Информационный сайт

 

Реклама
bulletinsite.net -> Книги на сайте -> Программисту -> Купцевич Ю.Е. -> "Альманах программиста, том 4. Безопасность в Microsoft .NET" -> 56

Альманах программиста, том 4. Безопасность в Microsoft .NET - Купцевич Ю.Е.

Купцевич Ю.Е. Альманах программиста, том 4. Безопасность в Microsoft .NET — М.: Русская редакция, 2004. — 304 c.
ISBN 5-7502-0184-8
Скачать (прямая ссылка): almanahprogrammista2004.pdf
Предыдущая << 1 .. 50 51 52 53 54 55 < 56 > 57 58 59 60 61 62 .. 108 >> Следующая


С технической точки зрения, S4U2Proxy сильно отличается от обычного прокси-делегирования Kerberos тем, что в стандартном Kerberos для полу-
Обзор расширений S4U Kerberos BWindows Server 2003

165

Билеты S4U2Proxy недействительны, если путь от клиентского домена к домену целевого ресурса проходит более чем через два леса. Причина этого в том, как работает механизм межлесовой фильтрации идентификаторов защиты (cross-forest security identifier filtering).

Как я уже говорил, LsaLogonUser функционирует по-разному в зависимости от наличия у вызывающего привилегии ТСВ. Если до вызова Lsa-LogonUser сервису выдана привилегия ТСВ, функция вернет маркер, по которому можно получать доступ к локальным ресурсам компьютера, иначе это будет запрещено в маркере на уровне олицетворения. Здесь безразлично, установлен ли флаг forwardable, так что технически вы можете получить маркер, который можно олицетворять и применять для делегирования удаленным сервисам, но при олицетворении вам будут недоступны все локальные объекты ядра. Пример — сервис, выполняемый как NETWORK SERVICE (в противоположность SYSTEM), которому выдано право на ограниченное делегирование.

Обращаю ваше внимание: для краткости я говорил, что сервису должны быть выданы те или иные привилегии. Под этим я подразумевал, что привилегии должны быть присвоены учетной записи, под которой выполняется этот сервис. Так, если сервис работает под учетной записью Bob, привилегии следует выдать именно Бобу. Если сервис выполняется как NETWORK SERVICE или SYSTEM, он выступает от имени самого компьютера, и тогда соответствующие привилегии должны быть назначены учетной записи этого компьютера.

Заключение

Тесная связь авторизации и аутентификации — и благо, и проклятье. Преимущества очевидны. Когда клиент получает билет Kerberos, контроллеры домена записывают в них SID-идентификаторы групп, что исключает лишние сетевые запросы при авторизации. Упрощается и администрирование. Недостаток в том, что получить данные авторизации можно только через аутентификацию Kerberos, и расширения вроде только что рассмотренных ничуть не облегчают взаимодействие с другими реализациями Kerberos. Еще один ограничивающий фактор — двусторонние доверительные отношения между лесами, необходимые для того, чтобы эти механизмы могли действовать через границы леса.

Кит Браун (Keith Brown) работает в DevelopMentor как исследователь, технический писатель и преподаватель. Разъясняет программистам концепции безопасного кода. Автор книги «Programming Windows Security» (Addison-Wesley, 2000). С ним можно связаться через http://www.develop.com/kbrown.
Уэйн Берри

Защита в HS 6.0

Новые средства IIS надежно защищают информацию и серверные процессы*

В процессе развития MS основное внимание уделялось совершенствованию его защиты. HS 6.0 — часть Windows Server 2003 — обладает улучшенной защитой, и, кроме того, изменен подход к его настройке. Новые средства MS, в том числе MS LockDowп, как некогда раньше упрощают защиту вашего сервера от атак. В статье объясняется, как и зачем завершать работу служб с помощью IIS LockDown. Автор также рассматриваетТСР/ІР-фильтрацию, с помощью которой можно ограничивать доступ к портам, управление обслуживанием файлов по их расширениям, новую функциональность для SSL, применение URLScan и многое другое.

Вы наверняка заметили, что Microsoft прилагает очень много усилий в области безопасности. На это указывают недавно выпущенные инструментальные средства для IIS 5.0 и переработанная архитектура защиты в IIS 6.0, поставляемом с Windows Server 2003. Безопасность — широкое понятие, включающее аутентификанию, авторизацию, шифрование и защиту от попыток проникновений. Хотя предыдущие версии IIS поддерживали шифрование и аутентификацию, защита в других сферах, например от проникновений злоумышленников, атак типа «отказ в обслуживании» (denial of service) и Web-вирусов, возлагалась на брандмауэры (firewalls).

Публиковалось в MSDN Magazine/Русская Редакция. 2002. № 3 (сентябрь). — Прим. изд.
Новые средства IIS надежно защищают информацию и серверные процессы

167

В IIS 6.0 и новых средствах для IIS 5.0 особое внимание уделяется защите Web-сервера от атак. Об аутентификации рассказывал Джеф Просиз (Jeff Procise) в своей статье «ASP.NET: An Introductory Guide to Building and Deploying More Secure Sites with ASP.NET and IIS», состоявшей из двух частей (см. номера «MSDN Magazine» за апрель и май 2002 г.). В этой статье рассматриваются предотвращение проникновений, URLScan, IIS LockDown для IIS 5.0, новые средства IIS 6.0, связанные с защитой, а также функциональность Web-сервера, запланированного к выпуску вместе с Windows Server 2003.

Предотвращение проникновений

Искусство и наука предотвращения проникновений состоят в том, чтобы разрешить людям осуществлять доступ, выполнять и контролировать только определенные части Web-сайта. Раньше информационное наполнение (контент) Web-серверов было статическим, и администраторам приходилось следить лишь за тем, чтобы к клиентам не попадали не предназначенные им файлы. Теперь, когда на серверах могут выполняться сценарии, администраторам нужно предотвращать запуск нежелательного кода. Поскольку атаки на Web-сервер производятся как извне, так и изнутри компании, в которой установлен этот сервер, для его надежной защиты Web-администраторы должны блокировать атаки с обеих сторон брандмауэра.
Предыдущая << 1 .. 50 51 52 53 54 55 < 56 > 57 58 59 60 61 62 .. 108 >> Следующая
Реклама
Авторские права © 2009 AdsNet. Все права защищены.
Rambler's Top100