Безопасность FTP, NNTP и других служб IIS
Контроль доступа
На вкладке Access (Доступ) (см. рис. 10.8) находятся параметры, предназначенные для настройки доступа клиентов к виртуальному серверу NNTP и безопасности передачи данных, включая аутентификацию, шифрование, ограничение чтения или публикации статей, разрешение или запрет загрузки NNTP-серверами групп новостей. Для настройки методов аутентификации, поддерживаемых службой NNTP, нажмите на кнопку Authentication (Аутентификация).
Если группа новостей доступна всем пользователям, то включите опцию Allow Anonymous Connections (Разрешить анонимные подключения). Смените учетную запись IUSR_имя-компьютера, используемую анонимными пользователями, нажав на кнопку Anonymous (Анонимный доступ). Укажите учетную запись, созданную специально для анонимных подключений NNTP. Не включайте опцию Basic Authentication (Базовая аутентификация), так как это разрешит передачу имен пользователей и паролей в открытом виде.
Если у пользователей имеется клиент новостей, например, Microsoft Outlook Express, поддерживающий аутентификацию Windows Security Package (Пакет безопасности Windows), выберите его для обеспечения безопасного входа и аутентификации пользователей групп новостей.
В качестве альтернативы потребуйте SSL-аутентификацию клиентов, чтобы пользователи при входе вводили SSL-зашифрованные имена и пароли. При наличии у пользователей цифровых сертификатов свяжите эти сертификаты с учетными записями Windows, включив поддержку сертификатов клиентов. Это предотвратит обманное получение доступа злоумышленником под видом легального пользователя. Рекомендуется использовать именно этот подход, если статьи групп новостей являются конфиденциальными: ведь файловые разрешения NTFS и аудит применимы к каждому пользователю. На рисунке 10.9 показаны параметры NNTP-сервера, требующие от пользователей предоставления цифрового сертификата, связанного с учетной записью Windows.
Рис. 10.9. Доступ к группам новостей на NNTP-сервере разрешен пользователям, имеющим цифровой сертификат, связанный с учетной записью Windows
Для запрета доступа к группе новостей присвойте папкам с соответствующими статьями разрешение Deny (Запрет доступа). По умолчанию эти папки находятся в каталоге Intepub\nntpfile\root\ имя_группы_новостей. Убедитесь, что локальной системной учетной записи предоставлен полный доступ ко всем папкам групп новостей, чтобы служба Microsoft NNTP могла осуществлять доступ к своим файлам. Параметры контроля подключения аналогичны вкладке FTP Directory Security (Безопасность каталога FTP), предоставляя (или отказывая) доступ в зависимости от IP-адреса или доменного имени. Эти параметры используются для ограничения доступа пользователей с определенного домена, например, членов доверенной третьей стороны. Вкладка Security (Безопасность) предназначена для добавления учетных записей и групп Windows в список операторов виртуального сервера NNTP по аналогии с FTP-сайтами.
Вкладка Settings (Параметры)
На вкладке Settings (Параметры) можно настраивать максимальный объем новостных статей и рассылок, а также разрешать или запрещать другим серверам использование новостей, расположенных на NNTP-сервере. На рисунке 10.10 показана вкладка Settings с настройками предельного объема статей. Различие между опциями Limit post size (Ограничить размер статьи) и Limit connection size (Ограничить размер подключения) заключается в следующем. Предельным размером статьи является максимальный размер отдельной опубликованной статьи, а предельным размером подключения является полный объем всех статей, которые может опубликовать пользователь в течение одного подключения. Установите пределы, соответствующие типу групп новостей. Если у вас имеются управляемые группы новостей без определенного модератора, укажите домен модератора по умолчанию, чтобы статьи отправлялись на адрес имя_группы_новостей@домен_модератора_по_умолчанию.
Опция Allow News Servers to Pull Articles from This News Server (Разрешить другим сайтам использовать статьи с этого сервера). Удаленные NNTP-серверы могут загружать локальные группы новостей и их статьи, после чего открывать к ним общий доступ.
Данная опция включена, если группы новостей предназначены для общего пользования, и отключена при необходимости контроля статей в группе новостей.
Опция Allow Control Messages (Разрешить контрольные сообщения). Клиенты для чтения новостей и другие серверы NNTP могут отправлять команды для создания и удаления групп новостей на NNTP-сервере либо для отмены ранее опубликованных статей. Отключите эту опцию, чтобы контрольные сообщения, получаемые сервером, только протоколировались, но не обрабатывались. Это позволит контролировать происходящее на сервере NNTP.