Безопасность IIS

       

Права на доступ к каталогу для записи Internet Guest


После переименования Internet Guest (Гостевой учетной записи интернета) и включения ее в новую группу убедитесь, что у нее есть доступ к домашнему каталогу веб-сайта, и дважды проверьте ее разрешения насоответствие гостевой учетной записи интернета. Необходимо, чтобы все было максимально корректно. Если у записи Internet Guest нет прав доступа, веб-браузеры (и, соответственно, пользователи) не смогут открывать страницы для просмотра. Если ей присвоено слишком много разрешений, то считайте, что создано потенциально уязвимое место.

Основным разрешением для Internet Guest на сайте со статическими веб-страницами является разрешение на чтение корневого каталога, в котором они расположены. При использовании на сайте динамических страниц и сценариев включите разрешение Read & Execute (Чтение и выполнение) в каталоге сценариев. Ни в коем случае нельзя включать разрешение Write (Запись) в каком бы то ни было месте системы!

С точки зрения безопасности учетных записей Internet Guest рекомендуется вернуться в корневой каталог раздела, содержащего веб-сайт, запретить все разрешения, после чего по отдельности включить нужные разрешения. Ниже приведены инструкции для запрета всех разрешений.

  1. С помощью Проводника Windows или окна My Computer (Мой компьютер) найдите нужные дисковые устройства.
  2. Щелкните правой кнопкой мыши на нужном диске и выберите команду Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска).
  3. Откройте вкладку Security (Безопасность), чтобы отобразить учетные записи в ACL (см. рисунок). Нажмите на кнопку Add (Добавить) и добавьте переименованную учетную запись Internet Guest, которую вы только что создали.


  4. Отметьте поля Deny (Запретить) для всех разрешений доступа. По завершении работы появится диалоговое окно подтверждения, в котором следует нажать на кнопку Yes (Да) для продолжения работы.
  5. Повторите эти шаги для всех разделов накопителей веб-сервера.

Для присвоения учетной записи Internet Guest разрешений на отдельные каталоги сайта выполните следующие шаги.


  1. Перейдите к корневому каталогу веб-сайта, содержащему статические веб-страницы, щелкните на нем правой кнопкой мыши, после чего выберите команду Properties (Свойства).
  2. В окне Properties откройте вкладку Security (Безопасность).
  3. В списке ACL должны находиться только следующие группы и учетные записи: Administrators (Администраторы), SYSTEM (Система) и созданная группа распределенного администрирования (это зависит от того, какие права имеются на сервере после изменений конфигурации прав). Нажмите на кнопку Add (Добавить), чтобы включить переименованную учетную запись Internet Guest в список ACL, если ее там еще нет.
  4. В появившемся списке учетных записей (см. рисунок) выберите переименованную учетную запись. Нажмите на OK, чтобы сохранить изменения и закрыть список.



  5. Вернитесь в окно Properties каталога, в списке ACL которого теперь присутствует учетная запись Internet Guest. Выделите ее и отметьте опцию Read (Чтение) для включения соответствующего разрешения. Отключите все остальные опции без исключения. Нажмите на кнопку Apply (Применить), чтобы сохранить изменения.


При использовании на сайте динамических страниц и сценариев повторите эти процедуры для каталога сценариев и установите разрешения Read & Execute (Чтение и выполнение). При этом автоматически отметятся опции Read (Чтение) и List Folder Contents (Просмотр содержимого каталога), но все остальные опции следует отключить.


Содержание раздела