Учетные записи, аутентификация и политика безопасности

Аутентификация

Домены Windows (и Active Directory) облегчают работу пользователей при аутентификации. Аутентификация – это процесс подтверждения подлинности пользователя компьютера, осуществляемый посредством ввода имени пользователя и пароля. Централизованный контроль над учетными записями и паролями в домене Windows (в Active Directory) исключает необходимость входа пользователей на каждый сервер по отдельности.

Интранет против интернета

По иронии судьбы некоторые правила безопасности веб-сервера нередко конфликтуют с преимуществами, обеспечиваемыми доменами Windows и технологией Active Directory. Например, если веб-сервер расположен в интернете, он не должен иметь доверительных отношений с другими системами. В таком случае, стоит ли делать веб-сервер частью домена Windows? Да, при наличии соответствующих мер защиты. По другую сторону от брандмауэра, т.е. в сети интранет, организация может расположить веб-сервер в домене, если при входе на веб-сервер будет затребована аутентификация. Домен исключает повторный ввод на сервере идентификационных данных пользователей, паролей и т.д. (это очень существенно для крупных сетей), уже имеющихся в базе данных контроллера домена.

Каждый раз при создании доверительных отношений между системами повышается степень их уязвимости до уровня ошибки системы безопасности лишь в одном из компьютеров, поэтому управление веб-сервером интернета безопаснее всего осуществлять в отдельных системах. Веб-серверы настраиваются на специальный тип аутентификации, называемый анонимным входом, при котором не указывается уникальный идентификатор учетной записи. Использование анонимного входа в систему является различием в конфигурациях веб-серверов интернета и интранета. В остальном параметры безопасности довольно похожи.

Совет. Для любого правила можно найти исключения. На некоторых веб-серверах интранет используется анонимный вход без указания идентификатора и пароля. С другой стороны, некоторые веб-серверы интернета требуют аутентификацию. В этом случае, если управляющая сервером организация использует серверы FTP, серверы новостей и другие, она может объединить их в изолированный домен управления. Сейчас мы не будем рассматривать эти исключения.

Управление локальной безопасностью

Большинство аспектов безопасности, помимо управления аутентификацией, являются похожими для сайтов в интернете и интранете. Веб-серверы обоих типов имеют параметры, которые настраиваются отдельно на самом сервере. Даже если веб-сайт является частью домена Windows интранет-сети, к серверу необходимо применить меры безопасности, отличающиеся от остальных компьютеров домена. На веб-сервере требуется больший уровень защищенности, нежели на файловом сервере, так как веб-технологии содержат большее количество слабых мест. Основные параметры безопасности веб-сервера должны настраиваться с помощью управления параметрами его локальной безопасности. Параметры локальной безопасности на веб-сервере IIS или другом компьютере с Windows 2000 контролируют все аспекты безопасности, являющиеся уникальными для сервера.

Списки контроля доступа

Доступ к серверам Windows 2000 осуществляется через систему учетных записей пользователей и групп. После аутентификации на сервере пользователь может использовать ресурсы сервера согласно своим правам и разрешениям. Права и разрешения для учетных записей и групп хранятся в локальном списке Access Control List (ACL) (Список контроля доступа). Параметры списка ACL определяют то, какие действия учетная запись или группа может выполнять на сервере, эти параметры не являются общими с другими системами, даже если компьютер представляет собой часть домена Windows.

Права и разрешения определяются следующим образом.

• Права. Право – это возможность выполнения какого-либо действия, часто носящего административный или ограниченный характер, например запуск и остановка системы или создание новых учетных записей и групп пользователей.
• Разрешения. Альтернатива правам, позволяющая пользователям получать доступ к каталогам, файлам и принтерам. Для каталогов и файлов разрешения представляют собой любые комбинации возможностей просмотра, считывания, изменения, записи и выполнения файлов.

Совет. Если управление доменами осуществляется посредством Active Directory, ресурсы принадлежат сети, а не серверу, и авторизация осуществляется не локально, а при помощи контроллера домена.

Администрирование параметров безопасности веб-сайта влечет за собой изменения в локальных списках ACL для отказа, расширения или передачи прав и разрешений, присвоенных группам и учетным записям для доступа к ресурсам сервера. После этого определяются правила паролей, правила безопасности IP, правила аудита и ряд других дополнительных настроек (см. табл. 4.1).

Фильтры

Фильтры представляют собой параметры, дополняющие списки ACL. Они усиливают ограничения на доступ. Хотя фильтры не очень распространены, они являются важной частью политики безопасности, так как устанавливают правила, не поддерживаемые списками ACL. Например, фильтр IP используется для ограничения доступа всех посетителей, пытающихся получить доступ к сайту с определенного IP-адреса или домена DNS. Ограничения, налагаемые фильтрами, представляют собой нечто, являющееся обратным разрешениям. Фильтры повсеместно используются в брандмауэрах, о которых пойдет речь в "Особенности процесса разработки" и в "Сторонние средства обеспечения безопасности" . Например, одним из распространенных правил фильтрации является блокировка брандмауэром всего трафика, поступающего на веб-сервер, за исключением трафика HTTP через порт 80.

Наследование

После установки прав и разрешений для папки новые файлы и подпапки, созданные в ней, по умолчанию наследуют параметры ACL. Другими словами, новым файлам и папкам (именуемым дочерними объектами) присваиваются те же права и разрешения учетных записей и групп, что и для папки, в которой они созданы (эта папка называется родительской). Данное условие можно изменить при необходимости обхода параметров наследования. В процессе изучения материала вы узнаете, как это делается.