Windows - Webmegosztások

Mappákat, telepítőkészleteket nem csak a helyi hálózat számára oszthatunk meg, hanem webszerveren az Internet felé is. Óvatosnak kell lenni minden esetben, amikor fájlokat teszünk közzé, mert sebezhető pontját jelenthetik a kiszolgálónak vagy akár az egész hálózatnak. Cikkünkben sorra vesszük a beállítási lehetőségeket, igyekezve megtalálni a legbiztonságosabb megoldást.
Alapvető feltételek
Az alábbiak csak akkor hajthatók végre, ha telepítve van az IIS (Internet Information Services) szolgáltatás. Ennek megfelelően csak a webkiszolgáló háttértárolóján található mappa osztható meg. Bár Windows 2000 Professional vagy az XP Professional is alkalmas a közzétételre, csak a legritkább esetben szokás webszervernek használni őket. Ezért maradjunk a kiszolgáló verzióknál.
Nem oszthatunk meg ezzel a módszerrel hálózati meghajtókon lévő mappákat.
Minden esetben csak egy mappát és teljes tartalmát tesszük közzé, különálló fájlt vagy fájlok egy csoportját nem lehet.
Helyi mappa megosztása az Internet felé
Indítsuk el a Windows Intézőt és kattintsunk a megosztandó mappára a jobboldali egérgombbal. Lépjünk a megjelenő menü "Megosztás" ("Sharing") pontjára. Láthatóvá válik egy tulajdonságablak, ahol kattintsunk a "Webmegosztás" ("Web Sharing") oldalra. Ha nincs ilyen oldal, nincs telepítve az IIS.
Elsőként jelöljük ki a megosztás közzétételi helyét. A legfelső legördülő menüben választhatunk az IIS-be telepített webhelyek között. FTP helyet nem, tehát csak a HTTP szolgáltatást használhatjuk.
Aktivizáljuk a "Mappa megosztása" ("Share this folder") rádiógombot. Ekkor megjelenik egy új ablak, melyben a hozzáférési jogosultságokat szabályozhatjuk. Alapértelmezésben olvasási és parancsfájl (szkript) végrehajtási jogokat kap. Ennek így akkor van értelme, ha a mappa egy weblapot tartalmaz és az induló oldala: "Defult.htm". Ha csak az a célunk, hogy ezeket tegyük közzé az FTP szolgáltatáshoz hasonlóan, akkor be kell kapcsolni a "Könyvtártallózás" ("Directory browsing") jelölőnégyzetet is.

Az írási engedély megadásától tartózkodjunk, mert lehetővé teszi, hogy a felhasználók vírusokat töltsenek fel a szerverre és azok elterjedjenek a belső hálózatban. Gyakorlatilag ugyanezzel a hatással jár, ha biztonsági réseket kereső az Internetet folyamatosan pásztázó vírusok jutnak be.
A parancsfájlok futtatását is csak akkor engedélyezzük, ha weblapot üzemeltetünk a mappában és ténylegesen használunk szkripteket. Ellenkező esetben, biztonsági szempontból jobban járunk a tiltásával. Ha végrehajtási engedélyt adunk, nem csak a parancsfájlok lesznek futtathatók, hanem a webes alkalmazások is.
Az ablak bezárása után az "Aliasok" ("Aliases") listába kerül a mappa megosztási neve. Több aliast is létrehozhatunk egy mappához. Ekkor ezek mindegyikén ugyanaz a tartalom lesz elérhető.

Hozzáférési jogosultság szabályozása fájlrendszer szinten
Fájlrendszer szinten is lehet - sőt kell - szabályozni a hozzáférési jogosultságokat. Az Intézőben megnyitva a mappa tulajdonságlapjának, "Biztonság" ("Security") oldalát, ellenőrizzük a hozzáférési listát (ACL = Access Control List). Alapértelmezésben a "Mindenki" ("Everyone") dinamikus tagságú csoport teljes hozzáférést kap. Ebben a csoportban minden helyileg és hálózaton keresztül bejelentkezett felhasználó helyet kap. Az Interneten keresztül névtelenül bejelentkező látogatókat az IUSR_gépnév fiókhoz rendeli az operációs rendszer. Elegendő az IUSR_gépnév fiókot és a rendszergazdákat meghagyni a listában. Utóbbiaknak teljes hozzáférést adva, előbbieknek csak amennyit feltétlenül szükséges.
Mi kerül az IIS-be?
Nyissuk meg a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) konzolt és keressük meg azt a webhelyet, amelyikhez hozzárendeltük a megosztott mappát. A webhely gyökérpontjában a megosztási névvel (alias) egyező nevű virtuális könyvtárak jönnek létre. Több alias estén, több virtuális könyvtárral találkozunk. Kattintsunk rá valamelyikre a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre. A megjelenő beállító ablakban megtaláljuk ugyanazokat a tulajdonságokat, mint a megosztás során, de kiegészítve számos újabbal. Igazából itt lehet hatékonyan konfigurálni. Amennyiben a mappában egy webhely vagy annak egy része kapott helyet, a "Dokumentumok" ("Documents") oldal listájában kell megadni a kezdő HTML fájl nevét. Ha nem publikus a mappa, tehát felhasználói névvel és jelszóval akarjuk védeni, akkor lépjünk a "Könyvtárbiztonság" ("Directory Security") oldalra és a legfelső "Szerkesztés" ("Edit") gombra kattintás után töröljük a pipát a "Névtelen hozzáférés" ("Anonymous access") jelölőnégyzetből.
Felhasználás
A megosztott mappák elérése függ a közzétételi webhelytől és a megosztás nevétől. Például a webhely a www.animare.hu címen érhető és a megosztás neve: "wso", akkor a következő címen kapjuk vissza a mappa tartalmát: www.animare.hu/wso.