| Configurazione di IIS: protezione con username e password | ||||
|
||||
| Nelle precedenti uscite della mailing list, abbiamo visto come mettere in sicurezza Windows XP configurando account per i vari utenti che utilizzano il personal computer. Abbiamo illustrato le principali differenze trai vari gruppi d'utenza (Administrators, Users, Power users, Guests e così via) fornendo dei consigli pratici per ottimizzare le gestione degli account in Windows XP. Tra le domande che più di frequente riceviamo, vi sono quelle relative all'installazione di IIS (Internet Information Services) su sistemi Windows XP Professional. Sempre più utenti, soprattutto in ambienti business, vorrebbero testare in locale applicazioni web-based per poi "pubblicarle" sul server dell'azienda o su quello messo a disposizione dal provider Internet. L'installazione di IIS su Windows XP Professional causa talvolta qualche mal di testa agli utenti che desiderino configurarne al meglio l'utilizzo. Internet Information Services (IIS) è il server web che Microsoft mette a disposizione nelle versioni Professional e Server di Windows 2000, in Windows XP Professional ed in Windows Server 2003. Le differenze tra la l’IIS incluso nelle versioni Server e quello che viene fornito con le versioni Professional sono notevoli, sebbene risultino molto simili per ciò che concerne l’interfaccia grafica di amministrazione. La versione di IIS inclusa in Windows 2000/XP Professional è assai limitata: il webmaster od il programmatore può farne uso con il solo scopo di testing delle pagine Internet sviluppate. Una volta verificata la corretta visualizzazione di tutte le pagine Internet su una workstation locale dotata di Windows 2000/XP Professional e IIS, una volta soddisfatti del proprio lavoro, si potrà procedere alla “pubblicazione” del sito sul server della società o del provider Internet sul quale sarà in esecuzione Windows 2000 Server o Windows Server 2003 e IIS. La versione di IIS di Windows 2000/XP Professional non permette infatti, di creare veri e propri siti Internet, raggiungibili dall’esterno nella forma http://www.nomedelsito.com ma semplicemente di creare una serie di directory virtuali: in ciascuna di esse si potranno memorizzare le pagine costituenti un unico sito. Ciascun sito “virtuale” sarà però raggiungibile nella forma http://123.45.67.89/nome_sito ove 123.45.67.89 è l’indirizzo IP associato in quel momento alla macchina dotata di Windows 2000/XP Professional e IIS; nome_sito è il nome della directory virtuale contenente le pagine web da visualizzare. Sebbene questo tipo di struttura possa essere adeguata per piccole realtà aziendali che utilizzano reti locali per offrire ai propri dipendenti servizi Intranet (ad esempio, la possibilità di accedere a determinati dati, di acquisire ordini dai clienti, di gestire la contabilità dell’azienda semplicemente da un’interfaccia web), non è pensabile adottare questa soluzione nel caso in cui, dalla medesima macchina, si desideri rendere accessibili numerosi siti Internet nella forma www.ilmiosito.it o www.ilsuosito.com. Nelle versioni Professional di Windows 2000/XP, ovviamente IIS non viene installato in modo predefinito: l’installazione di IIS deve essere avviata manualmente accedendo al Pannello di controllo di Windows, cliccando su Installazione applicazioni quindi su Installazione componenti di Windows. Dalla lista dei componenti installabili, selezionate la voce Internet Information Service (IIS) quindi cliccate sul pulsante Dettagli. Qualora siate interessati ad allestire solo un server web, potete limitarvi a spuntare le caselle File comuni, World Wide Web Server (Servizio Web in Windows XP) e Snap-in Internet Information Services. Cliccando su OK vi verrà richiesto di inserire il CD ROM di installazione di Windows. Al termine della fase di setup, che procederà in modo automatico, consigliamo di riavviare il sistema operativo. Per controllare che IIS sia installato e funzionante, avviate il browser Internet quindi digitate, nella barra degli indirizzi, http://localhost (localhost è detto anche “indirizzo di loopback” ed identifica il vostro stesso computer). Il server web (IIS) dovrebbe rispondere alla vostra richiesta mostrandovi la pagina di default. Se il computer è connesso in rete locale, provate ad accedere alla visualizzazione della pagina HTML di default di IIS da un client qualsiasi. Per far ciò eseguite Internet Explorer (od il browser installato) e digitate, come URL, http:// seguito dal nome del computer sul quale è in esecuzione IIS (per esempio: http://michelesrv) oppure posponendo ad http:// il suo indirizzo IP locale (esempio: http://192.168.0.100). Per verificare il nome assegnato al computer sul quale avete provveduto ad installare IIS, accedete al Pannello di controllo, fate doppio clic sull’icona Sistema, cliccate sulla scheda Nome computer: il pulsante Cambia… permette di modificare a proprio piacimento il nome della macchina. Se si accede alla rete Internet attraverso un router e si desidera che il server web sia raggiungibile dall'esterno, è necessario aprire sul router almeno la porta 80 (HTTP) e fare in modo che le richieste in arrivo dall'esterno su quella porta siano inoltrate al sistema ove è in esecuzione IIS ("port forwarding"). Va sottolineato che al "server" non deve essere assegnato dinamicamente un indirizzo di rete locale ma deve essere sempre statico (disattivare DHCP). In questo modo il server IIS sarà visibile ed accessibile anche dall'esterno. A tal proposito, rivestono un'importanza cruciale l'aggiornamento del server con tutte le patch di sicurezza rilasciate da Microsoft (utilizzare Windows Update, MBSA od altri servizi similari) e la configurazione sicura di IIS. Chi desiderasse fare in modo che, anche dall'esterno, sia possibile accedere al web server solo digitando username e password, può applicare la procedura seguente. In primo luogo, è necessario accertarsi di aver attivato la Condizione avanzata nel caso di Windows XP Professional (Risorse del computer, Strumenti, Opzioni cartella, Visualizzazione, deselezionare la casella Utilizza condivisione file semplice). A questo punto è bene provvedere immediante, qualora non lo aveste già fatto, alla disattivazione dell'account Guest da Pannello di controllo, Strumenti di amministrazione, Gestione computer, Utenti e gruppi locali, Users facendo doppio clic sulla voce Guest quindi spuntando la casella Account disabilitato. IIS utilizza, in modo predefinito, l'account IUSR_NOMEMACCHINA per la gestione degli accessi anonimi in ingresso: l'account può essere disabilitato nello stesso modo nel caso in cui si utilizza l'autenticazione integrata di Windows. Per proteggere una cartella con nome utente e password impedendo così l'accesso da parte di client non autorizzati, è sufficiente cliccare su Pannello di controllo, Strumenti di amministrazione, Internet Information Services, cliccare con il tasto destro del mouse sulla directory virtuale o sul sito (nel caso delle versioni server di Windows) oppure su cartelle specifiche, accedere alla scheda "Protezione directory", cliccare sul Modifica (box "Controllo autenticazione e accesso anonimo"), disattivare la casella "Accesso anonimo" ed abilitare invece "Autenticazione integrata di Windows". Se una pagina ASP/ASP.NET restituisce un errore "query non aggiornabile", è necessario assegnare i diritti in scrittura agli account interessati. E' sufficiente fare clic con il tasto destro - da Risorse del computer - sulla cartella contenente gli script, scegliere la voce "Protezione" quindi attivare i permessi in scrittura per gli account coinvolti. Nel caso in cui si intenda utilizzare l'account guest creato da IIS (IUSR_NOMEMACCHINA) è necessario aggiungerlo manualmente (qualora non fosse già presente in elenco) ed assegnargli i permessi in scrittura. |
||||
| «Ritorna | ^Top | |||
