设为首页
加入收藏
广告投放
 | 网站首页 | 安全资讯 | 技术文章 | 下载中心 | 图片中心 | 网络技术 | 网站建设 | 精品图书 | 访客留言 | 网管论坛 | 

  没有公告

 今天是:
| 新手学堂 | 操作系统 | 数据库 | 邮件系统 | 防火墙 | 系统安全 | 方案设计 | 视频教程 | 网站推广 | 认证考试 |
| 系统优化 | 硬件学堂 | 专家答疑 | 管理脚本 | 存储备份 | 交换路由 | ISA Server | 网管专区 | 推荐书籍 | 加密破解 |
| 办公教程 | SQL Server | Exchange 教程 | Photoshop | HTML 教程 | CSS 教程 | Dreamweaver| Flash教程 | ASP教程 |
您现在的位置: 天下网管联盟 >> 网络技术 >> 系统安全 >> 文章正文
[组图]确保你的分布式Windows应用的安全           ★★★
确保你的分布式Windows应用的安全
副标题:
作者:未知 文章来源:本站整理 点击数: 更新时间:2006-12-8
 在Windows环境下服务器监控软件的选择这篇文章中我们讨论了监视你基于Windows的分布式应用与服务器的问题。除了运行这些应用时实施监控之外,保护这些应用和维持这些应用的安全运行是同等重要的。因此,让我们研究一下系统管理员在设置和运行基于Windows的分布式应用时应该知道的一些事情。
  
  身份识别
  
  一般会使用这两种方法之一来保证安全的访问一个应用的一部分或者全部。你可以创建一个用户名和口令的数据表并且把那个表存储在SQL服务器等数据库中,或者你将使用Windows活动目录或者本地SAM账户用于身份识别。
  
 

  在IIS中的摘要识别
  
  当把用户名和口令存储在数据库中时,应用会向用户要求用户名和口令,并且根据数据库中的用户表验证这个信息的合法性。网络浏览器把用户认证信息(用户名和密码)发送到处理这些信息的ASP脚本。ASP脚本要求SQL服务器查找用户名和口令以验证用户。这种方法一般用于互联网或者外部网接入。这些用户一般都是你的机构以外的人员,也许是你的商业合作伙伴。
  
  当使用基于Windows活动目录的身份识别或者本地安全接入管理器(SAM)身份识别(比如说不存在Windows域时),用户可以访问一个包含ASP脚本的网页。这个脚本则访问SQL服务器来寻求认证。而SQL服务器将认证请求重新定向到域控制器或者本地服务器的SAM帐号。这种方式一般当访问者是你的机构内部人员时使用。
  
  如果微软SQL服务器正在作为一个域成员的一台服务器上运行,SQL服务器将首先检查域名控制器来识别用户的身份。如果不行的话,SQL服务器将检查本地服务器的SAM。使用活动目录是最好的,因为它把用户账户和组都集中在你所有的服务器都可以访问的一个地方。另一个好处是,如果他们登录其工作站的账户是在那台服务器中或者在那个域名中的话,你的用户就不需要第二个用户名和口令来访问应用程序。
  
  其它身份识别的方法
  
  除了在IIS中集成的Windows和基本的身份识别之外,还有对访问一个网站的用户进行身份识别的其它方法。你能够做的一件事情是把一个用户证书映射到本地Windows或者域名用户账户。当用户使用那个证书进行连接时,IIS(5.0或者以上版本)使用这个映射的账户登录这个用户,这些账户证书要用来访问这些资源。
  
  另一个替代的方法(用于Windows 2000或者以上版本以及IIS 5.0或者以上版本)是摘要验证。当你使用摘要验证时,这个浏览器创建一种与其它信息合在一起的混合版本的用户名和口令。这些证书是不容易解密的。但是,域名控制器能够把这种混合的信息与存储在域名控制器中的未加密的信息进行比较。用这种方法,摘要验证让浏览器和服务器不用发送未加密的口令就能够识别用户的身份。为了使用摘要验证,浏览器必须是IE 5.5以上版本,IIS服务器必须是活动目录域的一部分。
  
  授权
  
  授权可以简单地解释为批准访问资源。这也许意味着批准你已经设置予以授权的用户或者组拥有“读”或者“读/写”的权限。一般来说,这些授权适用于你的基于网络的应用程序所在的文件夹。这也许意味着在DCOM或者ASP.NET组件中配置模拟的设置,特别是如果你的用户或者客户是来自你的机构外部的或者是内部网与外部网混合的用户。这也许还意味着在SQL服务器中配置某些具体的设置。我们将在下面介绍这种SQL服务器。
  
  SQL服务器方面的任务:角色与许可
  
 

  标准SQL服务器角色
  
  你可以设置一个Windows用户或者组作为SQL服务器登录用户,然后以各种方法使用那个登录。一种方法是把SQL服务器登录(Windows用户或者组)作为有权访问数据库的一个SQL服务器角色的一部分。要为一个角色增加现有的登录,可采取下列步骤:
  
  1.打开企业管理器。
  
  2.打开数据库文件夹。
  
  3.打开你要增加登录的数据库。
  
  4.为这个数据库选择一个任务文件夹。
  
  5.用鼠标右键点击你要增加登录的任务并且选择属性。
  
  6.点击增加,选择要增加的登录,然后点击“OK”。
  
  7.点击“OK”关闭这个任务属性,设置结束。
  
  例如,如果你使用这些步骤为db_datawriter数据库任务增加一个登录,SQL数据库现在就能够识别在那个组中的用户,并且允许他们读取数据和向上面第三步中选择的数据库中写入数据。你可以打开SQL服务器登录的属性,在数据库访问页上清空“Northwind ”条目,在这个组中的用户仍然可以访问那个数据库,因为他们仍在db_datareader和db_datawriter任务中。然而,这个组没有插入、更新或者删除的权限,因为你没有给予他们这些权限。你可以创建另一个登录,并把这个登录分配给提供更多的权限(如db_owner)的另一个任务。
  
  存储过程授权
  
 

  存储过程许可
  
  如果你不仅仅是允许一个登录访问整个数据库,而是需要更多地控制安全问题,在你创建这个登录的时候或者根据个性化的许可增加你自己的任务的时候,你可以编辑你选择的任务选项。你创建的任务能够限制或者批准访问具体的表格,甚至是具体的栏目。
  
  在许多应用程序环境中的最佳做法是授权用户或者任务具有参与操作数据库的存储过程的权限,而不允许他们直接访问真正的数据库:
  
  1.打开企业管理器。
  
  2.打开数据库文件夹。
  
  3.打开你要增加这个权限的数据库。
  
  4.选择那个数据库的存储过程文件夹然后选择属性。
  
  5.点击批准按钮。
  
  6.在用户/数据库任务栏目之下,选择你希望给予权限的账户。
  
  7.点击适当的栏目(例如,点击“Exec”允许这个账户在那个存储过程中执行批准的权限)。
  
  8.双击“OK”关闭存储过程属性,完成这个设置。
  
  现在,我们已经介绍了在基于Windows的分布式应用程序环境中的身份识别和授权。在另一篇文章中,我们将介绍保证IIS安全、以及微软SQL服务器安全的一些最佳做法。
文章录入:追风    责任编辑:追风 
特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。本站地址:Http://Www.99191.com
  • 上一篇文章:

  • 下一篇文章:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    普通文章[组图]图文说明:高标准…
    普通文章[图文]利用协议分析工具…
    普通文章[组图]用Sniffer和ARP分…
    普通文章[组图]活用sniffer软件…
    普通文章[图文]如何在交换机上配…
    普通文章[组图]Sniffer抓包软件…
    普通文章[组图]一些公司的网络拓…
    推荐文章抢救EFS加密文件简述
    推荐文章抢救EFS加密文件简述
    推荐文章什么是交换?路由?路由…
    推荐文章以太网络建立多个VLAN和…
    推荐文章子网划分实例
    推荐文章二、三、四层交换机的区…
    推荐文章[组图]用Sniffer和ARP分…
    推荐文章Win2003网站服务器的安…
    推荐文章教你如何用双SATA硬盘组…
    彻底预防ARP从系…
    防范非法用户的侵…
    利用IIS日志追查…
    虚拟主机安全配置…
    路由器配置基础入…

    确保你的分布式Wind…

    利用IIS日志追查网站…

    轻松教你利用工具恢…

    图文说明:高标准机…
    (只显示最新10条。评论内容只代表网友观点,与本站立场无关!)

    版权所有 2004-2008 天下网管联盟(Www.99191.Com)
    本站图片文字等信息均由其它网站收集整理,版权归原作者所有,转载请注明出处
    QQ :8978322 技术交流群:点击查看 京ICP备06026645号