Безопасность IIS

       

Разрешения на доступ IIS


На вкладке Home Directory (Домашний каталог) диалогового окна IIS Security Properties (Параметры безопасности IIS) имеется набор разрешений для контроля доступа к веб-сайтам, каталогам и отдельным файлам. Это разрешениями на доступ IIS, а не Windows 2000! IIS имеет инструменты для контроля доступа поверх операционной системы Windows 2000. Эти разрешения являются глобальными и не привязаны к конкретной учетной записи или группе.

Для включения разрешений на доступ IIS щелкните правой кнопкой мыши на названии веб-сайта, каталога или файла в консоли MMC Internet Service Manager (Диспетчер служб интернета) и выберите команду Properties (Свойства).

Эти права устанавливаются при создании сайта с помощью Site Creation Wizard (Мастер создания сайта). Для изменения прав всех сайтов сервера откройте вкладку Home Directory (Домашний каталог) в окне Master Security Properties (Главные свойства безопасности) на уровне веб-сайта. Или откройте вкладку Directory (Каталог) окна Properties файла (папки) (см. рисунок), выделив узел нижнего уровня в дереве консоли Internet Services Manager (Диспетчер служб интернета).


В таблице 4.6 приведено описание разрешений IIS (за исключением разрешений ведения журнала, о которых пойдет речь в лекции 5). Эти элементы IIS дополняют управление доступом NTFS и в совокупности образуют сложный набор разрешений. Например, пользователь, которому запрещен просмотр домашнего каталога веб-сайта, но имеющий разрешения List (Просмотр) Windows 2000, работает в рамках наиболее ограничивающего набора разрешений (т.е. ему будет отказано в просмотре файлов в папке).

С точки зрения безопасности рекомендуется использовать наиболее ограничивающие параметры, которые, тем не менее, позволят сайту нормально функционировать.

Таблица 4.6. Разрешения на доступ IIS

Тип доступаОписание
Доступ к исходным файлам сценария Позволяет осуществлять доступ к исходным файлам. При разрешении Read (Чтение) исходный код можно прочитать, при разрешении Write (Запись) исходный код можно записать. Под доступом к исходным файлам сценариев подразумевается доступ к коду сценариев, таких как сценарии приложения ASP. Опция недоступна, если не выбрано ни одно разрешение из пары Read (Чтение) и Write (Запись).
Разрешение на чтениеПозволяет осуществлять просмотр и передачу содержимого браузеру-клиенту для отображения.
Разрешение на записьПозволяет клиентам с браузерами, поддерживающими возможность "PUT" стандарта HTTP 1.1, отгружать файлы на сервер или изменять содержимое файла, запись которого разрешена. "PUT" обычно не предоставляется, если администратор не включает данный тип доступа.
Просмотр каталоговПозволяет клиенту просматривать все файлы каталога. Если сервер не является общим сервером FTP, опция должна быть отключена.



Содержание раздела