Windows .NET Server блокирует «всех»
Одна из самых больших проблем с безопасностью, с которой вы, возможно, сталкивались в старых версиях серверов на базе Windows, заключается в том, что при назначении разрешений вы можете случайно назначить слишком много из-за недостатка дизайна с анонимным доступом. Когда у вас есть члены группы Anonymous Logon, им также предоставляется доступ к данным, потому что, когда администратор думает об «анонимности», он также может подумать, что это подразумевает отсутствие аутентификации. Когда вы думаете о группе Everyone, вы можете подразумевать аутентификацию пользователей. По замыслу (и недостатку) анонимные пользователи также являются частью группы Everyone.
В Windows.NET Server группа пользователей «Анонимный вход» не является членом группы «Все». Это хорошо, так как вы обнаружите, что назначение всего самостоятельно может иногда быть рутиной, но это безопасно. Однако, если вам необходимо предоставить эти права, вы можете, перейдя в MMC локальной политики безопасности, перейти к следующему:
Пуск => Программы => Администрирование => Локальная политика безопасности
После открытия вы увидите MMC, как показано здесь:
Если вам нужно предоставить доступ к группе «Анонимный вход» группе «Все» (возможно, вы обновили сервер и теперь потеряли к нему анонимный доступ), вы должны явно добавить разрешение обратно в группу безопасности «Анонимный вход». Для этого сделайте следующее:
Ваша MMC все еще должна быть открыта (рис. 1).
В левой панели навигации MMC перейдите к папке «Параметры безопасности».
Измените параметр безопасности следующим образом => Доступ к сети: Разрешить всем применять разрешения для анонимных пользователей.
Дважды щелкните его и включите.
Теперь у вас снова будут небезопасные разрешения, но если после обновления вы потеряли эту службу, теперь вы можете снова работать, пока не запланируете защитить ее в другое время. Таким же образом можно использовать и групповую политику.
Группа «Все»
Еще одним отличием является группа Everyone, которую вы видите в Windows 2000 и Windows.NET Server. Взгляните на группу Everyone для компьютера с Windows 2000:
Теперь, когда вы посмотрите на установку Windows.NET Server по умолчанию, вы увидите небольшую разницу между группой Everyone:
Выглядит так же, верно? Но это не так. Прокрутите немного вниз, и вы увидите разрешение внизу списка:
Настроены специальные разрешения. Давайте нажмем кнопку «Дополнительно» и посмотрим, что именно они собой представляют:
Когда вы нажимаете кнопку «Дополнительно», укажите группу, для которой вы хотите проверить расширенные разрешения, введя имя объекта (все) и нажав «ОК».
После того, как вы нажмете кнопку «ОК», вы увидите вкладку «Действующие разрешения» и увидите, что разрешены следующие разрешения:
* Папка перемещения
* Список папок / Чтение данных
* Чтение атрибутов
* Чтение расширенных атрибутов
* Разрешения на чтение
В этой статье мы рассмотрели принципиальные отличия группы Everyone от Windows 2000 до нового Windows.NET Server. Вы можете видеть, что к безопасности относятся более серьезно, и более того, вы можете видеть, что назначаемые разрешения могут быть более детализированными по своей природе. У вас больше гибкости, и вы не подвергаетесь возможным угрозам со стороны анонимных пользователей для ваших серверов.