大家都知道酒酿蛋是非常传统的美胸食品产后丰胸产品,醪糟也叫酒酿,是由糯米或者大米经过酵母发酵而制成的一种风味食品,其产热量高,富含碳水化合物丰胸产品燕窝酒酿蛋、蛋白质、b族维生素、矿物质等,这些都是人体不可缺少的营养成分酒酿蛋丰胸方法。其中酒酿中含的醣化酵素,能促进乳房的二次发育,具有美胸的作用燕窝酒酿蛋丰胸
���������������� IIS ���� ���������� ���������� ������������ ( ������ ������ )
اين مطلب از طريق سايت شرکت سخاروش در اختيار شما گذاشته شده است .

پيکربندی و مديريت ايمن  IIS

 پيکربندی IIS با رعايت مسائل امنيتی  ( بخش اول )
استفاده از شبکه های کامپيوتری از چندين سال قبل رايج و در ساليان اخير روندی تصاعدی پيدا کرده است .اکثر شبکه های پياده سازی شده در کشور  مبتنی برسيستم عامل شبکه ای  ويندوز می باشند .  شبکه های کامپيوتری، بستر و زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نمايد . امروزه  اطلاعات  دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپيوتری زير ساخت لازم را برای عرضه اطلاعات  بدست آورده اند . عرضه اطلاعات  توسط سازمان ها و موسسات می تواند بصورت محلی ويا  جهانی  باشد. با توجه به جايگاه والای اطلاعات از يکطرف و نقش شبکه های کامپيوتری ( اينترانت و يا اينترنت )  از طرف ديگر ، لازم است به مقوله امنيت در شبکه های کامپيوتری توجه جدی شده و هر سازمان با تدوين يک سياست امنيتی مناسب ، اقدام به پياده سازی  سيستم امنيتی نمايد . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعايت اصول اوليه  به همان ميزان و يا شايد بيشتر ، نگران کننده و مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه های کامپيوتری ، يکی از نگرانی های  بسيار مهم در رابطه با تکنولوژی اطلاعات بوده   که متاسفانه کمتر به آن  بصورت علمی پرداخته شده است . در صورتيکه دارای اطلاعاتی  با ارزش بوده  و قصد ارائه آنان  را بموقع  و در سريعترين زمان ممکن  داشته باشيم ،  همواره می بايست به مقوله امنيت، نگرشی عميق  داشته و با يک فرآيند  مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سايت اختصاصی  خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،  اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا ساير سناريوهای ديگر، استفاده از يک سرويس دهنده وب است  . بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب می گردد . کاربرانی که به سايت يک سازمان و يا موسسه متصل  و درخواست اطلاعاتی را  می نمايند ، خواسته  آنان در نهايت در اختيار سرويس دهنده وب  گذاشته می شود . سرويس دهنده وب،  اولين نقطه ورود اطلاعات  و آخرين نقطه خروج اطلاعات از يک سايت  است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی ، بسيار حائز اهميت بوده  و تدابيرامنيتی خاصی را طلب می نمايد .در ادامه  به بررسی  نحوه پيکربندی سرويس دهنده وب IIS در شبکه های مبتنی بر ويندوز با تمرکز بر مسائل امنيتی ، خواهيم پرداخت .

IIS)Internet Information services) ، يکی از سرويس دهندگان وب است  که از آن برای برای نشر و توزيع سريع محتويات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سيستم های  مبتنی بر ويندوز 2000 قابل استفاده است . نسخه های ويندوز 2000  Server و Advanced server  بمنظور نصب IIS  ، مناسب و بهينه می باشند . نسخه پنج برای  استفاده در نسخه های قديمی ويندوز طراحی  نشده است . امکان نصب IIS نسخه پنج ،  بهمراه ويندوز Professional نيز وجود داشته  ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ،  اتصال به يک بانک اطلاعاتی ODBC و يا محدوديت در دستيابی از طريق IP   در آن لحاظ نشده است .
نسخه پنج IIS ، سرويس های  WWW ، FTP، SMTP و NNTP را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير می شوند : Certificate Server , Index server و Transaction server .
امنيت در  IIS  متاثر از سيستم عامل است . مجوزهای فايل ها ،  تنظيمات ريجستری ،  استفاده از رمزعبور،  حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند .
قبل از پيکربندی مناسب IIS ،  لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد . پيکربندی دايرکتوری های IIS ، فايل ها ،  پورت های TCP/IP  و Account کاربران نمونه هائی در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :

موارد زير در زمان نصب IIS پيشنهاد  می گردد :

عمليات قبل از نصب IIS
در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد می گردد . نام پيش فرض برای account فوق ، IUSER_computername بوده که computername  نام کامپيوتری است که IIS بر روی آن نصب شده است . account فوق ، می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده  و  گزينه ها ی user cannot change password و password Never Expires  فعال شده باشد. account فوق همچنين می بايست از نوع local account بوده و domain-wide account را شامل نگرديده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای  Access this computer from the network و يا log on as a batch job در رابطه با account ، فوق می بايست غير فعال گردند .  در صورتيکه سياست ارتباط با وب سايت ، صرفا" کاربران مجاز باشد، پيشنهاد می گردد account فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه  قادر به ورود به سايت خواهند بود . 
گروه هائی برای فايل دايرکتوری و اهداف مديريتی
حداقل دو گروه جديد که در IIS قصد استفاده از انان را داريم، می بايست ايجاد گردد : گروه WebAdmin  ( نام فوق کاملا" اختياری است ) . در گروه فوق،  کاربرانی که مسئوليت مديريت محتويات WWW/FTP را دارند، تعريف می گردند . در صورتيکه سرويس دهنده ،  چندين سايت را ميزبان شده است، برای هر سايت يک گروه مديريتی ايجاد می گردد .  گروه WebUser ( نام فوق کاملا" اختياری است ) . در گروه فوق ليست account افراد  مجاز برای ارتباط با  سايت ، تعريف می گردد. در حالت اوليه ، گروه فوق صرفا" شامل IUSER_computername  است . از گروه های فوق برای تنظيمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نبايد عضو گروهی ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه های Guests، Everyone  و Users است  . پيشنهاد  می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد ) . دقت گردد که تمام افراد  موجود در گروه WebUsers می بايست صرفا" برای دستيابی به وب سايت تعريف شده باشند و نبايد عضوی از ساير گروهها باشند .  
مديريت IIS با چندين گروه
نسخه  شماره چهار IIS ، امکان تعريف گروههای محلی بمنظور پيکربندی و تعريف گروههای مديريتی متفاوت برای سرويس های IIS را فراهم می نمود . رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروهها ی محلی می توانند و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای محلی برای سرويس www و FTP صرفا"  استفاده از  مجوزهای NTFS  خواهد بود . سرويس های SMTP و NNTP ، قابليت تنظيم گروههای محلی را بعنوان اپراتورهای مديريتی برای سرويس دهنده  IIS فراهم می نمايد .
نصب تمام Patch ها برای سيستم عامل و IIS
مديران IIS ،  می بايست همواره بررسی های لازم در خصوص آخرين نسخه های  fixes و  patch  را انجام داده  و پس از تهيه ، اقدام به نصب آنان نمايند . بدين منظور می توان از بخش Security سايت ماکروسافت ملاقات و برنامه های جديد را اخذ و نصب نمود .
دايرکتوری پيش فرض نصب IIS
پس از نصب IIS ، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS را در رابطه با دايرکتوری هائی که IIS نصب شده است ، انجام داد .  گروه های Everyone و Guests بهمراه account  مربوط به Guest می بايست  حذف گردند . گروه Everyone بصورت پيش فرض دارای تمامی مجوزهای لازم در رابطه با دايرکتوری Inetpub است . کاربران غير مجاز با استفاده  از ويژگی گروه فوق قادر به دستيابی به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف )  صورت پذيرد . دايرکتوری Inetpub ،  بر روی درايو پيش فرض نصب می گردد . ( مثلا" درايو C ) . دايرکتوری جديد و يا ساختار موجود می بايست به پارتيشن ديگر منتقل و عملا" تمايزی بين سايت های در دسترس از محل سيستم های عملياتی را بوجود آورد  . پيشنهاد  می گردد Inetpub به نام دلخواه ديگری تغيير يابد .
دايرکتوری های  IIS نسخه پنج  را می توان در يک محل خاص ( سفارشی ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا" از طريق يک نصب سفارشی  ميسر می گردد ) . بدين منظور از يک فايل پاسخ استفاده می شود. فايل پاسخ ( مثلا" iis5.txt) می بايست دارای اطلاعات زير باشد :

اطلاعات ضروری در فايل پاسخ بمنظور تغيير محل نصب IIS

[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e. f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e. f:\WWWRoot}

در ادامه از دستور زير برای نصب استفاده می گردد . ( از طريق خط دستور )

Sysocmgr/I:%windir%\inf\sysoc.inf /u:a:\iis5.txt

جدول زير مجوزهای لازم NTFS و IIS در رابطه با دايرکتوری های مربوطه را نشان می دهد :

Type of
Data

Example Directories

Data Examples

NTFS File Permissions

IIS 5.0
Permissions

Static Content

\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles

HTML, images, FTP
downloads, etc.

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read)

Read
FTP Uploads
(if required)

\Inetpub\ftproot\dropbox

Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone

Administrators (Full Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write)

Write
Script Files

\Inetpub\wwwroot\scripts

.ASP

Administrators (Full Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Other
Executable and
Include Files

\WebScripts\executables
\WebScripts\include

.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity)

Metabase

\WINNT\system32\inetsrv

MetaBase.bin

Administrators (Full Control)
System (Full Control)

N/A

دايرکتوری ها ئی  که شامل فايل های فقط خواندنی هستند ( فايل های Html ، تصاوير،  فايل های آماده برای Download توسط FTP و ... ) ، می بايست دارای مجوز فقط خواندنی بمنظور دستيابی گروه WebUsers باشند . هر نوع از فايل های فوق می تواند  دارای دايرکتوری اختصاصی خود با مجوز فقط خواندنی باشند  . مجوزهای لازم Read&Execute write و Modify را می بايست به گروهی که مسئوليت مديريت محتويات وب را برعهده دارد اعطاء گردد ( مثلا" گروه WebAdmin) . برای فايل های اجرائی ( اسکريپت ها ، فايل های batch و ... ) ، می بايست  يک دايرکتوری اختصاصی ايجاد کرد . دايرکتوری های فوق  صرفا" دارای مجوز Travesr Folder/Execute مربوط به NTFS برای کاربرانی می باشند  که مجوز لازم بمنظور دستيابی به سايت را دارا می باشند ( کاربر IUSER_computername و ساير کاربران تعريف شده در گروه WebUsers ) . دايرکتوری فوق همچنين می بايست دارای مجوز های مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، می بايست صرفا" به دايرکتوری هائی که به اين مجوز نياز دارند اعطاء گردد. مثلا" يک دايرکتوری که شامل فايل های باينری بوده و می بايست اين فايل ها توسط سرويس دهنده وب اجراء گردند .
تمام دايرکتوريهائی که دارای نمونه مثال هائی بوده و يا هر اسکريپت استفاده شده بمنظور اجرای برنامه های نمونه را می بايست حذف و يا انتقال داد . در زمان نصب IIS دايرکتوری های متعددی ايجاد که در آنها فايل های نمونه بهمراه اسکريپت ها قرار می گيرد. پيشنهاد می گردد دايرکتوری های فوق حذف و يا مکان آنها تغيير يابد .  دايرکتوری های زير نمونه هائی در اين زمينه می باشند :

\InetPub\iissamples
\InetPub\AdminScripts

سرويس های IIS
در زمان نصب IIS ، چهار سرويس بر روی سيستم نصب خواهد شد  :

در زمان نصب IIS ، می توان تصميم به نصب برخی از سرويس ها  و يا همه  آنها گرفت . پس از نصب IIS ، در صورتيکه به وجود برخی از سرويس ها نياز نباشد، می توان آنها را غير فعال نمود. بدين منظور می بايست مراحل زير را  دنبال کرد :

Programs => Administrative Tools => Services

ايمن سازی متابيس
متابيس (Metabase) ،  مقادير مربوط به پارامترهای  پيکربندی برنامه IIS  را  ذخيره می نمايد . متابيس بمنظور استفاده  در  IIS طراحی و بمراتب سريعتر و انعطاف پذيرترنسبت به ريجستری ويندوز 2000 است . هر گره در ساختار متابيس ،
 يک کليد (key) ناميده شده و می تواند دارای يک و يا چندين مقدار مربوط به پيکربندی بوده که خصلت ناميده می شوند . کليدهای متابيس IIS به عناصر و قابليت های مربوط به IIS اختصاص داده شده و هر کليد شامل خصلت هائی است که تاثير مستقيمی  بر روی سرويس و پتانسيل  مربوطه ، خواهد داشت . ساختار استفاده شده در متابيس بصورت سلسله مراتبی بوده و تصويری مناسب از ساختار IIS است که بر روی سيستم نصب شده است . اکثر کليدهای پيکربندی IIS بهمراه مقادير مربوطه در نسخه های قبلی  IIS ، در ريجستری سيستم ذخيره می گرديدند. در نسخه پنج ، تمام مقادير فوق در متابيس ذخيره می گردند . کليدهای ديگری نيز  بمنظور افزايش کنترل انعطاف پذيری IIS  در متابيس ذخيره می گردد . يکی از مزايای ساختار استفاده شده در متابيس ، اختصاص تنظميات متفاوت يک خصلت خاص برای  نمونه های متفاوتی از کليد ها ی مشابه  است . مثلا" خصلت MaxBandwidth ،حداکثر پهنای باند قابل دسترس را برای يک سرويس دهنده مشخص و می تواند به تراکنش های متعدد وب تعميم يابد . متابيس ، قادر به نگهداری مقادير متفاوت MaxBandwidth برای هر يک از سايت های وب می باشد .
متابيس در يک فايل خاص با نام Metabase.bin و در آدرس winnt\system32\ineterv \  ذخيره می گردد . پس از استقرار  IIS در حافظه ، متابيس نيز از روی ديسک خوانده شده و در حافظه مستقر می گردد . پس از غيرفعال شدن IIS ، متابيس مجددا" بر روی ديسک ذخيره خواهد شد . ( متابيس بدفعاتی که IIS اجراء خواهد شد بر روی ديسک ذخيره  می گردد) . با توجه به نقش حياتی فايل فوق برای برنامه IIS  ، حفاظت  و کنترل دستيابی به آن دارای اهميت فراوان است . در صورتيکه فايل فوق ،  با يک فايل ديگر ( نامعتبر)  جايگزين گردد، عملکرد صحيح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سريعا" متاثر از تغييرات خواهد شد . (اولين مرتبه ای که IIS پس از اعمال تغييرات اجراء می گردد ) . در چنين مواردی ممکن است  سرويس مربوطه از طريق سرويس دهنده ، اجراء نشود. پيشنهاد  می گردد که فايل Metabsat.bin   بر روی پارتيشننی از نوع NTFS ذخيره  و با استفاده از امکانات امنيتی ويندوز 2000 آن را حفاظت کرد . مجوزهای پيش فرض برای فايل فوق ،  System و Administrator Full Access می باشد . محدوديت دستيابی به System و local Administrators  امنيتی قابل قبول در رابطه با فايل فوق را ايجاد و ضرورتی به تغيير و يا اضافه نمودن تنظيمات جديدی نخواهد بود . 
بمنظورايجاد پوسته حفاظتی مطلوبتر امنيتی در رابطه با فايل فوق ،  پيشنهاد  می گردد  فايل فوق  برای کاربران غير مجاز  مخفی شود . انتقال و يا تغيير نام فايل نيز می تواند امنيت فايل فوق ر ا مضاعف نما يد . بدين منظور می بايست در ابتدا برنامه IIS متوقف و پس از تغيير نام و يا انتقال فايل فوق ،  تغييرات لازم را در کليد ريجستری  زير اعمال نمود . 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters

در ادامه يک مقدار جديد REG_SZ  برای کليد فوق با نام MetadataFile  ايجاد و مسير کامل فايل  را که شامل نام درايو و نام فايل است  ، بعنوان نام جديد فايل متابيس معرفی  نمائيم . بدين ترتيب برنامه IIS آگاهی لازم در خصوص نام و آدرس فايل متابيس را پيدا و در زمان را اندازی از آن استفاده خواهد کرد .

پيشنهادات تکميلی در رابطه با امنيت برنامه IIS

در بخش دوم اين مقاله  به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .


استفاده از اين مطلب  با ذکر منبع و اهداف غيرانتفاعی بلامانع است .
http://www.srco.
ir