Услуги за уеб хост на Microsoft

Задачата за защита на данните е подходяща дори за локален уеб сайт, който е достъпен от членове само на една работна група. Когато свържете компютъра си към корпоративна мрежа и споделяте лични документи, не сте имунизирани срещу случайно или умишлено изтриване на необходимите файлове.

Тази глава обяснява как да:

    защитата на услугите на уеб сайта работи;

управлява анонимен достъп;

управлява потребителски и групов достъп;

поискайте потребителско име и парола за удостоверяване;

разрешаване на достъп до папки и файлове;

  • защита на данните чрез SSL протокола.

    • Как работи защитата на услугите за уеб хостинг

    В допълнение към защитата на Windows NT, можете да използвате Internet Services Manager, за да създадете документи само за четене или виртуални директории само за приложения. Услугите за уеб хост поддържат протокола Secure Sockets Layer (SSL), който използва криптиране за предаване на данни между клиенти и сървъри.

    услуги

    Следващите раздели обясняват как да настроите Windows NT и интернет услуги, за да защитите вашата система.

    Анонимен контрол на достъпа

    във всички заявки към услугата Gopher;

    Създаване на анонимен потребителски акаунт

    Анонимният потребителски акаунт трябва да бъде валиден Windows NT потребителски акаунт на компютъра, работещ с уеб услуги, а паролата трябва да бъде паролата на анонимния потребител според потребителската база данни на компютъра. Потребителски акаунти и пароли се създават и променят в Windows NT User Manager с помощта на командатаPermissionsпотребителив менюПолитика. Акаунта на анонимния потребител трябва да съдържа правото на Локално влизане.

    По подразбиране всички уеб клиенти се свързват с компютър, използвайки акаунта IUSR_име на компютър. Акаунтът IUSR_ComputerNameе достъпен само когато сте влезли локално на компютър, изпълняващ услуги за уеб хост.

    Забележка:Акаунтът IUSR_име на компютърсъщо се добавя към групата Гости. Ако промените настройките за групата Гости, направените от вас промени ще се приложат и към акаунта IUSR_име на компютъра. Трябва да прегледате настройките за групата Гости и да се уверите, че са подходящи за акаунта IUSR_ComputerName.

    В WWW и FTP услугите можете да активирате или деактивирате анонимни връзки (всички заявки за услуги на Gopher са анонимни). Във всяка уеб услуга (WWW, FTP и Gopher) можете да промените акаунта, използван за обработка на анонимни заявки, както и да промените паролата на акаунта.

    За разрешаване на анонимни връзки

      1.В диспечера на интернет услуги щракнете двукратно върху WWW или FTP услугата, за да отворите прозореца със свойства, след което изберете раздела Услуга.

    2.В WWW услугата поставете отметка в квадратчето „Разрешаване на анонимно влизане“. В услугата FTP поставете отметка в квадратчето „Разрешаване на анонимни връзки“.

    За да промените акаунта, използван за обработка на анонимни заявки, и паролата на акаунта

      1.В диспечера на интернет услуги щракнете двукратно върху услуга, за да отворите прозореца със свойствата й, след което изберете раздела Услуга.

    Контрол на потребителски и групов достъп

    Създаване на потребителски акаунти

    За да удостоверят автентичността си в интернет услугите, използвайки протокола предизвикателство/отговор на Windows NT, потребителите трябваРазрешете правото на достъп до този компютър от мрежата. По подразбиране всеки потребител има това право.

    За да увеличите безопасността си, следвайте тези указания:

      Не предоставяйте на акаунта IUSR_име на компютъра, групата Гости или групата Всички допълнителни права над правата Локално влизане и достъп до този компютър от мрежата.

    Уверете се, че паролите на всички потребителски акаунти, особено на администраторите, не са тривиални (т.е. не могат да бъдат познати случайно). Съсредоточете се върху паролата на администратора (най-добре е доста дълга последователност от цифри и букви в различни главни букви) и задайте подходяща политика за акаунта. Паролите се задават с помощта на потребителския мениджър или се въвеждат в отговор на системна подкана.

    Уверете се, че датите на изтичане на паролата са посочени (това насърчава актуализациите на паролата) и задайте други настройки на акаунта, като например броя неуспешни опити за влизане, разрешени в процедура за влизане, преди даден потребител да бъде заключен. Тази политика (зададена в User Manager) има за цел да предотврати действия, насочени към декриптиране на паролата чрез изчерпателно или произволно изброяване на възможните опции.

    Ограничете членството в групата администратори до доверени лица.

  • Ако използвате акаунтите INTERACTIVE и NETWORK, предварително дефинирани в Windows NT, уверете се, че файловете на уеб сайта са достъпни чрез тези акаунти. За да споделите файл с анонимна заявка или с проста заявка за удостоверяване, трябва да разрешите ИНТЕРАКТИВЕН достъп до акаунта. За да обслужвате файл при поискване с удостоверяване на предизвикателство/отговор на Windows NT, трябваразреши достъп чрез МРЕЖОВ акаунт.

    • Искане за потребителско име и парола

    WWW услугата поддържа два метода за удостоверяване: Основен и Windows NT предизвикателство/отговор (понякога наричан NTLM).

    Обикновеното удостоверяване не използва криптиране при комуникация между клиента и сървъра. Тъй като потребителското име и паролата се предават некриптирани по мрежата, те могат лесно да бъдат разпознати от нарушители.

    Можете да присвоите клиентско удостоверяване на всички заявки към FTP услугата или само на невалидни заявки. FTP услугата поддържа само прост метод за удостоверяване, така че вашият сайт ще бъде по-добре защитен, ако са разрешени анонимни връзки.

    За да разрешите удостоверяване в WWW услугата

      1.В диспечера на интернет услуги щракнете двукратно върху WWW услугата, за да отворите прозореца със свойства, след което изберете раздела Услуга.

    2.Поставете отметка в квадратчетата Plain (без криптиране на парола) и/или Windows NT Challenge/Response.

    За да разрешите удостоверяване на FTP услугата

      1.В диспечера на интернет услуги щракнете двукратно върху FTP услугата, за да отворите прозореца със свойства, след което изберете раздела Услуга.

    2.За да удостоверите неправилни анонимни връзки, изчистете отметката от квадратчето Разрешаване само на анонимни връзки.

    3.За да удостоверите всички клиентски заявки, изчистете квадратчето за отметка Разрешаване на анонимни връзки.

    Предупреждение.Когато използвате основния метод за удостоверяване във FTP и WWW услуги, предаването на парола по мрежата е некриптирано, точно като HTTP удостоверяване.

    Как си взаимодействат анонимните и проверимите заявки

    Ако удостоверяването не е извършено, но са разрешени анонимни връзки, клиентска заявка, съдържаща името и паролата на потребителя, се третира като анонимна (личните данни на потребителя се игнорират).

    WWW услуга

    FTP услуга

    Създайте своя собствена система за удостоверяване

    Разрешение за достъп до папки и файлове

  • предоставяне на разрешения за достъп с помощта на Internet Service Manager.
    • Забележка:Файловата система, базирана на FAT (Таблица за разпределение на файлове), не поддържа контрол на достъпа. Въпреки това, FAT дяловете могат да бъдат преобразувани в NTFS чрез помощната програмаconvert. За повече информация вижте документацията на Windows NT за тази програма.

    Разрешение за достъп до NTFS система

    Ако има конфликти между системните настройки на NTFS и настройките на услугите за уеб хост, договорете необходимите стойности.

    Трябва да анализирате и организирате настройките за защита на всички папки на уеб сайта и можете да използвате следната таблица: