Безопасность администрирования

  • Статья

Административные задачи Microsoft AppFabric 1.1 для Windows Server выполняются с помощью средств AppFabric, которые содержатся в разделе AppFabric диспетчера IIS. Почти все функциональные возможности диспетчера IIS содержатся в стандартных командлетах, поставляемых в комплекте с AppFabric. Средство AppFabric является очень мощным. Можно создать функциональную установку AppFabric, просто установив флажок, щелкнув мышкой или выполнив командлеты. Однако установка AppFabric может быстро стать непригодной к использованию, если неавторизованный пользователь получит доступ ко всей системе AppFabric и всем поддерживающим ее компонентам или только к части этой системы. Этот раздел посвящен администрированию безопасности AppFabric.

Привилегии администратора AppFabric

При использовании любого средства AppFabric с административной точки зрения всегда используется пользовательский контекст безопасности. Это упрощает администрирование AppFabric и всех поддерживающих эту платформу технологий, таких как Windows Server, IIS и SQL Server. Чтобы администрировать AppFabric, необходимо быть членом концептуальной роли администраторов сервера приложений (группа безопасности Windows AS_Administrators) или концептуальной роли операторов сервера приложений (группа безопасности Windows AS_Observers).

Для удаленного администрирования AppFabric у групп AS_Administrators и AS_Observers имеются соответствующие административные привилегии. AppFabric можно установить на сервере, к которому пользователи могут подключаться удаленно, используя модель безопасности IIS с диспетчером IIS. Администратор может разрешить пользователям запрашивать хранилища наблюдения и сохраняемости, однако для этого следует добавить учетную запись диспетчера IIS (как правило, это встроенная учетная запись Network Service) в группу AS_Administrators или AS_Observers на удаленном сервере. Выбор группы безопасности зависит от разрешений, которые следует предоставить удаленным пользователям. Если пользователи проходят проверку подлинности в IIS только для использования средств администрирования, они работают в контексте членов группы AS_Administrators или AS_Observers с соответствующими правами и ограничениями. Это правило безопасности Windows, которое невозможно изменить. Чтобы удаленно администрировать AppFabric с помощью диспетчера IIS, необходимо быть администратором домена. Для выполнения административных задач доступ к ресурсам будет выполняться под собственной учетной записью. Средство олицетворения или прокси-сервер для использования альтернативного удаленного удостоверения отсутствует.

Администратор AppFabric может использовать возможность делегирования компонента в IIS для делегирования различных разрешений безопасности на все веб-сайты, которые размещены на компьютере. Например, можно задать разрешения только для чтения при просмотре каталогов или отключить ведение журналов. Возможность делегирования компонента отображается в разделе управления режима просмотра возможностей на уровне компьютера.

Кроме того службы IIS разрешают детальную блокировку и разблокировку определенных параметров конфигурации на различных уровнях областей с помощью блокировки конфигурации. Блокировка конфигурации осуществляется посредством прямого редактирования XML-элементов в файлах конфигурации. Заблокированный параметр конфигурации может быть разблокирован только на том уровне, на котором он был заблокирован; его невозможно изменить на более низких уровнях. Эту возможность можно использовать в тех случаях, когда нет необходимости использовать ту же конфигурацию для различных сайтов и следует переопределить несколько свойств. Управление блокировкой можно осуществлять на уровне раздела или на уровне отдельных атрибутов, элементов, а также элементов и директив коллекций. Эта возможность не поддерживается напрямую каким-либо средством, поэтому следует вручную изменить файл конфигурации на соответствующем уровне родительской области, в которой нужно иерархически применить изменения к дочерним папкам.

Для выполнения обычных административных задач по установке, конфигурации и выполнению AppFabric, назначьте пользователей в группу LOCALHOST\Администраторы. Это позволит членам группы изменять конфигурацию сервера, сайта или приложения для развертывания и удаления приложений, а также для запуска программ поддержки, таких как диспетчер IIS, MSDeploy или SvcConfigEditor.

securityБезопасность Примечание
Помните, что если предоставить разрешения учетной записи службы на запрос хранилищ наблюдения и сохраняемости, эти же разрешения будут предоставлены всем приложениям, работающим в контексте безопасности этой учетной записи.

Удаленное администрирование

При локальном администрировании AppFabric все действия выполняются в контексте учетной записи, выполнившей вход в систему. Для удаленного администрирования AppFabric служба управления IIS разрешает локальным и доменным администраторам использовать диспетчер IIS для удаленного управления веб-сервером. Только локальный администратор может настроить службу управления IIS для включения удаленных подключений. После этого можно использовать один из следующих режимов для управления безопасностью при получении доступа к удаленному компьютеру AppFabric:

  • Только учетные данные Windows. В этом режиме служба управления IIS работает под учетными данными пользователя. Это означает, что пользователь может выполнять все действия, которые доступны ему при локальном подключении к удаленному компьютеру. Например, если при локальном подключении он мог изменять файл Web.config приложения, он сможет изменить этот файл и удаленно. Доступ к ресурсам AppFabric управляется членством в группах AS_Observers и AS_Administrators.

  • Учетные данные Windows или безопасность проверки подлинности диспетчера IIS. В этом режиме пользователь подключается и работает на удаленном компьютере от имени LOCALSERVICE. В этом случае в диспетчере IIS могут отображаться другие сведения, чем в режиме только учетных данных Windows. Так как по умолчанию учетная запись LOCALSERVICE имеет разрешения на администрирование всех приложений на компьютере (изменение файлов Web.config, запрос и изменение данных сохраняемости и наблюдения), эффективные разрешения для подключения определяются областью, к которой было выполнено подключение. Например, если учетные данные позволяют подключаться к определенному приложению, AppFabric обеспечивает доступ к сведениям, относящимся только к этому приложению, не позволяя просматривать конфиденциальные данные сохраняемости.

Необходимо использовать следующие концептуальные группы и их соответствующие группы безопасности Windows для локального и удаленного администрирования AppFabric:

  • Администраторы сервера приложений. Члены группы администраторов сервера приложений (все разрешения доступа) сопоставлены с группой безопасности Windows AS_Administrators. Члены группы AS_Administrators могут приостанавливать, возобновлять, прерывать и удалять материализованные экземпляры, создавать и удалять источники и сборщики событий, а также просматривать, очищать и выполнять архивацию данных наблюдения. При установке AppFabric создается группа AS_Administrators, в которую добавляется учетная запись NT AUTHORITY\LOCAL SERVICE. LOCAL SERVICE — это учетная запись, в контексте которой работают службы Служба сбора событий и Служба управления рабочими процессами. Можно вручную добавлять в группу AS_Administrators членов, которым следует предоставить полный доступ к возможностям администрирования AppFabric.

  • Наблюдатели сервера приложений. Члены группы наблюдателей сервера приложений (частичные разрешения доступа) сопоставлены с группой безопасности Windows AS_Observers. Члены группы AS_Observers могут частично просматривать данные сохраняемости и наблюдения, могут перечислять приложения и службы, просматривать конфигурацию приложений и служб, просматривать данные наблюдения и изучать материализованные экземпляры. При установке AppFabric создается группа AS_Observers, однако в нее не добавляются какие-либо учетные записи. Можно вручную добавлять в группу AS_Observers членов, которым следует предоставить частичный доступ к возможностям администрирования AppFabric.

Дополнительные сведения об обеспечении безопасности конфигурации, делегирования и удаленного администрирования в IIS см. в статьях Обеспечение безопасности Конфигурация (https://go.microsoft.com/fwlink/?LinkId=183022) и Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265).

  2012-03-05