Sunday, July 22nd, 2018

Как авторизация URL улучшает безопасность web-сервера

Published on Февраль 5, 2009 by   ·   Комментариев нет

Web-серверы по сути своей очень подвержены внешнему воздействию и атакам. Internet Information Services (IIS) version 6, включенный в Windows Server 2003, обладает новыми функциями, призванными улучшить безопасность web-серверов. Одной из таких функций является авторизация URL, работающая совместно с менеджером авторизаций сервера 2003. В данной статье мы разберемся, как авторизация URL используется в IIS 6.0, практические моменты использования в web-службах, и посмотрим, как это улучшает безопасность web-сайтов и служб.

Почему авторизация URL?

Создание web-сайтов преследует несколько целей. Самая популярная из них – предоставить группе людей доступ к информации, необходимой для выполнения их работы, причем доступ быстрый и легкий через стандартный web-браузер из любой точки (дом, офис, автомобиль). Но информация эта не для широкого круга пользователей, и вы не хотите, чтобы все получили доступ к ней только потому, что она находится на web-сервере.

Вот когда авторизация URL вступает в действие. В таких случаях необходим механизм контроля тех, кто может получить доступ к определенному сайту или странице. Существует несколько способов добиться этого, можно, например, установить пароль для получения доступа к странице. Но проблема с заключается в том, что любой человек, узнавший пароль, сможет получить доступ к странице. Более безопасный способ контроля доступа — это привязать его к учетной записи пользователя в домене или организации. Windows Server 2003 позволяет сделать это путем использования авторизации URL и настройки авторизации через менеджер авторизаций. Web-приложения, пописанные в цифровом паспорте ASP.NET, могут использовать авторизацию URL для контроля доступа.

Роль менеджера авторизаций

Менеджер авторизаций — утилита Windows Server 2003, используемая для применения администрирования через правила авторизации, которые представляют собой скрипты, необходимые для авторизации пользователей и компьютеров. Роли пользователей основаны на их должностных обязанностях, в то время как роли компьютеров – на функции в сети, например, выполнение функции сервера. Для более подробной информации пройдите по ссылке http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.

Роли пользователей могут быть определены в запросах Lightweight Directory Access Protocol (LDAP). Объект пользователя будет содержать информацию о пользователе, который может получить доступ через запрос LDAP, и эта информация может быть использована для того, чтобы определить, соответствует ли пользователь критерию, указывающему на эту роль. Например, можно ограничить

Можно также ограничить время доступа к web-странице, создав BizRules. Это динамические правила, представляющие собой скрипты, прикрепляемые к заданиям объектов. Они используются для авторизации пользователей на основе информации, которая действительно только во время действия скрипта, например, день недели или время суток. Скрипты BizRules могут быть написаны на языках VBScript или Jscript, поэтому вы должны быть знакомы с этими языками. BizRules добавляются и редактируются с помощью менеджера авторизаций ММС, который запускается набором команды azman.msc в поле запуска приложения. Для более подробной информации по созданию BizRules и загрузке скрипта в хранилище авторизаций перейдите по ссылке http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.

Как работает авторизация URL

При использовании авторизации URL для контроля доступа к web-источникам IIS определяет роль пользователя и принимает решение по авторизации на основе полученной информации. Internet Server Application Programming Interface (ISAPI) является программным приложением, выполняющим данную работу.

Как использовать авторизацию URL

Авторизация URL не установлена по умолчанию в IIS 6.0. Сначала необходимо разрешить захватчик ISAPI. Имя файла — Urlauth.dll. Он должен быть разрешен для каждого сайта в отдельности. Обратите внимание на то, что вам необходима локальная административная учетная запись на компьютере с ISS 6.0. Вот что необходимо сделать:

  1. Выберите StartAll ProgramsAdministrative ToolsInternet Information Services (Пуск | Все программы | Административные инструменты | Информационные службы Internet).
  2. В левой части панели управления IIS выберите Web Sites (Web-сайты).
  3. Щелкните правой кнопкой мыши на сайте, для которого вы хотите использовать авторизацию URL и выберите Properties (Свойства).
  4. Выберите закладку Home Directory (Домашняя директория). Выберите Configuration (Настройка) в Application settings (Настройки приложения).
  5. Выберите закладку Mappings (Отображение). Щелкните левой кнопкой мыши Insert (Вставить) в Wildcard application maps (Карты приложения Wildcard ).
  6. На странице Add/Edit Application Extension Mapping, выберите Browse (Просмотреть) и просмотрите следующую директорию: Windows\system32\inetsrv.
  7. Выберите urlauth.dll, нажмите кнопку Open (Открыть), а затем OK (Готово).
  8. Повторить данные действия для всех сайтов.

Установки захватчика ISAPI не последний шаг. Далее необходимо установить несколько свойств метабаз для URL. Сделай следующее:

  • AzEnable для разрешения авторизации URL для данного URL
  • AzStoreName для соответствия URL хранилищу авторизаций
  • AzScopeName для соответствия URL области имен
  • AzImpersonationLevel для настройки web-приложения для определения пользователя, процесса IIS или учетной записи IUSER_

Для установки уровня определения можно использовать значения 0, 1 или 2. 0 означает авторизацию авторизированного клиента, 1 – определение процесса IIS, 2 – анонимной учетной записи пользователя.

Для установки свойств метабаз нужны некоторые знания правил написания скриптов.

Для получения примеров скриптов и более подробного описания порядка настройки авторизации URL в IIS 6.0 пройдите по ссылке http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/maintain/security/AthManWp.asp.

Обзор

Авторизация URL—одна из новых функций системы безопасности в Internet Information Services 6.0, последней версии программного обеспечения серверов Microsoft, встроенной в Windows Server 2003. Авторизация URL использует менеджер авторизаций для контроля за доступом к web-страницам и приложениям. Если вам необходимо контролировать доступ на основе ролей пользователей, это то что вам нужно.

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]