بخشی از پاورپوینت

 

اسلاید 1 :

مقدمه

IIS چیست؟

سرویس IIS که مخفف Internet Information Services می باشد و یک سرور برای کنترل کردن محتویات و دسترسی به سایت های وب یا  ftpشما بر روی هارد ایجاد می کند

برای مثال هنگامی که شما می خواهید سایتتان را منتشر کنید قبل از  upload کردن آن می خواهید آن را آزمایش کنید و اگر با  aspطراحی می کنید قبل از نصب Visual Studio.Net بهتر است این سرویس را نصب کنید و گرنه مشکلاتی را برای شما به همراه خواهد داشت .

اسلاید 2 :

پيکربندی IISبا رعايت مسائل امنيتی

  • اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سايت اختصاصی  خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،  اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا ساير سناريوهای ديگر، استفاده از يک سرويس دهنده وب است.
  • بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب می گردد کاربرانی که به سايت يک سازمان و يا موسسه متصل  و درخواست اطلاعاتی را  می نمايند ، خواسته  آنان در نهايت در اختيار سرويس دهنده وب  گذاشته می شود . سرويس دهنده وب، اولين نقطه ورود اطلاعات  و آخرين نقطه خروج اطلاعات از يک سايت  است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی ، بسيار حائز اهميت بوده  و تدابيرامنيتی خاصی را طلب می نمايد .در ادامه  به بررسی  نحوه پيکربندی سرويس دهنده وب IIS در شبکه های مبتنی بر ويندوز با تمرکز بر مسائل امنيتی ، خواهيم پرداخت.

اسلاید 3 :

IIS(Internet Information services) ، يکی از سرويس دهندگان وب است  که از آن برای برای نشر و توزيع سريع محتويات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سيستم های  مبتنی بر ويندوز 2000 قابل استفاده است . نسخه های ويندوز 2000 Serverو   Advanced serverبمنظور نصب IIS، مناسب و بهينه می باشند . نسخه پنج برای  استفاده در نسخه های قديمی ويندوز طراحی  نشده است . امکان نصب IIS نسخه پنج ،  بهمراه ويندوز  Professional نيز وجود داشته  ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ، اتصال به يک بانک اطلاعاتی ODBC و يا محدوديت در دستيابی از طريقIP   در آن لحاظ نشده است . 
نسخه پنج IIS ، سرويس های  WWW ، FTP، SMTP و NNTP را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير می شوند

Certificate Server , Index server وTransaction server  امنيت درIIS  متاثر از سيستم عامل است . مجوزهای فايل ها ،  تنظيمات ريجستری ،  استفاده از رمزعبور،  حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند . 

اسلاید 4 :

  قبل از پيکربندی مناسب IIS ،  لازم است که نحوه استفاده از سرويس دهنده دقيقا" مشخص گردد پيکربندی دايرکتوری های IIS ، فايل ها ،  پورت های TCP/IP  و Account کاربران

نمونه هائی در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود

  • آيا سرويس دهنده از طريق اينترنت قابل دستيابی است ؟
  • آيا سرويس دهنده از طريق اينترانت قابل دستيابی است ؟
  • چه تعداد وب سايت بر روی سرويس دهنده ميزبان خواهند شد ؟
  • آيا وب سايت ها  نيازمند استفاده از محتويات  بصورت اشتراکی می باشند ؟
  • آيا سرويس دهنده امکان دستيابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا" افراد مجاز حق استفاده از سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟
  • آيا امکان استفاده و حمايت از SSL(Secure Socket Layer) وجود دارد ؟
  • آيا سرويس دهنده صرفا" برای دستيابی به وب از طريق HTTP استفاده می گردد ؟
  • آيا سرويس دهنده ، سرويس FTP را حمايت می نمايد ؟
  • آيا کاربرانی وجود دارد که نيازمند عمليات خاصی نظير کپی، فعال  نمودن، حذف و يا نوشتن فايل هائی بر روی سرويس دهنده  باشند ؟

اسلاید 5 :

موارد زير در زمان نصب IISپيشنهاد  می گردد

  • کامپيوتری که IIS بر روی آن نصب شده است را در يک محل امن فيزيکی قرار داده و صرفا" افراد مجاز قادر به دستيابی فيزيکی به سرويس دهنده باشند .
  • در صورت امکان،   IISرا بر روی يک سرويس دهنده Standalone نصب نمائيد. در صورتيکه IIS بر روی يک سرويس دهنده از نوع Domain Controller نصب گردد و سرويس دهنده وب مورد حمله قرار گيرد، تمام سرويس دهنده بهمراه اطلاعات موجود در معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق،  نصب  IIS بر روی يک سرويس دهنده از نوع Domain controller ، باعث افزايش حجم عمليات سرويس دهنده و متعاقبا" کاهش کارآئی سيستم در ارائه سرويس های مربوط به وب خواهد شد .
  • برنامه های کاربردی و يا ابزارهای پياده سازی نمی بايست بر روی سرويس دهنده IIS نصب گردند .
  • کامپيوتر مربوط به نصب IIS را بگونه ای مناسب پارتيشن نموده تا هر يک از سرويس ها نظير www و يا FTP بر روی پارتيشن های مجزاء قرار گيرند .

اسلاید 6 :

  • IIS امکان نصب برنامه ها را در مکانی ديگر بجز پارتيشن C فراهم نمی نمايد ( مگراينکه يک نصب سفارشی داشته باشيم ).موضوع فوق به  عملکرد سيستم عامل مرتبط می گردد . مجوزهای پيش فرض در رابطه با Systemdriveاعمال می گردد موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرويس های IIS گردد. می بايست مطمئن شد که مجوزهای سيستم عامل با عمليات مربوط به سرويس های IIS ، رابطه ای  ندارند .
  • تمام پروتکل های پشته ای (Stack) غير از TCP/IP را از روی سيستم حذف نمائيد. ( در موارديکه برخی از کاربران اينترانت نيازمند برخی از اين نوع پروتکل ها می باشند می بايست با دقت اقدام به نصب و پيکربندی مناسب آن نمود ) .
  • روتينگ IP ، بصورت پيش فرض غيرفعال است و می بايست به همان حالت باقی بماند . در صورت فعال شدن  روتينگ ، اين امکان وجود خواهد داشت که داده هائی از طريق کاربران اينترانت به اينترنت ارسال گردد .
  • نصب Client for Microsoft networking ، بمنظور اجرای سرويس های HTTP,FTP,SMTP و NNTPضروری خواهد بود . در صورتيکه ماژول فوق نصب نگردد، امکان اجرای سرويس های فوق   بصورت دستی و يا اتوماتيک وجود نخواهد داشت .
  • در صورتيکه  تمايل به نصب سرويس های NNTP و SMTP ، می بايست سرويس File and Print Sharing for Microsoft نيز نصب گردند

اسلاید 7 :

عمليات قبل از نصب IIS


   در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام (ناشناس) به شبکه ايجاد می گردد . نام پيش فرض برای accountفوق، IUSER_computername  بوده که computername نام کامپيوتری است که IIS  بر روی آن نصب شده است . account فوق ، می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده  و  گزينه ها ی user cannot change password وpassword Never Expires  فعال شده باشد.  account  فوق همچنين می بايست از نوع local account بوده و domain-wide account را شامل نگرديده و دارای مجور ورود به شبکه بصورت محلی باشد log on locallyمجوزهای  Access this computer from the network  و يا log on as a   batch job  در رابطه با account ، فوق می بايست غير فعال گردند .  در صورتيکه سياست ارتباط با وب سايت ، صرفا" کاربران مجاز باشد، پيشنهاد می گردد account  فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه  قادر به ورود به سايت خواهند بود

اسلاید 8 :

گروه هائی برای فايل دايرکتوری و اهداف مديريتی


حداقل دو گروه جديد که درIIS  قصد استفاده از انان را داريم، می بايست ايجاد گردد : گروه WebAdmin  ) نام فوق کاملا" اختياری است ) . در گروه فوق،  کاربرانی که مسئوليت مديريت محتوياتWWW/FTP را دارند، تعريف می گردند . در صورتيکه سرويس دهنده ،  چندين سايت را ميزبان شده است، برای هر سايت يک گروه مديريتی ايجاد می گردد .  گروه WebUser ) نام فوق کاملا" اختياری است ) . در گروه فوق ليست account افراد  مجاز برای ارتباط با  سايت ، تعريف می گردد. در حالت اوليه ، گروه فوق صرفا" شاملIUSER_computername   است . از گروه های فوق برای تنظيمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername  نبايد عضو گروهی ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه های Guests، Everyone  و Users است  . پيشنهاد  می گردد account  فوق ، از گروه Guests  حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد) . دقت گردد که تمام افراد  موجود در گروه WebUsers می بايست صرفا" برای دستيابی به وب سايت تعريف شده باشند و نبايد عضوی از ساير گروهها باشند .  

اسلاید 9 :

مديريت IIS با چندين گروه


نسخه  شماره چهار IIS ، امکان تعريف گروههای محلی بمنظور پيکربندی و تعريف گروههای مديريتی متفاوت برای سرويس های IIS را فراهم می نمود .

 رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروه های محلی می توانند و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای محلی برای سرويس www و FTP صرفا"  استفاده از  مجوزهای NTFSخواهد بود . سرويس های SMTP و NNTP ، قابليت تنظيم گروههای محلی را بعنوان اپراتورهای مديريتی برای سرويس دهنده  IIS فراهم می نمايد .

اسلاید 10 :

دايرکتوری پيش فرض نصب IIS


پس از نصب IIS ، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS را در رابطه با دايرکتوری هائی که IIS نصب شده است ، انجام داد .  گروه های Everyone و Guests بهمراه account  مربوط به Guest می بايست  حذف گردند . گروه Everyone بصورت پيش فرض دارای تمامی مجوزهای لازم در رابطه با دايرکتوری Inetpub است . کاربران غير مجاز با استفاده  از ويژگی گروه فوق قادر به دستيابی به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف ) صورت پذيرد . دايرکتوری Inetpub ،  بر روی درايو پيش فرض نصب می گردد .دايرکتوری جديد و يا ساختار موجود می بايست به پارتيشن ديگر منتقل و عملا تمايزی بين سايت های در دسترس از محل سيستم های عملياتی را بوجود آورد  . پيشنهاد  می گردد Inetpub به نام دلخواه ديگری تغيير يابد

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید