عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
پيکربندی IIS با رعايت مسائل امنيتی ( بخش اول ) |
مديريت شبکه |
51427 |
73 |
3.5 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
پيکربندی و مديريت ايمن IIS
پيکربندی IIS با رعايت
مسائل امنيتی ( بخش اول )
استفاده از شبکه های کامپيوتری از چندين سال قبل رايج و در ساليان
اخير روندی تصاعدی پيدا کرده است .اکثر شبکه های پياده سازی شده در کشور
مبتنی برسيستم عامل شبکه ای ويندوز می باشند . شبکه های کامپيوتری،
بستر و زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات
فراهم می نمايد . امروزه اطلاعات دارای ارزش خاص خود بوده و تمامی
ارائه دهندگان اطلاعات با استفاده از شبکه های کامپيوتری زير ساخت لازم را برای
عرضه اطلاعات بدست آورده اند . عرضه اطلاعات توسط سازمان ها و موسسات
می تواند بصورت محلی ويا جهانی
باشد. با توجه به جايگاه والای اطلاعات از يکطرف و نقش شبکه های کامپيوتری (
اينترانت و يا اينترنت ) از طرف ديگر
، لازم است به مقوله امنيت در شبکه های کامپيوتری
توجه جدی شده و هر سازمان با تدوين يک سياست امنيتی مناسب ، اقدام به پياده سازی
سيستم امنيتی نمايد . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ،
در صورت عدم رعايت اصول اوليه به همان ميزان و يا شايد بيشتر ، نگران کننده و
مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه های کامپيوتری ، يکی از نگرانی
های بسيار مهم در رابطه با تکنولوژی اطلاعات بوده
که متاسفانه کمتر به آن بصورت علمی پرداخته شده است . در صورتيکه
دارای اطلاعاتی با ارزش بوده و قصد ارائه آنان را بموقع و
در سريعترين زمان ممکن داشته باشيم
، همواره می بايست به مقوله امنيت، نگرشی عميق
داشته و با يک فرآيند مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای
وب سايت اختصاصی خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب
سايت
، يا خود امکانات مربوطه را فراهم نموده و با
نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،
اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت
های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا
ساير سناريوهای ديگر، استفاده از يک سرويس
دهنده وب است . بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود
در دنيای اينترنت محسوب می گردد . کاربرانی که به سايت يک سازمان و يا موسسه متصل
و درخواست اطلاعاتی را می نمايند
، خواسته آنان در نهايت در اختيار سرويس
دهنده وب گذاشته می شود . سرويس دهنده وب،
اولين نقطه ورود اطلاعات و آخرين نقطه خروج اطلاعات از يک سايت
است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی
، بسيار حائز اهميت بوده و
تدابيرامنيتی
خاصی را طلب می نمايد .در ادامه به بررسی نحوه پيکربندی سرويس
دهنده وب
IIS در شبکه های مبتنی بر ويندوز
با تمرکز بر مسائل امنيتی ، خواهيم پرداخت .
IIS)Internet Information services)
، يکی از سرويس دهندگان وب است که از آن
برای برای نشر و توزيع سريع محتويات مبتنی بر وب ،
برای مرورگرهای استاندارد استفاده می شود . نسخه پنج
IIS ، صرفا" برای
سيستم های مبتنی بر ويندوز 2000 قابل استفاده است . نسخه های ويندوز 2000 Server و
Advanced server بمنظور نصب IIS
، مناسب و بهينه می باشند . نسخه پنج برای
استفاده در نسخه های قديمی ويندوز طراحی نشده است . امکان نصب IIS نسخه پنج
، بهمراه ويندوز Professional
نيز وجود داشته ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ،
اتصال به يک بانک اطلاعاتی
ODBC و يا محدوديت در دستيابی از طريق
IP در آن لحاظ نشده است .
نسخه پنج IIS ،
سرويس های WWW ،
FTP، SMTP و NNTP
را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با
IIS در گير می شوند : Certificate
Server , Index server و Transaction server .
امنيت در IIS متاثر از سيستم عامل است .
مجوزهای فايل ها ، تنظيمات ريجستری
، استفاده از رمزعبور،
حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند .
قبل از پيکربندی مناسب IIS ،
لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد . پيکربندی
دايرکتوری های
IIS ، فايل ها ،
پورت های
TCP/IP و Account کاربران نمونه هائی در
اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :
-
آيا سرويس دهنده از طريق اينترنت
قابل دستيابی است ؟
-
آيا سرويس دهنده از طريق اينترانت
قابل دستيابی است ؟
-
چه تعداد وب سايت بر روی سرويس
دهنده ميزبان خواهند شد ؟
-
آيا وب سايت ها
نيازمند استفاده
از محتويات بصورت
اشتراکی می باشند ؟
-
آيا سرويس دهنده امکان دستيابی را
برای افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا" افراد مجاز حق استفاده از
سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟
-
آيا امکان استفاده و حمايت از
SSL)Secure Socket Layer) وجود دارد ؟
-
آيا سرويس دهنده صرفا" برای دستيابی
به وب از طريق HTTP استفاده می گردد ؟
-
آيا سرويس دهنده
، سرويس
FTP را حمايت می نمايد ؟
-
آيا کاربرانی وجود دارد که نيازمند
عمليات خاصی نظير کپی، فعال نمودن،
حذف و يا نوشتن فايل هائی بر روی سرويس دهنده باشند ؟
موارد زير در زمان نصب
IIS پيشنهاد می گردد :
-
کامپيوتری که
IIS بر روی آن نصب شده است را در يک محل امن فيزيکی قرار داده و صرفا"
افراد مجاز قادر به دستيابی فيزيکی به سرويس دهنده باشند .
-
در صورت امکان،
IIS را بر روی يک سرويس دهنده Standalone نصب
نمائيد. در صورتيکه IIS بر روی يک سرويس دهنده از نوع
Domain Controller نصب گردد و سرويس دهنده وب مورد
حمله قرار گيرد، تمام سرويس دهنده بهمراه
اطلاعات موجود در
معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق،
نصب IIS بر روی يک سرويس دهنده از نوع Domain controller
، باعث افزايش حجم عمليات سرويس دهنده و
متعاقبا" کاهش کارآئی سيستم در ارائه سرويس های مربوط به وب خواهد شد .
-
برنامه های کاربردی و يا ابزارهای
پياده سازی نمی بايست بر روی سرويس دهنده IIS نصب گردند .
-
کامپيوتر مربوط به نصب
IIS را بگونه ای مناسب پارتيشن نموده تا هر يک از
سرويس ها نظير www و يا FTP
بر روی پارتيشن های مجزاء قرار گيرند .
-
IIS
امکان نصب برنامه ها را در مکانی ديگر بجز پارتيشن C
فراهم نمی نمايد ( مگراينکه يک نصب سفارشی داشته باشيم ) .موضوع فوق به
عملکرد سيستم عامل مرتبط می گردد . مجوزهای پيش فرض در رابطه با %Systemdrive%
اعمال می گردد ( مثلا" درايو C) . موضوع فوق می
تواند باعث عدم صحت کارکرد مناسب برخی از سرويس های IIS
گردد. می بايست مطمئن شد که مجوزهای سيستم عامل با عمليات مربوط به سرويس های
IIS ، رابطه ای
ندارند .
-
تمام پروتکل های پشته ای
(Stack) غير از TCP/IP را
از روی سيستم حذف نمائيد. ( در موارديکه برخی از کاربران اينترانت نيازمند برخی
از اين نوع پروتکل ها می باشند می بايست با دقت اقدام به نصب و پيکربندی مناسب آن
نمود ) .
-
روتينگ IP
، بصورت پيش فرض غيرفعال است و می بايست به
همان حالت باقی بماند . در صورت فعال شدن روتينگ ،
اين امکان وجود خواهد داشت که داده هائی از طريق کاربران اينترانت به اينترنت
ارسال گردد .
-
نصب Client for
Microsoft networking ، بمنظور
اجرای سرويس های
HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در
صورتيکه ماژول فوق نصب نگردد، امکان اجرای
سرويس های فوق بصورت دستی و يا اتوماتيک وجود نخواهد داشت .
-
در صورتيکه تمايل به نصب
سرويس های
NNTP و SMTP
، می بايست سرويس File and Print Sharing for Microsoft
نيز نصب گردند .
عمليات قبل از نصب
IIS
در زمان نصب IIS
، يک account پيش
فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد می گردد . نام پيش فرض
برای account فوق ،
IUSER_computername بوده که computername
نام کامپيوتری است که IIS بر روی آن نصب شده است .
account فوق ،
می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده و گزينه ها ی
user cannot change password و
password Never Expires فعال شده باشد.
account فوق همچنين می بايست از نوع local account
بوده و domain-wide account را شامل نگرديده و دارای
مجور ورود به شبکه بصورت محلی باشد (log on locally) .
مجوزهای Access this computer
from the network و يا log on as a batch job در
رابطه با account ،
فوق می بايست غير فعال گردند .
در صورتيکه سياست ارتباط با وب سايت
، صرفا" کاربران
مجاز باشد، پيشنهاد می گردد account فوق
، غير فعال گردد .
بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه قادر به ورود به
سايت خواهند بود .
گروه هائی برای فايل دايرکتوری و اهداف مديريتی
حداقل دو گروه جديد که در IIS قصد استفاده از انان را
داريم، می بايست ايجاد گردد : گروه
WebAdmin ( نام فوق کاملا" اختياری است ) . در گروه فوق،
کاربرانی که مسئوليت مديريت محتويات
WWW/FTP را
دارند، تعريف می گردند . در صورتيکه سرويس
دهنده
، چندين سايت را ميزبان شده است،
برای هر سايت يک گروه مديريتی ايجاد می گردد . گروه WebUser
( نام فوق کاملا" اختياری است ) . در گروه فوق ليست account
افراد مجاز برای ارتباط با سايت
، تعريف می گردد. در حالت اوليه
، گروه فوق صرفا" شامل
IUSER_computername است . از گروه های فوق برای تنظيمات مربوط به
مجوزهای NTFS استفاده می گردد .
IUSER_computername نبايد عضو گروهی ديگر باشد . بصورت پيش فرض
IUSER_computername عضو گروه های
Guests،
Everyone و Users است . پيشنهاد
می گردد
account فوق ، از گروه Guests
حذف و به گروه WebUsers اضافه گردد .( امکان حذف
account فوق از ساير گروهها وجود ندارد ) . دقت گردد که
تمام افراد موجود در گروه
WebUsers می بايست صرفا" برای دستيابی به وب سايت تعريف شده باشند و نبايد
عضوی از ساير گروهها باشند .
مديريت IIS با چندين گروه
نسخه شماره چهار IIS
، امکان تعريف گروههای محلی بمنظور پيکربندی و
تعريف گروههای مديريتی متفاوت برای سرويس های
IIS را فراهم می نمود . رويکرد فوق در نسخه شماره پنج IIS
، تغيير يافته است . گروهها ی محلی می توانند
و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای
محلی برای سرويس www
و FTP صرفا" استفاده از مجوزهای NTFS
خواهد بود . سرويس های SMTP و
NNTP ، قابليت تنظيم گروههای محلی را
بعنوان اپراتورهای مديريتی برای سرويس دهنده IIS
فراهم می نمايد .
نصب تمام Patch ها برای سيستم
عامل و IIS
مديران IIS ،
می بايست همواره بررسی های لازم در خصوص آخرين نسخه های fixes
و patch را انجام داده و پس از تهيه
، اقدام به نصب آنان نمايند . بدين منظور می
توان از بخش
Security سايت ماکروسافت ملاقات و برنامه های جديد را اخذ و نصب نمود .
دايرکتوری پيش فرض نصب
IIS
پس از نصب IIS
، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS
را در رابطه با دايرکتوری هائی که IIS نصب شده است ،
انجام داد . گروه های
Everyone و Guests بهمراه
account مربوط به Guest می بايست حذف
گردند . گروه Everyone بصورت پيش فرض دارای تمامی
مجوزهای لازم در رابطه با دايرکتوری Inetpub است .
کاربران غير مجاز با استفاده از ويژگی گروه فوق قادر به دستيابی به سيستم
خواهند بود، بنابراين لازم است در اين راستا
اقدام لازم ( حذف ) صورت پذيرد . دايرکتوری Inetpub
، بر روی درايو پيش فرض نصب می گردد . (
مثلا" درايو C ) . دايرکتوری جديد و يا ساختار موجود می
بايست به پارتيشن ديگر منتقل و عملا" تمايزی بين سايت های در دسترس از محل سيستم
های عملياتی را بوجود آورد . پيشنهاد می گردد
Inetpub به نام دلخواه ديگری تغيير يابد .
دايرکتوری های IIS نسخه پنج را می توان در
يک محل خاص ( سفارشی ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا" از طريق يک نصب
سفارشی ميسر می گردد ) . بدين منظور از يک فايل پاسخ استفاده می شود. فايل
پاسخ ( مثلا" iis5.txt) می بايست دارای اطلاعات زير باشد
:
اطلاعات ضروری
در فايل پاسخ بمنظور تغيير محل نصب IIS |
[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e.
f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e.
f:\WWWRoot} |
در ادامه از دستور زير برای نصب
استفاده می گردد . ( از طريق خط دستور )
Sysocmgr/I:%windir%\inf\sysoc.inf
/u:a:\iis5.txt |
جدول زير مجوزهای لازم
NTFS و IIS در رابطه با
دايرکتوری های مربوطه را نشان می دهد :
Type of
Data |
Example Directories |
Data Examples |
NTFS File Permissions |
IIS 5.0
Permissions |
Static
Content |
\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles |
HTML, images, FTP
downloads, etc. |
Administrators (Full
Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read) |
Read |
FTP Uploads
(if required) |
\Inetpub\ftproot\dropbox |
Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone |
Administrators (Full
Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write) |
Write |
Script Files |
\Inetpub\wwwroot\scripts |
.ASP |
Administrators (Full
Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute) |
Scripts only |
Other
Executable and
Include Files |
\WebScripts\executables
\WebScripts\include |
.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm |
Administrators (Full
Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute) |
Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity) |
Metabase |
\WINNT\system32\inetsrv |
MetaBase.bin |
Administrators (Full
Control)
System (Full Control) |
N/A |
دايرکتوری ها ئی که شامل فايل
های فقط خواندنی هستند ( فايل های Html
، تصاوير،
فايل های آماده برای Download توسط FTP
و ... ) ، می بايست دارای
مجوز فقط خواندنی بمنظور دستيابی گروه WebUsers باشند .
هر نوع از فايل های فوق می تواند دارای دايرکتوری اختصاصی خود با مجوز فقط
خواندنی باشند . مجوزهای لازم
Read&Execute write و Modify
را می بايست به گروهی که مسئوليت مديريت محتويات وب را برعهده دارد اعطاء گردد (
مثلا" گروه WebAdmin) . برای فايل های اجرائی ( اسکريپت
ها
، فايل های batch و ... )
، می بايست يک دايرکتوری اختصاصی ايجاد کرد .
دايرکتوری های فوق صرفا" دارای مجوز
Travesr Folder/Execute مربوط به
NTFS برای کاربرانی می باشند که مجوز لازم بمنظور دستيابی به سايت را
دارا می باشند ( کاربر IUSER_computername و ساير کاربران تعريف
شده در گروه WebUsers ) . دايرکتوری فوق همچنين می بايست
دارای مجوز های مربوط به IIS و از نوع
Script only باشد. مجوز Scripts and
Executables مربوط به IIS
، می بايست صرفا" به دايرکتوری هائی که به اين
مجوز نياز دارند اعطاء گردد. مثلا" يک دايرکتوری که شامل فايل های باينری بوده و می
بايست اين فايل ها توسط سرويس دهنده وب اجراء گردند .
تمام دايرکتوريهائی که دارای نمونه مثال هائی بوده و يا هر اسکريپت استفاده شده
بمنظور اجرای برنامه های نمونه را می بايست حذف و يا انتقال داد . در زمان نصب
IIS دايرکتوری های متعددی ايجاد که در آنها فايل های
نمونه بهمراه اسکريپت ها قرار می گيرد. پيشنهاد می گردد دايرکتوری های فوق حذف و يا
مکان آنها تغيير يابد . دايرکتوری های زير نمونه هائی در اين زمينه می باشند
:
\InetPub\iissamples
\InetPub\AdminScripts |
سرويس های IIS
در زمان نصب IIS
، چهار سرويس بر روی سيستم نصب خواهد شد
:
-
www
. سرويس فوق،بمنظور ايجاد يک سرويس دهنده وب
و سرويس دهی لازم به درخواست سرويس گيرندگان برای صفحات وب استفاده می گردد .
-
FTP
. سرويس فوق، بمنظور ارائه خدمات لازم
در خصوص ارسال و دريافت فايل بر روی سرويس دهنده برای کاربران استفاده می گردد .
-
SMTP
. سرويس فوق،امکان ارسال و دريافت نامه
الکترونيکی برای سرويس گيرندگان را در پاسخ به فرم ها و برنامه های خاص ديگر
فراهم می نمايد .
-
NNTP
. سرويس فوق، بمنظور ميزبانی يک سرويس دهنده
خبری USENET استفاده می گردد .
در زمان نصب IIS
، می توان تصميم به نصب برخی از سرويس ها
و يا همه آنها گرفت . پس از نصب IIS
، در صورتيکه به وجود برخی از سرويس ها نياز
نباشد، می توان آنها را غير فعال نمود. بدين
منظور می بايست مراحل زير را دنبال کرد :
Programs => Administrative
Tools => Services |
-
انتخاب سرويسی که قصد غير فعال
کردن آن را داريم . در ادامه با فعال کردن کليد سمت راست موس
، گزينه Stop
را بمنظور توقف سرويس فعال نمائيد .
-
بمنظور اطمينان از عدم اجرای سرويس
غير فعال شده در زمان راه اندازی مجدد سيستم، سرويس
را مشخص و پس از فعال کردن کليد سمت راست موس، گزينه
Properties را انتخاب ودر بخش
Startup type وضعيت اجرای سرويس را از حالت
Automatic به Disable تغيير دهيد . شکل زير نحوه
غير فعال نمودن سرويس www را نشان می دهد .

ايمن سازی
متابيس
متابيس (Metabase)
، مقادير مربوط به پارامترهای پيکربندی
برنامه IIS را ذخيره می نمايد . متابيس
بمنظور استفاده در IIS طراحی و بمراتب
سريعتر و انعطاف پذيرترنسبت به ريجستری ويندوز
2000 است . هر گره در ساختار متابيس ،
يک کليد (key) ناميده شده و می
تواند دارای يک و يا چندين مقدار مربوط به پيکربندی بوده که خصلت ناميده می شوند .
کليدهای متابيس IIS به عناصر و قابليت های مربوط به
IIS اختصاص داده شده و هر کليد شامل خصلت هائی است که
تاثير مستقيمی بر روی سرويس و پتانسيل مربوطه
، خواهد داشت . ساختار استفاده شده در متابيس
بصورت سلسله مراتبی بوده و تصويری مناسب از ساختار
IIS است که بر روی سيستم نصب شده است . اکثر کليدهای
پيکربندی IIS بهمراه مقادير مربوطه در نسخه های قبلی
IIS ، در ريجستری
سيستم ذخيره می گرديدند. در نسخه پنج ، تمام
مقادير فوق در متابيس ذخيره می گردند . کليدهای ديگری نيز بمنظور افزايش
کنترل انعطاف پذيری IIS در متابيس ذخيره می گردد .
يکی از مزايای ساختار استفاده شده در متابيس ،
اختصاص تنظميات متفاوت يک خصلت خاص برای نمونه های متفاوتی از کليد ها ی
مشابه است . مثلا" خصلت MaxBandwidth
،حداکثر پهنای باند قابل دسترس را برای يک
سرويس دهنده مشخص و می تواند به تراکنش های متعدد وب تعميم يابد . متابيس
، قادر به نگهداری مقادير متفاوت
MaxBandwidth برای هر يک از سايت های وب می باشد .
متابيس در يک فايل خاص با نام Metabase.bin و در آدرس
winnt\system32\ineterv \
ذخيره می گردد . پس از استقرار IIS در حافظه
، متابيس نيز از روی ديسک خوانده شده و در
حافظه مستقر می گردد . پس از غيرفعال شدن IIS
، متابيس مجددا" بر روی ديسک ذخيره خواهد شد .
( متابيس بدفعاتی که IIS اجراء خواهد شد بر روی ديسک
ذخيره می گردد) . با توجه به نقش حياتی فايل فوق برای برنامه
IIS ، حفاظت
و کنترل دستيابی به آن دارای اهميت فراوان است . در صورتيکه فايل فوق
، با يک فايل ديگر ( نامعتبر)
جايگزين گردد، عملکرد صحيح برنامه
IIS بمخاطره خواهد افتاد . برنامه
IIS سريعا" متاثر از تغييرات خواهد شد . (اولين مرتبه ای که
IIS پس از اعمال تغييرات اجراء می گردد ) . در چنين
مواردی ممکن است سرويس مربوطه از طريق سرويس دهنده
، اجراء نشود. پيشنهاد می گردد که فايل
Metabsat.bin بر روی پارتيشننی از نوع
NTFS ذخيره و با استفاده از امکانات امنيتی ويندوز
2000 آن را حفاظت کرد . مجوزهای پيش فرض برای فايل فوق
، System و
Administrator Full Access می باشد . محدوديت دستيابی به
System و local Administrators
امنيتی قابل قبول در رابطه با فايل فوق را ايجاد و ضرورتی به تغيير و يا اضافه
نمودن تنظيمات جديدی نخواهد بود .
بمنظورايجاد پوسته حفاظتی مطلوبتر امنيتی در رابطه با فايل فوق
، پيشنهاد می گردد فايل فوق
برای کاربران غير مجاز مخفی شود . انتقال و يا تغيير نام فايل نيز می تواند
امنيت فايل فوق ر ا مضاعف نما يد . بدين منظور می بايست در ابتدا برنامه
IIS متوقف و پس از تغيير نام و يا انتقال فايل فوق
، تغييرات لازم را در کليد ريجستری زير
اعمال نمود .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters |
در ادامه يک مقدار جديد
REG_SZ برای کليد فوق با نام
MetadataFile ايجاد و مسير کامل فايل را که شامل نام درايو و
نام فايل است ، بعنوان نام جديد فايل
متابيس معرفی نمائيم . بدين ترتيب برنامه IIS
آگاهی لازم در خصوص نام و آدرس فايل متابيس را پيدا و در زمان را اندازی از آن
استفاده خواهد کرد .
پيشنهادات تکميلی
در رابطه با امنيت برنامه IIS
-
بر روی سرويس دهنده
IIS صرفا" IIS و عناصر
مورد نياز را نصب و از نصب برنامه ها و ابزارهای پياده سازی ممانعت بعمل آيد .
-
تمام سرويس های غير ضروری را غير
فعال نمائيد .
-
در رابطه با
IUSER_Computername account ،
گزينه های
User cannot change password و Password Never Expires
را انتخاب و فعال نمائيد .
-
در صورتيکه تمايلی به ورود افراد
گمنام (anonymous) به شبکه وجود نداشته باشد
، می بايست
account مربوطه را غير فعال نمود (IUSER_Computername)
.
-
برای هر وب سايت
local admin groups ايجاد و account مربوطه را
مشخص نمائيد .
-
برای کاربران وب يک
local group ايجاد و صرفا" account
های مورد نياز و مجاز نظير IUSER_Computername را در
آن فعال نمائيد .
-
از تمام گروه های ديگر،
account مربوط به
IUSER_Computername را حذف نمائيد .
-
تمام مجوزهای
NTFS مربوط به دايرکتوری Inetpub را حذف و
صرفا" گروه ها و account های مجاز را به آن نسبت
دهيد .
-
يک ساختار منطقی برای دايرکتوری
ايجاد نمائيد . مثلا" برای محتويات ايستا ،
فايل های
asp
،
scripts و Html
، اسامی دايرکتوری ديگری ايجاد و با يک
ساختار مناسب بيکديگر مرتبط گردند.
-
مجوزهای لازم
NTFS بر روی ساختار دايرکتوری ها را در صورت نياز اعمال نمائيد .
-
تمام دايرکتوری های نمونه و اسکريپت
هائی که نمونه برنامه هائی را اجراء می نمايند
، حذف نمائيد .
-
مجوز
Log on locally به کاربر اعطاء و امکان
log on as a batch service و
Access this computer from the network از
کاربر سلب گردد .
در
بخش دوم اين مقاله به
بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services
Manager با رعايت مسائل امنيتی خواهيم پرداخت .