Учетные записи, аутентификация и политика безопасности

Управление несколькими веб-сайтами

В IIS можно работать с несколькими сайтами на одном и том же компьютере. Такие сайты называются виртуальными серверами. Виртуальные серверы полезны в случае разделения информации для различных категорий пользователей. С точки зрения безопасности нужно использовать отдельный раздел диска для каждого сайта, чтобы успешный взлом хакером одного сайта не позволил ему получить доступ к информации на всех других.

При использовании виртуальных серверов поддержка учетных записей веб-менеджеров и записей анонимного входа осуществляется различными способами. Простейший и самый безопасный способ – это использование уникальной учетной записи с распределенными полномочиями Administration (Администрирование) для каждого сайта и общей учетной записи Internet Guest для всех сайтов.

Если последовать данной рекомендации, то при использовании отдельного домашнего каталога и папки с содержимым для каждого сайта за каждый набор папок будет отвечать свой веб-менеджер (см. рис. 4.2).

увеличить изображение
Рис. 4.2. Используйте общую для всех сайтов учетную запись анонимного доступа и отдельные учетные записи для управления сайтом

Такая конфигурация учетной записи позволит контролировать доступ веб-менеджеров к содержимому веб-сайта. Если всем менеджерам нужен один и тот же уровень доступа, настройте разрешения Windows 2000 на уровне группы или отдельно для каждого менеджера в соответствующих каталогах. А наличие одной учетной записи Internet Guest для всех сайтов уменьшит вероятность ошибок.

Виртуальный сервер создается при помощи консоли MMC Internet Server Manager (Диспетчер сервера интернета). В "Подготовка и укрепление веб-сервера" говорилось, как это делается, при создании нового сайта и отключении сайта по умолчанию. Для одновременной работы нескольких сайтов создайте уникальный идентификатор для каждого сайта; с его помощью система DNS будет отправлять браузеры на соответствующие виртуальные серверы IIS. Уникальным идентификатором является альтернативное имя DNS или IP-адрес.

Процедура создания виртуального сервера состоит из следующих шагов.

1. Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета).
2. Щелкните правой кнопкой мыши на сервере в дереве консоли и в появившемся меню выберите New Web Site (Создать веб-сайт). Откроется мастер для создания нового сайта.
3. Присвойте сайту название в первом окне мастера, затем нажмите на кнопку Next (Далее). В следующем окне укажите IP-адрес, номер порта
   

   
   
   или заголовок узла. Любого из этих значений достаточно для создания уникального идентификатора сайта. При использовании уникального IP-адреса или доменного имени DNS скоординируйте свои действия с агентством интернета или администратором внутренней сети для обновления баз данных DNS.
   

   
   
4. В следующих окнах мастера укажите расположение домашнего каталога и присвойте разрешения доступа (см. рисунок). Укажите минимальный набор разрешений. При необходимости их можно будет изменить позже.
5. Нажмите на кнопку Finish (Готово) для создания сайта.

Работа с виртуальными каталогами

IIS позволяет использовать псевдонимы для реальных путей каталогов с веб-содержимым. Эти псевдонимы называются виртуальными каталогами. Виртуальные каталоги IIS скрывают от веб-браузеров расположение информации посредством отображения в адресах URL псевдонимов вместо реальных каталогов. Браузер воспринимает виртуальные каталоги как подкаталоги в корневом каталоге /wwwroot.

Виртуальные каталоги повышают уровень безопасности, скрывая реальные физические параметры сервера. При создании виртуального каталога для домашнего каталога сайта (для другого каталога) выполните следующее.

1. В консоли MMC Internet Services Manager (Диспетчер служб интернета) щелкните правой кнопкой на сайте, для которого создается виртуальный каталог, затем выберите команду New\Virtual Directory(Создать\Виртуальный каталог).
2. Мастер поможет создать каталог. В первом окне мастера введите нужное имя псевдонима и нажмите на кнопку Next (Далее).
3. В следующем окне введите путь к каталогу – перейдите к реальному каталогу, нажав на кнопку Browse (Обзор), затем нажмите на Next.
4. В последнем окне укажите разрешения IIS для создаваемого сайта. Еще раз нажмите на Next.
5. По окончании работы нажмите на кнопку Finish (Готово), и виртуальный каталог будет создан.

ПРОБЛЕМА

Виртуальные каталоги помогают защитить сайт, но они все же не защищают от атак с декодированием URL. С помощью нескольких известных эксплоитов были успешно реализованы атаки на сайты IIS с виртуальными каталогами, и злоумышленники получили доступ к структуре каталогов веб-сайта. Единственной защитой от атак с применением декодирования является обновление сервера сервис-пакетами и надстройками безопасности.

Не следует переоценивать безопасность каталогов. Применяйте к ним все способы защиты, обсуждаемые в книге, не полагайтесь на какое-то одно средство. Помните о том, что папки веб-сервера связаны с другими серверами с помощью виртуальных каталогов и создают для этих серверов потенциальные угрозы. При нарушении безопасности сервера пользователь перейдет в корневой каталог без ограничений на доступ и откроет в нем любую папку. Он сможет загрузить или удалить (изменить) любой файл или папку, псевдонимы которых находятся на веб-сайте.

Предотвратить эту опасность можно с помощью полного запрета на использование виртуальных каталогов, связанных с другими серверами. При установке связи веб-сервера с другими системами используйте методы, описанные в третьей части.

Сводный перечень действий по настройке аутентификации учетных записей

• Отключите права администрирования накопителей для группы Everyone (Все пользователи).
• Обеспечьте полный контроль над ресурсами для групп Administrators (Администраторы) и System (Система).
• Переименуйте учетную запись Administrator (Администратор) и создайте устойчивый пароль.
• Создайте группу с распределенными полномочиями Administration (Администрирование) для управления веб-содержимым (не обязательно).
• Отключите гостевую учетную запись Windows 2000 Guest (Гость) по умолчанию и отключите права на доступ.
• Переименуйте гостевую учетную запись по умолчанию.
• Удалите права по умолчанию для учетной записи Internet Guest (Гостевая учетная запись интернета) из локальной политики безопасности.
• Установите для учетной записи Internet Guest разрешения на доступ Read Only (Только чтение).

Перечень действий по настройке параметров сайта IIS

• Настройте сайт на разрешение анонимного доступа или встроенной аутентификации Windows.
• Установите разрешения контроля доступа IIS на Read Only (Только чтение) для папок с содержимым и на Read and Execute (Чтение и выполнение) для сценариев.
• Отключите возможность просмотра каталогов броузером.
• Используйте виртуальные каталоги для обеспечения дополнительной защиты сайта.