Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Учетные записи, аутентификация и политика безопасности

Настройка контроля доступа к веб-серверу в Windows 2000

При просмотре настроек в шаблоне безопасности Hisecweb.inf видно, что параметры контроля доступа по большей части не определены. Необходимо самостоятельно настроить эти параметры. В списке ACL каждой группе или учетной записи пользователя можно присвоить любую комбинацию прав и разрешений. Это свойство делает систему защиты Windows 2000 очень гибкой и мощной, однако в случае неправильной настройки прав и разрешений возможно появление слабого места

Настройка групп и параметров администратора по умолчанию

Первое, что необходимо сделать для управления списками ACL на веб-сервере, – заблокировать возможность управления ресурсами хранилищ данных. Иными словами, следует определить, кто имеет право на доступ к хранилищу.

В Windows 2000 устанавливается набор учетных записей администраторов, групп и пользователей по умолчанию. При установке IIS эти параметры не изменяются. В таблице 4.3 приведены учетные записи и группы по умолчанию при установке на изолированный компьютер.

Спектр прав и разрешений администраторов очень широк (см. табл. 4.4). Администратор имеет полный набор прав по управлению системой и осуществляет всесторонний контроль над ней.

Таблица 4.3. Учетные записи и группы Windows 2000 по умолчанию
Группы по умолчанию, отображаемые в ACL Группы по умолчанию, не отображаемые в ACL Учетные записи по умолчанию, отображаемые в ACL

Administrators (Администраторы)

Backup Operators (Операторы резервного копирования)

Guests (Гости)

Power Users (Опытные пользователи)

Replicator (Репликатор)

Users (Пользователи)

Everyone (Все пользователи)

Web Anonymous Users (Анонимные пользователи интернета)

Web Applications (При-ложения интернета)

SYSTEM (Система)

CREATOR OWNER (Владелец-создатель)

AUTHENTICATED USERS (Авторизованные пользователи)

ANONYMOUS LOG-IN (Анонимный вход)

BATCH (Пакетный файл)

Service (Служба)

CREATOR GROUP (Группа создателя)

DIALUP (Удаленный доступ)

INTERACTIVE NETWORK

TERMINAL SERVICE USERS (Пользователи службы терминала)

Administrator (Администратор).

Guest (Гость).

IUSR_computername (IUSR_имя_компьютера).

IWAM_computername (IWAM_имя_компьютера).

TsInternetUser.

Таблица 4.4. Полный набор прав и разрешений Windows 2000
Право или разрешение Описание
Traverse Folder/Execute File (Проход по каталогам/запуск файла) Traverse Folder позволяет открывать каталог для доступа к другим файлам и каталогам, независимо от разрешений, имеющихся у пользователя относительно данной папки (только для каталогов). Используется только в том случае, если у пользователя нет права Bypass Traverse Checking (Обход проверки прохода). Execute File позволяет запускать файлы программ (только для файлов).
List Folder/Read Data (Просмотр каталога/чтение данных) List Folder позволяет просматривать имена файлов и подкаталога (только для каталогов). Read Data позволяет осуществлять считывание файлов (только для файлов).
Read Attributes (Считывание атрибутов) Позволяет просматривать NTFS-атрибуты файла.
Read Extended Attributes (Считывание расширенных атрибутов) Позволяет просматривать расширенные атрибуты файла, определяемые разными программами.
Create Files/Write Data (Создание файлов/запись данных) Create Files позволяет создавать файлы в каталоге (только для каталогов). Write Data позволяет изменять и/или перезаписывать файлы (только для файлов).
Create Folders/Append data (Создание каталогов/присоединение данных) Create Folders позволяет создавать папки внутри папки (только для каталогов). Append data позволяет вносить изменения в конец файла (только для файлов).
Write Attributes (Запись атрибутов) Позволяет изменять атрибуты NTFS файлов (например, "только чтение" или "скрытый").
Write Extended Attributes (Запись расширенных атрибутов) Позволяет изменять расширенные атрибуты файла, специфичные для определенной программы.
Delete Subfolders and Files (Удаление подкаталогов и файлов) Позволяет удалять подкаталоги и файлы независимо от присвоения подкаталогу или файлу разрешения Delete (Удаление).
Delete (Удаление) Позволяет удалять файл или каталог.
Read Permissions (Чтение разрешений) Позволяет просматривать разрешения, установленные для каталога или файла.
Change Permissions (Изменение разрешений) Позволяет изменять разрешения для файла или каталога.
Take Ownership (Присвоение права собственности) Позволяет присваивать право собственности для файла или каталога.

Как правило, во всех учетных записях отсутствует возможность полного управления списками ACL веб-сервера, если только пользователь не наделяется полномочиями администратора. Даже в этом случае его полномочия ограничиваются некоторым неполным набором администраторских привилегий и ресурсов. Например, веб-менеджер наделяется следующими разрешениями в корневом каталоге диска с содержимым веб-сервера (но только для этого каталога и только на этом диске).

  • Modify (Изменение). Внесение изменений в каталог.
  • Read & Execute (Чтение и выполнение). Запуск исполняемых программ.
  • List Folder Contents (Просмотр содержимого каталога). Просмотр перечня файлов в каталогах.
  • Read (Чтение). Просмотр файлов данных в каталоге.
  • Write (Запись). Сохранение новых файлов в каталоге.

Этот набор разрешений включает практически все функции всестороннего контроля над системой, за исключением некоторых. В таблице 4.5, взятой из документации Microsoft по IIS, отражены отличия прав и разрешений веб-менеджера от полномочий, позволяющих полностью управлять системой.

Учетные записи других пользователей веб-сервера (не являющихся менеджерами или администраторами), как правило, являются довольно ограниченными и обычно соответствуют лишь разрешениям на чтение (как при анонимном доступе).

Таблица 4.5. Подкатегории разрешений в сравнении с полным контролем
Разрешения полного контроля Изменение Чтение и выполнение Просмотр содержимого папки Чтение Запись
Проход по папкам/Выполнение файла \surd \surd \surd
Просмотр папки/Чтение данных \surd \surd \surd \surd
Чтение атрибутов \surd \surd \surd \surd
Чтение расширенных атрибутов \surd \surd \surd \surd
Создание файлов/Запись данных \surd \surd
Создание папок/Присоединение данных \surd \surd
Запись атрибутов \surd \surd
Запись расширенных атрибутов \surd \surd
Удаление подпапок и файлов
Удаление \surd \surd
Чтение разрешений \surd \surd \surd \surd
Изменение разрешений
Присвоение прав владения
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск