تور لحظه آخری
امروز : پنجشنبه ، 22 آذر 1403    احادیث و روایات:  امام رضا (ع):هر کس اندوه و مشکلى را از مومنى بر طرف نماید خداوند در روز قیامت ...
سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون شرکت ها

تبلیغات

تبلیغات متنی

صرافی ارکی چنج

صرافی rkchange

سایبان ماشین

دزدگیر منزل

اجاره سند در شیراز

قیمت فنس

armanekasbokar

armanetejarat

صندوق تضمین

Future Innovate Tech

پی جو مشاغل برتر شیراز

خرید یخچال خارجی

موسسه خیریه

واردات از چین

حمية السكري النوع الثاني

ناب مووی

دانلود فیلم

بانک کتاب

دریافت دیه موتورسیکلت از بیمه

طراحی سایت تهران سایت

irspeedy

درج اگهی ویژه

تعمیرات مک بوک

دانلود فیلم هندی

قیمت فرش

درب فریم لس

زانوبند زاپیامکس

روغن بهران بردبار ۳۲۰

قیمت سرور اچ پی

خرید بلیط هواپیما

بلیط اتوبوس پایانه

تعمیرات پکیج کرج

لیست قیمت گوشی شیائومی

خرید فالوور

پوستر آنلاین

بهترین وکیل کرج

بهترین وکیل تهران

خرید اکانت تریدینگ ویو

خرید از چین

خرید از چین

تجهیزات کافی شاپ

ساختمان پزشکان

کاشت ابرو طبیعی و‌ سریع

خرید سرور مجازی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

لوله و اتصالات آذین

قرص گلوریا

نمایندگی دوو در کرج

خرید نهال سیب

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

رفع تاری و تشخیص پلاک

پرگابالین

دوره آموزش باریستا

مهاجرت به آلمان

بهترین قالیشویی تهران

بورس کارتریج پرینتر در تهران

تشریفات روناک

نوار اخطار زرد رنگ

ثبت شرکت فوری

تابلو برق

خودارزیابی چیست

فروشگاه مخازن پلی اتیلن

قیمت و خرید تخت برقی پزشکی

کلینیک زخم تهران

خرید بیت کوین

خرید شب یلدا

پرچم تشریفات با کیفیت بالا و قیمت ارزان

کاشت ابرو طبیعی

پرواز از نگاه دکتر ماکان آریا پارسا

پارتیشن شیشه ای

اقامت یونان

 






آمار وبسایت

 تعداد کل بازدیدها : 1840583209




هواشناسی

نرخ طلا سکه و  ارز

قیمت خودرو

فال حافظ

تعبیر خواب

فال انبیاء

متن قرآن



اضافه به علاقمنديها ارسال اين مطلب به دوستان آرشيو تمام مطالب
archive  refresh

پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )


واضح آرشیو وب فارسی:راسخون:
پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )
پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم ) در بخش اول اين مقاله، پيکربندی IIS با رعايت مسائل امنيتی تشريح گرديد . در بخش دوم ، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکی با نام کنسول را ارائه می نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعی از کنسول مديريت می باشند) .اين نوع فرآيند ها، Snap-ins ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی نبوده ولی محيط لازم برای Snap-ins را فراهم می نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager) ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می کنيم : Start => Programs => Administrative Tools =>Internet Service Manager   معرفی برنامه ISM)Internet Service Manager)زمانيکه برنامه IIS فعاليت خود را آغاز می نمايد، يک کنسول MMC اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties ، دارای دو گزينه است : Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود دارد : Master Properties , Enable Bandwidth Throttling , Computer MIME Map   درموارديکه قصد ايجاد چندين وب سايت بر روی سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت های فوق، بسيار مفيد خواهد بود . خصلت های تعريف شده، بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده ،نسبت داده می شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندی هر يک از سايت های موجود بر روی سرويس دهنده ،صرفه جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود باشند ، می توان در زمان پيکربندی هر يک از سايت ها ، موارد دلخواه را اعمال نمود . بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به سرويس دهنده IIS ، مراحل زير را دنبال نمائيد :• نام سرويس دهنده IIS را در برنامه ISM ، انتخاب نمائيد . • از طريق منوی Action گزينه Properties را انتخاب نمائيد . • سرويس WWW و يا FTP را از طريق منوی مربوطه انتخاب و دکمه Edit را بمنظور پيکربندی Master Properties سرويس مربوطه ، فعال نمائيد . سرويس WWW از جعبه محاوره ای Master Properties ، بمنظور تنظيم مقادير پيش فرض برای تمام سايت های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در صفحه Master Properties ، می توان پيکربندی عمومی خصلت های مربوط به وب سايت( وب سايت ها ) را انجام داد . در صفحه فوق، گزينه های متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی در رابطه با عملکرد يک وب سايت می باشند : Web site ,Operators , Home Directory , Directory Security .   • Web site Tab . در اين جعبه محاوره ای ،Enable Logging تنها آيتمی است که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از تمام وب سايت های موجود بر روی سرويس دهنده ثبت می گردد . • Operators Tab . با استفاده از امکان فوق، می توان گروهها و يا account هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود بر روی سرويس دهنده ، مشخص کرد . در صورتيکه سرويس دهنده ، مسئوليت پشتيبانی از چندين وب سايت را برعهده داشته باشد،می بايست برای هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود . • Home Directory Tab . در اين محل می توان ، گزينه مربوط به ثبت (log) ملاقات های انجام شده در رابطه با سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن گزينه ثبت ملاقات کنندگان، می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا" ايجاد می گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که برای هر سايتی که ايجاد می گردد،گزينه ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write و Directory Browsing می بايست به همان حالت پيش فرض باقيمانده و ضرورتی به تنظيم آنها در اين محل نخواهد بود . (برای هر سايتی که در آينده ايجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز Directory Browsing امکان مشاهده ليستی از تمام فايل های موجود در يک فهرست خاص را برای کاربر، فراهم می نمايد.پيشنهاد می گردد ، در صفحه Master Properties ، تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهای اجراء نيز وجود دارد . پيشنهاد می گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای فوق ، می توان اين عمليات را بصورت خاص برای برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد . • Directoty Security Tab . روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران ( کنترل دستيابی به فايل هائی خاص ، فهرست ها و اسکريپت ها ) را مشخص می نمايند، دارای اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods گزينه Edit را از طريق ناحيه Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access ، می تواند به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس دهنده قرارگرفته و يا اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی ( يک شبکه مبتنی بر ويندوز) استفاده می گردد، می بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، می بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، اکثر وب سايت ها امکان دستيابی بصورت Anonymous را فراهم می نمايند . بجزء روش دستيابی Anonymouse ، از سه روش تاييد اعتبار ديگر نيز می توان استفاده کرد : توضيحات روشروش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی قادر به شناسائی  accountهای معتبر، بمنظور نفوذ در سايت خواهد بود. Basic Authentication  روش فوق، برای سرويس دهندگان WindowsDomain، مشابه BasicAuthenticationبا اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hashشده  بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی  که HTTP 1.1 را حمايت می نمايند، قابل استفاده می باشد  ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق،  سرويس دهنده IIS می بايست در يک Domain  ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی کنتترل کننده Domain  ذخيره گردند .بنابراين کنترل کننده Domain  ، می بايست بدرستی ايمن و حفاظت گردد . Digest authentication مشابه روش  Challange/Responesدر IIS 4.0 مربوط به ويندوز NTاست. روش فوق، صرفا" از طريق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود . Integrated windows authentication انتخاب يک روش اعتبار سنجی ، مبتنی برسياست های امنيتی تدوين شده بوده و نمی توان يک راه حل جامع را معرفی تا تمام وب سايت ها از آن تبعيت نمايند . سرويس FTP صفحه اصلی مربوط به تنظيمات خصلت های FTP ، دارای گزينه های بمراتب کمتری نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد . • FTP Site Tab . پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در اين بخش تنظيم کرد . • Security Tab . مشابه سرويس www ، می توان امکان دستيابی Anonymous را برای سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به فعال شدن مجوز دستيابی anonymous وجود داشته باشد ، می توان آن را در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بايست بر روی ماشينی که بر روی آن IIS نصب شده است موجود باشد .(وضعيت فوق بصورت پيش فرض بوده و نبايد آن را تغيير داد) . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمی گردد . دومين بخش صفحه فوق، شامل ليستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و يا account مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت، گروه و account ايجاد شده، بصورت اتوماتيک مشمول سايت جديد شده ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، می توان در رابطه با سايت جديد نيز استفاده کرد ) و می توان به ليست تعريف شده ، گروه و يا کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئی به چندين سايت FTP است ، پيشنهاد می گردد برای هر سايت، يک گروه مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد . • Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد: Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان سايت روشی مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . . • Directory Security Tab . در اين بخش امکان تعريف محدوديت دستيابی بر اساس TCP/IP ، وجود دارد .در اين راستا می توان، امکان دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ، کاربران و گروه های مجاز مشخص می گردند .Server Property Server Extensions دومين بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نمايد. ويژگی فوق، برای برنامه FrontPage مناسب است . بدين ترتيب يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می توان تنظيمات لازم را بمنظور بهره برداری از ويژگی فوق، انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند، در ناحيه Permission قرار دارند.در صورت استفاده از ويژگی فوق، می بايست گزينه های Log authoring actions ,Require SSL for authoring و Manage Permissinos manually فعال گردند . • Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال، نام وب ميزبان از راه دور و موارد ديگر، ثبت می گردد . • Manage permissions manually . تنظيمات مربوط به ابزارهای مديريتی FrontPage server extension ( نظير FronPage MMC) را غير فعال می نمايد . بنابراين ابزارهای فوق ، قادر به تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتی را نخواهند داشت ، توصيه می گردد حتما" گزينه فوق، فعال تا امکان تنظيمات امنيتی سيستم از برنامه های مربوطه، سلب گردد . • Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد خواهيم بود . • Allow authors to upload Executables . اين امکان را به مديران مربوطه خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده ، ارسال نمايند . گزينه فوق می بايست غير فعال شده باقی بماند . خلاصه جدول زير خلاصه تنظيمات Master Properties در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمنی نشان می دهد : تنظيمات پيشنهادی برای خصلت های اصلی WWWWeb site Tab Enable logging Home directory Tab Disable  Read, Write, Directory browsing optionsEnable Log visits None = Execute Permissions drop down box Directory security Tab If  will NOT allow Anonymous access, DisableAnonymous access ElseEnable it. تنظيمات پيشنهادی برای خصلت های اصلی FTPFTP site Tab Set  number of connections for max users on FTP serverSet maximum seconds for timeout , 600 seconds is reasonableEnable logging Home directory Tab Enable  Log visits Security Accounts  Tab Enable  Allow Anonymous ConnectionsEnable  Allow only anonymous connections تنظيمات پيشنهادی برای خصلت های اصلی Server ExtensionsEnable Log authoring actions Enable Require SSL for authoring Enable manage permissions manually Disable Allow authors to upload executable در بخش سوم اين مقاله به بررسی نحوه پيکربندی و مديريت سرويس های متفاوت IIS با رعايت مسائل امنيتی خواهيم پرداخت





این صفحه را در گوگل محبوب کنید

[ارسال شده از: راسخون]
[مشاهده در: www.rasekhoon.net]
[تعداد بازديد از اين مطلب: 748]

bt

اضافه شدن مطلب/حذف مطلب







-


گوناگون

پربازدیدترینها
طراحی وب>


صفحه اول | تمام مطالب | RSS | ارتباط با ما
1390© تمامی حقوق این سایت متعلق به سایت واضح می باشد.
این سایت در ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ثبت شده است و پیرو قوانین جمهوری اسلامی ایران می باشد. لطفا در صورت برخورد با مطالب و صفحات خلاف قوانین در سایت آن را به ما اطلاع دهید
پایگاه خبری واضح کاری از شرکت طراحی سایت اینتن