Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
پيکربندي IIS با رعايت مسائل امنيتي ( بخش اول )
-(2 Body) 
پيکربندي IIS با رعايت مسائل امنيتي ( بخش اول )
Visitor 478
Category: دنياي فن آوري
استفاده از شبکه هاي کامپيوتري از چندين سال قبل رايج و در ساليان اخير روندي تصاعدي پيدا کرده است .اکثر شبکه هاي پياده سازي شده در کشور مبتني برسيستم عامل شبکه اي ويندوز مي باشند . شبکه هاي کامپيوتري، بستر و زير ساخت مناسب براي سازمان ها و موسسات را در رابطه با تکنولوژي اطلاعات فراهم مي نمايد . امروزه اطلاعات داراي ارزش خاص خود بوده و تمامي ارائه دهندگان اطلاعات با استفاده از شبکه هاي کامپيوتري زير ساخت لازم را براي عرضه اطلاعات بدست آورده اند . عرضه اطلاعات توسط سازمان ها و موسسات مي تواند بصورت محلي ويا جهاني باشد. با توجه به جايگاه والاي اطلاعات از يکطرف و نقش شبکه هاي کامپيوتري ( اينترانت و يا اينترنت ) از طرف ديگر ، لازم است به مقوله امنيت در شبکه هاي کامپيوتري توجه جدي شده و هر سازمان با تدوين يک سياست امنيتي مناسب ، اقدام به پياده سازي سيستم امنيتي نمايد . مقوله تکنولوژي اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعايت اصول اوليه به همان ميزان و يا شايد بيشتر ، نگران کننده و مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه هاي کامپيوتري ، يکي از نگراني هاي بسيار مهم در رابطه با تکنولوژي اطلاعات بوده که متاسفانه کمتر به آن بصورت علمي پرداخته شده است . در صورتيکه داراي اطلاعاتي با ارزش بوده و قصد ارائه آنان را بموقع و در سريعترين زمان ممکن داشته باشيم ، همواره مي بايست به مقوله امنيت، نگرشي عميق داشته و با يک فرآيند مستمر آن را دنبال نمود .
اغلب سازمان هاي دولتي و خصوصي در کشور، داراي وب سايت اختصاصي خود در اينترنت مي باشند . سازمان ها و موسسات براي ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاري و تهيه پهناي باند لازم، اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت هاي ارائه دهنده خدمات ميزباني استفاده مي نمايند . وجه اشتراک دو سناريوي فوق و يا ساير سناريوهاي ديگر، استفاده از يک سرويس دهنده وب است . بدون ترديد سرويس دهنده وب يکي از مهمترين نرم افزارهاي موجود در دنياي اينترنت محسوب مي گردد . کاربراني که به سايت يک سازمان و يا موسسه متصل و درخواست اطلاعاتي را مي نمايند ، خواسته آنان در نهايت در اختيار سرويس دهنده وب گذاشته مي شود . سرويس دهنده وب، اولين نقطه ورود اطلاعات و آخرين نقطه خروج اطلاعات از يک سايت است . بديهي است نصب و پيکربندي مناسب چنين نرم افزار مهمي ، بسيار حائز اهميت بوده و تدابيرامنيتي خاصي را طلب مي نمايد .در ادامه به بررسي نحوه پيکربندي سرويس دهنده وب IIS در شبکه هاي مبتني بر ويندوز با تمرکز بر مسائل امنيتي ، خواهيم پرداخت .
IIS)Internet Information services) ، يکي از سرويس دهندگان وب است که از آن براي براي نشر و توزيع سريع محتويات مبتني بر وب ، براي مرورگرهاي استاندارد استفاده مي شود . نسخه پنج IIS ، صرفا" براي سيستم هاي مبتني بر ويندوز 2000 قابل استفاده است . نسخه هاي ويندوز 2000 Server و Advanced server بمنظور نصب IIS ، مناسب و بهينه مي باشند . نسخه پنج براي استفاده در نسخه هاي قديمي ويندوز طراحي نشده است . امکان نصب IIS نسخه پنج ، بهمراه ويندوز Professional نيز وجود داشته ولي برخي از امکانات آن نظير : ميزبان نمودن چندين وب سايت ، اتصال به يک بانک اطلاعاتي ODBC و يا محدوديت در دستيابي از طريق IP در آن لحاظ نشده است .
نسخه پنج IIS ، سرويس هاي WWW ، FTP، SMTP و NNTP را ارائه مي نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير مي شوند : Certificate Server , Index server و Transaction server .
امنيت در IIS متاثر از سيستم عامل است . مجوزهاي فايل ها ، تنظيمات ريجستري ، استفاده از رمزعبور، حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکي با امنيت در IIS دارند .
قبل از پيکربندي مناسب IIS ، لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد . پيکربندي دايرکتوري هاي IIS ، فايل ها ، پورت هاي TCP/IP و Account کاربران نمونه هائي در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :
• آيا سرويس دهنده از طريق اينترنت قابل دستيابي است ؟
• آيا سرويس دهنده از طريق اينترانت قابل دستيابي است ؟
• چه تعداد وب سايت بر روي سرويس دهنده ميزبان خواهند شد ؟
• آيا وب سايت ها نيازمند استفاده از محتويات بصورت اشتراکي مي باشند ؟
• آيا سرويس دهنده امکان دستيابي را براي افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا" افراد مجاز حق استفاده از سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟
• آيا امکان استفاده و حمايت از SSL)Secure Socket Layer) وجود دارد ؟
• آيا سرويس دهنده صرفا" براي دستيابي به وب از طريق HTTP استفاده مي گردد ؟
• آيا سرويس دهنده ، سرويس FTP را حمايت مي نمايد ؟
• آيا کاربراني وجود دارد که نيازمند عمليات خاصي نظير کپي، فعال نمودن، حذف و يا نوشتن فايل هائي بر روي سرويس دهنده باشند ؟
موارد زير در زمان نصب IIS پيشنهاد مي گردد :
• کامپيوتري که IIS بر روي آن نصب شده است را در يک محل امن فيزيکي قرار داده و صرفا" افراد مجاز قادر به دستيابي فيزيکي به سرويس دهنده باشند .
• در صورت امکان، IIS را بر روي يک سرويس دهنده Standalone نصب نمائيد. در صورتيکه IIS بر روي يک سرويس دهنده از نوع Domain Controller نصب گردد و سرويس دهنده وب مورد حمله قرار گيرد، تمام سرويس دهنده بهمراه اطلاعات موجود در معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق، نصب IIS بر روي يک سرويس دهنده از نوع Domain controller ، باعث افزايش حجم عمليات سرويس دهنده و متعاقبا" کاهش کارآئي سيستم در ارائه سرويس هاي مربوط به وب خواهد شد .
• برنامه هاي کاربردي و يا ابزارهاي پياده سازي نمي بايست بر روي سرويس دهنده IIS نصب گردند .
• کامپيوتر مربوط به نصب IIS را بگونه اي مناسب پارتيشن نموده تا هر يک از سرويس ها نظير www و يا FTP بر روي پارتيشن هاي مجزاء قرار گيرند .
• IIS امکان نصب برنامه ها را در مکاني ديگر بجز پارتيشن C فراهم نمي نمايد ( مگراينکه يک نصب سفارشي داشته باشيم ) .موضوع فوق به عملکرد سيستم عامل مرتبط مي گردد . مجوزهاي پيش فرض در رابطه با %Systemdrive% اعمال مي گردد ( مثلا" درايو C) . موضوع فوق مي تواند باعث عدم صحت کارکرد مناسب برخي از سرويس هاي IIS گردد. مي بايست مطمئن شد که مجوزهاي سيستم عامل با عمليات مربوط به سرويس هاي IIS ، رابطه اي ندارند .
• تمام پروتکل هاي پشته اي (Stack) غير از TCP/IP را از روي سيستم حذف نمائيد. ( در موارديکه برخي از کاربران اينترانت نيازمند برخي از اين نوع پروتکل ها مي باشند مي بايست با دقت اقدام به نصب و پيکربندي مناسب آن نمود ) .
• روتينگ IP ، بصورت پيش فرض غيرفعال است و مي بايست به همان حالت باقي بماند . در صورت فعال شدن روتينگ ، اين امکان وجود خواهد داشت که داده هائي از طريق کاربران اينترانت به اينترنت ارسال گردد .
• نصب Client for Microsoft networking ، بمنظور اجراي سرويس هاي HTTP,FTP,SMTP و NNTP ضروري خواهد بود . در صورتيکه ماژول فوق نصب نگردد، امکان اجراي سرويس هاي فوق بصورت دستي و يا اتوماتيک وجود نخواهد داشت .
• در صورتيکه تمايل به نصب سرويس هاي NNTP و SMTP ، مي بايست سرويس File and Print Sharing for Microsoft نيز نصب گردند .

عمليات قبل از نصب IIS

در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد مي گردد . نام پيش فرض براي account فوق ، IUSER_computername بوده که computername نام کامپيوتري است که IIS بر روي آن نصب شده است . account فوق ، مي بايست داراي کمترين حقوق و مجوزهاي مربوطه بوده و گزينه ها ي user cannot change password و password Never Expires فعال شده باشد. account فوق همچنين مي بايست از نوع local account بوده و domain-wide account را شامل نگرديده و داراي مجور ورود به شبکه بصورت محلي باشد (log on locally) . مجوزهاي Access this computer from the network و يا log on as a batch job در رابطه با account ، فوق مي بايست غير فعال گردند . در صورتيکه سياست ارتباط با وب سايت ، صرفا" کاربران مجاز باشد، پيشنهاد مي گردد account فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه قادر به ورود به سايت خواهند بود .

گروه هائي براي فايل دايرکتوري و اهداف مديريتي

حداقل دو گروه جديد که در IIS قصد استفاده از انان را داريم، مي بايست ايجاد گردد : گروه WebAdmin ( نام فوق کاملا" اختياري است ) . در گروه فوق، کاربراني که مسئوليت مديريت محتويات WWW/FTP را دارند، تعريف مي گردند . در صورتيکه سرويس دهنده ، چندين سايت را ميزبان شده است، براي هر سايت يک گروه مديريتي ايجاد مي گردد . گروه WebUser ( نام فوق کاملا" اختياري است ) . در گروه فوق ليست account افراد مجاز براي ارتباط با سايت ، تعريف مي گردد. در حالت اوليه ، گروه فوق صرفا" شامل IUSER_computername است . از گروه هاي فوق براي تنظيمات مربوط به مجوزهاي NTFS استفاده مي گردد . IUSER_computername نبايد عضو گروهي ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه هاي Guests، Everyone و Users است . پيشنهاد مي گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد ) . دقت گردد که تمام افراد موجود در گروه WebUsers مي بايست صرفا" براي دستيابي به وب سايت تعريف شده باشند و نبايد عضوي از ساير گروهها باشند .

مديريت IIS با چندين گروه

نسخه شماره چهار IIS ، امکان تعريف گروههاي محلي بمنظور پيکربندي و تعريف گروههاي مديريتي متفاوت براي سرويس هاي IIS را فراهم مي نمود . رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروهها ي محلي مي توانند و مي بايست براي گروههاي مديريتي متفاوت ايجاد گردند . تفاوت موجود بين گروههاي محلي براي سرويس www و FTP صرفا" استفاده از مجوزهاي NTFS خواهد بود . سرويس هاي SMTP و NNTP ، قابليت تنظيم گروههاي محلي را بعنوان اپراتورهاي مديريتي براي سرويس دهنده IIS فراهم مي نمايد .

نصب تمام Patch ها براي سيستم عامل و IIS

مديران IIS ، مي بايست همواره بررسي هاي لازم در خصوص آخرين نسخه هاي fixes و patch را انجام داده و پس از تهيه ، اقدام به نصب آنان نمايند . بدين منظور مي توان از بخش Security سايت ماکروسافت ملاقات و برنامه هاي جديد را اخذ و نصب نمود .

دايرکتوري پيش فرض نصب IIS

پس از نصب IIS ، مي بايست تغييرات لازم در خصوص مجوزهاي دستيابي NTFS را در رابطه با دايرکتوري هائي که IIS نصب شده است ، انجام داد . گروه هاي Everyone و Guests بهمراه account مربوط به Guest مي بايست حذف گردند . گروه Everyone بصورت پيش فرض داراي تمامي مجوزهاي لازم در رابطه با دايرکتوري Inetpub است . کاربران غير مجاز با استفاده از ويژگي گروه فوق قادر به دستيابي به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف ) صورت پذيرد . دايرکتوري Inetpub ، بر روي درايو پيش فرض نصب مي گردد . ( مثلا" درايو C ) . دايرکتوري جديد و يا ساختار موجود مي بايست به پارتيشن ديگر منتقل و عملا" تمايزي بين سايت هاي در دسترس از محل سيستم هاي عملياتي را بوجود آورد . پيشنهاد مي گردد Inetpub به نام دلخواه ديگري تغيير يابد .
دايرکتوري هاي IIS نسخه پنج را مي توان در يک محل خاص ( سفارشي ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا" از طريق يک نصب سفارشي ميسر مي گردد ) . بدين منظور از يک فايل پاسخ استفاده مي شود. فايل پاسخ ( مثلا" iis5.txt) مي بايست داراي اطلاعات زير باشد :

اطلاعات ضروري در فايل پاسخ بمنظور تغيير محل نصب IIS

[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e. f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e. f:\WWWRoot}


در ادامه از دستور زير براي نصب استفاده مي گردد . ( از طريق خط دستور )

Sysocmgr/I:%windir%\inf\sysoc.inf /u:a:\iis5.txt


جدول زير مجوزهاي لازم NTFS و IIS در رابطه با دايرکتوري هاي مربوطه را نشان مي دهد :

Type of
Data

Example Directories

Data Examples

NTFS File Permissions

IIS 5.0
Permissions

Static Content

\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles

HTML, images, FTP
downloads, etc.

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read)

Read

FTPUploads
(if required)

\Inetpub\ftproot\dropbox

Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone

Administrators (Full Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write)

Write

ScriptFiles

\Inetpub\wwwroot\scripts

.ASP

Administrators (Full Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scriptsonly

Other
Executable and
Include Files

\WebScripts\executables
\WebScripts\include

.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity)

Metabase

\WINNT\system32\inetsrv

MetaBase.bin

Administrators (Full Control)
System (Full Control)

N/A


دايرکتوري ها ئي که شامل فايل هاي فقط خواندني هستند ( فايل هاي Html ، تصاوير، فايل هاي آماده براي Download توسط FTP و ... ) ، مي بايست داراي مجوز فقط خواندني بمنظور دستيابي گروه WebUsers باشند . هر نوع از فايل هاي فوق مي تواند داراي دايرکتوري اختصاصي خود با مجوز فقط خواندني باشند . مجوزهاي لازم Read&Execute write و Modify را مي بايست به گروهي که مسئوليت مديريت محتويات وب را برعهده دارد اعطاء گردد ( مثلا" گروه WebAdmin) . براي فايل هاي اجرائي ( اسکريپت ها ، فايل هاي batch و ... ) ، مي بايست يک دايرکتوري اختصاصي ايجاد کرد . دايرکتوري هاي فوق صرفا" داراي مجوز Travesr Folder/Execute مربوط به NTFS براي کاربراني مي باشند که مجوز لازم بمنظور دستيابي به سايت را دارا مي باشند ( کاربر IUSER_computername و ساير کاربران تعريف شده در گروه WebUsers ) . دايرکتوري فوق همچنين مي بايست داراي مجوز هاي مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، مي بايست صرفا" به دايرکتوري هائي که به اين مجوز نياز دارند اعطاء گردد. مثلا" يک دايرکتوري که شامل فايل هاي باينري بوده و مي بايست اين فايل ها توسط سرويس دهنده وب اجراء گردند .
تمام دايرکتوريهائي که داراي نمونه مثال هائي بوده و يا هر اسکريپت استفاده شده بمنظور اجراي برنامه هاي نمونه را مي بايست حذف و يا انتقال داد . در زمان نصب IIS دايرکتوري هاي متعددي ايجاد که در آنها فايل هاي نمونه بهمراه اسکريپت ها قرار مي گيرد. پيشنهاد مي گردد دايرکتوري هاي فوق حذف و يا مکان آنها تغيير يابد . دايرکتوري هاي زير نمونه هائي در اين زمينه مي باشند :

\InetPub\iissamples
\InetPub\AdminScripts


سرويس هاي IIS

در زمان نصب IIS ، چهار سرويس بر روي سيستم نصب خواهد شد :
• www . سرويس فوق،بمنظور ايجاد يک سرويس دهنده وب و سرويس دهي لازم به درخواست سرويس گيرندگان براي صفحات وب استفاده مي گردد .
• FTP . سرويس فوق، بمنظور ارائه خدمات لازم در خصوص ارسال و دريافت فايل بر روي سرويس دهنده براي کاربران استفاده مي گردد .
• SMTP . سرويس فوق،امکان ارسال و دريافت نامه الکترونيکي براي سرويس گيرندگان را در پاسخ به فرم ها و برنامه هاي خاص ديگر فراهم مي نمايد .
• NNTP . سرويس فوق، بمنظور ميزباني يک سرويس دهنده خبري USENET استفاده مي گردد .
در زمان نصب IIS ، مي توان تصميم به نصب برخي از سرويس ها و يا همه آنها گرفت . پس از نصب IIS ، در صورتيکه به وجود برخي از سرويس ها نياز نباشد، مي توان آنها را غير فعال نمود. بدين منظور مي بايست مراحل زير را دنبال کرد :
• انتخاب گزينه Services از طريق مسير زير :

 

Programs => Administrative Tools => Services


• انتخاب سرويسي که قصد غير فعال کردن آن را داريم . در ادامه با فعال کردن کليد سمت راست موس ، گزينه Stop را بمنظور توقف سرويس فعال نمائيد .
• بمنظور اطمينان از عدم اجراي سرويس غير فعال شده در زمان راه اندازي مجدد سيستم، سرويس را مشخص و پس از فعال کردن کليد سمت راست موس، گزينه Properties را انتخاب ودر بخش Startup type وضعيت اجراي سرويس را از حالت Automatic به Disable تغيير دهيد .

ايمن سازي متابيس

متابيس (Metabase) ، مقادير مربوط به پارامترهاي پيکربندي برنامه IIS را ذخيره مي نمايد . متابيس بمنظور استفاده در IIS طراحي و بمراتب سريعتر و انعطاف پذيرترنسبت به ريجستري ويندوز 2000 است . هر گره در ساختار متابيس ، يک کليد (key) ناميده شده و مي تواند داراي يک و يا چندين مقدار مربوط به پيکربندي بوده که خصلت ناميده مي شوند . کليدهاي متابيس IIS به عناصر و قابليت هاي مربوط به IIS اختصاص داده شده و هر کليد شامل خصلت هائي است که تاثير مستقيمي بر روي سرويس و پتانسيل مربوطه ، خواهد داشت . ساختار استفاده شده در متابيس بصورت سلسله مراتبي بوده و تصويري مناسب از ساختار IIS است که بر روي سيستم نصب شده است . اکثر کليدهاي پيکربندي IIS بهمراه مقادير مربوطه در نسخه هاي قبلي IIS ، در ريجستري سيستم ذخيره مي گرديدند. در نسخه پنج ، تمام مقادير فوق در متابيس ذخيره مي گردند . کليدهاي ديگري نيز بمنظور افزايش کنترل انعطاف پذيري IIS در متابيس ذخيره مي گردد . يکي از مزاياي ساختار استفاده شده در متابيس ، اختصاص تنظميات متفاوت يک خصلت خاص براي نمونه هاي متفاوتي از کليد ها ي مشابه است . مثلا" خصلت MaxBandwidth ،حداکثر پهناي باند قابل دسترس را براي يک سرويس دهنده مشخص و مي تواند به تراکنش هاي متعدد وب تعميم يابد . متابيس ، قادر به نگهداري مقادير متفاوت MaxBandwidth براي هر يک از سايت هاي وب مي باشد .
متابيس در يک فايل خاص با نام Metabase.bin و در آدرس winnt\system32\ineterv \ ذخيره مي گردد . پس از استقرار IIS در حافظه ، متابيس نيز از روي ديسک خوانده شده و در حافظه مستقر مي گردد . پس از غيرفعال شدن IIS ، متابيس مجددا" بر روي ديسک ذخيره خواهد شد . ( متابيس بدفعاتي که IIS اجراء خواهد شد بر روي ديسک ذخيره مي گردد) . با توجه به نقش حياتي فايل فوق براي برنامه IIS ، حفاظت و کنترل دستيابي به آن داراي اهميت فراوان است . در صورتيکه فايل فوق ، با يک فايل ديگر ( نامعتبر) جايگزين گردد، عملکرد صحيح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سريعا" متاثر از تغييرات خواهد شد . (اولين مرتبه اي که IIS پس از اعمال تغييرات اجراء مي گردد ) . در چنين مواردي ممکن است سرويس مربوطه از طريق سرويس دهنده ، اجراء نشود. پيشنهاد مي گردد که فايل Metabsat.bin بر روي پارتيشنني از نوع NTFS ذخيره و با استفاده از امکانات امنيتي ويندوز 2000 آن را حفاظت کرد . مجوزهاي پيش فرض براي فايل فوق ، System و Administrator Full Access مي باشد . محدوديت دستيابي به System و local Administrators امنيتي قابل قبول در رابطه با فايل فوق را ايجاد و ضرورتي به تغيير و يا اضافه نمودن تنظيمات جديدي نخواهد بود .
بمنظورايجاد پوسته حفاظتي مطلوبتر امنيتي در رابطه با فايل فوق ، پيشنهاد مي گردد فايل فوق براي کاربران غير مجاز مخفي شود . انتقال و يا تغيير نام فايل نيز مي تواند امنيت فايل فوق ر ا مضاعف نما يد . بدين منظور مي بايست در ابتدا برنامه IIS متوقف و پس از تغيير نام و يا انتقال فايل فوق ، تغييرات لازم را در کليد ريجستري زير اعمال نمود .

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters


در ادامه يک مقدار جديد REG_SZ براي کليد فوق با نام MetadataFile ايجاد و مسير کامل فايل را که شامل نام درايو و نام فايل است ، بعنوان نام جديد فايل متابيس معرفي نمائيم . بدين ترتيب برنامه IIS آگاهي لازم در خصوص نام و آدرس فايل متابيس را پيدا و در زمان را اندازي از آن استفاده خواهد کرد .

پيشنهادات تکميلي در رابطه با امنيت برنامه IIS

• بر روي سرويس دهنده IIS صرفا" IIS و عناصر مورد نياز را نصب و از نصب برنامه ها و ابزارهاي پياده سازي ممانعت بعمل آيد .
• تمام سرويس هاي غير ضروري را غير فعال نمائيد .
• در رابطه با IUSER_Computername account ، گزينه هاي User cannot change password و Password Never Expires را انتخاب و فعال نمائيد .
• در صورتيکه تمايلي به ورود افراد گمنام (anonymous) به شبکه وجود نداشته باشد ، مي بايست account مربوطه را غير فعال نمود (IUSER_Computername) .
• براي هر وب سايت local admin groups ايجاد و account مربوطه را مشخص نمائيد .
• براي کاربران وب يک local group ايجاد و صرفا" account هاي مورد نياز و مجاز نظير IUSER_Computername را در آن فعال نمائيد .
• از تمام گروه هاي ديگر، account مربوط به IUSER_Computername را حذف نمائيد .
• تمام مجوزهاي NTFS مربوط به دايرکتوري Inetpub را حذف و صرفا" گروه ها و account هاي مجاز را به آن نسبت دهيد .
• يک ساختار منطقي براي دايرکتوري ايجاد نمائيد . مثلا" براي محتويات ايستا ، فايل هاي asp ، scripts و Html ، اسامي دايرکتوري ديگري ايجاد و با يک ساختار مناسب بيکديگر مرتبط گردند.
• مجوزهاي لازم NTFS بر روي ساختار دايرکتوري ها را در صورت نياز اعمال نمائيد .
• تمام دايرکتوري هاي نمونه و اسکريپت هائي که نمونه برنامه هائي را اجراء مي نمايند ، حذف نمائيد .
• مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service و Access this computer from the network از کاربر سلب گردد .
در بخش دوم اين مقاله به بررسي نحوه تنظيم خصلت هاي متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتي خواهيم پرداخت .
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.