در اين مقاله سعي خواهم داشت نكاتي را كه مديريان شبكه مي توانند در جهت بالا بردن امنيت سرورهاي خود مورد توجه قرار دهند را بيان كنم .
حذف برخي از Script Mapping ها
سرور اي-اي-اس از قبل جهت پشتيباني فايل هاي نظير ASP يا SHTML تنظيم شده است . هنگامي كه سرور درخواستي را مبتني بر اين فايل ها دريافت مي كند اين درخواست توسط يك DLL مورد انجام قرار مي گيرد كه در بسياري از موارد داراي حفره هاي امنيتي مي باشند كه دسترسي به سيستم را ميسر مي كند .
. Internet Services Manager را باز كنيد
2 . Properties را انتخاب كنيد
3 . WWW Service را انتخاب نموده و Edit را كليك كنيد
4 . در Configuration , HomeDirectory را انتخاب نماييد
اين اسكريپت مپينگ ها را حذف نماييد :
Web-based password reset: .htr
Internet Database Connector: .idc
Server-Side Includes: .stm, .shtm and .shtml
Internet Printing: .printer
Index Server: .htw, .ida and .idq
غير فعال سازي WebDav
پروتكول وب داو استانداردي را جهت ويرايش و مديريت فايل ها در محيط وب را فراهم مي كند , اما آسيب پذيري در آن وجود دارد كه به نفوذگر اجازه دسترسي به سيستم و يا حملات DoS را مي دهد . جهت غير فعال سازي آن اين مراحل را دنبال كنيد :
1 . Regedit را در منوي ران وارد کنيد
2 . بعد به
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters
برويد
3 . در منوي اديت يک Value را با چنين مشخصاتي وارد کنيد
Data Type: DWORD
Value Name: DisableWebDAV
Value Data: 1 ( 0 means WebDAV is enabled )
غير فعال سازي سرويس DCOM
يكي از آسيب پذيري مشهور ويندوز در سرويس دي كام است و با اينكه هات فيكس جهت رفع مشكل آن عرضه شده است باز هم امكان اسيب رساندن وجود دارد كه بهترين راه غير فعال سازي آن است :
1 . Regedit را در منوي ران وارد کنيد
2 . بعد به
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] برويد
3 . اين تغيير را ايجاد كنيد :
''EnableDCOM''=''N''
حذف ديگر Sample Application ها
جهت بالا بردن امنيت بيشتر فولدر C:\winnt\help\iishelp را نيز حذف نماييد
غير فعال سازي NetBIOS Null
اين آسيب پذيري امكان ايجاد حملات DoS و يا كرك پسورد هاي Share را مي دهد . جهت غير فعال سازي آن اين تغييرات را در رجيستري ايجاد نماييد :
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA
Value Name: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 2 (for Windows 2000) or 1 (for Windows NT)
غير فعال سازي كامپوننت هاي COM
بعضي از كامپوننت هاي كام مورد احتياج نيستند و بايد حذف شوند . جهت اين كار فرمان زير را وارد كنيد :
regsvr32 scrrun.dll /u
حذف دايركتوري مجازي IISADMPWD
اين دايركتوري در ويندوز 2000 و NT اجازه ريست پسورد ها را مي دهد . هنگامي كه IIS 5 نصب مي شود به صورت پيش فرض اين دايركتوري ايجاد نمي شود اما در بروز رساني IIS 4.0 به 5 اين دايركتوري وجود دارد . اگر شما از سرورتان جهت اينترانت استفاده نمي كنيد بايد آن را حذف نماييد .
غير فعال نمودن سرويس مسنجر
اين سرويس اخطارها و پيام ها را بين سيستم ها و كلاينت ها انتقال مي دهد كه در بسياري از موارد چندان مورد احتياج نيست كه اخيرا يك مشكل امنيتي در آن پيدا شده است كه به نفوذگر اجازه اجراي كد سيستمي را مي دهد . جهت غير فعال نمودن سرويس مسنجر اين مراحل را دنبال كنيد :
1 . به كنترل پنل برويد
2 . به Administrative Tools برويد
3 . به قسمت Services وارد شويد
4. سرويس Messenger را Stop نماييد .
|
موضوع: امنيت برتر در سرورهاي IIS
