Acces la serverul WebDAV prin Internet
Dacă serverul IIS nu este încă conectat la Internet, puteți atribui serverul de fișiere ca un server WebDAV.
Configurarea WebDAV securizată
Următoarele instrucțiuni pas-cu-pas presupun că IIS și WebDAV sunt instalate pe un sistem diferit de serverul de fișiere. În acest caz, este suficient să instalați IIS fără a activa Active Server Pages (ASP) și alte componente opționale. După instalarea serviciului IIS, deschideți modulul snap-in pentru Serviciul de Informații Internet (IIS6) din Microsoft Management Console (MMC) (consultați ecranul 1), extindeți dosarul Web Service Extensions și activați nodul WebDAV. Pentru a minimiza suprafața de atac pe IIS, nu activați alte module de extensie.
Ecranul 1. Activarea WebDAV în IIS 6.0
Ecranul 2. Setările filei de securitate a directorului
Următorul pas este să cereți tuturor utilizatorilor să se autentifice când accesează serverul. În fila Securitate director, faceți clic pe Editați în secțiunea de autentificare și acces control. Prin ștergerea casetei de selectare Activare acces anonim (ecran 3), trebuie să bifați caseta de autentificare de bază (parola este trimisă în text clar). Nu trebuie să alegeți autentificarea de bază dacă întreprinderea are numai clienți Windows. Puteți ignora avertizarea textului simplu din IIS - criptarea SSL este deja activată. Domeniul standard ar trebui să fie configurat în conformitate cu setările de domeniu în care sunt situate conturile de utilizator de la distanță; ca urmare, utilizatorii nu trebuie să adauge un nume de domeniu \ înainte de numele lor. Caseta de dialog Metode de autentificare ar trebui să arate similar cu ecranul 3.
Ecranul 3. Opțiuni de director de domiciliu corect configurat
Configurarea IIS într-un folder public
Trebuie să vă asigurați că IIS impersonalizează utilizatorul curent înainte de a accesa serverul de fișiere. Faceți clic pe butonul Conectați ca ... și selectați caseta de selectare Utilizați întotdeauna acreditările utilizatorului autentificat la validarea accesului la directorul de rețea. Pentru ca utilizatorii să primească, să trimită și să vizualizeze fișiere într-un dosar prin intermediul WebDAV, trebuie să bifați casetele de citire, scriere și listări în directorul Home Directory (ecranul 4). Aceste casete de selectare definesc doar operațiile WebDAV pe care un utilizator le poate solicita. Serverul de fișiere utilizează permisiuni NTFS pentru a accesa fișierele ca și când utilizatorul este conectat la nivel local. Alți parametri din fila Home Directory nu trebuie să fie activați, iar parametrului Execute permissions trebuie să i se atribuie o valoare care oferă cea mai fiabilă protecție.
Ecran 4. Metode de autentificare corect configurate
Aceasta finalizează pregătirea IIS pentru a primi solicitări WebDAV pentru accesul la serverul de fișiere. Înainte de a deschide serverul WebDAV pentru lumea exterioară, trebuie să vă asigurați că ați instalat toate patch-urile de securitate IIS de pe server. În cele din urmă, puteți deschide portul firewall corespunzător și puteți începe să lucrați pe partea de server.
Activarea utilizatorilor
Probleme de securitate
Cât de sigură este această metodă? Accesul la distanță prin WebDAV este comparabil din punct de vedere al securității cu acces VPN bazat pe parola utilizatorului. Singura diferență constă în creșterea zonei de atac a WebDAV din cauza portului 443 deschis. Cu toate acestea, pentru a utiliza HTTP pentru a pătrunde în sistem, atacatorii trebuie să se autentifice cu succes. Pentru a spori securitatea, puteți introduce un element necunoscut, schimbând numărul portului HTTPS al site-ului Web de la 443 la unul mai mare. Trebuie reținut faptul că acest lucru restricționează accesul utilizatorilor aflați la distanță, în spatele firewall-ului unei alte companii, cu restricții puternice la conexiunile de ieșire. Cea mai bună modalitate de a proteja mai bine orice tip de conexiune Web este să solicitați certificate de client împreună cu autentificarea prin parolă. Pentru a obține un certificat pentru utilizatorii de la distanță, este suficient să treceți prin mai multe pagini Web.