Безопасность IIS

Обеспечение безопасности учетной записи Internet Guest для анонимного входа в систему


На большей части сайтов в интернете, используемых для маркетинга и распространения информации, не нужна аутентификация пользователей, так как все посетители считаются легальными. Вместо аутентификации используется анонимный вход, о котором вкратце говорилось в лекции 3. Анонимный вход представляет собой автоматическую аутентификацию пользователей при помощи общей учетной записи с именем IUSR. (В списке ACL сервера она значится как IUSR_%имя компьютера%.) Эту учетную запись называют гостевой записью интернета.

Важно. При использовании анонимного входа (например, если веб-сайт находится во внутренней сети, и нужна аутентификация всех пользователей без исключения) убедитесь, что учетная запись AnonymousGuest (Анонимный гость) не выбрана на вкладке IIS Directory Service (Служба каталогов IIS), и отключите ее.

Учетная запись Internet Guest (Гостевая учетная запись интернета) имеет ограниченные разрешения, которыми можно смело наделять всех посетителей сайта. Для обеспечения максимальной безопасности учетные записи должны содержать только разрешение Read (Чтение) в некоторых каталогах веб-сайта.

Рекомендуется создать новую учетную запись Internet Guest. Во-первых, уменьшается опасность использования учетной записи по умолчанию при попытке атаки. Во-вторых, на данном этапе при перезагрузке Windows 2000/IIS сбрасываются некоторые настройки, о которых вы узнаете далее. В случае изменения учетной записи Internet Guest внесенные изменения сбрасываться не будут.

Для создания новой учетной записи Internet Guest выполните следующее.

  1. Создайте новую группу, которой будет принадлежать учетная запись. Откройте консоль MMC Computer Management (Управление компьютером).
  2. Найдите папку Local Users and Groups (Локальные пользователи и группы) в дереве ресурсов и откройте ее, чтобы развернуть вложенный список. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите New Group (Создать группу).
  3. В диалоговом окне New Group присвойте группе название. Укажите любое желаемое имя. Имя "Siteguests" будет достаточно информативным.
    Нажмите на кнопку Create (Создать) для сохранения новых настроек группы.
  4. Переименуйте учетную запись IUSR. Вернитесь в консоль MMC Computer Management, щелкните на папке Users (Пользователи) и найдите учетную запись IUSR в правом окне консоли. Щелкните на ней правой кнопкой мыши и выберите команду Rename (Переименовать). Присвойте учетной записи имя, например, SiteIUSR_%имя сервера%.
  5. Настройте параметры учетной записи и включите ее в только что созданную группы Guest. Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties.
  6. Убедитесь, что на вкладке General (Общие) диалогового окна Properties отмечены следующие опции: User Cannot Change Password (Пользователь не может сменить пароль) и Password Never Expires (Срок действия пароля не ограничен) (см. рисунок).



  7. Откройте вкладку Member Of (Член группы) и удалите учетную запись из группы Guests. Затем добавьте ее в новую группу "Siteguests". Не допускайте, чтобы эта учетная запись являлась членом какой-либо другой группы. Совет. При необходимости можно удалить группу Web Anonymous (Анонимные пользователи интернета). Специалисты в области информационной безопасности, как правило, оставляют ее в качестве обманного маневра (убедитесь, что отключены все разрешения для данной группы).
  8. Нажмите на OK, чтобы сохранить изменения и закрыть диалоговое окно.



Содержание раздела