Iis задание разрешений ntfs для каталога или файла


Содержание

Iis задание разрешений ntfs для каталога или файла

Защиту файлов, к которым обращаются через IIS, можно разделить на несколько категорий: проверка подлинности, авторизация через NTFS-разрешения и IIS-разрешения. Проверка подлинности — это процесс анализа реквизитов, предоставленных в форме имени пользователя и пароля. По умолчанию все запросы к IIS выполняются от имени пользователя с учетной записью IUSR_имя_компьютера. Прежде чем ограничивать доступ пользователей к ресурсам, необходимо создать локальные или доменные учетные записи и настроить проверку более высокого уровня, чем стандартная анонимная проверка подлинности.

Настройка методов проверки подлинности

Методы проверки подлинности, которые можно настроить на вкладке Безопасность каталога (Directory Security) в окне свойств сервера, Web- или FTP-узла, виртуального каталога или файла, описаны в следующих разделах.

Варианты проверки подлинности средствами Web

  • Анонимная проверка подлинности. Пользователи могут получить доступ к открытой области Web-узла, не указывая имя пользователя и пароль.
  • Обычная проверка подлинности. Требует, чтобы у пользователя была локальная или доменная учетная запись. Реквизиты передаются открытым текстом.
  • Краткая проверка подлинности. Аналог обычной проверки с дополнительной защитой передаваемых по сети реквизитов пользователя. Краткая проверка подлинности полагается на протокол HTTP 1.1.
  • Расширенная краткая проверка подлинности. Работает, только когда учетная запись пользователя хранится в Active Directory. Подразумевает получение и хранение реквизитов пользователей на контроллере домена. Расширенная краткая проверка требует, чтобы пользователь работал с Internet Explorer версии 5 или выше по протоколу HTTP 1.1.
  • Встроенная проверка подлинностиWindows. Получает информацию посредством безопасной формы проверки подлинности (иногда называемой проверкой Windows NT типа «запрос-ответ»), при которой имя пользователя и пароль хэшируются перед передачей по сети.
  • Проверка подлинности по сертификату. Добавляет защиту SSL (Secure Sockets Layer), благодаря использованию сертификатов сервера, клиента или обеих сторон. Этот вариант доступен, только когда на компьютере установлены и настроены Службысертификации (Certificate Services).
  • Проверка подлинности в системе.NETPassport. Предоставляет единую службу входа через SSL, перенаправление HTTP, файлы cookies, Microsoft JScript и стойкое шифрование симметричным ключом.

Варианты проверки подлинности средствами FTP

  • Анонимная проверка подлинности. Пользователи могут получить доступ к открытой области FTP-узла, не указывая имя пользователя и пароль.
  • Обычная проверка подлинности. Требует, чтобы пользователь ввел имя и пароль, которые соответствуют действительной учетной записи Windows.

Настройка доступа к ресурсам с помощью разрешений

Когда проверка подлинности настроена, назначают разрешения доступа к файлам и папкам. Разрешения NTFS — наиболее распространенный способ управления доступом к ресурсам через I IS. Поскольку разрешения NTFS назначают файлу или папке, они действуют независимо от способа доступа к ресурсу.

IIS также назначает разрешения узлам и виртуальным каталогам. В отличие от разрешений NTFS, которые определяют некий уровень доступа для существующих учетных записей пользователей или групп Windows, разрешения безопасности каталога, назначенные узлу или виртуальному каталогу, распространяются на всех пользователей и групп.

В табл. 6-2 подробно описаны уровни Web -разрешений.

Табл. 6-2. Разрешения каталогов IIS

Разрешение

Описание

Чтение (Read), используется по умолчанию Пользователи могут просматривать содержимое и свойства файлов Запись (Write) Пользователи могут изменять содержимое и свойства файлов Доступ к тексту сценария (Script Source Access) Пользователи могут получить доступ к исходному коду файлов, например сценариев в приложении ASP (Active Server Pages). Этот вариант доступен только при наличии разрешений Чтение (Read) или Запись (Write). Пользователи получают доступ к исходному коду файлов. Если назначено разрешение Чтение (Read), исходный код можно читать. Если назначено разрешение Запись (Write), исходный код можно изменять. Учтите: предоставление пользователям разрешений на чтение и запись исходного кода может нарушить безопасность сервера Обзор каталогов (Directory browsing) Пользователи могут просматривать списки и коллекции файлов

Разрешения Выполнение (Execute) регулируют уровень безопасности выполнения сценариев (табл. 6-3).

Табл. 6-3. Разрешения на выполнение приложений

Разрешение

Описание

Нет (None) Запрещает запуск любых приложений или сценариев Только сценарии (Scripts only) Позволяет приложению, связанному с ядром сценариев, выполняться в этом каталоге без наличия разрешений, назначенных исполняемым программам. Разрешения Только сценарии более безопасны по сравнению с Сценарии и исполняемые фаты (Scripts and Executables), поскольку позволяют ограничить приложения, которые можно запускать в каталоге Сценарии и исполняемые файлы (Scripts and Executables) Позволяет любому приложению выполняться в этом каталоге, включая приложения, связанные с ядром сценариев, и двоичные программы Windows (файлы. dll и.ехе).

Примечание При одновременном использовании разрешений IIS и NTFS, действуют наиболее жесткие из них.

Как сделать, чтобы PHP под IIS мог создавать и изменять файлы

После установки PHP на web-сервер IIS, часто возникает следующая проблема. Из PHP кода можно открывать и читать файлы, но при этом отсутствует возможность их создавать и записывать в них изменения.

Тема этой статьи, с одной стороны, уже не раз поднималась, в том числе, в Интернете. Но, в тоже время, очень многие материалы по данному вопросу являются не полными. В частности, потому что не затрагивают причину возникновения данной проблемы либо затрагивают её достаточно поверхностно. Поэтому, имеет смысл вновь обратиться к нему. Тем более что в последние годы хостинг под Windows стал довольно распространён, а IIS является «штатным» web-сервером этой операционной системы.

О том какую роль играет работа с файлами в функционировании web-приложений говорить, наверное, излишне. Достаточно вспомнить, хотя бы то, что практически любая система управления контентом (англ. — Content Management System, сокр. — CMS) имеет файл настроек конфигурации, который создаётся при её установке и в который записываются данные необходимые для её работы. Если нет возможности создать этот файл, CMS может не установиться. Правда, некоторые CMS, например Joomla, в подобных случаях, выводят содержимое этого файла на странице завершения установки. Таким образом, есть возможность создать файл настроек вручную, просто скопировав его содержимое со страницы.

Однако это не решает проблему, так как в процессе работы web-приложения всё равно может потребоваться создание или изменение тех или иных файлов. Следовательно, проблему записи файлов при работе сайта под IISнеобходимо решить.

Причина возникновения проблемы

Для решения любой проблемы необходимо понять причину, которая привела к её возникновению.

В NTFS для доступа к файлам и папкам существует система, так называемых, разрешений. Подробное описание этой системы приведено на сайте TechNet. Однако её суть довольно проста. Для того чтобы пользователь или группа пользователь могли совершать с файлом или папкой те или иные действия, они должны обладать определённым набором прав.

В процессе установки IIS создаются:

  • Группа пользователей: IIS_IUSRS;
  • Пользователь: IUSR.

Полное описание разрешений NTFS по умолчанию для IIS представлено на сайте поддержки Microsoft. В рамках рассматриваемого вопроса необходимо отметить только следующие моменты.

Группа пользователей IIS_USRS имеет доступ только к папке сайта по умолчанию (wwwroot). Причём, по умолчанию, доступ не полный. В частности, нет разрешений на запись и изменение. При этом пользователь IUSR в списке пользователей и групп, имеющих доступ к этой папке, по умолчанию, отсутствует вообще.

Данные установки разрешений служат, в частности, для обеспечения безопасности. Но, в тоже время, как показывает практика, сильно затрудняют работу web-приложений.

Дело в том, что IIS устроена таким образом, что по умолчанию, то есть, если в web-приложении не реализован специальный вид аутентификации, оно работает в режиме анонимного доступа. В этом режиме все пользователи web-приложения представлены в системе как пользователь IUSR. Поэтому, вполне естественно, что web-приложение имеет только те возможности, которые ему могут быть предоставлены в соответствии с этой учётной записью.

Вследствие того, что, как говорилось выше, разрешения на запись и изменения у пользователя IUSR по умолчанию отсутствуют, также, по умолчанию, отсутствуют аналогичные возможности у web-приложений.

Варианты решения

Теперь, когда стала известна причина возникновения проблемы, можно рассмотреть возможные способы её решения.

В данном случае их два:

Первый способ в принципе достаточно подробно описан на официальном сайте PHP в статье посвящённой установке в Windows.

В силу своей простоты, в частности необходимые разрешения можно предоставить не только с помощью командной строки (как предлагается в статье), но и при помощи графического интерфейса Windows (вкладка «Безопасность» в окне свойств папки или файла (см. скриншот)), этот способ легко реализуем.

Помимо этого, он предоставляет возможность создавать файлы и записывать в них изменения, в том числе, простым web-приложениям, в которых не предусмотрена система авторизации (простейшие сайты).

В тоже время, использование этого способа отрицательно сказывается на безопасности. Как уже было отмечено, при анонимном доступе все пользователи web-приложения, представлены в системе одной и той же учётной записью. И таким образом все они, включая простых «гостей сайта», имеют, по сути, одинаковые права.

Второй способ значительно сложнее в реализации и подходит только для достаточно сложных web-приложений. Он требует не просто наличия у web-приложения системы авторизации. Эта система должна быть построена в соответствии с тем методом аутентификации, который используется на сервере.

Методы аутентификации, используемые в IIS, подробно описаны на сайте поддержки Microsoft.

Такой подход обеспечивает более высокий уровень безопасности, а также, несмотря на всю сложность реализации расширить возможности web-приложения. Например, путём интеграции с ActiveDirectory.

Заключение

Проблема полноценной работы с файлами в PHP под IIS решаема. При этом для её решения могут быть использованы различные подходы, а не только способ с официального сайта PHP.

Решение, какой из них выбрать здесь, как и во многих других случаях, необходимо принимать разработчику, в соответствии со спецификой разрабатываемого приложения и требованиями к нему. В том числе, требованиями относительно безопасности.

Iis задание разрешений ntfs для каталога или файла

Разрешения Internet Information Server (IIS), вкладка Home Directory, разрешения NTFS

Встроенная система разрешений Internet Information Server настраивается несколькими способами:

1) общие разрешения на Web -сайт (или на виртуальный каталог) — из вкладки Home Directory его свойств (вкладки Virtual Directory для виртуального каталога). Они едины для всех пользователей и не могут быть предоставлены кому-либо индивидуально. Подробнее об этих разрешениях — ниже;

2) разрешения на запуск компонентов Web -приложений (скриптов, исполняемых файлов) — из той же вкладки;

3) разрешения на собственно объекты, которые запрашивает пользователь ( HTML -страницы, изображения и т.п.) настраиваются при помощи разрешений NTFS . При этом используется стандартная система безопасности Windows . В предыдущих версиях IIS вся настройка таких разрешений производилась из Windows Explorer , в IIS 6.0 появилась возможность настраивать разрешения и из IIS Manager .

Чуть подробнее про систему общих разрешений. Что означает каждое из четырех разрешений на вкладке Home Directory :

  • ScriptSourceAccess — возможность просматривать исходный код скриптов (обычно в приложениях ASP и ASP . NET ). Такая необходимость может возникнуть только на серверах, используемых для разработки или учебных целей;
  • Read — это разрешение обычно предоставляется на Web -серверах и каталогах IIS . Исключение — специальные каталоги, которые служат, например, для приема файлов от пользователей. Если снять это разрешение, то таким образом, к примеру, можно на время отключить Web -сайт для пользователей;
  • Write — разрешение на запись файлов в этот каталог. Обычно не допускается. Лучше всего использовать для записи данных специальное Web -приложение или по крайней мере создать специализированный каталог без прав на чтение;
  • DirectoryBrowsing — если этот флажок будет установлен, и в каталоге не будет файла по умолчанию ( default . htm , index . html и т.п.), то пользователю при обращении к этому будет автоматически предоставляться HTML -страница со списком всех файлов и подкаталогов этого каталога. Конечно, видеть структуру каталогов нашего сервера большинству пользователей совсем необязательно

Подавляющее большинство серверов работают с единственным назначенным общим разрешением Read .

Если у вас используется какое-либо Web -приложение, информацию о том, какие дополнительные настройки безопасности следует производить (регистрация ISAPI -фильтров, настройки в группе переключателей Application Settings ), должны предоставить разработчики.

В. Установка разрешений NTFS

Практическая работа 9

Планирование и установка разрешений NTFS для файлов, папок отдельным пользователям и группам в Windows 2000 (ХР)

Ë Цель: Научиться планировать и устанавливать разрешения NTFS для файлов, папок отдельным пользователям и группам

Ë Краткие теоретические сведения

Разрешения NТFS (NTFS permissions) — это набор специальных расширенных атрибутов файла или каталога (папки), заданных для ограничения доступа пользователей к этим объектам. Они имеются только на томах, где установлена файловая система NTFS. Разрешения обеспечивают гибкую защиту, так как их можно применять и к каталогам, и к отдельным файлам; они распространяются как на локальных пользователей (работающих на компьютерах, где находятся защищенные папки и файлы), так и на пользователей, подключающихся к ресурсам по сети.

Типы разрешений доступа:

READ(чтение)- позволяет просматривать имена файлов и вложенных папок, просматривать данные в файлах и запускать программы.

CHANGE(Изменение)- позволяет осуществлять доступ типа READ, а также добавлять в разделяемой папке файлы и вложенные папки, изменять данные в файлах и удалять файлы и вложенные папки.

FULL CONTROL(Полный доступ)- позволяет осуществлять доступ типа CHANGE, а также изменять полномочия (только для томов NTFS) и получать права владельца (только для томов NTFS) .

Назначайте полномочия для групп, а не для отдельных пользователей. Используйте полномочия на уровне файлов, только если без этого нельзя обойтись. Управление деталями полномочий может легко занять все ваше время, если вы не защитите себя от этого.

Для входа в виртуальную машину необходимо нажать кнопку Пуск Панели управления – Программы – Практические работы –WMware Player. На жестком диске Е найдите папку WMware – Windows XP — Windows XP Professional

Задание: Установить, просмотреть, сменить и удалить особые разрешения для файлов и папок

Ë Алгоритм выполнения работы

А. Планирование разрешений NTFS

1. Откройте проводник и найдите файл или папку, для которой требуется установить особые разрешения.

В случае не отображения вкладки Безопасность необходимо зайти в меню Пуск-Панель Управления –Свойства папки и на вкладке Вид снять галочку с пункта Использовать простой общий доступ к файлам (рекомендуется).

2. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность. (рис. 1)

3. Нажмите кнопку Дополнительно и выполните одно из следующих действий:

Задача Действие
Установить особые разрешения для новой группы или пользователя  Нажмите кнопку Добавить.  В поле Имя введите имя пользователя или группы и нажмите кнопку ОК
Установить особые разрешения для существующей группы или пользователя Выберите имя пользователя или группы и нажмите кнопку Изменить
Удалить существующую группу или пользователя вместе с его особыми разрешениями Выберите имя пользователя или группы и нажмите кнопку Удалить. Если кнопка Удалить недоступна, снимите флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне, нажмите кнопку Удалить и пропустите следующие два шага

4. В списке Разрешения установите или снимите соответствующий флажок (Разрешить или Запретить).

5. В столбце Применять выберите папки или подпапки, к которым должны будут применяться данные разрешения.

6. Чтобы предотвратить наследование этих разрешений файлами и подпапками, снимите флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера.

Илон Маск рекомендует:  Управление word ом из дельфи

7. Нажмите кнопку ОК и затем в окне Дополнительные параметры безопасности для выбранной Вами папки снова нажмите кнопку ОК.

В. Установка разрешений NTFS

1. В Свойствах папки на вкладке Безопасность выберите необходимого пользователя или Группу пользователей щелчком мыши

2. В случае, если необходимого пользователя или Группы не окажется необходимо выбрать кнопку Добавить- Дополнительно- Поиск (рис.3)

3. Выберите нужного вам пользователя или Группу пользователей и подтвердите свой выбор нажатием Ок

4. Выделив щелчком мыши пользователя

5. В окне параметров доступа выберите необходимые разрешения и запреты щелчками мыши по активным областям (рис. 4)

6. Завершите установку разрешений

С. Установка разрешений Аудита

1. На вкладке Безопасность Свойств папки

2. Выберите Дополнительно

3. Перейдите на вкладку Аудит

4. Выберите кнопкуДобавитьи с помощью поиска добавьте пользователяГость

5. После этого перейдите по кнопке Изменить в Элементы Аудита

6. Установите разрешения на успех по своему усмотрению (рис. 5)

Политика аудита должна быть предварительно настроена в Локальной политике безопасности

7. Удалите выбранный вами элемент Аудита

D. Смена владельца объекта

1. В дополнительных параметрах безопасности перейдите на вкладку Владелец

2. Из предложенных имен, если таковые имеются, выберите подходящее

3. Установите галочку Заменить владельца субконтейнеров и объектов

4. Подтвердите выбор кнопкой Применить

Е. Просмотр действующих разрешений

1. В дополнительных параметрах безопасности перейдите на вкладкуДействующие разрешения

2. С помощью кнопки Выбрать, укажите пользователя или группу и ознакомьтесь с действующими для этого пользователя или группы разрешениями

Ë Задания для самостоятельной работы

Выберите папку, на вкладке Безопасностьдобавьте пользователя Гость, установите для него полный доступ. Затем отмените действия установив прежние разрешения (Чтение и выполнение, Список содержимого папки, Чтение) , удалите пользователя Гость на вкладке Безопасность. Составить отчет.

Ë Вывод:На томе NTFS вы можете задавать полномочия (разрешения), спускаясь на уровень файлов. Это означает, что для любого файла вы можете предоставлять отдельным пользователям различные типы доступа. Хотя вы можете задавать столь детализированные полномочия, всегда старайтесь работать только с самыми простыми типами полномочий. Устанавливайте как можно меньше ограничений.

Ë Контрольные вопросы

1. Перечислите стандартные полномочия?

2. Что означает полный идентификатор пользователя?

3. На каком уровне Система NTFS обеспечивает безопасность?

Iis задание разрешений ntfs для каталога или файла

Обновлен: Ноябрь 2007

Протокол передачи файлов (FTP) — стандартный протокол для передачи файлов с одного компьютера на другой через сеть Internet. Файлы хранятся на сервере, который использует серверное программное обеспечение FTP. Удаленные компьютеры могут подключаться к серверу, используя протокол FTP, и считывать файлы с сервера или копировать файлы на сервер. FTP-сервер похож на HTTP-сервер (то есть веб-сервер) в том смысле, что с ним также можно обмениваться информацией, используя протокол IP. Однако FTP-сервер не поддерживает веб-страницы; он только передает и получает файлы от удаленных компьютеров.

Можно настроить службы IIS таким образом, чтобы они играли роль FTP-сервера. Это позволит другим компьютерам подключаться к серверу и копировать файлы на сервер и с сервера. Например, если вы размещаете веб-узлы на своем компьютере и хотите разрешить удаленным пользователям подключаться к своему компьютеру и копировать файлы на сервер, то можете настроить службы IIS таким образом, чтобы они выполняли роль FTP-сервера.

Обычно учетные данные для подключения по протоколу FTP передаются как открытый текст и не шифруются при передаче. Рекомендуется использовать FTP с анонимным доступом или обычной проверкой подлинности. Дополнительную информацию см. в разделах «Обеспечение безопасности FTP-узлов» и «Стандартные способы проверки подлинности в службах IIS 6.0» Технического справочника IIS.

Помимо роли веб-сервера, службы IIS могут выступать также и как FTP-сервер. Служба FTP не установлена по умолчанию в службах IIS. Таким образом, чтобы использовать службы IIS в качестве FTP-сервера, необходимо установить службу FTP. Дополнительную информацию об установке и настройке служб IIS в качестве FTP-сервера см. справочную документацию, которая входит в службы IIS, или раздел «Настройка FTP-узлов» в Техническом справочнике IIS.


Примечание.

Необходимо наличие компакт-диска Windows.

Для установки FTP-сервера при помощи служб IIS

Нажмите кнопку Пуск , выберите Панель управления , а затем Установка и удаление программ .

Выберите Добавление и удаление компонентов Windows .

В диалоговом окне Мастер компонентов Windows , если вы используете как минимум ОС Windows Server 2003, последовательно выберите Сервер приложений и Подробные сведения .

Нажмите Службы IIS и затем Подробные сведения .

В диалоговом окне Службы IIS установите флажок Служба FTP и нажмите ОК .

В диалоговом окне Мастер компонентов Windows нажмите Далее . Если требуется, вставьте компакт-диск с ОС Windows.

После завершения процесса установки можно использовать службу FTP со службами IIS.

После установки FTP-сервера необходимо создать структуру папок для сервера. По умолчанию корневой папкой FTP-сервера будет папка: C:\inetpub\ftproot.

Корневая папка службы FTP для FTP-сервера играет ту же роль, что и папка C:\inetpub\wwwroot для веб-сервера.

Необходимо создать физические папки, в которых будут храниться файлы. Такими папками могут быть вложенная папка корневого каталога службы FTP или любая другая папка компьютера. Затем создайте виртуальный корневой каталог, или псевдоним, который будет использовать FTP-сервер для указания на физическую папку, в которой будут храниться файлы.

Для настройки папки службы FTP и виртуального корневого каталога

Создайте новую папку для хранения файлов. Папке можно дать любое имя. Например, назовите новую папку ExampleFtpFiles, тогда путь к ней будет таким: C:\inetpub\ftproot\ExampleFtpFiles .

В Windows, из меню Администрирование выберите пункт Службы IIS .

Примечание.

В Windows XP можно кликнуть правой кнопкой мыши пункт Мой компьютер из меню Пуск или на рабочем столе, а затем выбрать пункт Управление . В диалоговом окне Управление компьютером разверните узел Службы и приложения .

Откройте узел для данного компьютера, а затем откройте узел FTP-узлы .

Кликните правой кнопкой мыши узел FTP-узел по умолчанию , нажмите Создать и Виртуальный каталог .

В мастере Создание виртуальных каталогов укажите псевдоним (или имя), которое пользователи могут использовать для получения доступа к папке FTP, созданной на этапе 1. Можно задать любое имя. Часто удобнее всего в качестве имени псевдонима использовать имя каталога, поэтому виртуальный каталог может быть назван ExampleFtpFiles.

Для пути напечатайте путь или перейдите к каталогу из этапа 1, например Inetpub\ftproot\ExampleFtpFiles.

Для разрешений доступа укажите Чтение и нажмите Далее , чтобы завершить работу мастера.

Примечание.

Не включайте разрешения на Запись , если только вы не знаете, как защитить ваш FTP-сервер услуг IIS. Дополнительную информацию см. в разделе «Обеспечение безопасности FTP-узлов» в Техническом справочнике IIS.

Необходимо также предоставить пользователям разрешения на чтение информации в папке и на запись в папку информации.

Чтобы установить разрешения для папки службы FTP

В Windows, из меню Администрирование выберите пункт Службы IIS .

Примечание.

В Windows XP можно кликнуть правой кнопкой мыши пункт Мой компьютер из меню Пуск или на рабочем столе, а затем выбрать пункт Управление . В диалоговом окне Управление компьютером разверните узел Службы и приложения .

Откройте узел для данного компьютера, откройте узел FTP-узлы , а затем откройте узел FTP-узел по умолчанию .

Кликните правой кнопкой мыши узел виртуального каталога для определенной папки службы FTP (например, ExampleFtpFiles ) и нажмите Разрешения .

На вкладке Безопасность выберите или добавьте вашу учетную запись и присвойте разрешение на Изменение .

Будут установлены разрешения NTFS. Для задания ограничений IP-протокола кликните правой кнопкой мыши по имени папки, выберите пункт Свойства и добавьте ограничения на вкладку Безопасность каталога . Дополнительную информацию см. в разделе «Управление доступом в службах IIS 6.0» Технического справочника IIS.

Закройте диалоговое окно Свойства .

Чтобы веб-сервер мог получить доступ к корневому каталогу службы FTP, обычно создается виртуальный каталог для веб-сервера, соответствующий FTP-узлу. Имя виртуального каталога веб-сервера может быть таким же, как имя виртуального каталога FTP-сервера, однако это необязательно.

Чтобы создать виртуальный каталог веб-сервера

В диалоговом окне Службы IIS разверните узел Веб-узлы .

Кликните правой кнопкой мыши узел Веб-узел по умолчанию , нажмите Создать и Виртуальный каталог .

В мастере задайте псевдоним, который пользователи будут использовать с протоколом http:// для доступа к файлам в папке FTP. Он может быть тем же, что и псевдоним службы FTP, например, ExampleFtpFiles.

Для пути напечатайте путь или перейдите к каталогу службы FTP, например C:\inetpub\ftproot\ExampleFtpFiles.

Для разрешений доступа выберите Чтение и Выполнение сценариев .

Нажмите Готово , чтобы создать виртуальный каталог и закрыть мастер.

Зачем нужны разрешения ntfs

Разрешения NTFS служат для защиты ресурсов от:

локальных пользователей, работающих за компьютером, на котором располагается ресурс;

удаленных пользователей, подключающихся к общей папке по сети.

Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке Вы можете установить свои разрешения. Например, одному пользователю позвольте считывать и изменять содержимое файла, другому — только считывать, а остальным — вообще запретите доступ к нему.

. Если при форматировании тома на него устанавливается файле система NTFS, группе Everyone автоматически присваивается разрешение Full Сontrol (Полный контроль) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

В Windows NT имеется шесть типов индивидуальных разрешений NTFS, каждый из которых задает тип доступа к файлу или папке.

В таблице описаны разрешенные пользователю операции с папкой или файлом при наложении на объект одного из индивидуальных разрешений NTFS.

. Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Если этот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке.

Стандартные разрешения

В большинстве случаев Вы будете пользоваться стандартными разрешениями NTFS. Они представляют собой комбинации индивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или папки значительно упрощает администрирование.

После названия стандартного разрешения в скобках приводятся аббревиатуры составляющих его индивидуальных разрешений. Например, стандартное разрешение Read (Чтение) для файла эквивалентно двум индивидуальным разрешениям — Read (Чтение) и Execute (Выполнение) — и в скобках будут стоять буквы RX.

Стандартные разрешения для папок

В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

. Разрешение No Access (Нет доступа) запрещает любой доступ к файлу или папке, даже если пользователь является членом группы, которой дано разрешение на доступ. Прочерк в столбце «Индивидуальные разрешения для файлов» означает, что данное стандартное разрешение неприменимо к файлам.

Стандартные разрешения для файлов

В таблице перечислены стандартные разрешения для файлов и указаны соответствующие им индивидуальные разрешения NTFS.

. Разрешения Full Control (Полный контроль) и Change (Изменение) отличаются тем, что второе не позволяет изменять разрешения и владельца объекта.

Применение разрешений ntfs

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и права доступа к общим ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.

Применение разрешений NTFS для папок сходно с применением прав доступа общим ресурсам.

Как и права доступа к общим ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, члене которых он является. Единственное исключение — разрешение No Access (Hет доступа): оно отменяет все остальные разрешения.

В отличие от прав доступа к общим ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данной папке, могут иметь другие разрешения, нежели она сама.

Разрешения NTFS для файла превалируют над разрешениями для папки, которой он содержится. Например, если пользователь имеет разрешения Read (Чтение) для папки и Write (Запись) для вложенного в нее файла, то он сможет записывать данные в файл, но не сможет создать новый файл в папке.

SMB и NTFS-разрешения. Разбор полетов

Для чего в большинстве случаев в организации нужен сервер? Active Directory, RDS, сервер печати и еще куча мелких и крупных сервисов. Самая заметная всем роль, пожалуй, это файловый сервер. С ним люди, в отличие, от других ролей работают осознаннее всего. Они запоминают в какой папке что лежит, где находятся сканы документов, где их отчеты, где факсы, где общая папка, в которой можно все, куда доступ только одному из отделов, куда другому, а о некоторых они вообще не догадываются

О доступе к сетевым и локальным папкам на сервере я и хочу поговорить.

Доступ к общим ресурсам на сервере осуществляется, как все прекрасно знают, по протоколу SMB уже 3.0. Доступ по сети к папкам можно ограничивать SMB и NTFS-разрешениями. SMB-разрешения работают только при доступе к общей папке по сети и не имеют никакого влияния на доступность той или иной папки локально. NTFS-разрешения работают, как по сети, так и локально, обеспечивая намного больше гибкости в создании прав доступа. SMB и NTFS разрешения работают не отдельно, а дополняют друг друга, по принципу наибольшего ограничения прав.

Для того, чтобы отдать папку в общий доступ в Server 2012 в группе SMB Share Cmdlets, появился командлет New-SMBShare. На примере этого командлета мы увидим все возможности, доступные при создании общей папки, кроме кластерных конфигураций (это отдельная большая тема).

Создание новой общей папки выглядит очень просто:
или

Разбираемся:

имя общей папки в сети, может отличаться от имени папки на локальном компьютере. Имеет ограничение в 80 символов, нельзя использовать имена pipe и mailslot.

путь к локальной папке, которую нужно отдать в общий доступ. Путь должен быть полным, от корня диска.

настройка автономности файлов в общей папке.

Принимает следующие значения:

  • none – файлы недоступны автономно, для доступа к файлам нужен доступ к серверу
  • manual – пользователи сами выбирают файлы, которые будут доступны автономно
  • programs – все в папке доступно автономно (документы и программы (файлы с расширением *.exe, *.dll))
  • documents – документы доступны, программы нет
  • branchcache – кэширование вместо локального компьютера пользователя происходит на серверах BranchCache, пользователи сами выбирают автономные файлы

разрешения общего доступа (share permissions).

У этих разрешений есть одно большое преимущество – они очень простые.

-noaccess secretary,steward – секретарше и завхозу нечего делать в общих папках бухгалтерии
-readaccess auditor – аудитор, проверяющий работу бухгалтерии может видеть имена файлов и подпапок в общей папке, открывать файлы для чтения, запускать программы.
-changeaccess accountant – бухгалтеры в своей общей папке могут создавать файлы и подпапки, изменять существующие файлы, удалять файлы и подпапки
-fullaccess admin – fullaccess это readaccess+changeaccess плюс возможность изменять разрешения.

При создании общей папки автоматически применяется наиболее ограничивающее правило – группе «Все» дается право на чтение.

Эти разрешения применяются только для пользователей, получивших доступ к общей папке по сети. При локальном входе в систему, например в случае терминального сервера, и секретарша и завхоз увидят в бухгалтерии все, что пожелают. Это исправляется NTFS-разрешениями. SMB-разрешения применяются ко всем файлам и папкам на общем ресурсе. Более тонкая настройка прав доступа осуществляется также NTFS-разрешениями.

c помощью этого параметра можно ограничить максимальное число подключений к папке общего доступа. В принципе, также можно использовать для ограничения доступа к папке, дополняя NTFS-разрешения, только надо быть точно уверенным в необходимом количестве подключений.

описание общего ресурса, которое видно в сетевом окружении. Описание – это очень хорошая вещь, которой многие пренебрегают.

В SMB до версии 3.0 единственным способом защитить трафик от файлового сервера клиенту был VPN. Как его реализовать зависело полностью от предпочтений системного администратора: SSL, PPTP, IPSEC-туннели или еще что-нибудь. В Server 2012 шифрование работает из коробки, в обычной локальной сети или через недоверенные сети, не требуя никаких специальных инфраструктурных решений. Его можно включить как для всего сервера, так и для отдельных общих папок. Алгоритмом шифрования в SMB 3.0 является AES-CCM, алгоритмом хеширования вместо HMAC-SHA256 стал AES-CMAC. Хорошая новость в том, что SMB 3.0 поддерживает аппаратный AES (AES-NI), плохая новость в том, что Россия не поддерживает AES-NI.

Чем грозит включение шифрования? Тем, что работать с зашифрованными общими папками смогут только клиенты, поддерживающие SMB 3.0, то есть Windows 8. Причина опять же, максимально допустимое ограничение прав пользователей. Предполагается, что администратор знает, что он делает и при необходимости даст доступ для клиентов с другой версией SMB. Но так как SMB 3.0 использует новые алгоритмы шифрования и хеширования трафик клиентов с другой версией SMB шифроваться не будет, нужен VPN. Пустить всех клиентов на файловый сервер с включенным шифрованием поможет команда
В конфигурации по умолчанию (запрещен нешифрованный трафик к зашифрованным общим папкам), при попытке доступа к папке клиента с версией SMB ниже 3.0 на клиенте мы получим «Ошибку доступа». На сервере в журнал Microsoft-Windows-SmbServer/Operational будет добавлено событие 1003, в котором можно будет найти IP-адрес клиента, пытавшегося получить доступ.

Шифрование SMB и EFS – это разные вещи, никак не связанные друг с другом, то есть его можно применять на FAT и ReFS томах.

Это Access-Based Enumeration. С включенным Access-Based Enumeration пользователи, не имеющие доступа к общей папке, просто не увидят ее на файловом сервере и будет меньше вопросов, почему у меня нет доступа к той или этой папке. Пользователь видит свои доступные папки и не пытается лезть в чужие дела. По умолчанию – выключено.

  • accessbased – включить
  • unrestricted – выключить

Этот ключ создает временную общую папку, доступ к которой будет прекращен после перезагрузки сервера. По умолчанию создаются постоянные общие папки.

NTFS-разрешения

С помощью NTFS-разрешений мы можем более детально разграничить права в папке. Можем запретить определенной группе изменять определенный файл, оставив возможность редактирования всего основного; в одной и той же папке одна группа пользователей может иметь права изменения одного файла и не сможет просматривать другие файлы, редактируемые другой группой пользователей и наоборот. Короче говоря, NTFS-разрешения позволяют нам создать очень гибкую систему доступа, главное самому потом в ней не запутаться. К тому же NTFS-разрешения работают, как при доступе к папке по сети, дополняя разрешения общего доступа, так и при локальном доступе к файлам и папкам.

Существует шесть основных (basic) разрешений, которые являются комбинацией из 14 дополнительных (advanced) разрешений.

Основные разрешения

Полный доступ (fullcontrol) – полный доступ к папке или файлу, с возможностью изменять права доступа и правила аудита к папкам и файлам

Изменение (modify) – право чтения, изменения, просмотра содержимого папки, удаления папок/файлов и запуска выполняемых файлов. Включает в себя Чтение и выполнение (readandexecute), Запись (write) и Удаление (delete).

Чтение и выполнение (readandexecute) – право открывать папки и файлы для чтения, без возможности записи. Также возможен запуск выполняемых файлов.

Список содержимого папки (listdirectory) – право просматривать содержимое папки

Чтение (read) – право открывать папки и файлы для чтения, без возможности записи. Включает в себя Содержание папки / Чтение данных (readdata), Чтение атрибутов (readattributes), Чтение дополнительных атрибутов (readextendedattributes) и Чтение разрешений (readpermissions)

Запись (write) – право создавать папки и файлы, модифицировать файлы. Включает в себя Создание файлов / Запись данных (writedata), Создание папок / Дозапись данных (appenddata), Запись атрибутов (writeattributes) и Запись дополнительных атрибутов (writeextendedattributes)

Дополнительные разрешения

Я ставил на папку только 1 из 14 разрешений и смотрел, что получается. В реальном мире, в большинстве случаев хватает основных разрешений, но мне было интересно поведение папок и файлов с максимально урезанными правами.

Траверс папок / выполнение файлов (traverse) – право запускать и читать файлы, независимо от прав доступа к папке. Доступа к папке у пользователя не будет, (что находится в папке останется загадкой) но файлы в папке будут доступны по прямой ссылке (полный, относительный или UNC-путь). Можно поставить на папку Траверс папок, а на файл любые другие разрешения, которые нужны пользователю для работы. Создавать и удалять файлы в папке у пользователя не получится.

Содержание папки / Чтение данных (readdata) – право просматривать содержимое папки без возможности изменения. Запускать и открывать файлы в просматриваемой папке нельзя

Чтение атрибутов (readattributes) – право просматривать атрибуты (FileAttributes) папки или файла.
Просматривать содержимое папки или файлов или изменить какие-либо атрибуты нельзя.

Чтение дополнительных атрибутов (readextendedattributes) – право просматривать дополнительные атрибуты папки или файла.

Единственное, что я смог найти по дополнительным атрибутам – это то, что они используются для обеспечения обратной совместимости с приложениями OS/2. (Windows Internals, Part 2: Covering Windows Server 2008 R2 and Windows 7). Больше мне о них ничего не известно.

Создание файлов / запись данных (writedata) – дает пользователю возможность создавать файлы в папке, в которую у него нет доступа. Можно копировать файлы в папку и создавать в папке новые файлы. Нельзя просматривать содержимое папки, создавать новые папки и изменять уже существующие файлы. Пользователь не сможет изменить какой-либо файл, даже если он является владельцем этого файла – только создавать.

Создание папок / дозапись данных (appenddata) – дает пользователю возможность создавать подпапки в папке и добавлять данные в конец файла, не изменяя существующее содержание.

C созданием подпапок все понятно: отработает, как ожидается — создаст в недоступной для просмотра пользователем папке testperms подпапку testappend. Попробуем добавить строку в конец файла – сэмулируем ведение какого-нибудь лога.
Хм… В CMD не работает. А если так.
А по конвейеру?
И так не работает.

Начинаем сеанс черной магии: используем класс File, метод AppendText. Получаем объект лога.

Думаю, что AppendAllText пробовать уже не стоит

Дело, в принципе, ясное. Только права на дозапись данных в файл вышеперечисленным способам не хватает, им нужна запись в файл. Но вместе с этим мы дадим возможность на изменение файла, а не только добавление записей, то есть открываем потенциальную возможность уничтожить все содержимое файла.

Нам нужно пересмотреть концепцию: давайте будем не получать объект лога, а создадим новый, в котором зададим все интересующие нас параметры. Нам нужно что-то где мы можем явно указать права доступа. Нам нужен FileStream, а конкретнее нам поможет FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions). Нужны следующие параметры:

  • Путь к файлу – понятно
  • Как открывать файл – открыть файл и найти конец файла
  • Права доступа к файлу – дозапись данных
  • Доступ для других объектов FileStream – не нужен
  • Размер буфера – по умолчанию 8 байт
  • Дополнительные опции — нет

Получается примерно так:

Работает! Объект лога мы создали, попробуем туда что-нибудь записать. Метод FileStream.Write принимает входящие значения в байтах. Перегоняем событие, которое мы хотим записать, в байты – класс Encoding, метод GetEncoding (нам не нужны кракозябры на выходе) и GetBytes (собственно, конвертирование)

Параметры FileStream.Write:
Что писать; откуда начинать писать; количество байт, которые нужно записать
Записываем:

Все нормально, у пользователя нет прав на просмотр написанного. Перелогиниваемся под администратором.

Папке, в которой находится файл кроме разрешения Создание папок / дозапись данных должно быть еще выдано разрешение Содержание папки / Чтение данных. На файл хватает только Создание папок / дозапись данных с отключенным наследованием. Полностью оградить пользователя (а пользователем может быть и злоумышленник) от файлов, в которые он должен что-то писать не получится, но с другой стороны, кроме списка файлов в папке, пользователь ничего не увидит и не сможет сделать.

Вывод из этого простой: в батниках реализовать безопасное логирование чего-либо не получится, PowerShell спасает умение работать c .NET объектами.

Запись атрибутов (writeattributes) – разрешаем пользователю изменять атрибуты файла или папки. Вроде все просто. Но вот только что ответить на вопрос: «Фотографии моих котиков занимают почти все место в моем профиле и у меня не остается места для деловой переписки. Я бы хотел сжать папку с котиками, но у меня требуют прав администратора. Вы же говорили, что у меня есть право менять атрибуты папок. Это же атрибут? Почему я не могу его поменять?»

Да, пользователю с правом записи атрибутов можно менять почти все видимые атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Технически, пользователю дается право выполнять функцию SetFileAttributes. А сжатие файлов выполняется функцией DeviceIOControl, которой нужно передать параметр FSCTL_SET_COMPRESSION и сжатие файлов является далеко не единственной ее работой. С помощью этой функции мы можем управлять всеми устройствами и их ресурсами в системе и, наверное, дать пользователю это право на выполнение этой функции означает сделать его администратором.

С шифрованием история похожа: функция EncryptFile, которая как раз и отвечает за шифрование, требует, чтобы у пользователя были права Содержание папки / Чтение данных, Создание файлов / Запись данных, Чтение атрибутов, Запись атрибутов и Синхронизация на объект. Без них ничего не получится.

Запись расширенных атрибутов (writextendedattributes). Ну это тех, которые используются для обратной совместимости с приложениями OS/2, ага. Ну, а еще в расширенные атрибуты файла C:\Windows\system32\services.exe с недавних пор начали записывать троянов (ZeroAccess.C). Может быть стоит их отключать на самом верхнем уровне? На этот вопрос я не могу дать ответ, теоретически – может быть и стоит, практически в продакшене – я не пробовал.

Удаление подпапок и файлов. (deletesubdirectoriesandfiles) Интересное разрешение, применяемое только к папкам. Суть в том, чтобы разрешить пользователю удалять подпапки и файлы в родительской папке, не давая разрешения Удаление.

Допустим, есть каталог товаров, в который пользователи заносят данные. Есть родительская папка Catalog, внутри подпапки по алфавиту, от A до Z, внутри них какие-нибудь наименования. Наименования меняются каждый день, что-то добавляется, что-то изменяется, что-то устаревает и устаревшую информацию нужно удалять. Но будет не очень хорошо, если кто-нибудь по запарке или злому умыслу грохнет весь каталог K, что очень возможно, если у пользователей есть право Удаление. Если забрать у пользователей право Удаление, то администратору можно смело менять работу, потому что он весь день будет выполнять запросы на удаление того или иного наименования.


Вот тут и включается Удаление подпапок и файлов. На всех буквах алфавита отключается наследование и пользователям добавляется право Удаление подпапок и файлов. В итоге, в папке catalog пользователи не смогут удалить ни одну букву, но внутри букв могут удалять все, что угодно.

Удаление (delete). Здесь все просто. Удаление — это удаление. Не работает без права Чтение.

Чтение разрешений (readpermissions) дает право пользователю просматривать разрешения на папке или файле. Нет права – пользователь не видит разрешения на вкладке «Безопасность»

Смена разрешений (changepermissions) – разрешает пользователю менять разрешения, по сути делает пользователя администратором папки. Можно использовать, например, для делегирования полномочий техподдержке. Без права чтения разрешений не имеет никакого смысла. Смена разрешений не подразумевает смену владельца папки.

Смена владельца (takeownership) – для начала, кто такой владелец. Владелец – это пользователь, создавший файл или папку.

Особенностью владельца является то, что у него есть полный доступ к созданной папке, он может раздавать разрешения на свою созданную папку, но что важнее – никто не может лишить владельца права изменять разрешения на его папку или файл. Если Вася создал папку, дал полный доступ Пете, а Петя зашел и грохнул доступ пользователей к папке вообще и Васи в частности, то Вася без особого труда может восстановить статус-кво, так как он является владельцем папки. Изменить владельца папки Петя не сможет, даже если у него есть разрешение Смена владельца. Более того, даже Вася не может изменить владельца, несмотря на то, что папку создал он. Право Смена владельца относится только к группе Администраторы или Администраторы домена.

Но если Петя внутри Васиной папки создал файл и не дал Васе доступа к нему, то Васе остается только думать и гадать, что же внутри этого файла такого секретного. Вася не сможет изменить права доступа к файлу, потому что владельцем файла является Петя. Также Вася не сможет изменить владельца файла – изменение владельца подконтейнеров и объектов также является привилегией группы Администраторы, к которой Вася не относится. Единственный оставшийся у Васи вариант – смотреть на Петин файл внутри своей папки.

Управляем

В CMD для управления разрешениями используется хорошо всем известная icacls. В PowerShell управление NTFS-разрешениями выглядит примерно так:

Получить объект, на который мы будем устанавливать разрешения

Соорудить строку с правами с помощью класса System.Security.AccessControl.FileSystemAccessRule. Можем задать следующие параметры:

  • группа/имя пользователя – для кого делаем ACL
  • разрешение – ACE (принимает значения, указанные в посте)
  • применяется к – в GUI это выпадающий список в дополнительных параметрах безопасности. На самом деле принимает всего 3 значения: none (только к этой папке), containerinherit (применяется ко всем подпапкам), objectinherit (применяется ко всем файлам). Значения можно комбинировать.
  • применять эти разрешения к объектам и контейнерам только внутри этого контейнера (чекбокс в GUI) – также 3 значения: none (флажок снят), inheritonly (ACE применяется только к выбранному типу объекта), nopropagateinherit (применять разрешения только внутри этого контейнера).
  • правило – разрешить (allow) или запретить (deny)

Строка с правами по умолчанию будет выглядеть так:

Сделать новую ACE с определенными выше разрешениями

Разрешение NTFS с каталогом с файлом

Чтение (R — Read) Просмотр имен каталога, Просмотр содержимого файла,

файлов в нем, разрешений разрешений на доступ к нему, его

на доступ к нему, атрибутов атрибутов и сведений о его

каталога и сведений владельце
о его владельце

Запись (W — Write) Добавление в каталог файлов Просмотр разрешений на доступ

и папок; изменение атрибутов к файлу и сведений о владельце;

каталога; просмотр атрибутов изменение атрибутов файла;

каталога, сведений о владельце изменение и добавление данных

и разрешений на доступ к нему файла

Выполнение Просмотр атрибутов каталога; Просмотр разрешений на доступ

(X — eXecute) изменения во вложенных папках; к файлу, его атрибутов и сведений

просмотр разрешений на доступ о его владельце; запуск файла

к каталогу и сведений (если он является исполняемым)
о его владельце

Удаление (D — Delete) Удаление каталога Удаление файла

Смена разрешений Изменение разрешений Изменение разрешений

(Р — change на доступ к каталогу на доступ к файлу

Смена владельца Назначение себя владельцем Назначение себя владельцем

(О — take Ownership) каталога файла

Индивидуальные разрешения по отдельности дают весьма ограниченные возмож­ности на доступ к файлам и каталогам и управление ими в разделах NTFS. Обыч­но же для выполнения над файлами или папками действий определенного уровня требуются наборы индивидуальных разрешений. Такие наборы в файловой систе­ме NTFS называются стандартными разрешениями. Именно они доступны в списке Type of Access (Тип доступа) диалоговых окон File Permissions и Directory Permissions программы Explorer (Проводник) в Windows NT.

Стандартные разрешения. Для того чтобы не использовать каждый раз сочетания индивидуальных разрешений, введены так называемые стандартные разрешения NTFS, которыми все и пользуются в большинстве случаев. Они представляют со­бой наиболее применяемые (с точки зрения разработчиков Microsoft) комбинации индивидуальных разрешений. Одновременное назначение нескольких индиви­дуальных разрешений для файла или каталога значительно упрощает админи­стрирование.

Приведем таблицу стандартных разрешений на файлы и каталоги системе NTFS 4 (табл. 6.9). В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

Теперь поясним эти разрешения. Далее первыми в скобках записаны разрешения на каталог, вторыми — разрешения на файлы в этом каталоге.

— List (RX, разрешения не указаны) — просмотр. Пользователь может только про­смотреть содержимое папки (список файлов и вложенных папок) и перей-

Файловая система NTFS_______________________________________________ 199

ти во вложенную папку, но не может получить доступ к новым файлам, со­зданным в этой папке.

— Add (WX, разрешения не указаны) — добавление. Пользователь может создать
в папке новые файлы и вложенные папки, но не может просмотреть ее теку­
щее содержимое.

— Add & Read (RWX, RX) — чтение и запись. Пользователь может создавать в папке
новые файлы или вложенные папки, читать содержимое самой папки и со­
держащихся в ней файлов и вложенных папок, а также запускать прило­
жения, которые находятся в этой папке, но не может изменить содержимое
файлов в этой папке.

— Change (RWXD, RWXD) — изменение. Пользователь может прочитать, создавать и удалять файлы и вложенные папки, а также запускать находящиеся в этой папке приложения.

— Full Control (все разрешения, все разрешения) — полный доступ. Пользователь мо­
жет читать, создавать и изменять файлы и вложенные папки, изменять раз­
решения на папку и файлы внутри нее, а также стать владельцем папки и
содержащихся в ней файлов.

Таблица 6.9.Стандартные разрешения на файлы и каталоги

Стандартные разрешения Комбинации индивидуальных разрешений

Каталоги Файлы

No Access Нет доступа Нет разрешений Нет разрешений

List Просмотр (RX) Не указано

Read Чтение (RX) (RX)

Add Добавление (WX) Не указано

Add & Read Чтение и запись (RWX) (RX)

Change Изменение (RWXD) (RWXD)

Full Control Полный доступ Все разрешения Все разрешения

Разрешение No Access (нет доступа) является самым сильным в том плане, что оно запрещает любой доступ к файлу или папке, даже если пользователь является чле­ном группы, которой дано разрешение на доступ. Стандартное разрешение No Access устанавливается, когда снимают все индивидуальные разрешения NTFS. Имейте в виду: оно обозначает не отсутствие разрешений, а явный запрет на доступ и от­меняет для пользователя все разрешения, установленные в остальных строках спис­ка управления доступом.

Разрешения Full Control (полный доступ) и Change (изменение) отличаются тем, что второе не позволяет менять разрешения и владельца объекта, то есть среди состав­ляющих его индивидуальных разрешений отсутствуют разрешения на смену раз­решений (Р) и смену владельца (0).

Специальные разрешения. И наконец, специальные разрешения. Это комбинации индивидуальных разрешений R, W, X, D, Р и 0, не совпадающие ни с одним из разреше-

200___________________________________________ Глава 6. Файловые системы

ний стандартного набора. Установить специальные разрешения NTSF в диалоговом окне разрешений (File Permissions или Directory Permissions) можно только правкой существующих разрешений для пользователя или группы. Иными словами, чтобы установить для кого-нибудь специальное разрешение NTFS, вам придется устано­вить сначала какое-либо из стандартных разрешений и лишь затем преобразовать его в специальное. При этом для папок можно отдельно регулировать доступ как к самой папке (Special Directory Access), так и к находящимся в ней файлам (Special File Access). Таким образом, удается весьма дифференцированно управлять доступом пользователей к файлам и папкам на томах с файловой системой NTFS.

Применение разрешений NTFS

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и разрешения доступа к общим сетевым ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или не­скольких групп, имеющих разрешение.

Применение разрешений NTFS для каталогов сходно с применением разрешений доступа к общим ресурсам. Управление разрешениями на каталог или файл осу­ществляется, как правило, через Проводник. Для этого необходимо щелкнуть на объекте правой кнопкой мыши, выбрать в контекстном меню команду Properties (Свойства) и в открывшемся окне перейти на вкладку Security (Безопасность). На этой вкладке имеется три раздела. Первый (верхний) с кнопкой Permissions (Разреше­ния) как раз и позволяет просмотреть и/или изменить разрешения, то есть управ­лять списком DACL. Второй (средний) с кнопкой Audit (Аудит) предназначен для управления списком SACL. Наконец, последний (нижний) раздел с кнопкой Owner (Владелец) предназначен для просмотра и/или смены владельца файлового объекта.

Кроме того, имеется возможность устанавливать и/или изменять списки разреше­ний NTFS через интерфейс командной строки. Для этого используется следую­щая команда:

CACLS ИмяФайла [/Т] [/Е] [/С] [/G ИмяПользователя:доступ] [/R ИмяПользователя [. ]] [/Р ИмяПользователя:доступ [. ]] [/D ИмяПользователя [. ]]

— ИмяФайла — имя файла со списком управления доступом; — /Т — замена списка управления доступом для указанных файлов в текущем ка­талоге и всех подкаталогах;

— /Е — изменение списка управления доступом вместо его замены; — /С — продолжение выполнения при ошибках отказа в доступе;

— /G ИмяПользователя:доступ — определение разрешений для указанных пользо­вателей, где параметр доступ равен:

■ С — изменение (запись),

■ F — полный доступ;

— /R ИмяПользователя — отзыв разрешений для пользователя (только вместе с клю­чом /Е);

Файловая система NTFS______________________________________________ 201

— /Р ИмяПользователя:доступ — замена разрешений для указанного пользователя,
где параметр доступ равен:

■ С — изменение (запись),

■ F — полный доступ;

— /D ИмяПользователя — запрет на доступ для указанного пользователя.

Для выбора нескольких файлов используются подстановочные знаки. В команде можно указать несколько пользователей.

У каждого файлового объекта имеется его владелец и создатель. Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке, даже если у него нет соответсвующего разрешения. Если этот пользователь является членом группы Administrators (Администраторы), фак­тическим владельцем становится вся группа Administrators.

Изначально все пользователи имеют все разрешения на файлы и каталоги. Оче­видно, что при этом они могут изменять эти разрешения, которые оформляются в виде списка. Напомним, что такой список называют списком ACL, хотя на самом деле, как уже упоминалось, речь идет о списке DACL. Список DACL состоит из записей АСЕ (Access Control Entry — запись списка управления доступом); в каж­дой из них указывается идентификатор безопасности (SID) 1 и соответствующая ему маска доступа, которая строится на основе заданных пользователем разреше­ний. Другими словами, каждому идентификатору безопасности ставится в соот­ветствие перечень индивидуальных разрешений. Например, список на некий ка­талог может выглядеть следующим образом:

— Administrators — Full Control.

Этот список следует понимать так: все имеют разрешение на просмотр содержи­мого данного каталога, члены группы Engineers имеют разрешение на чтение со­держимого каталога и запись в него новых файлов, члены группы Managers могут изменять свободно каталог и его содержимое, а члены группы Administrators имеют все разрешения.

В отличие от разрешений доступа к общим (сетевым) ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в дан­ном каталоге, могут иметь иные разрешения, нежели он сам. ‘

1 Это уникальная 128-разрядная кодовая запись, на основании которой операционная система может идентифицировать пользователей. Именно SID сопровождает все запросы к операционной системе на получение того или иного ресурса, в результате чего она может вычислить и разрешения, и права пользователей на запрашиваемый ресурс.

202 Глава 6. Файловые системы

Напомним, что в системе Windows NT 4.0 разрешения NTFS для файла превали­руют над разрешениями для каталога, в котором он содержится. Например, если пользователь имеет разрешения Read (чтение) для каталога и Write (запись) для вло­женного в него файла, то он сможет записать данные в файл, но не сможет создать новый файл в этом каталоге.

Как и разрешения доступа к общим (сетевым) ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, чле­ном которых он является. Единственное исключение — разрешение No Access (нет доступа): оно отменяет все остальные разрешения.

При указании разрешений в соответствующем окне, в которое мы попадаем после выбора в контекстном меню команды Properties (Свойства), перехода на вкладку Security (Безопасность) и щелчка на кнопке Permissions (Разрешения), следует обра­тить внимание на информацию, указанную в списке Type of Access (Тип доступа) в скобках рядом с типом разрешения. В первой паре скобок представлены индиви­дуальные разрешения на доступ к самой папке, во второй — на доступ к файлам, создаваемым в этой папке. Некоторые разрешения для папки не меняют разреше­ний для файлов (Not Specified). При этом пользователь не сможет обращаться к фай­лам в этой панке, если только разрешения на доступ для него не заданы как-ни­будь иначе (например, через разрешения, устанавливаемые на отдельные файлы). Если при форматировании тома на него устанавливается файловая система NTFS, группе Everyone (все) автоматически присваивается разрешение Full Control (пол­ный доступ) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

Разрешения, установленные для пользователя, складываются (аккумулируются) с разрешениями, установленными для групп, к которым он принадлежит. Напри­мер, если на доступ к какому-либо файлу для пользователя установлено разреше­ние Read, а для группы Everyone — разрешение Change, пользователь сможет изме­нить содержимое файла или удалить его, поскольку любой пользователь всегда входит в эту группу. Из этого правила есть исключение, когда одним из установ­ленных разрешений доступа является разрешение No Access. При этом не важно, кому именно это разрешение предоставлено, пользователю или группе. Разреше­ние No Access всегда имеет приоритет, поэтому пользователь не сможет получить доступ к файлу или папке.

Пользователи, имеющие разрешение Full Control на папку, могут удалять файлы в этой папке независимо от разрешений, установленных на файл (даже если разре­шением на файл является разрешение No Access). Это следствие того, что система NTFS удовлетворяет стандарту POSIX.1. Чтобы решить проблему (если полный набор разрешений доступа к папке действительно необходим), надо установить для папки специальный тип доступа, включающий все индивидуальные разреше­ния R, W, X, D, Р и 0. При этом пользователи получают тот же набор разрешенных действий, что и при разрешении Full Control, но теряют возможность несанкциони­рованного удаления файлов в этой папке.

Также важно отметить, что, имея одно только разрешение Change Permission, позво­ляющее изменять разрешения, пользователь может установить любые разреше­ния на доступ к файлу или папке.

Файловая система NTFS_______________________________________________ 203

Пользователь, создающий папку или файл на разделах с файловой системой NTFS, становится владельцем созданного объекта. Кроме того, владельцем папки или файла может стать любой пользователь, обладающий стандартным разрешением Full Control или специальным разрешением Take Ownership. Владелец всегда имеет возможность прочитать информацию о разрешениях на доступ к папке или файлу и изменить их, даже если ему ничего не разрешено или ему предоставлено разре­шение No Access. Отсюда следует, что достаточно дать пользователю разрешение Take Ownership и он, в конечном счете, сможет получить доступ к файлу или папке на разделе NTFS.

Iis задание разрешений ntfs для каталога или файла

Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

Все ответы

Основы безопасности IIS

Административные меры безопасности IIS

Максимальное усиление безопасности IIS

Кратко об Internet Information Services 7.x

Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

Web сервис и 1С на разных серверах

Здравствуйте товарищи.
Не могу понять как настроить web сервис, когда публикуемая база находится на другом сервере.
Описание:

1С 8.3.9
Базы на MS SQL Server

Сервер 1 : стоит База1 и База2 . На сервере нет web сервера.
Сервер 2 : на сервере IIS.

Запускаю на Сервере2 , Базу1 , через конфигуратор и публикую ее на Сервере2 . (только Web сервисы)

На Сервере1 запускаю Базу2 и пытаюсь подключиться через Web сервис к Базе1

Выходит ошибка. На этапе описания WSОпределения.
Определения = новый WSОпределения(«http://172.17.6.26/date1c/ws/wsPasport.1cws?wsdl»,ИмяПользователя,Пароль);

Описания ошибки нет. Просто ОШИБКА.

Но если все это делать на одном серваке, т.е. Вэб сервер и публикуемая база 1С, находятся на одном сервере. То все работает отлично.

Я верно делаю выводы, что эта связка должна находиться на одном сервере, или зная 1С, нужно где-то, что-то дописать, что бы работало как нужно мне .

1) Ставишь платформу на сервер с расширением веб сервиса на том серваке где опубликовать надо
2) Делаешь публикацию из конфигуратора \ руками правками конфига
3) Все

1) Ставишь nginx (если линукс)
2) Делаешь апстрим на локальный сервер где стоит 1С (там же базу можно опубликовать)
3) Настраиваешь кэширование
4) Радуешься что все работает быстро

1) Ставишь платформу на сервер с расширением веб сервиса на том серваке где опубликовать надо
2) Делаешь публикацию из конфигуратора \ руками правками конфига
3) Все

1) Ставишь nginx (если линукс)
2) Делаешь апстрим на локальный сервер где стоит 1С (там же базу можно опубликовать)
3) Настраиваешь кэширование
4) Радуешься что все работает быстро

Ошибка HTTP 500.0 — Internal Server Error

Невозможно отобразить эту страницу ввиду того, что произошла внутренняя ошибка сервера.

Наиболее вероятные причины:
•Службы IIS получили запрос; однако при его обработке возникла внутренняя ошибка. Основная причина этой ошибки зависит от того, какой модуль обрабатывает запрос и что происходило в рабочем процессе при возникновении ошибки.
•Службам IIS не удалось получить доступ к файлу web.config для веб-сайта или приложения. Причиной может быть неправильная настройка разрешений NTFS.
•Службам IIS не удалось обработать настройки веб-сайта или приложения.
•У прошедшего проверку пользователя нет разрешения на использование этой DLL.
•Запрос сопоставлен управляемому обработчику, но компонент расширения .NET не установлен.

Возможные решения:
•Убедитесь, что разрешения NTFS для файла web.config верны и обеспечивают доступ к учетной записи компьютера веб-сервера.
•Проверьте журналы событий, чтобы посмотреть, была ли зафиксирована какая-либо дополнительная информация.
•Проверьте разрешения на использование библиотеки DLL.
•Установите компонент расширения .NET, если запрос сопоставлен управляемому обработчику.
•Создайте правило трассировки, чтобы отслеживать невыполненные запросы для этого кода состояния HTTP. Чтобы получить дополнительные сведения о создании правила трассировки для невыполненных запросов, щелкните здесь.

Подробные сведения об ошибке:

Обработчик
1C Web-service Extension

Код ошибки
0x800700c1

Физический путь
C:\inetpub\wwwroot\dev_v_usk_5\ws\wspasport.1cws

Метод входа
Анонимная

Пользователь, выполнивший вход
Анонимная

Илон Маск рекомендует:  Что такое код asp hccompressiondll
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL
Примечание.