Mellékelten található egy LOGON.ASP nevű állományt, amit a webszerveren futtatva kiírja az aktuálisan bejelentkezett felhasználó tartományát és felhasználói nevét.
A védelem egyik oldalát az Internet Information Services (IIS) biztosítja: felhasználói névvel és jelszóval lehet védeni a webhelyek egészét vagy meghatározott virtuális könyvtárait. Más oldalról ott a Windows 2000 titkosított fájlrendszere az EFS (Encrypted File System). Kombináljuk össze a kettőt és érjünk el még nagyobb biztonságot. Ha valaki feltöri a szervert és hozzáfér a személyes mappákhoz, még mindig nem tud velük kezdeni semmit, mert az EFS megvédi az állományokat. Ugyanez a helyzet akkor is, ha az egyik felhasználónak a nevében történik a betörés, ekkor csak az ő dokumentumai válnak hozzáférhetővé a többieké nem - ez még mindig sokkal jobb, mint ha minden veszne. Ráadásul az EFS nem csak írás, módosítás és törlés ellen véd, hanem olvasás ellen is. Hab a tortán, ha az NTFS jogok nyújtotta lehetőségeket is belekombináljuk a védelembe. Nézzük meg egy konkrét példán keresztül az elhangzottakat. Készítsünk egy USER1 nevű mappát, helyezzünk el benne egy fájlt, titkosítsuk, állítsuk be az NTFS védelmet, végül az egészet integráljuk az IIS-be és tegyük elérhetővé az Interneten keresztül.
Előkészítés
Gyakorlatilag mindegy, hogy hol hozzuk létre a mappát, az egyszerűség kedvéért tegyük a c:\users\user1 helyre. Helyezzünk el benne egy logon.asp nevű fájlt, ami következő sorokból álljon:
<html>
<body>
Bejelentkezett felhasználó:
"<b><%=Request.ServerVariables("LOGON_USER")%></b>"
</body>
</html>
Ezzel kapunk egy dinamikusan generált oldalt, amit megnyitva kiírja a bejelentkezett felhasználó nevét tartománnyal együtt. Kattintsunk a Windows Intézőben (Windows Explorer) a jobboldali egérgombbal a c:\users\user1 mappára és lépjünk a "Tulajdonságok" ("Properties") menüre, a megjelenő ablakban pedig a "Biztonság" ("Security") oldalra.
Alapértelmezésben bárki hozzáférhet teljes jogkörrel, ami nekünk nem felel meg. A "Hozzáadás" ("Add") gombbal vegyük fel a jogosultak közé (ACL - Access Control List) a rendszergazdát - tehát magunkat - vagy a "Rendszergazdák" ("Administrators") csoportot és a tulajdonos felhasználót. Utóbbi a jobb érthetőség kedvéért nevezzük USER1-nek. Mindkettőnek adjunk teljes hozzáférést. Ezután töröljük a pipát az "Engedélyek öröklésének engedélyezése a szülőtől" ("Allow inheritable permissions from parent to propagate to this object") jelölőnégyzetből. A megjelenő ablakban átmásoltathatjuk az eddig örökölt hozzáférési engedélyeket, de célunk ezzel pont ellenétes, így kattintsunk az "Eltávolítás" ("Remove") gombra. Eltűnt az ACL-ből a "Mindenki" ("Everyone") csoport és megmaradt a rendszergazda és a USER1 felhasználó.
Következő lépésben meg kell osztanunk a felhasználói gyökérmappát a hálózaton. Kattintsunk az Intézőben a c:\users helyre a jobboldali egérgombbal és válasszuk a "Megosztás" ("Sharing") menüpontot. Aktivizáljuk a "Megosztva az alábbi néven" ("Share this folder") rádiógombot és kattintsunk az "OK" gombra. Most a következő helyzet állt elő: keletkezett a hálózatban egy USER nevű megosztás, ezen belül egy USER1, amihez csak a rendszergazda és a USER1 képes hozzáférni.
Kérjük meg a felhasználót, hogy egy kliens gépről jelentkezzen be és titkosítsa a mappáját. Azért neki kell ezt megtenni, mert így csak ő és a rendszergazda férhet hozzá. Ha a rendszergazda titkosítja, akkor értelemszerűen a felhasználó el van zárva előle. Tehát kattintson a jobboldali egérgombbal a USER1 mappára és a megjelenő menüben válassza a "Tulajdonságok" ("Properties") sort. Megjelenik a mappa tulajdonság ablaka, ahol az "Általános" ("General") oldalon található egyetlen - "Speciális" ("Advanced") feliratú - gombbal hívható elő a különleges attribútumok beállítására szolgáló ablak. Itt aktivizálni kell a "Tartalom titkosítása az adatvédelem érdekében" ("Encrypt contents to secure data") jelölőnégyzetet. Amikor a tulajdonság lapon lenyomja az "OK" gombot, akkor megjelenő ablakban választ kell adnunk arra a kérdésre, hogy csak az adott mappát vagy az adott mappát és a belőle nyíló összes almappát szeretnénk-e titkosítani. Válasszuk az utóbbi eshetőséges az alsó rádiógomb bekapcsolásával.
Beállítások az IIS-ben
Indítsuk el a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) konzol. Válasszuk ki a konfigurálandó webhelyet. Kattintsunk rá a jobboldali egérgombbal és lépjünk az Új > Virtuális könyvtár (New > Virtual Directory) menüpontra. Célunk, hogy a felhasználói mappákra virtuális könyvtárak mutassanak. Létrehozását egy varázslón keresztül lehet kivitelezni, melynek a második oldalán nevet kell adnunk neki, ami legyen USER1. A következő oldal "Tallózás" ("Browse") gombjával keressük meg a c:\user\user1 könyvtárat, vagy egyszerűen írjuk be az elérési utat a könyvtár mezőbe, majd lépjünk tovább. Ezután ki kell osztani IIS szinten a hozzáférési engedélyeket. Mivel egy saját könyvtárról van szó, adhatunk teljes hozzáférést az összes jelölőnégyzet kipipálásával. Megjelenhet egy figyelmeztető ablak arra utalva, hogy az írási és végrehajtási engedélyek együttes kiosztása veszélyes lehet. Igazából nem kell foglalkoznunk ezzel a veszéllyel, mert egyrészt névvel és jelszóval fogjuk védeni a mappát, másrészt a felhasználó saját állományairól van szó. Több kérdést nem tesz fel a varázsló, kilépés után kattintsunk az újonnan keletkezett virtuális könyvtárra a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre. A "Könyvtárbiztonság" ("Directory Security") oldalon lehet finomítani IIS szinten a hozzáféréseket. Nyomjuk le a "Névtelen hozzáférés és hitelesítés" ("Anonymous access and authentication control") szekcióban található "Szerkesztés" ("Edit") gombot és töröljük a legfelső, "Névtelen hozzáférés" ("Anonymous access ") jelölőnégyzetet. Ennek eredményeként a könyvár elérésekor felhasználói nevet és jelszót kell megadni.
Tesztelés
Az egyik kliens gépen indítsunk el egy Internet Explorer-t, írjuk be a címsorba a webhely címét, kiegészítve a /user1 virtuális könyvtár nevével, például:
Az oldal letöltődése előtt feldob az Explorer egy ablakot, ahol meg kell adnunk egy - a szerveren érvényes - felhasználói név és jelszó párost. Két lehetőség van egyik a rendszergazda, másik a titkosító felhasználó adatainak beírás. Amint megtörtént megjelenik a virtuális könyvtár tartalma, de könyvtár tallózó üzemmódban, aminek az oka, hogy csak egy állományt tartalmaz LOGON.ASP néven és ez nem szerepel az alapértelmezett nyitó dokumentumok között (virtuális könyvtár: Tulajdonságok > Dokumentumok (Properties > Documents)).
Kattintsunk a LOGON.ASP fájlra és megjelenik a bejelentkezett felhasználó tartománya (vagy munkacsoportja) és neve.
Most próbáljuk meg ugyanezt egy harmadik felhasználói névvel. Mindig vissza fogjuk kapni a bejelentkező ablakot, mert nem jogosult az elérésre, ha mégis hozzáférne valamilyen kerülő úton a fájlokhoz, akkor sem tudna semmi kezdeni velük, mert titkosítva vannak.