Реальный мир



Предыдущая | Следующая

Реальный мир

Анил Десаи

Основной целью системных администраторов, которые отвечают за у прав - I ление доступом к веб-службам, является сведение к минимуму вероятности неавторизованного доступа и неправильного использования приложений или данных. Понятие «фронт атаки*- означает возможности подключения к серверу с использованием различных способов. Один из основных способов обеспечения безопасности сервера состоит в снижении фронта атаки. Инфраструктура IIS поддерживает веб-пршюжения, использующие различные технологии. Если определенные веб-приложения : не требуют применения конкретной технологии (например, поддержку Microsoft .NET Framework), вы можете снизить вероятность неавторизованного доступа к системе, отключив данный компонент.

Еще одна стратегия, связанная с безопасностью веб-сервера, заключается в обеспечении глубинной защиты. В этой технологии используется многоуровиеная система безопасности. Опции безопасности включают > аутентификацию, авторизацию, разрешения файловой системы и другие параметры, обеспечивающие множество барьеров в получении доступа. Эти механизмы безопасности позволяют лишь авторизованным пользователям получать доступ к системе. Кроме того, в случае некорректной настройки или взлома одного из уровней безопасности другие параметры безопасности могут ограничить неавториэованный доступ или воспрепятствовать ему.

Часто параметрами безопасности управлять довольно сложно. Если системные администраторы не установят соответствующие разрешения, это приведет к снижению уровня безопасности систем. В IIS используется иерархическая система расположения объектов, таких как веб-сайты и веб-приложения, что упрощает организацию параметров и содержимого. Например, вы можете применить параметры безопасности на уровне сервера, для конкретных веб-сайтов и веб-приложений или непосредственно в виртуальных каталогах, физических файлах и папках.

В целом применение разрешений на более высоких уровнях иерархии упрощает администрирование. На рис. 6-1 показано, каким образом такие объекты, как веб-сервер, веб-сайты, веб-приложения и т. д., классифицированы во вложенных связях «родитель-потомок». Параметры объектов более высокого уровня (например, веб-сайта) будут автоматически при-I менены ко всем объектам на более низких уровнях (например, ко множеству веб-приложений). Администраторы могут затем заменять параметры конкретных веб-приложений, используя любой метод в зависимости от требований. Конечным результатом реализации такой стратегии конфигурирования является обеспечение высокого уровня безопасности при минимальных усилиях администратора.

СОВЕТ Подготовка к экзамену

Хотя на сертификационном экзамене 70-643 может и не быть вопросов, касающихся общих концепций и методик обеспечения безопасности, вам следует знать рекомендуемые технологии глубинной защиты и снижения фронта атаки веб-сервера. Довольно часто оптимальным решением для сценария является применение различных методов обеспечения безопасности в наиболее подходящей комбинации.

содержание: Развертывание и настройка Windows Server 2008