1 / 66

A. Pagirys, I. Pagirienė, D. Žiemienė

PASAULINIO ŽINIATINKLIO TARNYBINĖ STOTIS (WEB SERVERIS). WINDOWS 2000 SERVER IIS 5.0 ĮDIEGIMAS, KONFIGŪRAVIMAS, APSAUGOS REKOMENDACIJOS. VARTOTOJŲ REGISTRAVIMAS. A. Pagirys, I. Pagirienė, D. Žiemienė. KTU ITPI Kompiuteri ų aptarnavimo centro Fakultetų aptarnavimo skyrius.

diem
Download Presentation

A. Pagirys, I. Pagirienė, D. Žiemienė

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. PASAULINIO ŽINIATINKLIO TARNYBINĖ STOTIS (WEB SERVERIS). WINDOWS 2000 SERVER IIS 5.0 ĮDIEGIMAS, KONFIGŪRAVIMAS, APSAUGOS REKOMENDACIJOS. VARTOTOJŲ REGISTRAVIMAS A. Pagirys, I. Pagirienė, D. Žiemienė KTUITPI Kompiuterių aptarnavimo centro Fakultetų aptarnavimo skyrius 1

  2. Siekiant išplėsti Internetines paslaugas, fakultetuose numatyta įrengti specializuotas WEB tarnybinės stotis (serverius). Tai leistų užtikrinti geresnį informacijos prieinamumą, patikimumą, didesnį duomenų saugumą. WEB serverių resursai skirti kaupti žinių bazę, tenkinti įvairius akademinius ir profesinius darbuotojų poreikius, gerinti studijų kokybę. Fakultetų WEB serverius administruos ITPI Kompiuterių aptarnavimo centras. Seminaro tikslas supažindinti skyriaus darbuotojus su: • Windows 2000 Server IIS 5.0 įdiegimu ir konfigūravimu, laikantis vieningos visiems fakultetams sudarytos virtualių katalogų kūrimo struktūros pagal studijų programų modulių kodus. • Vartotojų grupių ir sąskaitų kūrimo vieninga struktūra. • IIS 5.0 apsaugos rekomendacijomis. • Sukurta vieninga visiems fakultetams vartotojų registravimo tvarka.

  3. Internetas yra didžiausias pasaulyje kompiuterių tinklas, kuris naudoja protokolų rinkinįTCP/IP (Transmission Control Protocol/Internet Protocol – duomenų perdavimo protokolas/interneto protokolas) bendravimui tarp kompiuterių internete. • Pasaulinis žiniatinklis (Word Wide Web, WWW arba Web) yra interneto dalis, kurią sudaro milžiniškas dokumentų, saugomų viso pasaulio kompiuteriuose, rinkinys. • Web serveris (žiniatinklio tarnybinė stotis) – tai kompiuteris su TCP/IP palaikančia operacine sistema, prijungtas prie Interneto nenutrūkstamu ryšiu, turintis adresą Internete ir dirbantis visą parą. Jame turi būti įdiegta speciali programinė įranga, palaikanti HTTP (Hyper Text Transport Protocol) protokolą. • Tinklalapiai saugomi WEB serveriuose. • Web saitas – Interneto objektų vieta interneto tinkle. • URL (Uniform Resource Locator) – Interneto išteklių adresas. • Informacinė tarnybinė stotis interneto tinklui (Internet Informacion Server, IIS) sukurta integruotų tarnybų, palaikančia informacinius protokolus HTTP, FTP (File Transfer Protocol) organizavimui. • IIS 5.0 yra Windows 2000 Server operacinės sistemos dalis.

  4. I. INFORMACINĖS TARNYBINĖS STOTIES IIS 5.0 ĮDIEGIMAS • Įdiegus Windows 2000 Serverįdiegiama IIS tarnybinė stotis: • Start  Settings  Control Panel  Add/Remove Programs: Add/Remove Windows Components Pažymėti informacinės tarnybinės stoties (IIS) įdiegimą.

  5. Priklausomai nuo tarnybinės stoties paskirties, įdiegimo metu atjungiame nereikalingas tarnybas, tai padidina saugumo lygį ir spartina sistemos darbą: • FTP (bylų perdavimo protokolas); • NNTP (naujienų perdavimo protokolas); • SMTP (paprastas pašto protokolas); •  Word Wide Web Server – bus įdiegta pasaulinė žiniatinklio tarnybinė stotis.

  6. II. PASAULINIO ŽINIATINKLIO TARNYBINĖS STOTIES (WEB SERVER) KONFIGŪRAVIMAS • Start  Programs  Administrator Tools  Internet Services Manager. • IIS sukuria virtualius saitus : • default Web Site; • administration Site. • Formuojame Default Web Site, tai bus pagrindinė fakulteto žiniatinklio tarnybinė stotis. * mechanikas – tarnybinės stoties vardas

  7. Konfigūruojame Web saitą: • Įvedame serverio vardą (Description). Jį registruojame Litnet skyriuje. • Įjungiame užklausų registraciją (Enable Logging).

  8. Užklausos registruojamos byloje exyymmdd.log.

  9. Nustatome pagrindinį (root) katalogą, kuriame bus talpinama informacija. Pagal nutylėjimą jis bus sukurtas: • Saugumo sumetimais siūlome pakeisti (D:\Inetpub\wwwroot). • Web serverio leidimų vartotojams nekeičiame.

  10. Siūlome nustatyti pagrindinę bylą (default.html), kurioje bus publikuojama pradinė Web saito informacija. • Įtraukiame į sąrašą trūkstamus reikalingus bylų plėtinius.

  11. IIS sukuria anoniminiams vartotojo prisijungimams sąskaitą IUSR_computername, kur computername – Jūsų kompiuterio vardas. Šis vartotojas priskiriamas Guest grupei • Nustatome anoniminio vartotojo prieigą prie informacijos. Pažymėję Allow IIS controlpassword, galėsime peržiūrėti tinklalapį be slaptažodžio

  12. TVARKYKLĖSFRONT PAGE PLĖTINIŲ ĮDIEGIMAS NAUJAI WEB TARNYBINEI STOČIAI • Kad vartotojas galėtų publikuoti savo tinklalapį Front Page tvarkykle, WEB tarnybinei stočiai turime įdiegti Front Page plėtinius. • Nurodome grupę, kuri prižiūrės WEB tarnybinę stotį.

  13. Įrašome grupę ar vartotoją, kuris administruos šią WEB tarnybinę stotį. • Pašto serviso nediegiame, taigi į klausimą atsakome: “No”.

  14. Sukurtam serveriui patikriname plėtinius, įvykdome “Check Server Extentions”:

  15. TOLESNĖ DARBO EIGA • Diskiniame kaupiklyje sukuriame realų katalogą, kuriame bus saugomi tinklalapiai. (My Computer). • Sukuriame virtualų katalogą (Virtual Directory) IIS (Internet Services Manager) arba NTFS sistemose. • Atidarome vartotojosąskaitą (Computer Management). • Įdiegiame tvarkyklės Front Page plėtinius virtualiam katalogui, kad vartotojas galėtų publikuoti savo tinklalapį Front Page tvarkyklės pagalba (InternetServices Manager). • Įtraukiame vartotojus į reikalingas grupes ir priskiriame atitinkamus leidimus valdyti katalogus (Computer Manager). • Tinklalapį (default.html) publikuojame WEB tarnybinėje stotyje (Front Page).

  16. 1. KATALOGŲ, PAKATALOGIŲ KŪRIMAS • Realių katalogų, pakatalogių vardus sudarome pagal vieningą struktūrą: • Katalogas – studijų programos modulio kodas (pvz. T123B123); • pakatalogis – dėstytojo pavardė.

  17. 2. VIRTUALIŲ KATALOGŲ KŪRIMAS (IIS) • Start  Programs  Administrative Tools  Internet Services Manager. • Naujo virtualaus katalogo kūrimui išrenkame komandą. • Atsivėrusiame lange Web Virtual Directory Creation Wizard spaudžiame “NEXT” .

  18. Įvedame virtualaus katalogo vardą. • Nurodome naujo virtualaus katalogoturiniovietą diskiniame kaupiklyje.

  19. Priskiriame leidimus virtualiam katalogui ( Read – skaityti,  Run script... – vykdyti script programas, ir t.t.), Next ir Finish. • Analogiškai kuriami ir kiti virtualūs katalogai bei pakatalogiai.

  20. Sukurti katalogai, pakatalogiai matomi struktūroje:

  21. VIRTUALIŲ KATALOGŲ KŪRIMAS NTFS SISTEMOJE • Virtualius katalogus galima kurti arba WEB, arba NTFS sistemose. • NTFS bylų sistemoje virtualūs katalogai kuriami taip: • ties realiu katalogu spaudžiame dešinį pelės klavišą ir išrenkame komandą Properties.

  22. Pažymime komandą  Share this folder. • Atsivėrusiame lange įrašome virtualaus katalogo vardą. • Pasirenkame leidimus šiam virtualiam katalogui laukuose: Access permissions ir Application permissions.

  23. 3. VARTOTOJŲ SĄSKAITOS ATIDARYMAS • Start  Programs  Administrative Tools  Computer Management.

  24. 4. TVARKYKLĖS FRONT PAGE PLĖTINIŲ ĮDIEGIMAS NAUJAM VIRTUALIAM KATALOGUI, PAKATALOGIUI • Naujam virtualiam katalogui (pvz. T123B123) išrenkame komandą Configure ServerExtensions. • Įvedame virtualaus katalogo vardą.

  25. Įrašome grupę ar vartotoją, kuris administruos šį katalogą.

  26. Išrenkame komandą Check Server Extension savo sukurtam virtualiam katalogui.

  27. Analogiškai įdiegiami tvarkyklės Front Page plėtiniai ir pakatalogiams. • Išrenkame pakatalogiui komandą Configure ServerExtensions.

  28. 5. VARTOTOJŲ ĮTRAUKIMAS Į GRUPES • Start  Programs  Administrative Tools  Computer Management.

  29. NTFS LEIDIMŲ PRISKYRIMAS • Pateikiame katalogo D:/WEB_katalogai/T123B123 NTFS leidimų pavyzdį : (Katalogą T123B123 administruoja vartotojas “Dėstytojas1”) • Tarnybinės stoties administratorius (Administrator MECHANIKAS), sistema (System) turi pilną kontrolę.

  30. Grupės “Everyone” nariai gali peržiūrėti, skaityti, skaityti ir vykdyti. • T123B123 Admins, T123B123 Authors grupių nariai (t.y. Dėstytojas1) turi pilną kontrolę. • T123B123 Browsers grupės nariai gali tik žiūrėti. • Detali informacija apie teisių priskyrimą seminare “Windows 2000. Aplankų ir failų apsauga”, http://www.elen.ktu.lt/~rsei/SEM/index.htm.

  31. WEB TARNYBINĖS STOTIES IR NTFS LEIDIMŲ SKIRTUMAI • WEB Server draudimai galioja visiems vartotojams besijungiantiems prie WEBsaito. • NTFS draudimai galioja nurodytai vartotojų grupei ar vartotojui, turinčiam galiojančią sąskaitą. • IIS sukuria specialią anoniminių vartotojų sąskaitą IUSR_kompiuterio vardas, skirtą anoniminei prieigai prie Web saito. Kiekvienam saitui ir katalogui rekomenduojame patikrinti šio vartotojo NTFS draudimus/leidimus. Pagal nutylėjimą Web Serverpirmiausia naudoja šią vartotojų sąskaitą. • WEB Server draudimai kontroliuoja prieigąprie virtualių katalogų Jūsų WEBsaite. • NTFS draudimai kontroliuoja prieigą prie fizinių Jūsų tarnybinės stoties katalogų. • Jeigu WEB ir NTFS draudimai skiriasi, galioja griežtesni draudimai.

  32. 6. TINKLALAPIO PUBLIKAVIMAS • Front Page turi FTP siuntimo programą. • Nutolusiame kompiuteryje sukuriame norimą publikuoti HTML bylą (tinklalapis) ir išrenkame komandą File  Publish Web. • Nurodome WEB tarnybinės stoties adresą. • Programa Front Page prisijungus prie WEB tarnybinės stoties, IIS pareikalauja įvesti vartotojo vardą ir slaptažodį. • Jei teisingai nustatyti visi leidimai vartotojui, įvedus vardą ir slaptažodį, sukurtas tinklalapis nusiunčiamas į tarnybinę stotį. • Dabar belieka naršyklės Internet Explorer pagalba testuoti sukurtą tinklalapį (įvedus tinklalapio URL (Uniform Resource Locator) adresą atidarome tinklalapį).

  33. IIS serverio užklausa IP adresas leistinas ? Ne Taip Vartotojas leistinas ? Ne Taip WEB serverio leidimai leidžia prieiga ? Ne Taip NTFS leidimai leidžia prieiga ? Ne Taip Prieiga leistina Prieiga draudžiama III. KAIP VEIKIA PRISIJUNGIMO KONTROLĖ • IIS saugumo savybės leidžia efektyviaikontroliuoti vartotojų prieigą prie WEBsaito (site). • Saugumo procesas vykdo sekančius žinksnius: • IP adreso tikrinimas (jei leidimo nėra, tai IIS išduos klaidų pranešimą “HTPP 403 Access Denied”); • vartotojo identifikavimas ir autentifikavimas(registracija ir slaptažodis, logon andpassword).Jei leidimo nėra, tai IIS išduosklaidų pranešimą “HTPP 403 AccessDenied”); • WEB serverio leidimų tikrinimas(jei leidimo nėra, tai IIS išduos klaidųpranešimą “HTPP 403 Access Denied”); • NTFS leidimų tikrinimas(jei leidimo nėra, tai IIS išduos klaidųpranešimą “HTPP 403 Access Denied”); • Jei vartotojas turi NTFS leidimą, tai prieiga leistina.

  34. Galime sukonfigūruoti savo WEB tarnybinę stotį taip, kad prieiga būtų leistina arba draudžiama pagal konkrečius IP – adresus. • Galime leisti ar drausti prieigą prie WEB tarnybinės stoties tiek individualiems vartotojams, tiek adresų grupėms (potinkliams). • Šis metodas naudingas IP – adreso blokavimui, nuo kurio užregistravome įtartinus veiksmus. • Start  Programs  Administrative Tools  Internet Services Manager.

  35. Leistina prieiga (Granted Access), draudžiama prieiga (Denied Access); • Individualus vartotojai (Single computer),grupė (Group computer), domenas (Domainname); • Pavyzdyje parodytas individualių vartotojų prieigos draudimas konkrečiam IP (IP – adresas įrašomas į lauką IP Address).

  36. IDENTIFIKAVIMAS IR AUTENTIFIKAVIMAS • Kad sėkmingai identifikuoti, autentifikuoti ir registruoti vartotoją IIS tarnybinė stotis tikrina ar: • galioja vartotojo vardas ir slaptažodis; • nėra sąskaitos apribojimų; • vartotojo sąskaita neišjungta; • vartotojo sąskaitos terminas nepasibaigęs; • WEB saitui galime pasirinkti autentifikavimo metodus:Start  Programs  Administrative Tools  Internet Services Manager  Properties Jūsų WEB saito langas : • anoniminis autentifikavimas (Allow Anonymus) – apdoroja anoniminius prisijungimus ir naudoja registruotą šiems prisijungimams anoniminio vartotojo vardą ir slaptažodį. Jei išjungiame šią žymę, tai WEB saitas atmeta visus anoniminius prisijungimus ir naudoja WINDOWS 2000 bazinį protokolą arba protokolą su užklausa ir patvirtinimu prieigai prie resursų; • bazinis autentifikavimas (atviras tekstas) (Basic (clear text)) –bazinis autentifikavimas siunčia tinkle nešifruotus vartotojų vardus ir slaptažodžius;

  37. Integruotas Windows autentifikavimas (IntegratedWindows Authentication) – įjungtas.WEB saitas naudoja Windows sistemosautentifikavimo protokolą su užklausa ir patvirtinimu vartotojų užklausoms apdoroti. Šis protokolas naudoja šifruotus slaptažodžius saugiam perdavimui.

  38. IV. SAUGUMO STRATEGIJOS (SECURITY POLICY) NUSTATYMAI • Start  Programs  Administrative Tools  Local Security Policy. • galime keisti slaptažodžio parametrus (galiojimo terminą (password age), minimalų • ilgį (password lenght)) ir kt.

  39. Galime fiksuoti pavykusius (Success) ir nepavykusius (Failure) veiksmus. • Start  Programs  Administrative Tools  Local Security Policy. AUDITO STRATEGIJA (AUDIT POLICY) • Nustatome audito parametrus (sėkmingi ir nesėkmingi prisijungimai (logon events) stebėjimo variantai (police change) ir t.t. • Detali informacijaapieaudito strategiją seminare “Windows 2000 saugumoužtikrinimo galimybės”,http://www.elen.ktu.lt/~rsei/SEM/index.htm.

  40. ĮVYKIŲ ŽURNALO (EVENT VIEWER) ANALIZĖ • Programoje Event Viewer matome įvykių registracijas: sistemos (System), saugumas • (Security), taikomosios programos (Application). • Galime stebėti kas naudojasi tarnybinės stoties informacija.

  41. Galime stebėti prieigą prie konkrečių katalogų, pakatalogių ar bylų (pvz. katalogas T123B123). • Katalogui T123B123 nustatome auditą Properties: Security  Advanced Auditing: • Registruojame kiekvieno (everyone) vartotojo bandymus skaityti, rašyti ir trinti kataloge T123B123.

  42. Įvykių žurnale galėsime stebėti vartotojų veiksmus kataloge: • Pvz.: Vartotojas Destyt1iš tarnybinės stoties SCMA nesėkmingai bandė jungtis prie • katalogo, o vartotojas Destytojas1,turintis tam reikalingus leidimus– • sėkmingai.

  43. UŽKLAUSŲ REGISTRACIJOS ANALIZĖ • Tarnybinė stotis IIS registruoja visas užklausas serveryje (įjungta užklausų registraciją (Enable Logging) byloje C:/WINNT/System32/Log Files/W3SVC1/exyymmdd.log. • Galime registruoti įvykius užduodant laiko intervalus (kas valandą, dieną, savaitę, mėnesį) arba kai žurnalo dydis pasiekia užduotą skaičių MB.

  44. Galime nustatyti įvairią mus dominančią fiksuojamą informaciją :

  45. Analizuojant užklausų registracijos bylą, galime pamatyti sistemos saugumo spragas. • Bylos C:/WINNT/System32/Log Files/W3SVC1/exyymmdd.log pavyzdys:

  46. V. WEB SERVERIO SAUGUMO UŽTIKRINIMO REKOMENDACIJOS • Įvykdyti Windows 2000 Server saugumo užtikrinimo reikalavimus. • Įvykdyti IIS saugumo reikalavimus. • Užtikrinti fizinį serverio saugumą. • Užtikrinti saugų sistemos eksploatavimą.

  47. 1. ĮVYKDYTI WINDOWS 2000 SERVER SAUGUMO UŽTIKRINIMO REIKALAVIMUS • Failų sistema: • naudoti NTFS failų sistemą; • nustatyti galimai saugiausius leidimus katalogams ir failams; • nustatyti saugų anoniminio vartotojo kreipties valdymą (access control) IUSR_kompiuterio vardas sąskaitai. • Vartotojų sąskaitos: • periodiškai tikrinti vartotojų sąskaitas (ar nėra atidarytų nebenaudojamų,ar sukurtų neteisėtai ); • parinkti sudėtingesnius slaptažodžius (galime pasinaudoti vart.sąskaitos strategija); • riboti Administrator grupės vartotojų skaičių. • Servisai ir kita: • vykdyti tik būtinus servisus; • rekomenduojama nediegti WEB serverio PDC (Primary Domain Control) serveryje (didėja pažeidimų ir atakų galimybė jūsų tinkle); • įjungti Audito programą, periodiškai tikrinti įvykių analizės žurnalą; • Interneto naršymui naudoti žemesnio lygio už Aministrator vart.prisijungimą; • daryti svarbių duomenų kopijas; • reguliariai testuoti sistemą naujausiomis antivirusinėmis programomis; • sekti ir įdiegti naujausias Servis Pack, Servis Patch ir kt. pataisymų programas.

  48. 2. IIS SAUGUMO UŽTIKRINIMO REKOMENDACIJOS • Suderinti Web ir NTFS lygių leidimus (jei neatitinka, galios griežtesni leidimai). • Patikrinti virtualių katalogų leidimus. Rekomenduojama nustatyti:

  49. Įjungti Web vartotojų užklausų registraciją (Enable Logging).Tikrinti ir analizuoti užklausų registracijos bylą. • Uždrausti ar panaikinti visus virtualius pavyzdžių ir pagalbos katalogus: • \IISSamples; • \IISHelp; • \MSADC; • Uždrausti Internet Printing paslaugą. • Vykdyti IIS Lockdown programą. • Konfigūruoti UrlScan programą.

  50. 3. FIZINIS SERVERIO SAUGUMO UŽTIKRINIMAS • Naudoti sistemos užrakinimo programą (CTRL+ALT+DELETE, Lock), kai nedirbatekompiuteriu. • Įvesti slaptažodį ekrano užsklandom. • WEB serverį rekomenduojama laikyti atskiroje užrakintoje patalpoje. • Blokuoti diskinį kaupiklį (iš BIOS).Blokuoti kompaktinį diskinį kaupiklį (iš BIOS).

More Related