Занятие 1. Средства защиты Windows NT Server
(Продолжительность занятия 25 минут)
Безопасность — предмет постоянного беспокойства всех администраторов узлов Интернета. Internet Information Server предоставляет широкий спектр средств для обеспечения безопасности Web-узлов. Фундамент, на котором строится защита IIS — средства обеспечения безопасности Windows NT Server. На этом занятии Вы познакомитесь с возможностями Windows NT, которые позволят защитить Ваш узел Интернета.
Изучив материал этого занятия, Вы сможете:
Microsoft Windows NT — в высшей степени безопасная операционная система, которая (в определенных конфигурациях) сертифицирована Министерством обороны США как система класса С2. Пользуясь средствами защиты Windows NT, Вы значительно снизите риск несанкционированного доступа к системе. Статистика показывает, что большинство нежелательных проникновении удается предотвратить, если системный администратор уделяет адекватное внимание проблемам безопасности.
Windows NT обеспечивает защиту сервера с помощью учетных записей пользователей и файловой системы NTFS. Кроме того, правильно настроив службы, работающие на Вашем компьютере, Вы также предотвратите некоторые возможные нарушения зашиты.
Настройка учетных записей пользователей
Средства Windows NT позволяют защитить Ваш компьютер и его ресурсы с помощью учетных записей пользователей. Ограничивая полномочия этих записей, Вы можете управлять доступом ко всем ресурсам компьютера. Имя пользователя и пароль, применяемые для регистрации в Windows NT, полностью идентифицируют пользователя и определяют, какие операции он может выполнять на этом компьютере. Контроль пользовательских и административных учетных записей в сочетании со строгой учетной политикой является неотъемлемой частью стратегии обеспечения безопасности сервера.
Разрешайте анонимный доступ только по учетной записи Internet Guest
Учетная запись Internet Guest создается при установке Microsoft Internet Information Server (IIS). По умолчанию все клиенты IIS регистрируются на сервере именно по ней. По этой учетной записи разрешена лишь локальная регистрация, и никакие ее права не должны позволить хакеру повредить Ваш сервер или его файлы.
Примечание При создании учетная запись Internet Guest добавляется в группу Guests, поэтому на нее распространяются все права, присвоенные этой группе. После установки IIS мы настоятельно рекомендуем проверить права группы Guests и убедиться, допустимы ли они для учетной записи Internet Guest.
Если Вы разрешите удаленный доступ к серверу только по учетной записи Internet Guest, удаленным пользователям не придется вводить свое учетное имя и пароль, и их возможности будут ограничены правами учетной записи Internet Guest. Такой подход позволяет предотвратить доступ к конфиденциальной информации по подобранному или нелегально полученному паролю и тем самым позволяет лучше защитить систему.
Требуйте имя и пароль пользователя
При базовой аутентификации и аутентификации по схеме Challenge/Response Windows NT пользователю не разрешается доступ до тех пор, пока он не введет имя допустимой учетной записи и пароль. Аутентификация Windows NT, которую поддерживает Microsoft Internet Explorer, шифрует имя пользователя и пароль, обеспечивая их безопасную передачу по Интернету. При базовой аутентификации имя пользователя и пароль Windows NT передаются по общедоступным сетям незашифрованными.
Предупреждение Базовая аутентификация не шифрует имя и пароль пользователя перед передачей. Шифрование — это процесс намеренного сокрытия информации от всех, кроме адресата сообщения.
Данные для базовой аутентификации лишь преобразуются по схеме uuencode (для передачи в виде 7-битного текста), так что их легко декодирует любой, кто имеет доступ к Вашей сети или даже лишь к сегменту Интернета, через который проходят Ваши пакеты. Поэтому для парольной аутентификации компания Microsoft рекомендует применять только метод Challenge/Response Windows NT.
Различные схемы парольной аутентификации, которые поддерживает Internet Information Server, обсуждаются далее в этой главе.
Выбирайте сложные пароли
Самый легкий способ нелегально проникнуть в систему — по украденному или подобранному паролю. Убедитесь, что пароли всех пользователей системы (особенно обладающих административными полномочиями) трудно подобрать; настоятельно рекомендуем применять длинные пароли (не короче восьми символов), состоящие из цифр и букв в верхнем и нижнем регистрах. Кроме того, проводите строгую учетную стратегию. Для создания паролей служат утилиты User Manager и User Manager for Domains.
Проводите строгую учетную стратегию
Утилита User Manager позволяет, кроме паролей, управлять и другими характеристиками учетных записей пользователей. Например, ее средствами Вы сумеете задать максимально допустимое число попыток регистрации с вводом неправильного пароля. Когда оно будет превышено, возможность регистрации по этой учетной записи блокируется. Также в Вашей воле задать срок действия паролей учетных записей, что заставит пользователей регулярно изменять свои пароли.
Продумав и реализовав строгую стратегию учетных записей и четко придерживаясь ее (особенно для учетных записей с административными полномочиями), Вы эффективно предотвратите попытки подобрать или угадать пароль
Ограничьте состав группы Administrators
Ограничивая состав группы Administrators, Вы уменьшите вероятность того, что кто- то из них воспользуется легко подбираемым паролем и тем самым создаст брешь в защите всей системы. И, наконец. Вы можете переименовать встроенную учетную запись Administrator, что еще более затруднит взломщикам подбор ее пароля.
Средства защиты NTFS
На всех дисках, доступных пользователям Интернета или интрасети, рекомендуется установить файловую систему Windows NT (NT File System, NTFS). Системный диск (содержащий папку System32) ни в коем случае не должен быть доступен из Интернета.
NTFS обеспечивает защиту файлов и контроль доступа к ним и позволяет ограничить доступ конкретных лиц и служб к отдельным областям файловой системы. В частности, ко всем файлам, используемым службами Интернета, рекомендуется применять списки контроля доступа (Access Control List, ACL).
Файловая система NTFS предоставляет полный контроль над доступом к файлам и каталогам: Вы перечисляете пользователей и группы, которым разрешен доступ, а также указываете тип разрешенного им доступа. Например, некоторым пользователям какая-либо папка может быть доступна только для чтения, в то время как другим — и для чтения, и для записи. Каждой учетной записи (в том числе и записи Internet Guest) Вы можете запретить или разрешить доступ к определенным файлам и каталогам.
Права доступа
NTFS предусматривает пять стандартных уровней прав доступа:
После того как Вы настроите права доступа NTFS, Вам придется задействовать на Web-сервере систему аутентификации, чтобы идентифицировать пользователей перед предоставлением им доступа к защищаемым файлам. Вы можете потребовать регистрацию по имени пользователя и паролю соответствующей учетной записи Windows NT.
Следует иметь в виду, что встроенная группа Everyone включает всех пользователей и все группы, в том числе учетную запись Internet Guest и группу Guests. По умолчанию группе Everyone предоставлен полный контроль над всеми файлами, созданными на диске NTFS. Если Вы начали конфигурировать сервер для работы в Интернете или интрасети, в интересах безопасности сервера следует отменить права доступа для пользователей группы Everyone ко всем ресурсам. В будущем Вы по мере необходимости сможете разрешить доступ отдельным учетным записям и группам. Кроме того, обязательно удалите все ненужные права доступа к совместно используемым сетевым ресурсам.
В случае если права доступа NTFS не совпадают с разрешениями Internet Information Server, будут использоваться те, которые накладывают более строгие ограничения. Чтобы лучше защитить сервер, Вам следует пересмотреть параметры защиты для всех папок Internet Information Server и корректно настроить их.
Разрешения Web-сервера на доступ к файлам и папкам
Разрешения Web-сервера позволяют контролировать доступ пользователей к отдельным Web-узлам и работу с ними. Например, Вы можете запрещать или разрешать посетителям Вашего Web-узла просматривать определенные страницы, загружать информацию на сервер или запускать на узле сценарии. В отличие от прав доступа NTFS, права доступа Web-сервера распространяются на всех пользователей, обращающихся к Web-узлу. Это различие очень важно, так как права доступа NTFS применимы только лишь к отдельному пользователю или группе пользователей (то есть к зарегистрированным на сервере учетным записям Windows NT).
Например, запрет Web-сервера на чтение конкретного файла не позволит ни одному пользователю просматривать этот файл, независимо от прав доступа NTFS, предоставленных учетным записям пользователей. Если же Web-сервер дает разрешение на чтение файла, то пользователи смогут его просматривать, если им это позволяют права доступа NTFS.
Если же одновременно применяются и разрешения Web-сервера, и права доступа NTFS, то права, явно запрещающие доступ, будут иметь более высокий приоритет, чем разрешающие доступ.
Внимание! Установив флажки Write и Execute, Вы разрешите пользователям загружать программы на Ваш Web-сервер и выполнять их на нем. А значит, кто-то из посетителей может случайно или намеренно загрузить и запустить, на Вашем сервере потенциально опасную программу. Чтобы предотвратить это, пользуйтесь разрешением Script, а не Execute, поскольку первое разрешает пользователю только запуск сценариев, выполняемых установленной на сервере системой выполнения сценариев, не позволяя (как это делает разрешение Execute) запускать любые другие исполняемые программы.
Прочие меры защиты Windows NT
Чтобы дополнительно усилить защиту, ограничьте число протоколов, используемых сетевыми адаптерами. Уменьшив число работающих служб, Вы снизите вероятность административных ошибок. Для отключения служб, которые не нужны на Вашем сервере Интернета, воспользуйтесь апплетом Services Панели управления.
Кроме того, вкладка Bindings апплета Network Панели управления позволяет отменить привязку ненужных служб или протоколов ко всем платам сетевых адаптеров, подключенным к Интернету. Например, если Вы используете службу Server для загрузки новых изображений и документов с компьютеров внутренней сети, но не хотите, чтобы удаленные пользователи могли напрямую обращаться к службе Server из Интернета, отмените ее привязку ко всем подключенным к Интернету сетевым адаптерам.
Вы вправе не только ограничить число применяемых платами сетевых адаптеров протоколов, но и вообще отключить службу Server Windows NT, чтобы пользователи не смогли просматривать сетевые ресурсы на компьютере Internet Information Server. Отключив службу Server, Вы лишите пользователей возможности испытать Вашу систему на прочность.
Служба Server опирается на сетевые средства протокола Server Message Block (SMB), а не Hypertext Transport Protocol (HTTP). Отметим, что действие лицензионных требований Windows NT Server распространяется на все подключения по протоколу SMB. На HTTP-подключения действие лицензионных требований Windows NT Server не распространяется. '
Если Вы не хотите отключать службу Server, тщательно проверьте права доступа к совместно используемым ресурсам системы. Рекомендуется также проверять права доступа к файлам всех общих папок.
Резюме
Средства безопасности Microsoft Windows NT — основа защиты Internet Information Server; они значительно уменьшают риск несанкционированного проникновения в систему. Учетные записи пользователей Windows NT и права доступа файловой системы NTFS предоставляют в распоряжение администратора широкий спектр инструментов, позволяющих обеспечить безопасность сервера Интернета. В качестве дополнительной меры защиты рекомендуется отключить ненужные службы и тщательно сконфигурировать остальные.