| Россия, с. Новоселье |
Инспектор
Вы можете этот курс.
Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 4:
Учетные записи, аутентификация и политика безопасности
Аннотация: После укрепления сервера (см. лекцию 3) сразу же настройте учетные записи пользователей и администратора, а также параметры безопасности Windows 2000 и IIS для них. Следует немедленно отключить ненужные учетные записи по умолчанию. Придется проверить и/или изменить десятки параметров для повышения защищенности веб-сервера. Специалисты в области безопасности считают эти процедуры неотделимыми от процессов укрепления системы. Они настолько важны, что для их описания пришлось выделить целую лекцию.
Ключевые слова: распределение информации, ключевой параметр, сервер установки, список, представление, пункт, Windows, сервер, IIS, безопасность, управление безопасностью, доверительные отношения, пользователь сертификата, степень доверия, база данных пользователей, остановка системы, изменение записей, Active, directory, компьютер, MMC, ACL, security, configuration, AND, analysis, анализ, FTP, NNTP, smtp, Computer Management, NTDS, DIT, системное событие, анонимный доступ, security policy, системная служба, централизованный метод, журнал ошибок, power user, anonymous user, authenticated user, dialup, traversal, executable file, bypassing, атрибут файла, создание каталогов, subfolder, local disk, имя учетной записи, propagate, родительский объект, родительский каталог, раздел диска, соответствие политике безопасности, вложенный каталог, directory service, динамические страницы, administrator, контроль доступа, Internet, guest, secure communication, authentication method, управление паролями
Применение политики безопасности
Привилегии и ограничения, присваиваемые пользователям для работы с ресурсами системы, позволяют применять политику безопасности к управлению и распределению информации. Многие организации не уделяют достаточного внимания этой политике. Согласно требованиям современного информационного мира сначала необходимо ознакомиться с ключевыми параметрами безопасности ресурсов сервера (см. табл. 4.1).
Список этот довольно краткий, но все же дает необходимое представление о проблеме. Понятен ли каждый пункт таблицы? Вам предстоит обрабатывать эти параметры, так как они непосредственно связаны с управлением данными.
Перед началом работы необходимо ознакомится с концепциями безопасности Windows 2000 и соответствующей терминологией.
Принципы безопасности Windows 2000 и IIS
Сервер IIS является встроенным компонентом Windows 2000, и безопасность IIS полностью зависит от безопасности этой операционной системы. Управление безопасностью Windows 2000 основано на следующих принципах.
- Доверительные отношения.
- Рабочие группы и домены (а также Active Directory).
- Аутентификация учетных записей и групп.
- Контроль доступа (права, разрешения и ограничения).
- Наследование.
Все аспекты безопасности Windows 2000 базируются на этих принципах. Они обеспечивают безопасность системы посредством запрета, ограничения и разрешения доступа к данным и ресурсам на веб-сайте IIS.
Доверительные отношения
Безопасность Windows 2000/IIS основывается на правилах и параметрах, определяющих разрешенные и запрещенные действия в системе. Жизненно важной частью данной системы являются механизмы уникальной идентификации для отдельных пользователей, компьютеров и ресурсов. В Windows 2000 сетевые IP-адреса, имена пользователя, сертификаты (цифровые идентификаторы) и идентификационные данные Kerberos являются способами проведения идентификации. Между компьютерами и отдельными пользователями или другими компьютерами устанавливаются правила доверия, зависящие от степени доверия, имеющей место в процессе идентификации. В Windows 2000 при наивысшем уровне доверия на взаимодействующих компьютерах считается легальным любой вход в систему и обмен информацией.
Рабочие группы и домены
Рабочие группы и домены представляют собой наборы отдельных пользователей и ресурсов сети. Ресурсы состоят из устройств хранения данных, принтеров, файлов данных и прочих компонентов, связанных с серверами.
Рабочая группа отличается от домена тем, что в домене серверы при взаимодействии пользуются доверием и используют общую базу данных управления, а в рабочей группе каждый сервер обрабатывает свою собственную базу данных. Когда организации нужен более чем один сервер, несмотря на то, что сеть настроена на управление с помощью рабочих групп, целесообразно использовать домен. Доверительные отношения между серверами домена облегчают работу, как для пользователей, так и для администраторов. Пользователи, входящие в домен, осуществляют вход на все серверы одновременно, и им не нужно входить в систему каждого сервера по отдельности. Администраторам выгодно использовать такое решение, поскольку общая база данных доменов позволяет избежать создания и управления ненужными записями пользователей на каждом сервере.
На рисунке 4.1 изображена группа серверов в домене. Обратите внимание, что домен содержит систему, называемую контроллером домена, "владеющую" базой данных пользователей, которая является общей для всех остальных серверов.
увеличить изображение
Рис. 4.1. В домене Windows 2000 Server контроллер "владеет" базой данных пользователей
Организации, в которых используются домены, часто используют службу Windows 2000 под названием Active Directory. Active Directory представляет собой базу данных, которая управляет пользователями и всеми сетевыми ресурсами в логической модели. Например, пользователь видит принтеры, расположенные к сети, независимо от того, к какому именно серверу они непосредственно подключены.
В интранет-сетях многих крупных организаций технология Active Directory пользуется большой популярностью, так как централизованное управление облегчает контроль над серверами, ресурсами, учетными записями, группами и другими объектами без повторения одних и тех же процедур в консолях каждого сервера. Active Directory позволяет физически конфигурировать сетевые ресурсы без изменения их представления в графическом пользовательском интерфейсе.
