Bezpečnostní vylepšení, která ochrání vaši síť

Protože stále více uživatelů začíná používat Windows 2000, která mají rovněž mnoho bezpečnostních vylepšení,...


Protože stále více uživatelů začíná používat Windows 2000, která mají rovněž
mnoho bezpečnostních vylepšení, a server IIS 5.0 je 4 až 5krát rychlejší než
minulá verze, je ten správný čas pro článek věnující se právě tomuto webovému
serveru a jeho bezpečnostním vylepšením.

Tyto nové funkce vám umožní snadněji nakonfigurovat bezpečnost a díky novým
technologiím, jako je Kerberos, server lépe spolupracuje i s ostatními systémy.
Prvním krokem pro instalaci serveru IIS 5.0 je jeho přihrání do systému Win2K.
Konfigurace tohoto systému přímo ovlivňuje to, jak budete se serverem IIS a
jeho bezpečností moci pracovat. Po instalaci IIS jsem použil produkt Microsoft
Visual InterDev 6.0 k vytvoření nového virtuálního adresáře. Doplňky systému
Win2K nazvané FrontPage Server Extensions tento proces velmi zjednodušily.
Zabezpečení
Nastavil jsem zabezpečení na serveru hned po vytvoření nového virtuálního
adresáře. K těmto vlastnostem se dostanete přes program Internet Service
Manager (ISM), stejně tak, jak jste byli zvyklí z IIS 4.0 na serveru NT 4.0.
Spusťte si program ISM, vyberte vlastnosti virtuálního adresáře a klepněte na
záložku Directory Security. První volba je metoda ověření, která kontroluje
autentizaci uživatelů, kteří přistupují do virtuálního adresáře proti
bezpečnostnímu systému serveru. Server IIS 5.0 má několik možností ověření.
Zaškrtávací políčko Basic authentication kontroluje autorizovaný přístup k
virtuálnímu adresáři. Pokud vyberete tuto možnost, váš prohlížeč použije pro
přenos vašeho jména a hesla prostý text. Tato funkce je velmi podobná IIS
serveru 4.0, ale je zde jedna malá odchylka. U IIS 5.0 můžete vybrat i to, že
se uživatelé mohou autorizovat i proti NT doméně. Výchozí doménou pak je
lokální NT doména. Tato funkce vám dává možnost kontrolovat přístup uživatelů k
webovým aplikacím. Velké organizace, které mohou mít systémy Win2K, NT domény a
systémy Novell Netware, tuto novou funkci jistě ocení.
Další možností je autentizace Digest pro doménové servery Windows, která je
definována dokumentem RFC 2069 (http://www.ietf.org/rfc/rfc2069.txt).
Autentizace Digest specifikuje použití kryptovacích služeb pro ochranu
uživatelského hesla a posílá sdílené secret heslo místo hesla uživatelského.
Tato metoda používá protokol TCP/IP, který jí umožňuje fungovat i přes
Microsoft Proxy server. Microsoft Internet Explorer (IE) 5.0 je jedním z mála
prohlížečů, které tuto autentizaci podporují. Autentizace Digest je součástí
specifikací HTTP1.1. Server IIS 5.0 při přístupu uživatele do virtuálního
adresáře s autentizací Digest posílá prohlížeči hodnotu, díky níž prohlížeč ví,
že se jedná právě o zmíněnou autentizaci. Tento, dá se říct požadavek, zahrnuje
dodatečné informace, které prohlížeč použije pro kryptovací proces. Prohlížeč
přidá další informace k ID uživatele a heslu a projede je kódovacím algoritmem.
Pokud bude hodnota, kterou pošle prohlížeč, stejná jako hodnota, kterou
vygeneroval IIS, Digest authentication ověří uživatele a poskytne mu přístup k
prostředkům IIS.
Pokud zapnete autentizaci Digest, IIS vás bude varovat, abyste si uložili hesla
účtů do souboru v prostém textu. Server IIS 5.0 používá pro generování kódované
hodnoty hesla ve formátu prostého textu. Tuto hodnotu potom porovnává s
hodnotou zaslanou prohlížečem. Server IIS porovnává kód, který mu prohlížeč
pošle, a není zde nutné, aby samotné heslo bylo zasláno přes síť.

Další volby zabezpečení
Stránka vlastností Directory Security vám umožní nastavit nebo změnit IP adresy
a doménová jména, na něž se vztahují restrikce bezpečnostních nastavení. Tato
funkce i dialogy a možnosti nastavení jsou stejné jako u serveru IIS 4.0.
Server IIS 5.0 mění volby bezpečné komunikace a je integrován se službami
Certificate Services. Můžete použít volbu Server Certificate k vytvoření
požadavků na nový certifikát, nebo můžete použít existující certifikát.
Klepnutím na tlačítko Server Certificate spustíte Certificate Wizard, který vás
provede celým procesem vytváření nebo instalování certifikátu. Tento průvodce
je proti IIS 4.0 Key Manageru příjemnou změnou.
Pokud chcete nastavit další způsob zabezpečení, můžete povolit přístup přímo na
soubory v adresáři. Adresářová kontrola přístupu je podobná jako u IIS 4.0,
novou funkcí je však možnost nastavení přístupu ke zdroji skriptu (Script
source access), umožňující uživatelům zobrazení kódu skriptových souborů.
Aut. nastavení bezpečnosti
Nové funkce systému Win2K a dalších aplikací Microsoftu vám pomohou nastavit
nové bezpečnostní prvky bez toho, abyste museli projít všechny stránky s
nastavením. Za posledních několik let Microsoft přidal aplikace a průvodce
instalacemi, které vám s nastavením zabezpečení pomohou. Použitím wizardu
pohodlně nastavíte přístup k adresářům a můžete rovněž vybrat zabezpečení
pomocí autentizace.

Základ bezpečnosti
Kerberos a Active Directory (AD) tvoří základ většiny bezpečnostních nastavení
v systému Win2K. Server IIS 5.0 pro zvýšení bezpečnosti používá oba tyto
systémy. Bezpečnost má své stinné i světlé stránky. Malá bezpečnost dává
nesprávným lidem přístup k důležitým informacím. Vysoká míra zabezpečení vám
naopak zabere mnoho času a spotřebuje velkou část výkonu procesoru při
zpracování a správě. Systém Win2K společně se serverem IIS 5.0 dělají práci s
bezpečností jednodušší a dávají vám nad vašimi systémy větší kontrolu.
1 0959 / zaj









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.