Korzystaj╣c z nieograniczonych, wspania│ych mo┐liwo£ci publikowania w sieci Web trzeba pamiΩtaµ o ryzyku, jakie siΩ z tym wi╣┐e. Dzisiejszy administrator serwera musi przywi╣zywaµ szczeg≤ln╣ wagΩ do tego, aby serwer sieci Web by│ solidnie zabezpieczony.
Je£li zawarto£µ serwera sieci Web jest publicznie dostΩpna, istnieje ryzyko bezprawnego wkroczenia. Przed skonfigurowaniem funkcji zabezpiecze± serwera sieci Web i pod│╣czeniem go do nie zabezpieczonej sieci, trzeba po£wiΩciµ trochΩ czasu na naukΩ o zabezpieczeniach serwera, gdy┐ konfiguracja zabezpiecze± ma kluczowe znaczenie dla ochrony serwera sieci Web przed nieupowa┐nionym dostΩpem i niedozwolonymi manipulacjami zawarto£ci╣ serwera.
WiΩkszo£µ instalacji serwera sieci Web umo┐liwia u┐ytkownikom anonimowe zalogowanie siΩ i nieograniczone przegl╣danie informacji opublikowanych w publicznych witrynach sieci Web lub FTP. W istocie ten typ anonimowego dostΩpu decyduje o otwarto£ci i elastyczno£ci du┐ych sieci intranetowych. Jednak wiele serwer≤w sieci Web zawiera r≤wnie┐ wa┐ne informacje prywatne, kt≤re nie s╣ przeznaczone dla szerokiego krΩgu u┐ytkownik≤w. Ta sprzeczno£µ ilustruje g│≤wny problem zwi╣zany z zabezpieczeniami serwera sieci Web: jak administrator serwera ma umo┐liwiµ publiczny dostΩp do witryn sieci Web i FTP, ograniczaj╣c jednocze£nie dostΩp do prywatnych plik≤w i katalog≤w?
Funkcje zabezpiecze± programu Personal Web Server dostarczaj╣ bezpiecznego i efektywnego sposobu przyznawania u┐ytkownikom dostΩpu do witryn publicznych, zapobiegaj╣c jednocze£nie nieupowa┐nionemu dostΩpowi do prywatnych plik≤w i katalog≤w. Serwer sieci Web, kt≤ry jest w pe│ni zintegrowany z systemem zabezpiecze± Windows NT, wykorzystuje do ochrony prywatnych zawarto£ci sprawdzone konta u┐ytkownik≤w systemu Windows NT i uprawnienia dostΩpu do plik≤w.
Korzystaj╣c z uprawnie± dostΩpu systemu plik≤w Windows NT (NTFS), podstawy zabezpiecze± serwera sieci Web, mo┐na zdefiniowaµ poziom dostΩpu do plik≤w i katalog≤w przyznawanego u┐ytkownikom i grupom systemu Windows NT. Na przyk│ad, je£li firma sprzedaj╣ca artyku│y ogrodnicze zdecydowa│aby siΩ zamie£ciµ sw≤j katalog nasion w okre£lonej witrynie sieci Web na serwerze sieci Web, administrator musia│by utworzyµ konto u┐ytkownika systemu Windows NT dla tej firmy, a nastΩpnie skonfigurowaµ uprawnienia dla katalogu zawieraj╣cego dan╣ witrynΩ sieci Web. DziΩki tym uprawnieniom, tylko administrator serwera i w│a£ciciel firmy mogliby aktualizowaµ zawarto£µ tej witryny sieci Web. U┐ytkownicy publiczni mogliby przegl╣daµ witrynΩ, ale nie mogliby zmieniaµ jej zawarto£ci.
WiΩcej szczeg≤│≤w dotycz╣cych ustawiania uprawnie± NTFS mo┐na znaleƒµ w temacie Kontrola dostΩpu.
Po przypisaniu uprawnie± plikom i katalogom, u┐ytkownik, kt≤ry chce uzyskaµ dostΩp do zawarto£ci o ograniczonym dostΩpie (na przyk│ad w│a£ciciel firmy z poprzedniego przyk│adu) musi mieµ prawid│owe konto u┐ytkownika systemu Windows NT. Mo┐na skonfigurowaµ funkcje uwierzytelniania, lub identyfikacji u┐ytkownik≤w, serwera sieci Web na monitowanie u┐ytkownika o podanie prawid│owych informacji dotycz╣cych konta (zazwyczaj nazwy u┐ytkownika i has│a) przed po│╣czeniem z zawarto£ci╣ o ograniczonym dostΩpie. W temacie Uwierzytelnianie przedstawiono r≤┐ne sposoby zbierania przez serwer sieci Web informacji potwierdzaj╣cych to┐samo£µ u┐ytkownika.
U┐ytkownicy odwiedzaj╣cy obecnie komercyjne witryny sieci Web czΩsto niechΩtnie podaj╣ prywatne informacje, takie jak numer karty kredytowej czy konta bankowego, w obawie, ┐e wandale komputerowi mog╣ przechwyciµ te informacje. W zwi╣zku z tym, poza zabezpieczeniem plik≤w i katalog≤w przed nieupowa┐nionym dostΩpem, trzeba r≤wnie┐ skutecznie zabezpieczyµ prywatne informacje przesy│ane przez sieµ przed pr≤bami przechwycenia i wszelkimi formami manipulowania nimi.
Protok≤│ Secure Sockets Layer (SSL) 3.0, zaimplementowany jako funkcja zabezpiecze± serwera sieci Web, dostarcza bezpiecznego sposobu ustanowienia zaszyfrowanego, praktycznie "nieprzepuszczalnego", │╣cza komunikacyjnego z u┐ytkownikami. Protok≤│ SSL gwarantuje autentyczno£µ zawarto£ci sieci Web, a jednocze£nie skutecznie weryfikuje to┐samo£µ u┐ytkownik≤w pr≤buj╣cych uzyskaµ dostΩp do zawarto£ci witryn sieci Web o ograniczonym dostΩpie.
Serwer sieci Web obs│uguje r≤wnie┐ protok≤│ Private Communication Technology (PCT) 1.0. Podobnie jak protok≤│ SSL, protok≤│ PCT 1.0 zawiera solidne i skuteczne funkcje szyfrowania zabezpieczaj╣ce komunikacjΩ.
Unikatowe, cyfrowe identyfikatory, nazywane certyfikatami serwer≤w, stanowi╣ podstawΩ funkcji zabezpiecze± SSL serwer≤w sieci Web. Certyfikaty serwer≤w, otrzymywane od ciesz╣cych siΩ powszechnym zaufaniem, specjalnych organizacji, dostarczaj╣ u┐ytkownikom sposobu potwierdzenia autentyczno£ci witryny sieci Web. Certyfikat serwera zawiera szczeg≤│owe informacje identyfikuj╣ce, takie jak nazwa organizacji odpowiedzialnej za zawarto£µ serwera, nazwa organizacji, kt≤ra wyda│a certyfikat oraz unikatowy plik identyfikuj╣cy, nazywany kluczem publicznym. Informacje te pomagaj╣ zapewniµ u┐ytkownik≤w o autentyczno£ci zawarto£ci serwera sieci Web i integralno£ci bezpiecznego po│╣czenia HTTP.
Klucz publiczny wraz z innym kluczem, kluczem prywatnym, tworz╣ parΩ kluczy SSL. Serwer sieci Web korzysta z tej pary kluczy przy negocjowaniu bezpiecznego po│╣czenia TCP/IP z przegl╣dark╣ sieci Web u┐ytkownika. Jednak mimo i┐ para kluczy odgrywa podstawow╣ rolΩ przy ustanawianiu bezpiecznego │╣cza, nie jest ona bezpo£rednio u┐ywana do szyfrowania danych.
Poprzez protok≤│ SSL, serwer i przegl╣darka sieci Web u┐ytkownika uczestnicz╣ w wymianie danych negocjacji – obejmuj╣cej certyfikat i parΩ kluczy – kt≤ra ma na celu okre£lenie poziomu szyfrowania wymaganego do zabezpieczenia komunikacji. Warunkiem tej wymiany jest, aby zar≤wno serwer sieci Web, jak i przegl╣darka u┐ytkownika, by│y wyposa┐one w zgodne funkcje szyfrowania i odszyfrowywania danych. Ko±cowym rezultatem tej wymiany jest utworzenie (zazwyczaj przez przegl╣darkΩ sieci Web) klucza szyfrowania lub klucza sesji. Zar≤wno serwer, jak i przegl╣darka sieci Web, u┐ywaj╣ klucza sesji do szyfrowania i odszyfrowywania przesy│anych informacji. Stopie± zaszyfrowania klucza sesji, nazywany wag╣ szyfrowania, mierzony jest w bitach. Im wiΩksza liczba bit≤w tworz╣cych klucz sesji, tym wiΩkszy poziom zaszyfrowania i zabezpiecze±. Klucz sesji serwera sieci Web ma zazwyczaj 40 bit≤w d│ugo£ci, ale mo┐e byµ znacznie d│u┐szy.
Poprzez protok≤│ SSL serwer sieci Web mo┐e r≤wnie┐ uwierzytelniaµ u┐ytkownika sprawdzaj╣c zawarto£µ jego certyfikatu klienta: zaszyfrowanego pliku, kt≤ry pe│ni funkcjΩ podobn╣ do konwencjonalnych dowod≤w to┐samo£ci, takich jak prawo jazdy czy paszport. Typowy certyfikat klienta zawiera szczeg≤│owe informacje identyfikuj╣ce o u┐ytkowniku i organizacji, kt≤ra wyda│a certyfikat.
Uwierzytelniania certyfikat≤w klient≤w wraz z szyfrowaniem SSL mo┐na u┐yµ do implementacji bardzo skutecznej metody sprawdzania to┐samo£ci u┐ytkownik≤w. WiΩcej informacji mo┐na znaleƒµ w temacie Certyfikaty klient≤w - informacje.
Przed skonfigurowaniem zabezpiecze± serwera sieci Web, nale┐y okre£liµ poziom zabezpiecze± wymagany do ochrony witryn sieci Web i FTP. Na przyk│ad, je£li ma byµ utworzona witryna sieci Web umo┐liwiaj╣ca wybranym u┐ytkownikom dostΩp do informacji prywatnych, takich jak dane finansowe lub dane o stanie zdrowia, potrzebne bΩd╣ solidne zabezpieczenia, niezawodnie uwierzytelniaj╣ce upowa┐nionych u┐ytkownik≤w. W takim przypadku nale┐y rozwa┐yµ, czy nie skorzystaµ z us│ug specjalisty od zabezpiecze± komputerowych.
WiΩkszo£µ z zabezpiecze± serwera sieci Web opiera siΩ na konfiguracji zabezpiecze± systemu Windows NT. Bez w│a£ciwie skonfigurowanych funkcji zabezpiecze± systemu Windows NT, nie mo┐na zabezpieczyµ serwera sieci Web. Po skonfigurowaniu tych zabezpiecze± mo┐na podejmowaµ nastΩpuj╣ce czynno£ci:
WiΩcej informacji mo┐na znaleƒµ w dokumentacji systemu Windows NT. Pakiet Windows NT Resource Kit jest r≤wnie┐ doskona│ym ƒr≤d│em informacji dotycz╣cych zabezpiecze±.
W ramach konfigurowania zabezpiecze± nale┐y r≤wnie┐ przekonwertowaµ partycjΩ dysku twardego na partycjΩ systemu plik≤w Windows NT (NTFS). Partycje NTFS dysku twardego zapewniaj╣ bardziej precyzyjn╣ kontrolΩ dostΩpu do plik≤w i katalog≤w oraz efektywniejsze zapisywanie informacji ni┐ partycje FAT (File Allocation Table). Aby przekonwertowaµ partycjΩ dysku twardego na partycjΩ NTFS, mo┐na u┐yµ narzΩdzia Windows NT Convert. WiΩcej informacji mo┐na znaleƒµ w dokumentacji systemu Windows NT.
NastΩpnie nale┐y okre£liµ, kt≤re pliki i katalogi bΩd╣ publicznie dostΩpne dla u┐ytkownik≤w odwiedzaj╣cych dane witryny sieci Web lub FTP. Zawarto£ci publiczne i zawarto£ci o ograniczonym dostΩpie nale┐y przechowywaµ w oddzielnych katalogach.
Przed rozpoczΩciem konfigurowania zabezpiecze± serwera sieci Web nale┐y zapoznaµ siΩ z tematem Kontrola dostΩpu - informacje, aby uzyskaµ informacje o tym, jak w│a£ciwie skonfigurowaµ anonimowy dostΩp do serwera sieci Web.
Dodatkowe informacje dotycz╣ce zabezpiecze± systemu Windows NT i sieci mo┐na znaleƒµ w witrynie sieci Web firmy Microsoft, po£wiΩconej zabezpieczeniom, pod adresem http://www.microsoft.com/security.