Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 10:

Безопасность FTP, NNTP и других служб IIS

Учетные записи безопасности

Для получения доступа к FTP-серверу пользователи должны осуществлять вход в систему. На вкладке Security Accounts имеются средства управления, позволяющие определить, кто имеет доступ к FTP-серверу, и кто является его администратором. Для предоставления общего доступа из интернета к файлам FTP-сервера выберите опцию Allow Anonymous Connection (Разрешить анонимное подключение) и укажите учетную запись, которая будет использоваться для анонимного доступа. На рисунке 10.3 показано, что учетной записью по умолчанию является IUSR_ имя-компьютера. Эта же учетная запись используется для анонимного доступа из интернета к IIS-серверу.

(Если служба FTP настроена на разрешение анонимного доступа, клиенты смогут входить в систему под именем "anonymous". Как правило, анонимные пользователи FTP вводят в качестве пароля свой адрес электронной почты. Internet Explorer осуществляет автоматический анонимный вход на любой FTP-сервер, разрешающий анонимное подключение.)

Если используется одна и та же учетная запись для обеих служб, то любая "брешь" в службе FTP подвергает опасности и сервер IIS. Если только серверам FTP и IIS не требуется доступ к одним и тем же папкам (что не рекомендуется), создайте новую учетную запись для анонимных пользователей FTP. Используя раздельные учетные записи, разрешения NTFS смогут контролировать права доступа, и возникающие проблемы будут относиться только к FTP-папкам. Выбор опции Allow Only Anonymous Connections (Разрешить только анонимные подключения) позволит пользователям выполнять только анонимный вход. Это запретит использование имен и паролей через небезопасное FTP-подключение и предотвратит попытки хакеров получить доступ через учетную запись администратора. При выключении опции Allow Anonymous Connections при каждом запросе пользователя будет появляться диалоговое окно аутентификации для ввода имени и пароля.

Включите анонимные подключения, чтобы разрешить общий доступ к FTP-сайту из интернета, но используйте для этого другую учетную запись

Рис. 10.3. Включите анонимные подключения, чтобы разрешить общий доступ к FTP-сайту из интернета, но используйте для этого другую учетную запись

Важно. Опция Allow Only Anonymous Connections не предотвратит попытки неосведомленных сотрудников использовать свои имена пользователей и пароли для входа на FTP-сервер. Убедитесь, что сотрудники компании знают о правилах входа на FTP-сервер и не будут подвергать свои пароли опасности перехвата.

Наделите отдельных пользователей или группы пользователей привилегиями операторов на общем уровне и уровне отдельных сайтов, добавив их в список операторов FTP-сайта. Операторы FTP-сайта представляют собой специальную группу, имеющую ограниченные полномочия администрирования на отдельных FTP-сайтах. Операторы администрируют параметры, влияющие только на подконтрольные им сайты. У них нет доступа к параметрам IIS, настройкам компьютера или к настройкам сети. Например, можно присвоить одному сотруднику из каждого отдела компании права оператора FTP-сайта соответствующего отдела организации. Оператор устанавливает разрешения на доступ к FTP-сайту, ведет журнал и настраивает сообщения, однако не может изменять настройки идентификации FTP-сайтов и анонимные имя пользователя и пароль, создавать виртуальные каталоги или изменять их пути. Учетные записи операторов не обязательно входят в группу администраторов Windows. Операторы сайтов могут относиться и к другим службам IIS, таким как WWW, NNTP и SMTP.

Важно. Если анонимные подключения не используются, следует усилить пароли посредством изменения политики безопасности Windows.

Сообщения

FTP-службы IIS позволяют отображать приветственное сообщение, настраиваемое на вкладке Messages (Сообщения), показанной на рисунке ниже. Используйте это сообщение для предупреждения об условиях и правилах, с которыми пользователи должны согласиться, прежде чем приступить к работе с сайтом. Например, текст сообщения может быть таким: "Это частная компьютерная система, предназначенная только для авторизованного использования. Несанкционированное использование ресурса влечет за собой уголовную ответственность. Доказательства незаконного использования, фиксируемые посредством мониторинга, могут быть использованы в судебных процессах по факту административного, уголовного нарушения или иного преступления. Использование данной системы подразумевает ваше согласие с условиями мониторинга в указанных целях". В сообщении укажите текст, подходящий для конкретного сайта (посоветуйтесь с квалифицированным специалистом).


Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск