Обеспечение безопасности разрешений NTFS сайта
При создании и форматировании нового устройства с использованием файловой системы NTFS ему присваиваются следующие разрешения.
Группа локального администрирования | Полный контроль. |
SYSTEM | Полный контроль. |
CREATOR OWNER (Создатель-владелец) | Полный контроль. |
Users (Пользователи) | Чтение и выполнение, создание папок/присоединение данных, создание файлов/запись данных. |
Everyone (Все) | Чтение и выполнение. |
Эти разрешения позволяют выполнять действия, выходящие за рамки того, что требуется для рассматриваемого сайта. Кроме того, Internet Guest Account (гостевая учетная запись интернета) не содержит легко контролируемых прав для данной папки, а только разрешения групп Everyone (Все) и Users (Пользователи). Не рекомендуется напрямую присваивать ресурсы определенной учетной записи, может потребоваться более высокий уровень контроля над тем, что доступно учетной записи анонимного пользователя. Выходом из данной ситуации является создание локальной группы, присвоение этой группе прав NTFS и включение в нее анонимного пользователя. Таким образом, для предоставления разрешения другой учетной записи пользователя ее нужно лишь добавить в эту группу.
Разрешения папки настраиваются следующим образом.
- Откройте консоль MMC Computer Management (Управление компьютером) с помощью команды Star\Administrative Tools\Computer Management (Пуск\Администрирование\Управление компьютером).
- Разверните пункт Local Users and Groups (Локальные пользователи и группы).
- Щелкните на контейнере Groups (Группы).
- Создайте новую группу, выбрав команду Action\New Group (Действие\Создать группу). Отобразится окно New Group (Новая группа).
- Укажите имя группы Anonymous Access for BeerBrewers Site. Это имя подходит также и для описания (см. рис. 7.3).
Рис. 7.3. Группа Anonymous Access for BeerBrewers Site - Присвойте рассматриваемому сайту учетную запись Internet Guest Account (Гостевая учетная запись интернета), нажав на кнопку Add (Добавить) и введя имя учетной записи Internet Guest Account в окне Select Users.
Как было сказано в лекцию 2 курса "Администрирование web-серверов в IIS", эта учетная запись создается при установке IIS, и ей присваивается имя IUSR_имя-компьютера. В нашем примере учетной записи присваивается имя IUSR_MYCOMPUTER. - Нажмите на кнопку OK, чтобы добавить учетную запись в область Members (Члены) группы.
- Нажмите на кнопку Create (Создать) для завершения создания группы, затем нажмите на кнопку Close (Закрыть) для закрытия окна New group (Новая группа).
После создания группы ее можно включить в разрешения безопасности папки, в которой располагается веб-сайт. Создаваемый сайт является совершенно новым, поэтому сначала необходимо создать папку.
- Создайте соответствующую папку на диске E: с помощью Проводника Windows (Windows Explorer) и назовите ее BeerBrewers Site.
- Откройте окно свойств этой папки, щелкнув на ней правой кнопкой мыши и выбрав команду Properties (Свойства).
- Откройте вкладку Security (Безопасность) папки (см. рис. 7.4). Первое, что необходимо сделать – отключить наследование разрешений. Нажмите на кнопку Advanced (Дополнительно) и отключите опцию Allow Inheritable Permissions From The Parent To Propogate To This Object And All Child Objects (Разрешить распространение наследуемых разрешений родительского объекта на данный объект и все дочерние объекты).
- При отключении опции откроется диалоговое окно Security (Безопасность), предлагающее скопировать или удалить разрешения. Нажмите на кнопку Copy (Копировать), чтобы скопировать разрешения.
- Нажмите на кнопку OK для выхода из окна Advanced Security Settings (Дополнительные настройки безопасности).
- Удалите объекты Creator Owner (Создатель-владелец) и Users (Пользователи) из списка Group Or User Names (Группы или имена пользователей), щелкая на имени и нажимая на кнопку Remove (Удалить).
- Рассматриваемая группа Anonymous (Анонимные пользователи) будет по умолчанию иметь разрешения Read & Execute (Чтение и выполнение), List Folder Contents (Просмотр содержимого папки) и Read (Чтение) (см.рис. 7.4). Эти параметры приемлемы для рассматриваемого сайта.
Рис. 7.4. Вкладка окна Site Properties (Свойства сайта)
Мы создали папку, управление которой осуществляют группы Administrators (Администраторы) и Operating System (Операционная система), а чтение и выполнение – все остальные лица. Повторите шаги 1-7 для создания среды разработки для разрабатываемого веб-сайта BeerBrewers Test Site. Для разрешений используйте одну и ту же группу (на самом деле такой подход даже лучше).