
Можно назначить проверку подлинности клиентов для всех запросов к службе FTP или только для неправильных запросов. Служба FTP поддерживает только простой метод проверки подлинности, поэтому ваш узел будет лучше защищен при разрешенных анонимных подключениях.
2. Установите флажки «Простая (без шифрования паролей)» и/или «Запрос/ответ Windows NT».
3. Нажмите кнопку «OK».
2. Чтобы выполнять проверку подлинности для неправильных анонимных подключений, снимите флажок «Разрешить только анонимные подключения».
3. Чтобы выполнять проверку подлинности для всех клиентских запросов, снимите флажок «Разрешить анонимные подключения».
Если проверка подлинности не выполняется, но разрешены анонимные подключения, клиентский запрос, содержащий имя и пароль пользователя, обрабатывается как анонимный (личные данные пользователя игнорируются).
При отклонении анонимного запроса (учетная запись анонимного пользователя не содержит права доступа к запрашиваемому ресурсу) в ответе клиенту будет содержаться указание на метод проверки подлинности, применяемый в службе WWW. Если служба настроена на простой метод проверки подлинности по протоколу HTTP, большинство средств просмотра Web будут запрашивать имя и пароль пользователя и повторять запрос с указанными личными данными.
Если средство просмотра Web поддерживает проверку подлинности по методу запроса/ответа Windows NT и служба WWW настроена на использование этого протокола, анонимный запрос WWW не будет обрабатываться до тех пор, пока средство просмотра не передаст имя и зашифрованный пароль пользователя.
Если служба WWW настроена на одновременное использование простого метода проверки подлинности и метода запроса/ответа Windows NT, сервер Web вернет системе просмотра указание на применение обоих протоколов, после чего будет выполнен выбор метода проверки подлинности. Поскольку метод запрос/ответ Windows NT отображается в заголовке первым, система просмотра настроится на него. Если система просмотра не поддерживает этот метод, она будет использовать проверку подлинности по простому протоколу. Метод запрос/ответ Windows NT в настоящее время поддерживается только Internet Explorer 2.0 и его более поздними версиями.
При отклонении анонимного запроса (учетная запись анонимного пользователя не содержит права доступа к запрашиваемому ресурсу) в ответе клиенту будет содержаться сообщение об ошибке. Большинство средств просмотра Web будут запрашивать имя и пароль пользователя и повторять запрос с указанными личными данными.
Разрешение доступа в папки и файлы
Таблицы управления доступом ACL разрешают или запрещают доступ к необходимым файлам и папкам в соответствии с учетными записями пользователей или групп пользователей Windows NT. Если служба Интернета пытается выполнить чтение или запуск файла по клиентскому запросу, учетная запись пользователя должна содержать необходимое разрешение в соответствии с таблицей управления доступом данного файла. Если учетная запись не имеет разрешения на доступ к файлу, запрос отклоняется и клиенту отправляется сообщение об ошибке.
Таблицы управления доступом к файлам и папкам настраиваются с помощью проводника Windows NT. Файловая система NTFS имеет простой интерфейс управления файлами, с помощью которого можно назначить пользователей и группы, а также указать тип доступа. Например, некоторые пользователи могут иметь доступ только для чтения, в то время как другие пользователи могут читать, изменять и записывать файлы. Следует проверить разрешения на доступ к ресурсам, сопоставленные учетной записи IUSR_имякомпьютера, а также учетным записям действующих пользователей.
Убедитесь, что в группу Все входят все пользователи и группы, в том числе учетная запись IUSR_имякомпьютера и группа «Гости». По умолчанию группа Все имеет полный доступ ко всем файлам системы NTFS.
Если существуют конфликты между параметрами системы NTFS и служб узла Web, согласуйте необходимые значения.
Следует проанализировать и упорядочить параметры защиты всех папок узла Web, при этом можно пользоваться следующей таблицей:
| Тип каталога | Предлагаемое разрешение на доступ |
| Документы | Чтение |
| Программы | Чтение и выполнение |
| Базы данных | Чтение и запись |
2. В проводнике Windows NT установите указатель на нужную папку (каталог) и нажмите правую кнопку мыши (укажите корневой каталог узла, чтобы изменить параметры защиты узла в целом), затем выберите команду Свойства.
3. В диалоговом окне Свойства укажите вкладку Безопасность.
4. На вкладке Безопасность нажмите кнопку Разрешения.
5. В окне диалога Разрешения: Каталог нажмите кнопку «Добавить» для добавления пользователей и групп.
6. В окне диалога Добавление пользователей и групп добавьте необходимых пользователей и группы.
7. Нажмите кнопку «OK».
8. В окне диалога Разрешения: Каталог выделите пользователей и группы, которым следует выдать разрешения.
9. В списке Тип доступа выберите разрешение для выделенных пользователей или групп.
10. Нажмите кнопку «OK».
Дополнительные сведения о параметрах аудита файлов и папок см. в документации Windows NT.
Управление доступом в каталог WWW Чтение. Разрешение на чтение предоставляет клиентам Web право читать или загружать файлы основного или виртуального каталога. Если клиент отправляет запрос на загрузку файла без разрешения на чтение, сервер Web вернет сообщение об ошибке. Как правило, разрешение на чтение необходимо для доступа в каталоги, содержащие публикуемую информацию (например в файлах HTML). В каталогах, содержащих приложения CGI (Common Gateway Interface) и библиотеки динамической компоновки ISAPI (Internet Server Application Program Interface), не следует предоставлять разрешение на чтение для избежания загрузки исполняемых файлов.
Выполнение. Разрешение на выполнение предоставляет клиентам Web право запускать программы и сценарии основного или виртуального каталога. Если клиент отправляет запрос на запуск файла без разрешения на выполнение, сервер Web вернет сообщение об ошибке. В целях безопасности не предоставляйте право на выполнение в каталогах для публикации.
Клиентский запрос может активизировать приложение CGI или ISAPI двумя способами:
Для обработки этого запроса файл Httpodbc.dll должен находиться в дереве публикации Web (иерархии каталогов, содержащих публикуемые документы), при этом для папки файла (в примере это Scripts) должно быть установлено разрешение на выполнение. Администратор разрешает запускать приложения (CGI или ISAPI), как правило, в ограниченном числе тщательно контролируемых каталогах.
В этом примере файл сценария (Pubs.idc) хранится в папке дерева публикации Web, для которой установлено разрешение на выполнение. В ответ на полученный запрос служба будет использовать отображение расширений имен файлов для поиска приложения, местоположение которого произвольно. Этот механизм позволяет не запускать приложения CGI и ISAPI с помощью добавления параметров непосредственно в адрес URL и, следовательно, является более безопасным для выполнения приложений и сценариев Web. Дополнительные сведения см. в разделе Отображение расширений имен файлов в главе 10 Работа с записями системного реестра.
2. Выделите необходимую папку.
3. Нажмите кнопку «Свойства».
4. Чтобы предоставить клиентам Web право чтения и загрузки документов, хранящихся в папке, установите флажок «Чтение».
5. Чтобы предоставить клиентам Web право запуска программ и сценариев, хранящихся в папке, установите флажок «Выполнение».
6. Нажмите кнопку «OK», затем нажмите кнопку «OK» снова.
Примечание. Рекомендуется устанавливать только один флажок (либо «Чтение», либо «Выполнение»). Исполняемые сценарии и программы следует содержать отдельно от статических документов Web.
Применение других сетевых служб Чтобы предохранить службу Сервер от недозволенного доступа из глобальной сети, удалите связь этой службы с сетевой платой, подключенной к Интернету. Службу Сервер можно запускать вместе с Интернетом; для этого следует подробно изучить функции системы защиты и подчиняться лицензионному соглашению на Windows NT Server.
Служба Сервер использует протокол SMB (Server Message Block), а не протокол HTTP, при этом лицензионное соглашение на Windows NT Server, по которому нельзя осуществлять подключения HTTP, удовлетворяется.
Защита передачи данных с помощью протокола SSL (Secure Sockets Layer) Службы узла Web предполагают использование специального протокола для защиты данных при переходе от уровня HTTP к уровню TCP/IP. Этот протокол, называемый протокол SSL (Secure Sockets Layer), обеспечивает шифрование данных, проверку подлинности и целостность сообщения для соединения по протоколу TCP/IP.
Протокол SSL предложен рабочей группой W3C по безопасности в качестве стандарта для систем просмотра Web и серверов Интернета. Протокол SSL обеспечивает защиту взаимоподстройки при соединении по протоколу TCP/IP. Взаимоподстройка представляет собой процесс согласования клиента и сервера по уровню используемой защиты и осуществляет проверку подлинности соединения. С этого момента назначение SSL состоит в шифровании и дешифровании потока байтов применяемого протокола (например HTTP). Таким образом, вся информация в запросе HTTP и ответе HTTP полностью зашифрована, в том числе адрес URL в клиентском запросе, содержимое стандартных форм (например номера кредитных карточек), учетные данные (имена и пароли пользователей) и все сведения, возвращаемые от сервера клиенту.
Сервер SSL может осуществлять соединения по Интернету с клиентами SSL (средствами просмотра), например Microsoft Internet Explorer 2.0 или его более поздними версиями.
Протокол SSL замедляет передачу данных за счет выполнения процедуры шифрования. Чтобы избежать уменьшения производительности узла в целом, попробуйте использовать протокол SSL только в виртуальных каталогах, содержащих секретные сведения, например формы с данными кредитных карточек.
Чтобы защитить сервер Web с помощью протокола SSL:
2. Запросите сертификат в агентстве сертификации.
3. Установите сертификат на вашем сервере.
4. Разрешите использовать протокол SSL в папках службы WWW.
2. В меню Ключ выберите команду Создать новый ключ.
3. В диалоговом окне Создание нового ключа и запроса сертификата введите необходимые данные:
5. Повторно введите пароль, указанный в форме, и нажмите кнопку «OK».
7. Чтобы сохранить новый ключ в меню Серверы выберите команду Применить изменения.
8. Чтобы применить изменения, нажмите кнопку «OK».
Новый ключ отображается непосредственно под именем компьютера, для которого он был создан. По умолчанию ключ создается для локального компьютера.
Примечание. При вводе данных в поля нельзя использовать запятую. Запятая будет интерпретироваться как окончание данных поля, что приведет к ошибке при обработке запроса.
После создания пары ключей необходимо получить и установить сертификат. Дополнительные сведения о получении сертификата см. в разделах «Получение сертификата» и «Установка сертификата с помощью пары ключей».
-----BEGIN CERTIFICATE-----
JIEBSDSCEXoCHQEwLQMJSoZILvoNVQECSQAwcSETMRkOAMUTBhMuVrM
mIoAnBdNVBAoTF1JTQSBEYXRhIFNlY3VyaXR5LCBJbmMuMRwwGgYDVQ
QLExNQZXJzb25hIENlcnRpZmljYXRlMSQwIgYDVQQDExtPcGVuIE1hc
mtldCBUZXN0IFNlcnZlciAxMTAwHhcNOTUwNzE5MjAyNzMwWhcNOTYw
NTE0MjAyOTEwWjBzMQswCQYDVQQGEwJVUzEgMB4GA1UEChMXUlNBIER
hdGEgU2VjdXJpdHksIEluYy4xHDAaBgNVBAsTE1BlcnNvbmEgQ2VydG
lmaWNhdGUxJDAiBgNVBAMTG09wZW4gTWFya2V0IFRlc3QgU2VydmVyI
DExMDBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDU/7lrgR6vkVNX40BA
q1poGdSmGkD1iN3sEPfSTGxNJXY58XH3JoZ4nrF7mIfvpghNi1taYim
vhbBPNqYe4yLPAgMBAAEwDQYJKoZIhvcNAQECBQADQQBqyCpws9EaAj
KKAefuNP+z+8NY8khckgyHN2LLpfhv+iP8m+bF66HNDUlFz8ZrVOu3W
QapgLPV90kIskNKXX3a
------END CERTIFICATE-----
2. В окне диспетчера ключей выделите пару ключей, которая соответствует заверенному сертификату.
4. Выделите файл сертификата (например Certif.txt) и нажмите кнопку «Открыть».
5. Введите пароль, назначенный при создании пары ключей.
7. Чтобы применить изменения, нажмите кнопку «OK».
Можно создать резервную копию комбинации ключа и сертификата с помощью процедуры, описанной в разделе «Резервное копирование ключей» этой главы.
2. Выделите необходимую папку и нажмите кнопку «Свойства».
3. Установите флажок «Требуется защищенный канал SSL» и нажмите кнопку «OK».
3. В меню Правка выберите команду Вырезать.
4. Выделите сервер, на который следует переместить пару ключей.
5. В меню Правка выберите команду Вставить.
Копирование пары ключей выполняется с помощью аналогичной процедуры (вместо команды Вырезать следует применить команду Копировать).
2. После прочтения предупреждения о размещении на жестком диске компьютера данных, способных повлиять на работу системы, нажмите кнопку «OK».
3. Введите имя ключа в поле «Имя файла» и нажмите кнопку «Сохранить».
2. Выделите необходимый файл архива и нажмите кнопку «Открыть».
2. В поле Файл личного парного ключа введите имя файла пары ключей или нажмите кнопку «Обзор» для поиска этого файла.
3. В поле Файл сертификата введите имя файла сертификата или нажмите кнопку «Обзор» для поиска этого файла.
4. Нажмите кнопку «OK».
5. Введите пароль личного ключа в поле Пароль личного ключа и нажмите кнопку «OK».
Храните файл личных ключей в безопасном месте на случай, если он понадобится в будущем. Лучше всего скопировать файл личных ключей на дискету и удалить его из локального компьютера после завершения всех процедур установки. Не забудьте пароль, присвоенный этому файлу.
© 1996 Microsoft Corporation. Все права защищены.