Поделиться через

Безопасность администрирования

  • Статья

Административные задачи Windows Server AppFabric выполняются с помощью средств AppFabric, которые содержатся в разделе AppFabric диспетчера IIS. Почти все функциональные возможности диспетчера IIS содержатся в стандартных командлетах, поставляемых в комплекте с AppFabric. Средство AppFabric является очень мощным. Можно создать функциональную установку AppFabric, просто установив флажок, щелкнув мышкой или выполнив командлеты. Тем не менее установка AppFabric может быстро стать неработоспособной, если не уполномоченный на то пользователь получает полный или частичный доступ к системе AppFabric и поддерживающим ее компонентам. Этот раздел посвящен администрированию безопасности AppFabric.

Административные привилегии AppFabric

При использовании любого средства AppFabric с административной точки зрения всегда используется пользовательский контекст безопасности. Это упрощает администрирование AppFabric и вспомогательных технологий, например Windows Server, IIS и SQL Server. Чтобы администрировать AppFabric, необходимо быть членом концептуальной роли администраторов сервера приложений (группа безопасности Windows AS_Administrators) или концептуальной роли операторов сервера приложений (группа безопасности Windows AS_Observers).

Для удаленного администрирования AppFabric группам AS_Administrators и AS_Observers предоставляются соответствующие административные привилегии. AppFabric можно установить на сервере, к которому пользователи подключаются удаленно, используя режим безопасности IIS в диспетчере IIS. Администратор может разрешить пользователям запрашивать хранилища наблюдения и сохраняемости, однако для этого следует добавить учетную запись диспетчера IIS (как правило, это встроенная учетная запись Network Service) в группу AS_Administrators или AS_Observers на удаленном сервере. Выбор группы безопасности зависит от разрешений, которые следует предоставить удаленным пользователям. Если пользователи проходят проверку подлинности в IIS только для использования средств администрирования, они работают в контексте членов группы AS_Administrators или AS_Observers с соответствующими правами и ограничениями. Это правило безопасности Windows, которое невозможно изменить. Чтобы удаленно администрировать AppFabric с помощью диспетчера IIS, необходимо быть администратором домена. Для выполнения административных задач доступ к ресурсам будет выполняться под собственной учетной записью. Средство олицетворения или прокси-сервер для использования альтернативного удаленного удостоверения отсутствует.

Администратор AppFabric может использовать возможность делегирования компонента в IIS для делегирования различных разрешений безопасности на все веб-сайты, которые размещены на компьютере. Например, можно задать разрешения только для чтения при просмотре каталогов или отключить ведение журналов. Возможность делегирования компонента отображается в разделе управления режима просмотра возможностей на уровне компьютера.

Кроме того службы IIS разрешают детальную блокировку и разблокировку определенных параметров конфигурации на различных уровнях областей с помощью блокировки конфигурации. Блокировка конфигурации осуществляется посредством прямого редактирования XML-элементов в файлах конфигурации. Заблокированный параметр конфигурации может быть разблокирован только на том уровне, на котором он был заблокирован; его невозможно изменить на более низких уровнях. Эту возможность можно использовать в тех случаях, когда нет необходимости использовать ту же конфигурацию для различных сайтов и следует переопределить несколько свойств. Управление блокировкой можно осуществлять на уровне раздела или на уровне отдельных атрибутов, элементов, а также элементов и директив коллекций. Эта возможность не поддерживается напрямую каким-либо средством, поэтому следует вручную изменить файл конфигурации на соответствующем уровне родительской области, в которой нужно иерархически применить изменения к дочерним папкам.

Для выполнения обычных административных задач по установке, конфигурации и выполнению AppFabric, назначьте пользователей в группу LOCALHOST\Администраторы. Это позволит членам группы изменять конфигурацию сервера, сайта или приложения для развертывания и удаления приложений, а также для запуска программ поддержки, таких как диспетчер IIS, MSDeploy или SvcConfigEditor.

securityБезопасность Примечание
Помните, что если предоставить разрешения учетной записи службы на запрос хранилищ наблюдения и сохраняемости, эти же разрешения будут предоставлены всем приложениям, работающим в контексте безопасности этой учетной записи.

Удаленное администрирование

При локальном администрировании AppFabric все действия выполняются в контексте учетной записи, выполнившей вход в систему. Для удаленного администрирования AppFabric служба управления IIS разрешает локальным и доменным администраторам использовать диспетчер IIS для удаленного управления веб-сервером. Только локальный администратор может настроить службу управления IIS для включения удаленных подключений. После этого можно использовать один из следующих режимов для управления безопасностью при получении доступа к удаленному компьютеру AppFabric:

  • Только учетные данные Windows. В этом режиме служба управления IIS работает под учетными данными пользователя. Это означает, что пользователь может выполнять все действия, которые доступны ему при локальном подключении к удаленному компьютеру. Например, если при локальном подключении он мог изменять файл Web.config приложения, он сможет изменить этот файл и удаленно. Доступ к ресурсам AppFabric управляется членством в группах AS_Observers и AS_Administrators.

  • Учетные данные Windows или безопасность проверки подлинности диспетчера IIS. В этом режиме пользователь подключается и работает на удаленном компьютере от имени LOCALSERVICE. В этом случае в диспетчере IIS могут отображаться другие сведения, чем в режиме только учетных данных Windows. Так как по умолчанию учетная запись LOCALSERVICE имеет разрешения на администрирование всех приложений на компьютере (изменение файлов Web.config, запрос и изменение данных сохраняемости и наблюдения), эффективные разрешения для подключения определяются областью, к которой было выполнено подключение. Например, если учетные данные позволяют подключаться к определенному приложению, AppFabric обеспечивает доступ к сведениям, относящимся только к этому приложению, не позволяя просматривать конфиденциальные данные сохраняемости.

Для локального и удаленного администрирования AppFabric используются следующие логические группы и соответствующие им группы безопасности Windows:

  • Администраторы сервера приложений. Члены группы администраторов сервера приложений (все разрешения доступа) сопоставлены с группой безопасности Windows AS_Administrators. Члены группы AS_Administrators могут приостанавливать, возобновлять, прерывать и удалять материализованные экземпляры, создавать и удалять источники и сборщики событий, а также просматривать, очищать и выполнять архивацию данных наблюдения. При установке AppFabric создается группа AS_Administrators, в которую добавляется учетная запись NT AUTHORITY\LOCAL SERVICE. LOCAL SERVICE — это учетная запись, в контексте которой работают службы Event Collection service и Workflow Management service. Можно вручную добавлять в группу AS_Administrators членов, которым следует предоставить полный доступ к возможностям администрирования AppFabric.

  • Наблюдатели сервера приложений. Члены группы наблюдателей сервера приложений (частичные разрешения доступа) сопоставлены с группой безопасности Windows AS_Observers. Члены группы AS_Observers могут частично просматривать данные сохраняемости и наблюдения, могут перечислять приложения и службы, просматривать конфигурацию приложений и служб, просматривать данные наблюдения и изучать материализованные экземпляры. При установке AppFabric создается группа AS_Observers, однако в нее не добавляются какие-либо учетные записи. Можно вручную добавлять в группу AS_Observers членов, которым следует предоставить частичный доступ к возможностям администрирования AppFabric.

Дополнительные сведения об обеспечении безопасности конфигурации, делегирования и удаленного администрирования в IIS см. в статьях Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) и Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265).

  2011-12-05