Korzystając z nieograniczonych, wspaniałych możliwości publikowania w sieci Web trzeba pamiętać o ryzyku, jakie się z tym wiąże. Dzisiejszy administrator serwera musi przywiązywać szczególną wagę do tego, aby serwer sieci Web był solidnie zabezpieczony.
Jeśli zawartość serwera sieci Web jest publicznie dostępna, istnieje ryzyko bezprawnego wkroczenia. Przed skonfigurowaniem funkcji zabezpieczeń serwera sieci Web i podłączeniem go do nie zabezpieczonej sieci, trzeba poświęcić trochę czasu na naukę o zabezpieczeniach serwera, gdyż konfiguracja zabezpieczeń ma kluczowe znaczenie dla ochrony serwera sieci Web przed nieupoważnionym dostępem i niedozwolonymi manipulacjami zawartością serwera.
Większość instalacji serwera sieci Web umożliwia użytkownikom anonimowe zalogowanie się i nieograniczone przeglądanie informacji opublikowanych w publicznych witrynach sieci Web lub FTP. W istocie ten typ anonimowego dostępu decyduje o otwartości i elastyczności dużych sieci intranetowych. Jednak wiele serwerów sieci Web zawiera również ważne informacje prywatne, które nie są przeznaczone dla szerokiego kręgu użytkowników. Ta sprzeczność ilustruje główny problem związany z zabezpieczeniami serwera sieci Web: jak administrator serwera ma umożliwić publiczny dostęp do witryn sieci Web i FTP, ograniczając jednocześnie dostęp do prywatnych plików i katalogów?
Funkcje zabezpieczeń programu Personal Web Server dostarczają bezpiecznego i efektywnego sposobu przyznawania użytkownikom dostępu do witryn publicznych, zapobiegając jednocześnie nieupoważnionemu dostępowi do prywatnych plików i katalogów. Serwer sieci Web, który jest w pełni zintegrowany z systemem zabezpieczeń Windows NT, wykorzystuje do ochrony prywatnych zawartości sprawdzone konta użytkowników systemu Windows NT i uprawnienia dostępu do plików.
Korzystając z uprawnień dostępu systemu plików Windows NT (NTFS), podstawy zabezpieczeń serwera sieci Web, można zdefiniować poziom dostępu do plików i katalogów przyznawanego użytkownikom i grupom systemu Windows NT. Na przykład, jeśli firma sprzedająca artykuły ogrodnicze zdecydowałaby się zamieścić swój katalog nasion w określonej witrynie sieci Web na serwerze sieci Web, administrator musiałby utworzyć konto użytkownika systemu Windows NT dla tej firmy, a następnie skonfigurować uprawnienia dla katalogu zawierającego daną witrynę sieci Web. Dzięki tym uprawnieniom, tylko administrator serwera i właściciel firmy mogliby aktualizować zawartość tej witryny sieci Web. Użytkownicy publiczni mogliby przeglądać witrynę, ale nie mogliby zmieniać jej zawartości.
Więcej szczegółów dotyczących ustawiania uprawnień NTFS można znaleźć w temacie Kontrola dostępu.
Po przypisaniu uprawnień plikom i katalogom, użytkownik, który chce uzyskać dostęp do zawartości o ograniczonym dostępie (na przykład właściciel firmy z poprzedniego przykładu) musi mieć prawidłowe konto użytkownika systemu Windows NT. Można skonfigurować funkcje uwierzytelniania, lub identyfikacji użytkowników, serwera sieci Web na monitowanie użytkownika o podanie prawidłowych informacji dotyczących konta (zazwyczaj nazwy użytkownika i hasła) przed połączeniem z zawartością o ograniczonym dostępie. W temacie Uwierzytelnianie przedstawiono różne sposoby zbierania przez serwer sieci Web informacji potwierdzających tożsamość użytkownika.
Użytkownicy odwiedzający obecnie komercyjne witryny sieci Web często niechętnie podają prywatne informacje, takie jak numer karty kredytowej czy konta bankowego, w obawie, że wandale komputerowi mogą przechwycić te informacje. W związku z tym, poza zabezpieczeniem plików i katalogów przed nieupoważnionym dostępem, trzeba również skutecznie zabezpieczyć prywatne informacje przesyłane przez sieć przed próbami przechwycenia i wszelkimi formami manipulowania nimi.
Protokół Secure Sockets Layer (SSL) 3.0, zaimplementowany jako funkcja zabezpieczeń serwera sieci Web, dostarcza bezpiecznego sposobu ustanowienia zaszyfrowanego, praktycznie "nieprzepuszczalnego", łącza komunikacyjnego z użytkownikami. Protokół SSL gwarantuje autentyczność zawartości sieci Web, a jednocześnie skutecznie weryfikuje tożsamość użytkowników próbujących uzyskać dostęp do zawartości witryn sieci Web o ograniczonym dostępie.
Serwer sieci Web obsługuje również protokół Private Communication Technology (PCT) 1.0. Podobnie jak protokół SSL, protokół PCT 1.0 zawiera solidne i skuteczne funkcje szyfrowania zabezpieczające komunikację.
Unikatowe, cyfrowe identyfikatory, nazywane certyfikatami serwerów, stanowią podstawę funkcji zabezpieczeń SSL serwerów sieci Web. Certyfikaty serwerów, otrzymywane od cieszących się powszechnym zaufaniem, specjalnych organizacji, dostarczają użytkownikom sposobu potwierdzenia autentyczności witryny sieci Web. Certyfikat serwera zawiera szczegółowe informacje identyfikujące, takie jak nazwa organizacji odpowiedzialnej za zawartość serwera, nazwa organizacji, która wydała certyfikat oraz unikatowy plik identyfikujący, nazywany kluczem publicznym. Informacje te pomagają zapewnić użytkowników o autentyczności zawartości serwera sieci Web i integralności bezpiecznego połączenia HTTP.
Klucz publiczny wraz z innym kluczem, kluczem prywatnym, tworzą parę kluczy SSL. Serwer sieci Web korzysta z tej pary kluczy przy negocjowaniu bezpiecznego połączenia TCP/IP z przeglądarką sieci Web użytkownika. Jednak mimo iż para kluczy odgrywa podstawową rolę przy ustanawianiu bezpiecznego łącza, nie jest ona bezpośrednio używana do szyfrowania danych.
Poprzez protokół SSL, serwer i przeglądarka sieci Web użytkownika uczestniczą w wymianie danych negocjacji – obejmującej certyfikat i parę kluczy – która ma na celu określenie poziomu szyfrowania wymaganego do zabezpieczenia komunikacji. Warunkiem tej wymiany jest, aby zarówno serwer sieci Web, jak i przeglądarka użytkownika, były wyposażone w zgodne funkcje szyfrowania i odszyfrowywania danych. Końcowym rezultatem tej wymiany jest utworzenie (zazwyczaj przez przeglądarkę sieci Web) klucza szyfrowania lub klucza sesji. Zarówno serwer, jak i przeglądarka sieci Web, używają klucza sesji do szyfrowania i odszyfrowywania przesyłanych informacji. Stopień zaszyfrowania klucza sesji, nazywany wagą szyfrowania, mierzony jest w bitach. Im większa liczba bitów tworzących klucz sesji, tym większy poziom zaszyfrowania i zabezpieczeń. Klucz sesji serwera sieci Web ma zazwyczaj 40 bitów długości, ale może być znacznie dłuższy.
Poprzez protokół SSL serwer sieci Web może również uwierzytelniać użytkownika sprawdzając zawartość jego certyfikatu klienta: zaszyfrowanego pliku, który pełni funkcję podobną do konwencjonalnych dowodów tożsamości, takich jak prawo jazdy czy paszport. Typowy certyfikat klienta zawiera szczegółowe informacje identyfikujące o użytkowniku i organizacji, która wydała certyfikat.
Uwierzytelniania certyfikatów klientów wraz z szyfrowaniem SSL można użyć do implementacji bardzo skutecznej metody sprawdzania tożsamości użytkowników. Więcej informacji można znaleźć w temacie Certyfikaty klientów - informacje.
Przed skonfigurowaniem zabezpieczeń serwera sieci Web, należy określić poziom zabezpieczeń wymagany do ochrony witryn sieci Web i FTP. Na przykład, jeśli ma być utworzona witryna sieci Web umożliwiająca wybranym użytkownikom dostęp do informacji prywatnych, takich jak dane finansowe lub dane o stanie zdrowia, potrzebne będą solidne zabezpieczenia, niezawodnie uwierzytelniające upoważnionych użytkowników. W takim przypadku należy rozważyć, czy nie skorzystać z usług specjalisty od zabezpieczeń komputerowych.
Większość z zabezpieczeń serwera sieci Web opiera się na konfiguracji zabezpieczeń systemu Windows NT. Bez właściwie skonfigurowanych funkcji zabezpieczeń systemu Windows NT, nie można zabezpieczyć serwera sieci Web. Po skonfigurowaniu tych zabezpieczeń można podejmować następujące czynności:
Więcej informacji można znaleźć w dokumentacji systemu Windows NT. Pakiet Windows NT Resource Kit jest również doskonałym źródłem informacji dotyczących zabezpieczeń.
W ramach konfigurowania zabezpieczeń należy również przekonwertować partycję dysku twardego na partycję systemu plików Windows NT (NTFS). Partycje NTFS dysku twardego zapewniają bardziej precyzyjną kontrolę dostępu do plików i katalogów oraz efektywniejsze zapisywanie informacji niż partycje FAT (File Allocation Table). Aby przekonwertować partycję dysku twardego na partycję NTFS, można użyć narzędzia Windows NT Convert. Więcej informacji można znaleźć w dokumentacji systemu Windows NT.
Następnie należy określić, które pliki i katalogi będą publicznie dostępne dla użytkowników odwiedzających dane witryny sieci Web lub FTP. Zawartości publiczne i zawartości o ograniczonym dostępie należy przechowywać w oddzielnych katalogach.
Przed rozpoczęciem konfigurowania zabezpieczeń serwera sieci Web należy zapoznać się z tematem Kontrola dostępu - informacje, aby uzyskać informacje o tym, jak właściwie skonfigurować anonimowy dostęp do serwera sieci Web.
Dodatkowe informacje dotyczące zabezpieczeń systemu Windows NT i sieci można znaleźć w witrynie sieci Web firmy Microsoft, poświęconej zabezpieczeniom, pod adresem http://www.microsoft.com/security.