Что такое код iis аудит


Как включить IIS в Windows 10

Windows 10 — это современная операционная система для компьютеров. На сегодняшний день в ней существует огромное количество различных скрытых функций, приложений и служб. Все они уже включены в Windows и позволяют расширить потенциал системы.

Именно такой службой является IIS или как принято называть — Internet Information Service. Специализированный сервис IIS — это комплект, предназначенный для создания, редактирования и полного управления сайтами. Такой специализированный сервис может использовать абсолютно любой пользователь и создавать на сервисе IIS собственные веб-сайты, являясь хостингом для них. Необходимо знать, что один сервер IIS способен управлять сразу несколькими веб-сайтами. При этом такой сайт будет иметь собственные свойства и настройки.

Интересные статьи по теме:

Как установить IIS в Windows 10

Изначально служба IIS в операционной системе Windows 10 выключена, а точнее не установлена. Это сделано с той целью, чтобы система поглощала, как можно меньше ресурсов и ваш персональный компьютер работал более оптимально. Поэтому если вы не нуждаетесь в данной службе, то желательно научиться ее включать и таким же образом выключать, чтобы не тратить лишние ресурсы вашего компьютера.

Для того чтобы установить службу IIS необходимо

Попасть в управление панели Windows. Сделать это можно с помощью клавиш Win + R, прописав там — control panel.

В открывшемся окне в правом вернем углу выбрать размер значков и выбрать в панели — крупные значки.

После чего найти пункт программы и компоненты. Найти их можно в этом окне, пролистав мышкой, далее необходимо зайти в этот пункт.

Теперь остается обратиться во вкладку включение или отключение компонентов Windows. Находиться она в левой стороне экрана.

В этой вкладке среди множества различных служб необходимо найти службу интернета. Находится она в папке службы iis.

В этой папке необходимо поставить галочку напротив этой службы, а также службы интернета и самой службы Internet Information Service, и подождать пока закончится загрузка.

После этого на вашем компьютере будет установлена служба Internet Information Service.
После установки, компьютер можно не перегружать, а сразу переходить к настройкам и управлению Internet Information Service. (установка этой службы займет не более 1 минуты)

Попасть в эту службу можно при помощи пуска, где у пользователя должна появиться новая вкладка с названием – диспетчер служб iis.

Теперь с помощью этой вкладки можно входить в Internet Information Service. В этом окне можно настраивать, управлять и редактировать вебсайт.

Функционал службы достаточно обширный и конечно прежде всего подойдет для профессиональных пользователей, которые знакомы с веб-сайтами и хостингами. Хотя и пользоваться данной службой будет не затруднительно обычным юзерам.

Как можно заметить, проблем с установкой данные службы у пользователя возникнуть не должно. Однако использовать ее необходимо только по назначению, во всех иных случаях лучшее ее отключить для более гладкой работы вашей операционной системы.

Что такое IIS

простыми словами

(Internet Information Services) — программное обеспечение для развертывания веб-сервера. Входит в состав Windows.

Поддерживает работу по протоколам HTTP, HTTPS, FTP, SMTP, POP3.

IIS можно установить не только на Windows Server, но и на клиентскую версию операционной системы. Например, в Windows 10 установка выполняется из оснастки «Программы и компоненты» включением встроенного компонента Службы IIS. Для развертывания более новой версии, IIS можно скачать с сайта Microsoft.

Настройка IIS производится в консоли «Диспетчер служб IIS». Она устанавливается на любой компьютер в сети, позволяя управлять сервером удаленно, либо ставится непосредственно, на веб-сервер.

Улучшение безопасности IIS

О безопасности веб-приложения желательно начинать задумываться с самого начала процесса разработки. Веб-сайт никогда не будет надежно защищен до тех пор, пока вы не предпримите все необходимые меры, чтобы защитить веб-сервер от максимально возможного количества существующих уязвимостей.

О безопасности веб-приложения желательно начинать задумываться с самого начала процесса разработки. Веб-сайт никогда не будет надежно защищен до тех пор, пока вы не предпримите все необходимые меры, чтобы защитить веб-сервер от максимально возможного количества существующих уязвимостей. Даже если исходный код надежно защищен, злоумышленники все равно могут найти лазейку. И даже когда уязвимости отсутствуют вовсе, сервер так и или иначе взаимодействует с другими системами, что вполне может стать причиной незаконного проникновения. В конце концов, сервер обслуживают люди, которые часто не обладают достаточной компетенцией в этих вопросах.

На рынке существуют различные продукты, которые, как утверждается, могут сделать ваш сервер более защищенным, но не ограждают от всех возможных видов атак. Существует весьма распространенное заблуждение о том, что безопасность веб-сайта можно улучшить посредством ревизии исходного кода. Это не всегда соответствует действительности. Помимо написания безопасного кода, сайт, созданный средствами ASP.NET, следует также надежно защитить со стороны IIS-сервера. В этой статье будут различные аспекты безопасности IIS, чтобы оградить ваш сайт от незаконного проникновения.

Для того чтобы защитить IIS, специалист по безопасности должен обладать глубокими познаниями технологии .NET и, в особенности, ASP.NET, поскольку в подавляющем большинстве на IIS крутятся сайты, использующие эти технологии. Кроме того, весьма желательно понимать весь процесс разработки и развертывания веб-сервера, включая написание кода (в контексте конфигурирования сайта на ASP.NET).

Существует огромное количество видов атак на веб-сайт, начиная от лазеек в базах данных и уязвимостей в исходном коде и заканчивая вирусами, недовольными сотрудниками и социальной инженерией. Однако полная классификация всех возможных атак на IIS-сервер выходит за рамки этой статьи. Но в целом, можно сказать, что целями злоумышленников являются механизмы аутентификации, авторизации и аудита. Вначале взломщик подбирает пароль и пытается попасть в систему как легитимный пользователь. После успешной аутентификации хакер пытается получить доступ к другим ресурсам посредством изменения политики безопасности сервера. И, наконец, потом злоумышленник удаляет следы, поскольку каждое действие пользователя обычно записывается в лог при помощи механизмов аудита.

Более того, некоторые хакеры осуществляют так называемые «пассивные» атаки, следы от которых обнаружить еще сложнее. Во время пассивной атаки злоумышленник вообще не предпринимает никаких действий, а просто наблюдает за тем, что происходит в системе. Таким образом, детектирование, предупреждение и противодействие подобного рода атакам может быть затрудненно в особенности там, где работают неграмотные администраторы или плохо проработана политика безопасности.

По сути, IIS представляет собой набор различных WWW-служб, обрабатывающих запросы, которые поступают на различные TCP/IP порты (например, за 80-м портом обычно закреплен протокол HTTP). Перед тем как до ASP.NET дойдут запросы, происходит верификация (аутентификация, авторизация и т. д.) в соответствии с настройками IIS. В IIS есть различные возможности (см. рисунок ниже) для ограничения доступа и запрета некоторых типов запросов.

Рисунок 1: Средства безопасности в IIS

Регулирование прав доступа

IIS позволяет выборочно запрещать или разрешать доступ к файлам, папкам, сайту или серверу. Системный администратор может определять, какой удаленный компьютер может подключаться к IIS, а какой нет. В отношении каждого IP-адреса или DNS-имени можно настроить отдельные ограничительные правила. Допустим, если в коде на ASP.NET есть уязвимость, то, по сути, злоумышленник имеет неограниченный доступ к веб-сайту. Однако если выставить запрет на доступ со стороны IIS, появится следующее сообщение ‘Forbidden: IP address of the client has been rejected (403.6)’ или ‘DNS name of the client is rejected (403.8)’. Соответствующий HTTP-статус будет отражен в журнале. В связи с ограничением прав существуют два термина, касающиеся настройки IIS: IP Restriction и Domain Restriction.

Запрет на соединение предпочтительнее конфигурировать на как можно более низком уровне в модели OSI.

Чтобы сконфигурировать политику относительно DNS для разрешения доступ всем, кроме специально указанных адресов, кликните на ‘Edit Feature Settings’. Появится окно ‘IP Address and Domain Restrictions’.

Рисунок 2: Запрет на доступ определенным клиентам

Затем вы можете создать правила для определенных хостов или подсетей. Чтобы создать правило, разрешающее доступ для конкретного клиента или подсети, кликните на “Allow Entry” и укажите отдельный IP-адрес или диапазон IP-адресов.

Рисунок 3: Разрешение на доступ определенным хостам

MIME предотвращает хранение на сервере неизвестных типов файлов и позволяет загружать только те файлы, которые указаны явным образом. Хотя конфигурационные и информационные файлы обычно не хранятся в корневой директории, если злоумышленник попытается загрузить файл, не разрешенный в настройках, возникнет ошибка 404.3 и HTTP-статус запишется в лог. Если вы хотите разрешить загрузку определенных типов файлов, добавьте новый MIME type, как показано на рисунке ниже.

Рисунок 4: Добавление нового MIME type

IIS позволяет настраивать наборы правил для разрешения и запрета определенных типов запросов. Фильтрация позволяет пропускать запросы для определенного пространства имен и жестко интегрирована в систему журналирования событий. Запросы могут фильтроваться по параметрам HTTP-заголовка, расширениям файлов, размеру запроса и подстроке, входящей в URL.

При фильтрации по параметрам HTTP-заголовка в секции «verbs», например, можно разрешить только GET- или POST-запросы. Следующий набор XML-тегов как раз позволяет отфильтровать HTTP-заголовок по типу запроса (необходимо добавить этот код в конфигурационный файл):

Другой пример, когда фильтруются запросы, содержащие имена файлов, которые не соответствуют набору правил. Подобные запросы можно разрешить или отклонить. Если запрос отклонен, в лог будет записан статус 404.7. Для фильтрации запросов на основе имен файлов используйте шаблон ниже:

Запрос также может быть отклонен при превышении определенного размера запроса.

И последний пример, в котором запросы фильтруются на основе подстрок (в данном случае – «. .»), входящих в URL.

Настройка пула приложений

Когда необходимо получить информацию из внешнего источника, может возникнуть конфликт, поскольку довольно сложно разделить между собой пулы веб-приложений. Иначе говоря, код, запущенный внутри одного пула, будет влиять на работоспособность другого пула. Чтобы в некоторой степени предотвратить этот конфликт, в IIS предусмотрена настройка пула приложений. Каждый пул приложений имеет свой конфигурационный файл, которых хранится в папке %systemdriver\inetpub\temp\appPools, и дополнительный идентификатор безопасности (SID), инжектируемый в соответствующий процесс w3wp.exe. Соответственно, каждый конфигурационный файл пула закреплен за своим SID’ом через права доступа.

Полная изоляция пулов между собой позволяет исключить возможность влияния вредоносного сайта на соседние пулы, находящиеся на одном сервере. Если один из сайтов будет скомпрометирован, другие останутся защищенными.

Рисунок 5: Добавление пула приложений

Используя ISAPI, разработчики часто пишут дополнительные модули, чтобы расширить функционал сервера во время запроса определенного типа файла. Например, сайты на PHP могут работать на IIS-сервере при помощи расширения PHP ISAPI. Соответственно, сайты на ASP.NET (или файлы .aspx) по умолчанию привязаны к расширению ASP.NET ISAPI. Когда клиент запрашивает файл с расширением .aspx, дальнейшая обработка происходит через расширение IIS ISAPI, которое уже определяет, какие дополнительные действия должны быть предприняты.

В IIS можно запретить или разрешить те или иные расширения ISAPI. Если расширение запрещено, при запросе файла соответствующего типа в лог заносится статус 404.2, поскольку злоумышленник может удаленно внедрить и выполнить вредоносный код. После добавления новых расширений в дальнейшем необходимо провести аудит безопасности сервера. Чтобы добавить расширение, укажите имя фильтра и путь к библиотеке DLL.

Рисунок 6: Добавление нового расширения

Хакеры часто проводят DOS-атаки, отправляя на сервер огромные запросы, что в свою очередь может сказаться на размере логов. При помощи логов, например, можно выявить факты неправомерного доступа. В ОС Windows имеет встроенная функция записи в журнал важной информации: время авторизации, попытки подбора пароля и т. д., что является одним из признаков атаки. Для каждого сайта можно настроить систему фиксации событий в формате W3C.

Рисунок 7: Настройка логов

В IIS есть возможность оповещения, как для успешных, так и для неудачных попыток входа в систему, чтобы администратор смог быстро обнаружить подозрительную активность.

Настройка страниц ошибок

Злоумышленник может получить конфиденциальную информацию о сервере или приложении во время возникновении ошибки. Все дело в том, что если сервер не в состоянии обработать неизвестную фатальную ошибку, то помимо статуса ошибки отображается дополнительная информация, которая может заинтересовать хакера. На рисунке ниже как раз показан такой случай, где злоумышленнику доступно имя пользователя, пароль, IP-адрес сервера, структура базы данных и т. д.

Рисунок 8: Неудачный пример страницы с ошибкой

Вместо страницы, показанной выше, для каждого типа ошибки следует привязывать заранее заготовленную страницу, чтобы скрыть конфиденциальную информацию.

В IIS есть возможность выдачи различных страниц с ошибками для конечных пользователей, администраторов и разработчиков.

Рисунок 9: Настройка страниц ошибок

Даже после грамотной настройки IIS не следует забывать о безопасности приложений. В последнее время много внимания уделяется уязвимостям в веб-приложениях: SQL-инъекциям, межсайтовому скриптингу, воспроизведению сессий (session replay), RFI и многим другим. С каждым днем злоумышленники становятся все более изощренными. Таким образом, свои позиции следует защищать со всех фронтов.

В статье мы рассмотрели способы защиты приложения посредством грамотной конфигурации IIS, включая ограничение доступа по IP-адресу, настройку MIME-Type, фильтрацию запросов, настройку пула приложений, ISAPI и страниц ошибок. Таким образом, на данный момент у вас должно появиться более полное понимание относительно безопасности в целом и в частности относительно настроек, повышающих безопасность IIS.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.


Безопасность сервера IIS

Microsoft Internet Information Server (IIS) был создан для унификации работы всех служб Internet. Он представляет собой высокоинтегрированный пакет серверных служб поддержки HTTP, FTP и Gopher.

Защита IIS основана на средствах обеспечения безопасности Windows NT. В их число входят:

  • учетные записи пользователей — Для предотвращения несанкционированного доступа к узлу IIS следует контролировать учетные записи пользователей. К основным методам защиты также относятся: применение формуляра “Гость из Internet”, регистрация по имени и паролю пользователя (по схеме аутентификации Windows NT) и выбор сложных для угадывания паролей;
  • установка NTFS;
  • права доступа — Основным механизмом доступа через сервер IIS является анонимный доступ. Из механизмов проверки подлинности лишь Windows NT Challenge-Response, используемый сервером HTTP, можно считать относительно защищенным. Поэтому не применяйте для аутентификации базовую схему, так как имя пользователя и пароль при этом передаются по сети открытым способом;
  • уменьшение числа протоколов и отключение службы Server — Уменьшив число протоколов, которыми пользуются сетевые адаптеры, вы заметно усилите защиту. Чтобы пользователи не смогли просматривать разделяемые ресурсы IIS, отключите службу Server. Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе;
  • защита информации в FTP — FTP всегда использует защиту на уровне пользователя. Это значит, что для доступа к серверу FTP пользователь должен пройти процедуру регистрации. Сервис FTP сервера IIS для идентификации пользователей, желающих получить доступ, может использовать базу данных пользовательских бюджетов Windows NT Server. Однако при этой процедуре FTP передает всю информацию только открытым текстом, что создает опасность перехвата пользовательских имен и паролей.
Илон Маск рекомендует:  Вложенные селекторы

Проблема раскрытия паролей устраняется при таких конфигурациях сервера FTP, когда он разрешает анонимный доступ. При анонимном входе пользователь должен ввести в качестве пользовательского имени anonymous и свой почтовый (e-mail) адрес — в качестве пароля. Анонимные пользователи получают доступ к тем же файлам, доступ к которым разрешен бюджету lVSR_computemame. Кроме того, к сервису FTP сервера IIS Windows NT можно разрешить исключительно анонимный доступ. Такой вариант хорош тем, что при нем отсутствует возможность рассекречивания паролей в общей сети. Анонимный доступ к FTP разрешен по умолчанию;

  • контроль доступа по IP-адресу — Существует дополнительная возможность контроля доступа к серверу IIS — разрешение или запрещение доступа с конкретных IP-адресов. Например, можно запретить доступ к своему серверу с определенного IP-адреса; точно так же можно сделать сервер недоступным для целых сетей. С другой стороны, можно разрешить доступ к серверу только определенным узлам;
  • схемы шифрования — Чтобы обеспечить безопасность пакетов во время их пересылки по сети, приходится применять различные схемы шифрования. Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров. Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI. Некоторые схемы могут работать и на более низких уровнях. Используются такие протоколы, как: SSL, PCT, SET, PPTP, PGP.

Аудит

Аудит — одно из средств защиты сети Windows NT. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети. Фиксируются следующие параметры, касающиеся действий, совершаемых пользователями:

  • выполненное действие;
  • имя пользователя, выполнившего действие;
  • дата и время выполнения.

Аудит, реализованный на одном контроллере домена, распространяется на все контроллеры домена. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться. В сетях с минимальным требованиям к безопасности подвергайте аудиту:

  • успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;
  • успешное использование важной и конфиденциальной информации.

В сетях со средними требованиями к безопасности подвергайте аудиту:

  • успешное использование важных ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики;
  • успешное использование важной и конфиденциальной информации.

В сетях с высокими требованиями к безопасности подвергайте аудиту:

  • удачные и неудачные попытки регистрации пользователей;
  • удачное и неудачное использование любых ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес. Windows NT записывает события в три журнала:

  • Системный журнал — (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, регистрируемых в этом журнале, предопределен операционной системой и компонентами сторонних производителей и не может быть изменен пользователем. Журнал находится в файле Sysevent.evt.
  • Журнал безопасности — (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной вами стратегией аудита. Журнал находится в файле Secevent.evt.
  • Журнал приложений — (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определяется разработчиками приложений. Журнал находится в файле Appevent.evt.

Все журналы размещены в папке %Systemroot%\System32\Config. При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Для настройки журнала используйте диалоговое окно Event Log Settings.

С помощью этого окна можно управлять:

  • размером архивируемых журналов (размер по умолчанию – 512 Кбайт, можно изменить размер от 64 до 4 194 240 Кбайт);
  • методикой замещения устаревших записей журнала;
  • Overwrite Events as Need – в случае заполнения журнала при записи новых событий операционная система удаляет самые старые события;
  • Overwrite Events Older then X Days – в случае заполнения журнала при записи новых событий удаляются самые события, но только если они старше Х дней, иначе новые события будут проигнорированы;
  • Do not Overwrite Events – в случае заполнения журнала новые события не фиксируются. Очистка журнала производится вручную.

Для просмотра информации об ошибках и предупреждениях, а также об успешных и неудачных запусках задач используется программа Event Viewer. По умолчанию аудит выключен, и журнал безопасности не ведется. Первый этап планирования стратегии аудита — выбор подлежащих аудиту событий в диалоговом окне Audit Policy утилиты User Manager for Domains (User Manager).

Приведем типы событий, которые могут регистрироваться:

  • Logon and Logoff – регистрация пользователя в системе или выход из нее, а также установка и разрыв сетевого соединения;
  • File and Object Access – доступ к папкам, файлам и принтерам, подлежащим аудиту;
  • Use of User Rights – использование привилегий пользователей (кроме прав, связанных с входом и выходом из системы);
  • User and Group Management – создание, изменение и удаление учётных записей пользователей и групп, а также изменения в ограничениях учётной записи;
  • Security Policy Changes — изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений;
  • Restart, Shutdown and System — перезапуск или выключение компьютера пользователем; возникновение ситуации, влияющей на безопасность системы;
  • Process Tracking — события, которые вызывают запуск и завершение программ.

Настройка функций аудита описана в документации по Windows NT. Дополнительно рассмотрим следующие типы аудита: Аудит базовых объектов. Кроме файлов и папок, принтеров и разделов системного реестра в Windows NT есть базовые объекты, которые рядовому пользователю не видны. Они доступны только разработчикам приложений или драйверов устройств. Для включения аудита этих объектов необходимо разрешить аудит событий типа File and Object Access в диспетчере пользователей и с помощью редактора реестра установить значение параметра: Ветвь — HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Lsa, Имя — AuditBaseObjects, Тип — REG_DWORD, Значение — 1.

Дата добавления: 2015-03-19 ; просмотров: 536 ; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ

Настройка проверки подлинности веб-узла IIS

1. Используйте учетную запись администратора для входа на веб-сервере.

2. Запустите диспетчер IIS или откройте оснастку IIS.

3. Имя_сервера, где Имя_сервера — это имя сервера, последовательно разверните узлы и веб-узлов.

4. Воспользуйтесь одним из следующих способов (в зависимости от ситуации) и нажмите кнопку Свойства.

o Чтобы настроить проверку подлинности для всех веб-содержимого, размещенного на сервере IIS, щелкните правой кнопкой мыши веб-узлов.

o Чтобы настроить проверку подлинности для определенного веб-узла, щелкните правой кнопкой мыши веб-узел, который требуется.

o Чтобы настроить проверку подлинности для виртуального или физического каталога веб-узла, выберите веб-узел, который требуется и щелкните правой кнопкой мыши каталог, который требуется, например _vti_pvt.

o Чтобы настроить проверку подлинности для отдельной страницы или файла на веб-узле, щелкните веб-узел, необходимо, щелкните папку, содержащую файл или страницы, которую требуется и щелкните правой кнопкой мыши файл или страницы, которую требуется.

5. В диалоговом окне Свойства ItemName(где ItemName — имя выбранного элемента) выберите Безопасность каталога или Безопасность файла (при необходимости).

6. В группе Анонимный доступ и управление проверкой подлинностинажмите кнопку Изменить.

7. Щелкните, чтобы выбрать флажок Анонимный доступ , чтобы включить анонимный доступ. Чтобы отключить анонимный доступ, щелкните, чтобы снять этот флажок.

Примечание: Если отключить анонимный доступ, необходимо настроить некоторые другие формы доступа с проверкой подлинности.

Чтобы изменить учетную запись, используемую для анонимного доступа к этому ресурсу, нажмите кнопку Обзор, выберите учетную запись, которую требуется использовать и нажмите кнопку ОК.

8. В разделе доступ с проверкой подлинностивыберите установите флажок Встроенная проверка подлинности Windows , если вы хотите использовать встроенную проверку подлинности Windows.

Примечание: этот метод проверки подлинности называлось NT LAN Manager (NTLM) или Microsoft Windows NT Challenge/Response.

9. Щелкните, чтобы установите флажок Дайджест-проверка для серверов доменов Windows , если вы хотите использовать краткую проверку подлинности. Нажмите кнопку Дав следующем сообщении:

Краткая проверка подлинности работает только с учетными записями домена Active Directory. Дополнительные сведения о настройке учетных записей домена Active Directory для включения краткой проверки подлинности см.

Вы действительно хотите продолжить?

Введите имя сферы в поле сфера .

Примечание: необходимо настроить учетные записи пользователей с выбранным параметром счета хранить пароль, используя обратимое шифрование .

10. Установите Обычная (пароль отправляется в текстовом формате) флажок, если необходимо использовать обычную проверку подлинности. Нажмите кнопку Дав следующем сообщении:

Параметр проверки подлинности, выбранный в допускает передачу паролей по сети без шифрования. Попытка нарушения безопасности системы кто-то может использовать анализатор протокола для проверки паролей пользователей в процессе проверки подлинности. Для получения дополнительных сведений по проверке подлинности содержатся в справке. Это предупреждение не относится к подключениям HTTPS (или SSL).

Вы действительно хотите продолжить?

a. Чтобы указать домен, используемый для проверки подлинности пользователей, использующих обычную проверку подлинности, введите имя домена в поле домен по умолчанию .

b. Также имеется возможность ввести значение в поле область в данный момент.

Выберите вариант будет использоваться проверка подлинности .NET Passport проверки подлинности .NET Passport .

Примечание: при выборе этого параметра другие методы проверки подлинности недоступны.

Нажмите кнопку ОКи нажмите кнопку ОКв диалоговом окне Свойства Имя элемента. Если откроется диалоговое окно Изменение Наследования , выполните следующие действия.

. Нажмите кнопку Выделить все , чтобы применить новые параметры проверки подлинности для всех файлов или папок, расположенных в элементе, были изменены.

a. Нажмите кнопку ОК.


Закройте диспетчер служб IIS или закройте оснастку IIS.

Настройка DNS-сервера

Чтобы настроить DNS с помощью оснастки DNS в консоли управления MMC, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите в меню Программы пункт Администрирование, а затем — DNS.

2. Щелкните правой кнопкой мыши пункт Зоны прямого просмотра и выберите команду Новая зона.

3. В окне мастера создания новой зоны нажмите кнопку Далее.

Укажите тип зоны. Зоны бывают следующих типов.

o Основная зона. Создает копию зоны, которая может быть обновлена непосредственно на этом сервере. Информация этой зоны хранится в текстовом файле с расширением .dns.

o Дополнительная зона. — все сведения копируются с основного DNS-сервера. При этом на основном DNS-сервере настроенная на передачу зона может быть интегрированной в Active Directory, основной или дополнительной зоной. На дополнительном DNS-сервере сведения о зоне не могут быть изменены, поскольку они копируются с основного DNS-сервера.

o Зона-заглушка. Зона-заглушка содержит только те записи о ресурсах, которые необходимы для идентификации DNS-серверов, обслуживающих эту зону. Эти записи ресурсов включают записи «Сервер имен» (Name Server, NS), «Начальная запись зоны» (Start of Authority, SOA), а также, возможно, записи узлов (тип A).

Имеется также параметр, позволяющий хранить зону в Active Directory. Этот параметр доступен только в том случае, когда DNS-сервер является контроллером домена.

4. Для поддержки динамических обновлений новая зона прямого просмотра должна иметь тип «Основная» или «Интегрированная в Active Directory». Выберите пункт Основная и нажмите кнопку Далее.

5. Новая зона содержит записи локатора для данного домена Active Directory. Имя зоны должно совпадать с именем домена Active Directory или являться логическим DNS-контейнером для этого имени. Например, если домен Active Directory называется support.microsoft.com, действительное имя зоны может быть только support.microsoft.com.

Примите предлагаемое по умолчанию имя для файла новой зоны. Нажмите кнопку далее.

Заключение:В сваей курсовой работе я показал структуру сетевых операционных систем и вывел множество примеров как работает и с чем основана её деятельность на платформах разных устройств, а самое главное я сам немножечко в этом разобрался и понял что к чему.

Рис. 1.1. Структура сетевой ОС

Рис. 1.2. взаимодействие компонентов операционной системы при взаимодействии компьютеров

Рис. 1.3. Варианты построения сетевых ОС

Рис. 1.4: Образование к операционной системе

Рис. 1.5:Microsoft Windows Server 2003

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

IIS (Internet Information Services)

Internet Information Services
Разработчики: Microsoft
Постоянный выпуск: 10 / 29 July 2015 года ; 4 years ago ( 2015-07-29 )
Состояние разработки: Active
Написана на: C++ (язык программирования) [1]
Операционная система: Windows NT
Локализация: Same languages as Windows
Тип ПО: Web server
Лицензия: Part of Windows NT (same license)
Веб-сайт iis .net

IIS (англ. Internet Information Services ) является Visual Basic приложением, которое располагается на веб-сервере и отвечает на запросы браузера. Приложение IIS использует HTML для представления своего пользовательского интерфейса и использует скомпилированый код Visual Basic для обработки запросов и реагирования на события в браузере. Для пользователя приложение IIS представляется рядом страниц HTML. Для разработчика приложение IIS состоит из особого типа объекта, называемого WebClass, который в свою очередь, содержит ряд ресурсов, называемых webitems. WebClass выступает в качестве центрального функционального блока приложения, обрабатывающего данные из браузера и отправляющего информацию пользователям. Разработчик описывает ряд процедур, которые определяют, каким образом WebClass отвечает на эти запросы. webitems являются HTML-страницами и другими данными, которые WebClass может отправить в браузер в ответ на запрос.

Илон Маск рекомендует:  Тег progress

Содержание

Архитектура

Internet Information Services (IIS) 7 и выше обеспечивает архитектуру обработки запросов, которая включает в себя:

  • Служба активации процесса Windows (WAS), который позволяет сайтам использовать отличающиеся от HTTP и HTTPS протоколы.
  • Веб-движок сервера, который может быть изменен путем добавления или удаления модулей.
  • Интегрированные конвейеры обработки запросов от IIS и ASP.NET.

Компоненты

IIS содержит несколько компонентов, которые выполняют важные функции для приложений и ролей веб-сервера в Windows Server® 2008 (IIS 7.0) и Windows Server 2008 R2 (IIS 7.5). Каждый компонент имеет функции, такие как прослушивание запросов к серверу, управление процессами и чтение файлов конфигурации. Эти компоненты включают в себя обработчики протокола, такие как HTTP.sys и службы, такие как World Wide Web Publishing (служба WWW) и службы активации процесса Windows (WAS).

Internet Information Server (IIS) имеет свой собственный ASP.NET Process Engine для обработки запроса ASP.NET. Способ настройки приложения ASP.NET зависит от того, какая версия IIS приложения используется.

Internet Information Server (IIS) включает в себя набор программ для создания и администрирования веб-приложений, поисковых систем, а также поддержку для написания веб-приложений, обеспечивающих доступ к базам данных, таким как SQL Server. IIS позволяет настроить компьютер в качестве веб-сервера и предоставляет функциональные возможности для разработки и развертывания веб-приложений ASP.NET на сервере. Кроме того, возможно установить параметры безопасности для конкретного веб-сайта для конкретных пользователей и компьютера для того, чтобы защитить его от несанкционированного доступа.

По заявлениям разработчиков, IIS повышает доступность веб-сайтов и приложений при одновременном снижении системного администрирования и стоимости развертывания. IIS 7.5 поддерживает HTTP, HTTPS, FTP, FTPS, SMTP и NNTP.

Ключевые особенности

  • Встроенные расширения
    • WebDAV и FTP
    • Фильтрация запросов
    • Модули администрирования
  • Усовершенствования управления
    • Анализатор соответствия рекомендациям
    • Windows PowerShell провайдер и cmdlets
    • Ведение журнала конфигурации и трассировки
  • Улучшения хостинга приложений
    • Управляемые учетные записи служб
    • Hostable веб-ядро
    • Трассировка неудачных запросов для FastCGI
  • Улучшения .NET поддержки для Server Core

Установка

  • Нажмите кнопку Пуск и выберите Панель управления.
  • На панели управления выберите Программы, а затем Включение и отключение компонентов Windows.
  • В диалоговом окне «Компоненты Windows» нажмите Службы IIS, а затем кнопку ОК.

Конфигурирование

Настройка веб-узла по умолчанию: При установке IIS настроен для использования в качестве веб-узла по умолчанию; тем не менее может потребоваться изменить некоторые настройки. Чтобы изменить основные параметры для веб-узла и имитировать действия, которые требуются для настройки Apache в первый раз с помощью файла конфигурации:

  1. Войдите в систему на компьютере веб-сервера с правами администратора.
  2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
  3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
  4. Щелкните правой кнопкой мыши веб-узел, который необходимо настроить, на левой панели и выберите команду Свойства.
  5. Перейдите на вкладку веб-узел .
  6. В поле Описание введите описание веб-узла.
  7. Введите адрес Internet Protocol (IP) для веб-узла или оставьте значение по умолчанию все (не назначено) .
  8. Измените порт протокола управления передачей (TCP), соответствующим образом.
  9. Перейдите на вкладку Домашний каталог.
  10. Чтобы использовать папку на локальном компьютере, выберите каталог на данном компьютере и нажмите кнопку Обзор, чтобы найти папку, которую требуется использовать.
  11. Чтобы использовать папку, общий ресурс с другого компьютера в сети, выберите параметр Общая папка другого компьютера и затем введите путь или нажмите кнопку Обзор, чтобы выбрать общую папку.
  12. Нажмите кнопку Чтение предоставить доступ на чтение к папке (обязательно).
  13. Нажмите кнопку ОК, чтобы принять свойства веб-сайта.

Создание нового веб-узла:

Чтобы создать новый веб-узел на сервере Apache, необходимо настроить виртуальный узел и настроить отдельные параметры для узла. Если используются службы IIS, можно создать новый веб-узел путем перевода следующих терминов в эквивалентные термины IIS:

Apache термин Термин IIS
Корень документа Каталог домашней страницы веб-узла IIS
Имя_сервера Заголовок узла IIS
Прослушивание IIS IP-адрес и TCP-порт

Чтобы создать новый веб-узел в IIS, выполните следующие действия:

  1. Войдите в систему на компьютере веб-сервера с правами администратора.
  2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
  3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
  4. Щелкните Действие, выберите пункт Создать и выберите веб-узел.
  5. После запуска мастера создания веб-узла, нажмите кнопку Далее.
  6. Введите описание веб-узла. Это описание используется для идентификации веб-узла в диспетчере служб Интернета только для внутренних целей.
  7. Выберите IP-адрес для веб-узла. Если выбрать все (без значения), веб-узел будет доступен для всех интерфейсов и всех настроенных IP-адресов.
  8. Введите номер порта TCP, чтобы опубликовать на нем сайт.
  9. Введите имя заголовка узла (реальные имя, которое используется для доступа к этому узлу).
  10. Нажмите кнопку Далее.
  11. Введите путь к папке, которая содержит документы веб-узла, или нажмите кнопку Обзор, выберите папку и нажмите кнопку Далее.
  12. Укажите права доступа для веб-узла и нажмите кнопку Далее.
  13. Нажмите кнопку Готово.

Что такое код iis аудит

Имеется следующая проблемка.

Домен + iis 7.5 настроена авторизация виндовс

При попытке зайти на сайт с доменной машины просит ввести логин и пароль.

Хотя есть рядом стоящий сервер iis с другим сайтом, на него автоматически пускает.

Так же есть наблюдение, что если идти по короткому имени сайта https://iis то автоматическая авторизация срабатывает, а если по https://iis.domen.local то просит ввести имя и пароль.


В чем петрушка ни как не могу разобраться! Может вы сможете помочь, второй день мучаюсь.

  • Изменен тип Elina Lebedeva Moderator 26 августа 2013 г. 8:03 Тема переведена в разряд обсуждений по причине отсутствия активности
  • Изменен тип Elina Lebedeva Moderator 17 сентября 2013 г. 6:18

Ответы

  • Изменено Александр_Кононов 16 сентября 2013 г. 19:43
  • Помечено в качестве ответа Elina Lebedeva Moderator 17 сентября 2013 г. 6:18

Все ответы

Самый простой вариант: на компьютере, откуда проверяется сайт, есть сохраненый для iis.domen.local логин и пароль, и этот логин с паролем — неправильные. Поверьте в Панели Управления на предмет сохраненных учетных данных.

Тогда дело усложняется. Аутентификация Windows — это не обязательно NTLM, это еще может быть (а в вашем случае — наверняка есть, если только веб-приложение не работает под локальной учетной записью или если вы специально не отключали провайдер аутентификации «Negotiate» ) протокол Kerberos.

И здесь могут быть сложности. Kerberos для своей работы требует, чтобы учетная запись, под которой выполняется веб-приложение, имела имя службы — участника безопасности (Service Principal Name), соответствующее имени хоста, которое было использовано при обращении к веб-серверу. Это требование выполняется автоматически если приложение работает от имени Network Service (или Local System, что обычно не используется по соображениям безопасности) и на этом компьютере (либо на одноименном с ним) не настраивалась работа приложений под дhугой учетной записью, использующих аутентификацию Windows (например, Sharepoint).

Давайте для диагностики проделаем следующее.

1. Сообщите, под какой учетной записью работает приложение — Network Service , учетной записью из домена или локальной учетной записью

2. В двух первых вариантах посмотрите на КД, какие имена службы — участника безопасности зарегистрированы для этой учетной записи: для Network Service — командой

для учетной запис в домене —

setspn -L domen\имя_учетной_записи

3. Поищите в домене, не зарегистрировано ли имя службы-участника безопасности для протокола HTTP на указанном компьютере для другой учетной записи — командой

setspn -Q HTTP\iis.domen.local

Добрый день Александр,

Вам удалось решить вопрос?

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.

Добрый день. Проблему решить не удалось.

Авторизация не проходит на Default Web Site, соответственно приложение работает от Network Service или ApplicationPoolIdentity так как IIS 7.5.

Второй пункт вывел следующую информацию:

C:\Windows\system32>setspn -L iis
Зарегистрирован ServicePrincipalNames для CN=IIS,OU=Servers,OU=Company,DC=domen,DC=local:
TERMSRV/IIS.domen.local
TERMSRV/IIS
WSMAN/IIS.domen.local
WSMAN/IIS
RestrictedKrbHost/IIS
HOST/IIS
RestrictedKrbHost/IIS.domen.local
HOST/IIS.domen.local

setspn -Q HTTP/iis.domen.local

А также, включите аудит неудачных попыток входа на сервере IIS и посмотрите в журнале событий Безопасность, появляется ли сообщения аудита о неудаче. Есле появляется, то там должна быть указана причина.

setspn -Q HTTP/iis.domen.local — это неправильно составленный запрос, выдает справку)

При попытке входа по короткому имени (iis) в журнал падает 3 события (в хронологическом порядке):

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 03.09.2013 18:17:29
Код события: 4672
Категория задачи:Специальный вход
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: IIS.advc.ru
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: ADVC\alexander.kononov
Имя учетной записи: alexander.kononov
Домен учетной записи: ADVC
Код входа: 0x7260f13

Привилегии: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
Xml события:

4672
0
0
12548
0
0x8020000000000000

36528

Security
IIS.advc.ru

S-1-5-21-116222934-1295663897-142223018-4603
alexander.kononov
ADVC
0x7260f13
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 03.09.2013 18:17:29
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: IIS.advc.ru
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0

Новый вход:
ИД безопасности: ADVC\alexander.kononov
Имя учетной записи: alexander.kononov
Домен учетной записи: ADVC
Код входа: 0x7260f13
GU >

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: 192.168.55.17
Порт источника: 59285

Сведения о проверке подлинности:
Процесс входа: Kerberos
Пакет проверки подлинности: Kerberos
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 03.09.2013 18:17:29
Код события: 4634
Категория задачи:Выход из системы
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: IIS.advc.ru
Описание:
Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: ADVC\alexander.kononov
Имя учетной записи: alexander.kononov
Домен учетной записи: ADVC
Код входа: 0x7260f13

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Xml события:

Безопасность сервера IIS

Microsoft Internet Information Server (IIS) был создан для унификации работы всех служб Internet. Он представляет собой высокоинтегрированный пакет серверных служб поддержки HTTP, FTP и Gopher.

Защита IIS основана на средствах обеспечения безопасности Windows NT. В их число входят:

  • учетные записи пользователей — Для предотвращения несанкционированного доступа к узлу IIS следует контролировать учетные записи пользователей. К основным методам защиты также относятся: применение формуляра “Гость из Internet”, регистрация по имени и паролю пользователя (по схеме аутентификации Windows NT) и выбор сложных для угадывания паролей;
  • установка NTFS;
  • права доступа — Основным механизмом доступа через сервер IIS является анонимный доступ. Из механизмов проверки подлинности лишь Windows NT Challenge-Response, используемый сервером HTTP, можно считать относительно защищенным. Поэтому не применяйте для аутентификации базовую схему, так как имя пользователя и пароль при этом передаются по сети открытым способом;
  • уменьшение числа протоколов и отключение службы Server — Уменьшив число протоколов, которыми пользуются сетевые адаптеры, вы заметно усилите защиту. Чтобы пользователи не смогли просматривать разделяемые ресурсы IIS, отключите службу Server. Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе;
  • защита информации в FTP — FTP всегда использует защиту на уровне пользователя. Это значит, что для доступа к серверу FTP пользователь должен пройти процедуру регистрации. Сервис FTP сервера IIS для идентификации пользователей, желающих получить доступ, может использовать базу данных пользовательских бюджетов Windows NT Server. Однако при этой процедуре FTP передает всю информацию только открытым текстом, что создает опасность перехвата пользовательских имен и паролей.

Проблема раскрытия паролей устраняется при таких конфигурациях сервера FTP, когда он разрешает анонимный доступ. При анонимном входе пользователь должен ввести в качестве пользовательского имени anonymous и свой почтовый (e-mail) адрес — в качестве пароля. Анонимные пользователи получают доступ к тем же файлам, доступ к которым разрешен бюджету lVSR_computemame. Кроме того, к сервису FTP сервера IIS Windows NT можно разрешить исключительно анонимный доступ. Такой вариант хорош тем, что при нем отсутствует возможность рассекречивания паролей в общей сети. Анонимный доступ к FTP разрешен по умолчанию;

  • контроль доступа по IP-адресу — Существует дополнительная возможность контроля доступа к серверу IIS — разрешение или запрещение доступа с конкретных IP-адресов. Например, можно запретить доступ к своему серверу с определенного IP-адреса; точно так же можно сделать сервер недоступным для целых сетей. С другой стороны, можно разрешить доступ к серверу только определенным узлам;
  • схемы шифрования — Чтобы обеспечить безопасность пакетов во время их пересылки по сети, приходится применять различные схемы шифрования. Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров. Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI. Некоторые схемы могут работать и на более низких уровнях. Используются такие протоколы, как: SSL, PCT, SET, PPTP, PGP.

Аудит

Аудит — одно из средств защиты сети Windows NT. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети. Фиксируются следующие параметры, касающиеся действий, совершаемых пользователями:

  • выполненное действие;
  • имя пользователя, выполнившего действие;
  • дата и время выполнения.
Илон Маск рекомендует:  Что такое код asp aspthreadgatesleepdelay

Аудит, реализованный на одном контроллере домена, распространяется на все контроллеры домена. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться. В сетях с минимальным требованиям к безопасности подвергайте аудиту:

  • успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;
  • успешное использование важной и конфиденциальной информации.


В сетях со средними требованиями к безопасности подвергайте аудиту:

  • успешное использование важных ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики;
  • успешное использование важной и конфиденциальной информации.

В сетях с высокими требованиями к безопасности подвергайте аудиту:

  • удачные и неудачные попытки регистрации пользователей;
  • удачное и неудачное использование любых ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес. Windows NT записывает события в три журнала:

  • Системный журнал — (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, регистрируемых в этом журнале, предопределен операционной системой и компонентами сторонних производителей и не может быть изменен пользователем. Журнал находится в файле Sysevent.evt.
  • Журнал безопасности — (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной вами стратегией аудита. Журнал находится в файле Secevent.evt.
  • Журнал приложений — (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определяется разработчиками приложений. Журнал находится в файле Appevent.evt.

Все журналы размещены в папке %Systemroot%\System32\Config. При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Для настройки журнала используйте диалоговое окно Event Log Settings.

С помощью этого окна можно управлять:

  • размером архивируемых журналов (размер по умолчанию – 512 Кбайт, можно изменить размер от 64 до 4 194 240 Кбайт);
  • методикой замещения устаревших записей журнала;
  • Overwrite Events as Need – в случае заполнения журнала при записи новых событий операционная система удаляет самые старые события;
  • Overwrite Events Older then X Days – в случае заполнения журнала при записи новых событий удаляются самые события, но только если они старше Х дней, иначе новые события будут проигнорированы;
  • Do not Overwrite Events – в случае заполнения журнала новые события не фиксируются. Очистка журнала производится вручную.

Для просмотра информации об ошибках и предупреждениях, а также об успешных и неудачных запусках задач используется программа Event Viewer. По умолчанию аудит выключен, и журнал безопасности не ведется. Первый этап планирования стратегии аудита — выбор подлежащих аудиту событий в диалоговом окне Audit Policy утилиты User Manager for Domains (User Manager).

Приведем типы событий, которые могут регистрироваться:

  • Logon and Logoff – регистрация пользователя в системе или выход из нее, а также установка и разрыв сетевого соединения;
  • File and Object Access – доступ к папкам, файлам и принтерам, подлежащим аудиту;
  • Use of User Rights – использование привилегий пользователей (кроме прав, связанных с входом и выходом из системы);
  • User and Group Management – создание, изменение и удаление учётных записей пользователей и групп, а также изменения в ограничениях учётной записи;
  • Security Policy Changes — изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений;
  • Restart, Shutdown and System — перезапуск или выключение компьютера пользователем; возникновение ситуации, влияющей на безопасность системы;
  • Process Tracking — события, которые вызывают запуск и завершение программ.

Настройка функций аудита описана в документации по Windows NT. Дополнительно рассмотрим следующие типы аудита: Аудит базовых объектов. Кроме файлов и папок, принтеров и разделов системного реестра в Windows NT есть базовые объекты, которые рядовому пользователю не видны. Они доступны только разработчикам приложений или драйверов устройств. Для включения аудита этих объектов необходимо разрешить аудит событий типа File and Object Access в диспетчере пользователей и с помощью редактора реестра установить значение параметра: Ветвь — HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Lsa, Имя — AuditBaseObjects, Тип — REG_DWORD, Значение — 1.

Дата добавления: 2015-03-19 ; просмотров: 537 ; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ

Установка и конфигурирование IIS

В большинстве случаев в реальных производственных проектах один или несколько серверов будут использоваться для обслуживания клиентских запросов веб-сайта. Эти серверы могут принадлежать и управляться непосредственно вами, специализированной командой или же сторонней компанией, предоставляющей услуги хостинга. В любом случае рано или поздно наступает момент, когда написание кода и его тестирование завершено, и работа должна быть представлена широкой публике — в этом и заключается развертывание веб-сайта.

В этой и следующих статьях мы рассмотрим различные варианты развертывания. Однако во всех случаях основные предпосылки остаются неизменными. На рабочей станции имеется готовый веб-сайт, который нужно развернуть на сервере, чтобы он был доступен клиентам. Для ASP.NET таким сервером является , а его текущей версией — IIS 8. Когда он был впервые реализован, IIS представлял собой базовый веб-сервер. С годами IIS развился в сложный сервер приложений, предоставляющий широкое множество функциональных средств, наиболее важным из которых является поддержка хостинга приложений ASP.NET.

В этой статье основное внимание уделяется IIS 8. Хотя машина, на которой запущен IIS 8, здесь называется сервером, IIS можно запускать под управлением версий Windows как для рабочей станции, так и для сервера. На рабочих станциях доступны не все, но большинство функциональных возможностей, что позволяет размещать сложные веб-сайты. По возможности мы рекомендуем использовать Windows Server, однако недорогой альтернативой могут послужить Windows 7 или Windows 8.

В Microsoft привязывают выпуски IIS с выпусками Windows. В состав Windows Server 2008 и Windows Vista входит версия IIS 7.0, в состав Windows Server 2008 R2 и Windows 7 — версия IIS 7.5, а в состав Windows Server 2012 и Windows 8 — IIS 8. Версии — 7.0 и 7.5 — в Microsoft обобщенно называют IIS 7, что может вносить путаницу. Версию IIS, поддерживаемую операционной системой, изменить нельзя — Windows Server 2008 будет использовать только IIS 7.0. Например, модернизировать ее до версии IIS 7.5, используемой в Windows Server 2008 R2, не получится.

Установка IIS

Компонент IIS включен как часть установки Windows (как для сервера, так и для рабочих станций) и требует активизации и конфигурирования. Далее представлены три способа активации IIS для различных операционных систем.

Установка IIS на настольных версиях Windows (Windows Vista, Windows 7 и Windows 8)

Каждая версия операционной системы Windows предлагает свою версию IIS — IIS 8 (в Windows 8), IIS 7.5 (в Windows 7) или IIS 7 (в Windows Vista). Во всех этих версиях Windows, IIS включен, но изначально не установлен. Чтобы установить его, необходимо выполнить следующие действия:

Откройте панель управления.

Нажмите кнопку «Включение или отключение компонентов Windows». Теперь вам нужно подождать, пока Windows исследует вашу систему.

Найдите элемент Internet Information Services (Службы IIS) в верхней части списка и нажмите на галочку чтобы включить его:

Обратите внимание, что Windows позволяет включить множество компонентов IIS: поддержка FTP-сервера, дополнительные инструменты управления, службы обратной совместимости с IIS 6 и т.д.

Убедитесь, что вы выбрали поддержку ASP.NET. Для этого раскройте узел Службы Интернета Компоненты разработки приложений ASP.NET (Internet Information Services World Wide Web Services Application Development Features ASP.NET):

Если вы хотите использовать поддержку IIS в Visual Studio, которая позволяет вам создавать виртуальные каталоги IIS непосредственно в диалоговом окне New Web Site, вам нужно выбрать пункт «Совместимость управления IIS 6» в разделе «Средства управления веб-сайтом» (Web Management Tools IIS 6 Management Compatibility).

Как только вы выбрали нужные параметры IIS, нажмите кнопку OK для завершения установки.

Установка IIS в Windows Server 2008

Установка и настройка IIS одинакова для Windows Server 2008 и Windows Server 2008 R2. Необходимые шаги описаны ниже:

Запустите диспетчер сервера. Чтобы сделать это, нажмите кнопку Start и выберите All Programs Administrative Tools Server Manager.

Выберите узел Roles в дереве слева.

В правой части окна нажмите на ссылке Add Roles. Это открывает мастер, позволяющий добавить новую роль сервера.

Выполните необходимые действия в мастере. Вас вероятно попросят установить дополнительные необходимые роли — если это так, нужно просто принять операции и продолжить.

После установки вам будет предложено настроить веб-сервер. Как в настольных версиях Windows, вы можете выбрать специфические особенности IIS 7, которые должны быть включены.

Если вы работаете в ASP.NET с версией .NET Framework 4.5, то эту версию .NET Framework необходимо будет установить (центр разработчиков .NET Framework)

Установка IIS в Windows Server 2012

Процесс установки IIS в Windows Server 2012, по существу, такой же, как и в Windows Server 2008. Основное различие заключается в том, что пользовательский интерфейс несколько отличается. Подробное описание вы можете найти перейдя по ссылке Installing IIS 8 on Windows Server 2012.

Управление IIS

При установке IIS, он автоматически создает каталог с именем C:\inetpub\wwwroot, который представляет ваш веб-сайт. Все файлы в этом каталоге будет отображаться, как будто они находятся в корневом каталоге вашего веб-сервера.

Чтобы добавить дополнительные страницы на ваш веб-сервер, можно скопировать файлы HTML, ASP или ASP.NET напрямую в каталог C:\Inetpub\wwwroot. Например если добавить файл TestFile.html в этот каталог, вы можете запросить его в браузере через URL-адрес http://localhost/TestFile.html. Вы даже можете создавать вложенные папки для группирования связанных ресурсов. Например, вы можете получить доступ к C:\inetpub\wwwroot\MySite\MyFile.html через браузер, используя URL-адрес http://localhost/MySite/MyFile.html.

Каталог wwwroot удобен для запуска простых примеров и статичных страниц. Для правильного использования ASP.NET вы должны сделать свой собственный виртуальный каталог для каждого веб-приложения, которое вы создаете. Например, вы можете создать папку с любым именем на любом диске вашего компьютера и поместить ее в виртуальный каталог IIS как будто она расположена в каталоге C:\inetpub\wwwroot.

Прежде чем начать работу, вам нужно запустить диспетчер служб IIS. Его можно найти в меню Start (Пуск). Конкретное расположение может зависеть от используемой версии Windows (IIS Диспетчер служб IIS). Ярлык программы будет располагаться в разделе Programs (Программы) или Administrative Tools (Администрирование). Начальная страница IIS Manager показана на рисунке ниже:

Теперь нужно ознакомиться с рядом терминов, используемых в IIS. В левой части окна IIS Manager отображается запись с именем используемого сервера. Наш сервер имеет имя PROFESSORWEB, сгенерированное по умолчанию Windows 8, которое будет использоваться в большинстве примеров. В центральной области отображается представление сервера. Это представление отображает набор значков, которые позволяют конфигурировать параметры сервера. В правой части экрана расположен список доступных действий. Например, в этом представлении можно запускать, останавливать и перезапускать сервер.

Если развернуть элемент сервера в древовидном представлении в левой части экрана, отобразится элемент Sites (Сайты), содержащий единственную запись Default Web Site (Веб-сайт по умолчанию). Сайт — это коллекция файлов и каталогов, образующих веб-сайт. На одном сервере IIS может поддерживать несколько сайтов, как правило, на различных портах TCP/IP (по умолчанию используется порт 80). Сочетание имени сервера и порта сайта образует первую часть URL-адреса. Например, при использовании сервера mywebserver с сайтом, подключенным к порту 80, URL-адрес выглядит следующим образом:

Каждый сайт может содержать множество файлов и каталогов. Каждый из них образует часть URL-адреса. Так, URL-адрес статической страницы mypage.html, расположенной в каталоге myfiles, будет следующим:

В некоторых ситуациях имя, под которым сервер известен вам, и имя, которое клиенты используют для получения содержимого, будут различаться. Мы оставим этот нюанс без внимания, но администратор сервера или компания, предоставляющая услуги хостинга, предоставят необходимые сведения, если это важно для конкретного сервера.

Чтобы проверить работоспособность IIS выберите Default Web Site и в правой области диспетчера служб IIS выберите пункт «Запустить». После этого нажмите кнопку «Обзор *.80 (http)» чтобы открыть страницу сайта в браузере:

Как видите, в моем случае я поменял порт используемый по умолчанию (с 80 на 8080). Я сделал это, т.к. на 80-м у меня запущен локальный Apache-сервер. Если у вас возникает такая же проблема, то изменить порт можно щелкнув правой кнопкой мыши по сайту (Default Web Site) и выбрав в контекстном меню «Изменить привязки» (Bindings). После этого в диалоговом окне можно изменить порт, используемый по умолчанию.

Итак, каждый сервер может поддерживать множество сайтов, каждый из которых работает на другом порту или с другим IP-адресом. Каждый сайт может иметь множество файлов и каталогов, и сочетание этих элементов предоставляет информацию о URL-адресе. Мы вернемся к URL-адресам и использованию IIS Manager при рассмотрении каждого из подходов к развертыванию.

Генерация CSR: Microsoft IIS 7

1. Запустите Internet Information Services Manager (его можно найти в меню Start , подпункт Administrative Tools ).

2. Выберите название своего сервера.

3. В разделе Security (Безопасность) главного меню выберите пункт Server Certificates (Сертификаты сервера) и дважды нажмите на него левой кнопкой мыши.

4. Справа в окне Вы увидите меню Actions (Действия). Выберите пункт Create Certificate Request (Создать запрос сертификата).

5. В результате должно открыться окно мастера создания запроса.

Генерация CSR запроса на Microsoft IIS 7: заполнение полей

В окне Distinguished Name Properties введите следующую информацию:

Важно! Вся информация вводится латиницей!

6. Нажмите кнопку Next (Далее).

7. В окне Cryptographic Service Provider Properties заполните следующие поля:
Cryptographic Service Provider – оставьте по умолчанию Microsoft RSA SChannel Cryptographic Provider
Bit length – выберите 2048.
Нажмите Next (Далее).

8. В окне File Name укажите название и расположение Вашего CSR файла и нажмите Finish (Готово). Для примера мы указали путь c:\certreq.txt. Этот файл и есть CSR запрос.

Как использовать CSR для заказа SSL сертификата?

Оформляя заказ на SSL сертификат Вам нужно вставить содержимое файла CSR в соответствующую форму на нашем сайте. Для этого откройте CSR файл в любом текстовом редакторе и скопируйте его содержимое вместе с тегами BEGIN и END.

Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL