کامپیوتر - iis چیست

IISوب سرور مایکروسافت می باشد و برای ایجاد،مدیریت ،و هاستینگ وب سایتها مورد استفاده قرار می گیرد این برنامه بر روی سی دی های ویندوزهای  2000به بالا که بر پایه NTهستند موجود می باشد

 پيکربندی IIS با رعايت مسائل امنيتی  ( بخش اول )
استفاده از شبکه های کامپيوتری از چندين سال قبل رايج و در ساليان اخير روندی تصاعدی پيدا کرده است .اکثر شبکه های پياده سازی شده در کشور  مبتنی برسيستم عامل شبکه ای  ويندوز می باشند .  شبکه های کامپيوتری، بستر و زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نمايد . امروزه  اطلاعات  دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپيوتری زير ساخت لازم را برای عرضه اطلاعات  بدست آورده اند . عرضه اطلاعات  توسط سازمان ها و موسسات می تواند بصورت محلی ويا  جهانی  باشد. با توجه به جايگاه والای اطلاعات از يکطرف و نقش شبکه های کامپيوتری ( اينترانت و يا اينترنت )  از طرف ديگر ، لازم است به مقوله امنيت در شبکه های کامپيوتری توجه جدی شده و هر سازمان با تدوين يک سياست امنيتی مناسب ، اقدام به پياده سازی  سيستم امنيتی نمايد . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعايت اصول اوليه  به همان ميزان و يا شايد بيشتر ، نگران کننده و مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه های کامپيوتری ، يکی از نگرانی های  بسيار مهم در رابطه با تکنولوژی اطلاعات بوده   که متاسفانه کمتر به آن  بصورت علمی پرداخته شده است . در صورتيکه دارای اطلاعاتی  با ارزش بوده  و قصد ارائه آنان  را بموقع  و در سريعترين زمان ممکن  داشته باشيم ،  همواره می بايست به مقوله امنيت، نگرشی عميق  داشته و با يک فرآيند  مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سايت اختصاصی  خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،  اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا ساير سناريوهای ديگر، استفاده از يک سرويس دهنده وب است  . بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب می گردد . کاربرانی که به سايت يک سازمان و يا موسسه متصل  و درخواست اطلاعاتی را  می نمايند ، خواسته  آنان در نهايت در اختيار سرويس دهنده وب  گذاشته می شود . سرويس دهنده وب،  اولين نقطه ورود اطلاعات  و آخرين نقطه خروج اطلاعات از يک سايت  است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی ، بسيار حائز اهميت بوده  و تدابيرامنيتی خاصی را طلب می نمايد .در ادامه  به بررسی  نحوه پيکربندی سرويس دهنده وب IIS در شبکه های مبتنی بر ويندوز با تمرکز بر مسائل امنيتی ، خواهيم پرداخت .

IIS)Internet Information services) ، يکی از سرويس دهندگان وب است  که از آن برای برای نشر و توزيع سريع محتويات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سيستم های  مبتنی بر ويندوز 2000 قابل استفاده است . نسخه های ويندوز 2000  Server و Advanced server  بمنظور نصب IIS  ، مناسب و بهينه می باشند . نسخه پنج برای  استفاده در نسخه های قديمی ويندوز طراحی  نشده است . امکان نصب IIS نسخه پنج ،  بهمراه ويندوز Professional نيز وجود داشته  ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ،  اتصال به يک بانک اطلاعاتی ODBC و يا محدوديت در دستيابی از طريق IP   در آن لحاظ نشده است .
نسخه پنج IIS ، سرويس های  WWW ، FTP، SMTP و NNTP را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير می شوند : Certificate Server , Index server و Transaction server .
امنيت در  IIS  متاثر از سيستم عامل است . مجوزهای فايل ها ،  تنظيمات ريجستری ،  استفاده از رمزعبور،  حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند .
قبل از پيکربندی مناسب IIS ،  لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد . پيکربندی دايرکتوری های IIS ، فايل ها ،  پورت های TCP/IP  و Account کاربران نمونه هائی در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :

  • آيا سرويس دهنده از طريق اينترنت قابل دستيابی است ؟

  • آيا سرويس دهنده از طريق اينترانت قابل دستيابی است ؟

  • چه تعداد وب سايت بر روی سرويس دهنده ميزبان خواهند شد ؟

  • آيا وب سايت ها  نيازمند استفاده از محتويات  بصورت اشتراکی می باشند ؟

  • آيا سرويس دهنده امکان دستيابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا" افراد مجاز حق استفاده از سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟

  • آيا امکان استفاده و حمايت از SSL)Secure Socket Layer) وجود دارد ؟

  • آيا سرويس دهنده صرفا" برای دستيابی به وب از طريق HTTP استفاده می گردد ؟

  • آيا سرويس دهنده ، سرويس FTP را حمايت می نمايد ؟

  • آيا کاربرانی وجود دارد که نيازمند عمليات خاصی نظير کپی، فعال  نمودن، حذف و يا نوشتن فايل هائی بر روی سرويس دهنده  باشند ؟

موارد زير در زمان نصب IIS پيشنهاد  می گردد :

  • کامپيوتری که IIS بر روی آن نصب شده است را در يک محل امن فيزيکی قرار داده و صرفا" افراد مجاز قادر به دستيابی فيزيکی به سرويس دهنده باشند .

  • در صورت امکان،  IIS را بر روی يک سرويس دهنده Standalone نصب نمائيد. در صورتيکه IIS بر روی يک سرويس دهنده از نوع Domain Controller نصب گردد و سرويس دهنده وب مورد حمله قرار گيرد، تمام سرويس دهنده بهمراه اطلاعات موجود در معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق،  نصب IIS بر روی يک سرويس دهنده از نوع Domain controller ، باعث افزايش حجم عمليات سرويس دهنده و متعاقبا" کاهش کارآئی سيستم در ارائه سرويس های مربوط به وب خواهد شد .

  •  برنامه های کاربردی و يا ابزارهای پياده سازی نمی بايست بر روی سرويس دهنده IIS نصب گردند .

  • کامپيوتر مربوط به نصب IIS را بگونه ای مناسب پارتيشن نموده تا هر يک از سرويس ها نظير www و يا FTP بر روی پارتيشن های مجزاء قرار گيرند .

  • IIS امکان نصب برنامه ها را در مکانی ديگر بجز پارتيشن C فراهم نمی نمايد ( مگراينکه يک نصب سفارشی داشته باشيم )  .موضوع فوق به  عملکرد سيستم عامل مرتبط می گردد . مجوزهای پيش فرض در رابطه با %Systemdrive%   اعمال می گردد ( مثلا" درايو C)  . موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرويس های IIS گردد. می بايست مطمئن شد که مجوزهای سيستم عامل با عمليات مربوط به سرويس های IIS ، رابطه ای  ندارند .

  • تمام پروتکل های پشته ای (Stack) غير از TCP/IP را از روی سيستم حذف نمائيد. ( در موارديکه برخی از کاربران اينترانت نيازمند برخی از اين نوع پروتکل ها می باشند می بايست با دقت اقدام به نصب و پيکربندی مناسب آن نمود ) .

  • روتينگ IP ، بصورت پيش فرض غيرفعال است و می بايست به همان حالت باقی بماند . در صورت فعال شدن  روتينگ ، اين امکان وجود خواهد داشت که داده هائی از طريق کاربران اينترانت به اينترنت ارسال گردد .

  • نصب Client for Microsoft networking ، بمنظور اجرای سرويس های HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در صورتيکه ماژول فوق نصب نگردد، امکان اجرای سرويس های فوق   بصورت دستی و يا اتوماتيک وجود نخواهد داشت .

  • در صورتيکه  تمايل به نصب سرويس های NNTP و SMTP ، می بايست سرويس File and Print Sharing for Microsoft نيز نصب گردند .

عمليات قبل از نصب IIS
در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد می گردد . نام پيش فرض برای account فوق ، IUSER_computername بوده که computername  نام کامپيوتری است که IIS بر روی آن نصب شده است . account فوق ، می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده  و  گزينه ها ی user cannot change password و password Never Expires  فعال شده باشد. account فوق همچنين می بايست از نوع local account بوده و domain-wide account را شامل نگرديده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای  Access this computer from the network و يا log on as a batch job در رابطه با account ، فوق می بايست غير فعال گردند .  در صورتيکه سياست ارتباط با وب سايت ، صرفا" کاربران مجاز باشد، پيشنهاد می گردد account فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه  قادر به ورود به سايت خواهند بود . 
گروه هائی برای فايل دايرکتوری و اهداف مديريتی
حداقل دو گروه جديد که در IIS قصد استفاده از انان را داريم، می بايست ايجاد گردد : گروه WebAdmin  ( نام فوق کاملا" اختياری است ) . در گروه فوق،  کاربرانی که مسئوليت مديريت محتويات WWW/FTP را دارند، تعريف می گردند . در صورتيکه سرويس دهنده ،  چندين سايت را ميزبان شده است، برای هر سايت يک گروه مديريتی ايجاد می گردد .  گروه WebUser ( نام فوق کاملا" اختياری است ) . در گروه فوق ليست account افراد  مجاز برای ارتباط با  سايت ، تعريف می گردد. در حالت اوليه ، گروه فوق صرفا" شامل IUSER_computername  است . از گروه های فوق برای تنظيمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نبايد عضو گروهی ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه های Guests، Everyone  و Users است  . پيشنهاد  می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد ) . دقت گردد که تمام افراد  موجود در گروه WebUsers می بايست صرفا" برای دستيابی به وب سايت تعريف شده باشند و نبايد عضوی از ساير گروهها باشند .  
مديريت IIS با چندين گروه
نسخه  شماره چهار IIS ، امکان تعريف گروههای محلی بمنظور پيکربندی و تعريف گروههای مديريتی متفاوت برای سرويس های IIS را فراهم می نمود . رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروهها ی محلی می توانند و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای محلی برای سرويس www و FTP صرفا"  استفاده از  مجوزهای NTFS  خواهد بود . سرويس های SMTP و NNTP ، قابليت تنظيم گروههای محلی را بعنوان اپراتورهای مديريتی برای سرويس دهنده  IIS فراهم می نمايد .
نصب تمام Patch ها برای سيستم عامل و IIS
مديران IIS ،  می بايست همواره بررسی های لازم در خصوص آخرين نسخه های  fixes و  patch  را انجام داده  و پس از تهيه ، اقدام به نصب آنان نمايند . بدين منظور می توان از بخش Security سايت ماکروسافت ملاقات و برنامه های جديد را اخذ و نصب نمود .
دايرکتوری پيش فرض نصب IIS
پس از نصب IIS ، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS را در رابطه با دايرکتوری هائی که IIS نصب شده است ، انجام داد .  گروه های Everyone و Guests بهمراه account  مربوط به Guest می بايست  حذف گردند . گروه Everyone بصورت پيش فرض دارای تمامی مجوزهای لازم در رابطه با دايرکتوری Inetpub است . کاربران غير مجاز با استفاده  از ويژگی گروه فوق قادر به دستيابی به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف )  صورت پذيرد . دايرکتوری Inetpub ،  بر روی درايو پيش فرض نصب می گردد . ( مثلا" درايو C ) . دايرکتوری جديد و يا ساختار موجود می بايست به پارتيشن ديگر منتقل و عملا" تمايزی بين سايت های در دسترس از محل سيستم های عملياتی را بوجود آورد  . پيشنهاد  می گردد Inetpub به نام دلخواه ديگری تغيير يابد .
دايرکتوری های  IIS نسخه پنج  را می توان در يک محل خاص ( سفارشی ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا" از طريق يک نصب سفارشی  ميسر می گردد ) . بدين منظور از يک فايل پاسخ استفاده می شود. فايل پاسخ ( مثلا" iis5.txt) می بايست دارای اطلاعات زير باشد :

اطلاعات ضروری در فايل پاسخ بمنظور تغيير محل نصب IIS

[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e. f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e. f:\WWWRoot}

در ادامه از دستور زير برای نصب استفاده می گردد . ( از طريق خط دستور )

Sysocmgr/I:%windir%\inf\sysoc.inf /u:a:\iis5.txt

جدول زير مجوزهای لازم NTFS و IIS در رابطه با دايرکتوری های مربوطه را نشان می دهد :

Type of
Data

Example Directories

Data Examples

NTFS File Permissions

IIS 5.0
Permissions

Static Content

\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles

HTML, images, FTP
downloads, etc.

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read)

Read
FTP Uploads
(if required)

\Inetpub\ftproot\dropbox

Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone

Administrators (Full Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write)

Write
Script Files

\Inetpub\wwwroot\scripts

.ASP

Administrators (Full Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Other
Executable and
Include Files

\WebScripts\executables
\WebScripts\include

.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm

Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)

Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity)

Metabase

\WINNT\system32\inetsrv

MetaBase.bin

Administrators (Full Control)
System (Full Control)

N/A

دايرکتوری ها ئی  که شامل فايل های فقط خواندنی هستند ( فايل های Html ، تصاوير،  فايل های آماده برای Download توسط FTP و ... ) ، می بايست دارای مجوز فقط خواندنی بمنظور دستيابی گروه WebUsers باشند . هر نوع از فايل های فوق می تواند  دارای دايرکتوری اختصاصی خود با مجوز فقط خواندنی باشند  . مجوزهای لازم Read&Execute write و Modify را می بايست به گروهی که مسئوليت مديريت محتويات وب را برعهده دارد اعطاء گردد ( مثلا" گروه WebAdmin) . برای فايل های اجرائی ( اسکريپت ها ، فايل های batch و ... ) ، می بايست  يک دايرکتوری اختصاصی ايجاد کرد . دايرکتوری های فوق  صرفا" دارای مجوز Travesr Folder/Execute مربوط به NTFS برای کاربرانی می باشند  که مجوز لازم بمنظور دستيابی به سايت را دارا می باشند ( کاربر IUSER_computername و ساير کاربران تعريف شده در گروه WebUsers ) . دايرکتوری فوق همچنين می بايست دارای مجوز های مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، می بايست صرفا" به دايرکتوری هائی که به اين مجوز نياز دارند اعطاء گردد. مثلا" يک دايرکتوری که شامل فايل های باينری بوده و می بايست اين فايل ها توسط سرويس دهنده وب اجراء گردند .
تمام دايرکتوريهائی که دارای نمونه مثال هائی بوده و يا هر اسکريپت استفاده شده بمنظور اجرای برنامه های نمونه را می بايست حذف و يا انتقال داد . در زمان نصب IIS دايرکتوری های متعددی ايجاد که در آنها فايل های نمونه بهمراه اسکريپت ها قرار می گيرد. پيشنهاد می گردد دايرکتوری های فوق حذف و يا مکان آنها تغيير يابد .  دايرکتوری های زير نمونه هائی در اين زمينه می باشند :

\InetPub\iissamples
\InetPub\AdminScripts

سرويس های IIS
در زمان نصب IIS ، چهار سرويس بر روی سيستم نصب خواهد شد  :

  • www . سرويس فوق،بمنظور ايجاد يک سرويس دهنده وب  و سرويس دهی لازم به درخواست سرويس گيرندگان برای صفحات وب استفاده می گردد .

  • FTP . سرويس فوق، بمنظور ارائه خدمات  لازم در خصوص ارسال و دريافت فايل بر روی سرويس دهنده برای کاربران استفاده می گردد .

  • SMTP . سرويس فوق،امکان ارسال و دريافت نامه الکترونيکی برای سرويس گيرندگان را در پاسخ به فرم ها و برنامه های خاص ديگر فراهم می نمايد .

  • NNTP . سرويس فوق، بمنظور ميزبانی يک سرويس دهنده خبری USENET  استفاده می گردد .

در زمان نصب IIS ، می توان تصميم به نصب برخی از سرويس ها  و يا همه  آنها گرفت . پس از نصب IIS ، در صورتيکه به وجود برخی از سرويس ها نياز نباشد، می توان آنها را غير فعال نمود. بدين منظور می بايست مراحل زير را  دنبال کرد :

  • انتخاب گزينه Services از طريق مسير زير :

Programs => Administrative Tools => Services

  • انتخاب سرويسی  که قصد غير فعال کردن آن را داريم . در ادامه با فعال کردن کليد سمت راست موس ،  گزينه Stop را بمنظور توقف سرويس فعال نمائيد .

  • بمنظور اطمينان از عدم اجرای سرويس غير فعال شده در زمان راه اندازی مجدد سيستم،  سرويس را مشخص و پس از فعال کردن کليد سمت راست موس،  گزينه Properties را انتخاب ودر بخش Startup type  وضعيت اجرای سرويس را از حالت Automatic به Disable تغيير دهيد . شکل زير نحوه غير فعال نمودن سرويس www  را نشان می دهد .

ايمن سازی متابيس
متابيس (Metabase) ،  مقادير مربوط به پارامترهای  پيکربندی برنامه IIS  را  ذخيره می نمايد . متابيس بمنظور استفاده  در  IIS طراحی و بمراتب سريعتر و انعطاف پذيرترنسبت به ريجستری ويندوز 2000 است . هر گره در ساختار متابيس ،
 يک کليد (key) ناميده شده و می تواند دارای يک و يا چندين مقدار مربوط به پيکربندی بوده که خصلت ناميده می شوند . کليدهای متابيس IIS به عناصر و قابليت های مربوط به IIS اختصاص داده شده و هر کليد شامل خصلت هائی است که تاثير مستقيمی  بر روی سرويس و پتانسيل  مربوطه ، خواهد داشت . ساختار استفاده شده در متابيس بصورت سلسله مراتبی بوده و تصويری مناسب از ساختار IIS است که بر روی سيستم نصب شده است . اکثر کليدهای پيکربندی IIS بهمراه مقادير مربوطه در نسخه های قبلی  IIS ، در ريجستری سيستم ذخيره می گرديدند. در نسخه پنج ، تمام مقادير فوق در متابيس ذخيره می گردند . کليدهای ديگری نيز  بمنظور افزايش کنترل انعطاف پذيری IIS  در متابيس ذخيره می گردد . يکی از مزايای ساختار استفاده شده در متابيس ، اختصاص تنظميات متفاوت يک خصلت خاص برای  نمونه های متفاوتی از کليد ها ی مشابه  است . مثلا" خصلت MaxBandwidth ،حداکثر پهنای باند قابل دسترس را برای يک سرويس دهنده مشخص و می تواند به تراکنش های متعدد وب تعميم يابد . متابيس ، قادر به نگهداری مقادير متفاوت MaxBandwidth برای هر يک از سايت های وب می باشد .
متابيس در يک فايل خاص با نام Metabase.bin و در آدرس winnt\system32\ineterv \  ذخيره می گردد . پس از استقرار  IIS در حافظه ، متابيس نيز از روی ديسک خوانده شده و در حافظه مستقر می گردد . پس از غيرفعال شدن IIS ، متابيس مجددا" بر روی ديسک ذخيره خواهد شد . ( متابيس بدفعاتی که IIS اجراء خواهد شد بر روی ديسک ذخيره  می گردد) . با توجه به نقش حياتی فايل فوق برای برنامه IIS  ، حفاظت  و کنترل دستيابی به آن دارای اهميت فراوان است . در صورتيکه فايل فوق ،  با يک فايل ديگر ( نامعتبر)  جايگزين گردد، عملکرد صحيح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سريعا" متاثر از تغييرات خواهد شد . (اولين مرتبه ای که IIS پس از اعمال تغييرات اجراء می گردد ) . در چنين مواردی ممکن است  سرويس مربوطه از طريق سرويس دهنده ، اجراء نشود. پيشنهاد  می گردد که فايل Metabsat.bin   بر روی پارتيشننی از نوع NTFS ذخيره  و با استفاده از امکانات امنيتی ويندوز 2000 آن را حفاظت کرد . مجوزهای پيش فرض برای فايل فوق ،  System و Administrator Full Access می باشد . محدوديت دستيابی به System و local Administrators  امنيتی قابل قبول در رابطه با فايل فوق را ايجاد و ضرورتی به تغيير و يا اضافه نمودن تنظيمات جديدی نخواهد بود . 
بمنظورايجاد پوسته حفاظتی مطلوبتر امنيتی در رابطه با فايل فوق ،  پيشنهاد  می گردد  فايل فوق  برای کاربران غير مجاز  مخفی شود . انتقال و يا تغيير نام فايل نيز می تواند امنيت فايل فوق ر ا مضاعف نما يد . بدين منظور می بايست در ابتدا برنامه IIS متوقف و پس از تغيير نام و يا انتقال فايل فوق ،  تغييرات لازم را در کليد ريجستری  زير اعمال نمود . 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters

در ادامه يک مقدار جديد REG_SZ  برای کليد فوق با نام MetadataFile  ايجاد و مسير کامل فايل  را که شامل نام درايو و نام فايل است  ، بعنوان نام جديد فايل متابيس معرفی  نمائيم . بدين ترتيب برنامه IIS آگاهی لازم در خصوص نام و آدرس فايل متابيس را پيدا و در زمان را اندازی از آن استفاده خواهد کرد .

پيشنهادات تکميلی در رابطه با امنيت برنامه IIS

  • بر روی سرويس دهنده IIS صرفا" IIS و عناصر مورد نياز را نصب و از نصب برنامه ها و ابزارهای پياده سازی ممانعت بعمل آيد .

  • تمام سرويس های غير ضروری را غير فعال نمائيد .

  • در رابطه با IUSER_Computername  account  ،  گزينه های User cannot change password و Password Never Expires را انتخاب و فعال نمائيد .

  • در صورتيکه تمايلی  به ورود افراد گمنام (anonymous) به شبکه وجود نداشته باشد ،  می بايست account مربوطه را غير فعال نمود (IUSER_Computername) .

  • برای هر وب سايت local admin groups ايجاد و account مربوطه را مشخص نمائيد .

  • برای کاربران وب يک local group ايجاد و صرفا" account های مورد نياز و مجاز نظير IUSER_Computername را در آن فعال نمائيد .

  • از تمام گروه های ديگر، account مربوط به IUSER_Computername را حذف نمائيد .

  • تمام مجوزهای NTFS مربوط به دايرکتوری Inetpub را حذف و صرفا" گروه ها و account های مجاز را به آن نسبت دهيد .

  • يک ساختار منطقی برای دايرکتوری ايجاد نمائيد . مثلا" برای  محتويات ايستا ، فايل های  asp  ، scripts  و Html  ، اسامی دايرکتوری ديگری ايجاد و با يک ساختار مناسب بيکديگر مرتبط گردند.

  • مجوزهای لازم NTFS بر روی ساختار دايرکتوری ها  را در صورت نياز اعمال نمائيد .

  • تمام دايرکتوری های نمونه و اسکريپت هائی که نمونه برنامه هائی را اجراء می نمايند ،  حذف نمائيد .

  • مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service  و  Access this computer from the  network از کاربر سلب گردد .

  • پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )

     مديريت شبکه

    16504

    36

    4

    پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )

    در بخش اول اين مقاله، پيکربندی IIS با رعايت مسائل امنيتی تشريح  گرديد . در بخش دوم ، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .
    کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکی با نام کنسول را ارائه می نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعی از کنسول مديريت می باشند) .اين نوع فرآيند ها، Snap-ins ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی نبوده ولی محيط لازم برای Snap-ins را فراهم می نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager)  ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می کنيم :

    Start => Programs => Administrative Tools =>Internet Service Manager  

      شکل زيرصفحه اصلی برنامه  ISM را نشان می دهد .

    معرفی برنامه ISM)Internet Service Manager)
    زمانيکه برنامه IIS  فعاليت خود را آغاز می نمايد،  يک کنسول MMC  اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties ، دارای دو گزينه است :  Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود  دارد :

    Master Properties , Enable Bandwidth Throttling , Computer MIME Map  

    درموارديکه قصد ايجاد چندين وب سايت بر روی سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت های فوق، بسيار مفيد خواهد بود . خصلت های تعريف شده، بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده ،نسبت داده می شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندی هر يک از سايت های موجود بر روی سرويس دهنده ،صرفه جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود  باشند ، می توان در زمان پيکربندی هر يک از سايت ها ، موارد دلخواه را اعمال نمود .
    بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به سرويس دهنده IIS ،  مراحل زير را دنبال نمائيد :

    • نام سرويس دهنده IIS را در برنامه ISM ،  انتخاب نمائيد .

    • از طريق منوی Action گزينه Properties را انتخاب نمائيد .

    • سرويس WWW و يا FTP را از طريق منوی مربوطه انتخاب و دکمه Edit را بمنظور پيکربندی Master Properties   سرويس مربوطه ، فعال نمائيد .

    سرويس WWW
    از جعبه محاوره ای  Master Properties ، بمنظور تنظيم مقادير پيش فرض برای تمام سايت های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در صفحه  Master Properties ،  می توان پيکربندی عمومی  خصلت های مربوط به وب سايت( وب سايت ها )  را انجام داد . در صفحه فوق، گزينه های متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی در رابطه با عملکرد يک وب سايت می باشند :

    Web site ,Operators , Home Directory , Directory Security .  

    • Web site Tab . در اين جعبه محاوره ای ،Enable Logging تنها آيتمی است  که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از  تمام وب سايت های موجود بر روی سرويس دهنده ثبت می گردد .

    • Operators Tab . با استفاده از امکان فوق، می توان گروهها و يا account هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود بر روی سرويس دهنده ، مشخص کرد .  در صورتيکه سرويس دهنده ، مسئوليت پشتيبانی از چندين وب سايت را برعهده داشته باشد،می بايست برای هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .

    • Home Directory Tab . در اين محل می توان ، گزينه مربوط به ثبت (log)  ملاقات های انجام شده در رابطه با  سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن  گزينه ثبت ملاقات کنندگان، می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا" ايجاد می گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که برای هر سايتی که ايجاد می گردد،گزينه  ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write و Directory Browsing  می بايست به همان حالت پيش فرض باقيمانده و ضرورتی به  تنظيم آنها در اين محل نخواهد بود . (برای هر سايتی که در آينده ايجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read  امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز Directory Browsing  امکان مشاهده ليستی از تمام فايل های موجود در يک فهرست خاص را برای کاربر، فراهم می نمايد.پيشنهاد می گردد ، در صفحه Master Properties ، تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهای اجراء  نيز وجود دارد . پيشنهاد می گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای فوق ، می توان اين عمليات را بصورت خاص برای برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد .

    • Directoty Security Tab . روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران  ( کنترل دستيابی به فايل هائی خاص ، فهرست ها و اسکريپت ها  )  را مشخص می نمايند، دارای  اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods  گزينه Edit  را از طريق ناحيه  Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access  ، می تواند  به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس دهنده قرارگرفته  و يا  اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی  ( يک شبکه مبتنی بر ويندوز)  استفاده می گردد، می بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، می بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، اکثر وب سايت ها امکان دستيابی بصورت  Anonymous را فراهم می نمايند . بجزء روش دستيابی Anonymouse ، از سه روش تاييد اعتبار ديگر نيز می توان استفاده کرد :

    توضيحات

    روش

    روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی قادر به شناسائی  account های معتبر، بمنظور نفوذ در سايت خواهد بود.

    Basic Authentication

     روش فوق، برای سرويس دهندگان Windows Domain ، مشابه Basic Authentication با اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hash شده  بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی  که HTTP 1.1 را حمايت می نمايند، قابل استفاده می باشد  ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق،  سرويس دهنده IIS  می بايست در يک Domain  ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی کنتترل کننده Domain  ذخيره گردند .بنابراين کنترل کننده Domain  ، می بايست بدرستی ايمن و حفاظت گردد .

    Digest authentication

    مشابه روش  Challange/Respones در IIS 4.0 مربوط به ويندوز NT است. روش فوق، صرفا" از طريق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .

    Integrated windows authentication

    انتخاب يک روش اعتبار سنجی ، مبتنی برسياست های امنيتی تدوين شده  بوده  و نمی توان يک راه حل جامع را معرفی  تا تمام وب سايت ها از آن تبعيت نمايند .

    سرويس FTP
    صفحه اصلی مربوط به تنظيمات خصلت های FTP  ، دارای گزينه های بمراتب کمتری نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties  سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد .

    • FTP Site Tab . پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در اين بخش تنظيم کرد .

    • Security Tab . مشابه سرويس www ، می توان امکان دستيابی Anonymous را برای سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به فعال شدن مجوز دستيابی anonymous وجود داشته باشد ،  می توان آن را در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection  انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران  و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بايست بر روی ماشينی که بر روی آن IIS نصب شده است موجود باشد .(وضعيت  فوق بصورت پيش فرض بوده و نبايد آن را  تغيير داد)  . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمی گردد . دومين بخش صفحه فوق، شامل ليستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و يا  account  مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت، گروه و account  ايجاد شده،  بصورت اتوماتيک مشمول سايت جديد شده  ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، می توان در رابطه با سايت جديد نيز استفاده کرد ) و می توان به ليست تعريف شده ، گروه و يا کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئی به چندين سايت FTP است ، پيشنهاد می گردد  برای هر سايت،  يک گروه مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد .

    • Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد:  Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان سايت روشی مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .

    • Directory Security Tab . در اين بخش امکان تعريف محدوديت دستيابی بر اساس  TCP/IP ،  وجود دارد .در اين راستا می توان،  امکان دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم  و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها  را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ،  کاربران و گروه های مجاز مشخص می گردند .

    Server Property Server Extensions 
    دومين بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نمايد. ويژگی فوق،  برای برنامه FrontPage مناسب است . بدين ترتيب  يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می توان تنظيمات لازم را بمنظور  بهره برداری از ويژگی فوق، انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند، در ناحيه Permission قرار دارند.در صورت استفاده از  ويژگی فوق، می بايست گزينه های Log authoring actions  ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

    • Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال،  نام وب ميزبان از راه دور و موارد ديگر، ثبت می گردد .

    • Manage permissions manually . تنظيمات مربوط به ابزارهای مديريتی FrontPage server extension ( نظير FronPage MMC) را غير فعال می نمايد . بنابراين ابزارهای فوق ، قادر به تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتی را نخواهند داشت ، توصيه می گردد حتما" گزينه فوق،  فعال تا امکان تنظيمات امنيتی سيستم از برنامه های مربوطه،  سلب گردد . 

    • Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد خواهيم بود .

    • Allow authors to upload Executables . اين امکان را به مديران مربوطه  خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده ، ارسال نمايند . گزينه فوق می بايست غير فعال شده باقی بماند .

    خلاصه
    جدول زير خلاصه تنظيمات Master Properties  در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمنی نشان می دهد :

    تنظيمات پيشنهادی برای خصلت های اصلی WWW

    Web site Tab

    Enable logging

    Home directory Tab

    Disable  Read, Write, Directory browsing options
    Enable Log visits
    None = Execute Permissions drop down box

    Directory security Tab

    If  will NOT allow Anonymous access, Disable
    Anonymous access
    Else Enable it.

    تنظيمات پيشنهادی برای خصلت های اصلی FTP

    FTP site Tab

    Set  number of connections for max users on FTP server
    Set maximum seconds for timeout , 600 seconds is reasonable
    Enable logging

    Home directory Tab

    Enable  Log visits

    Security Accounts  Tab

    Enable  Allow Anonymous Connections
    Enable  Allow only anonymous connections

    تنظيمات پيشنهادی برای خصلت های اصلی Server Extensions

    Enable Log authoring actions
    Enable Require SSL for authoring
    Enable manage permissions manually
    Disable Allow authors to upload executable

 

+ نوشته شده توسط نیما در یکشنبه بیست و نهم فروردین 1389 و ساعت 20:29 |


Powered By
BLOGFA.COM