كيفية تثبيت واستخدام معالج تأمين IIS

نوصي بشدة بأن كافة المستخدمين بالترقية إلى Microsoft معلومات خدمات الإنترنت الإصدار 6.0 يقوم بتشغيل Microsoft Windows Server 2003. IIS 6.0 ملحوظ زيادة أمان البنية الأساسية لموقع ويب. لمزيد من المعلومات حول الموضوعات المتعلقة بأمان IIS، قم بزيارة موقع Microsoft التالي على الويب:

ملخص

توضح هذه المقالة خطوة بخطوة كيفية تأمين ملقم ويب باستخدام معالج تأمين خدمات معلومات إنترنت (IIS). ويتضمن أيضا معلومات حول كيفية استكشاف المشكلات التي تحدث بعد تشغيل المعالج.

التحضير لتشغيل معالج تأمين IIS

باستخدام معالج تأمين IIS، يمكنك تعطيل العديد من ميزات اختيارية ل IIS لتأمين ملقم IIS ضد أي هجوم. قبل تشغيل المعالج، قراءة ملف التعليمات للتعرف على الخيارات التي يقدم المعالج. للوصول إلى ملف التعليمات:
  1. تنزيل معالج تأمين IIS. لتحميل المعالج، قم بزيارة موقع Microsoft التالي على الويب:
  2. استخراج ملفات معالج تأمين من الملف القابل للتنفيذ.
  3. ابحث عن المجلد الذي قمت بتحديده عندما قمت باستخراج الملفات ومن ثم انقر نقراً مزدوجاً فوق الملف Iislockd.chm.
لاحظ أن معالج تأمين تصاريح بتعطيل بعض ميزات اختيارية ل IIS المطلوبة لتصحيح تشغيل التطبيقات الأخرى، مثل FrontPage وتبادل. إذا لم تحدد الخيارات الصحيحة عند تشغيل معالج تأمين، قد فصل وظيفة هذه التطبيقات. لتقليل المشاكل، قم بمراجعة مقالات "قاعدة معارف Microsoft" المناسبة الخاصة بك نظام التكوين قبل تشغيل معالج تأمين عناية:
  • تبادل و Outlook Web Access (OWA):
    تكوين IIS Lockdown و URLscan 309508 في بيئة Exchange

  • خادم معلومات الجوال Microsoft:
    311595 كيفية تثبيت وتكوين مجموعة أدوات أمان Microsoft على "خادم Microsoft معلومات الجوال"

  • ملقم الأعمال الصغيرة Microsoft:
    كيفية استخدام أداة تأمين IIS ملقم الأعمال الصغيرة 311862

  • مشروع Microsoft Project Server و Project Web Access:
    ظهور رسائل خطأ 321357 عند عرض صفحة Microsoft Project Web Access يحتوي على الشبكات

    كيفية تكوين أداة الأمان URLScan وأداة تأمين IIS على كمبيوتر يقوم بتشغيل Microsoft Project Server أو Microsoft Project Central 316398

  • Microsoft SharePoint Portal Server:
    309675 أداة IIS Lockdown يؤثر على SharePoint Portal Server

    319633 'خطأ في تنفيذ البرنامج النصي: حدث خطأ أثناء تنفيذ استدعاء' رسالة خطأ بعد تثبيت معالج تأمين IIS

  • Microsoft Visual Studio.NET:
    310588 PRB: فصل "مجموعة أدوات أمان" تصحيح ASP.NET في Visual Studio.NET

    الخطأ 315904 : "اكستيرناليكسسيبشن: لا يمكن تنفيذ برنامج" ظهور رسالة خطأ عند استدعاء WebServices من صفحة aspx.

  • Microsoft FrontPage:
    317390 رسالة الخطأ "لم يتم العثور على كائن HTTP/1.1 404" عند مستخدم لصفحة ويب الخاصة بك لإجراء بحث

    ظهور رسالة خطأ 307976 عند استخدام FrontPage مع URLScan

  • الملقم الوكيل Microsoft:
    311675 لا البحث "الوكيل الخادم 2.0 التعليمات عبر إنترنت" بعد تثبيت معالج تأمين IIS

  • 888936 لا يمكن تثبيت عملاء SMS 2003 متقدم

تحميل وتثبيت معالج تأمين IIS

  1. انقر نقراً مزدوجاً فوق الملف التنفيذي الذي قمت بتحميله في التحضير لتشغيل معالج IIS Lockdown القسم لبدء تشغيل المعالج.
  2. على صفحة الترحيب، قراءة نص توضيحي، ومن ثم انقر فوق التالي.
  3. على الصفحة "اتفاقية الترخيص"، اقرأ اتفاقية الترخيص، انقر فوق أوافق، وثم انقر فوق التالي.
  4. في الصفحة "تحديد قالب الخادم"، حدد القالب الأكثر تطابقاً مع دور لهذا الملقم، وثم انقر لتحديد إعدادات قالب العرض. الصفحات ذلك اتباع هذا تحتوي الخيارات المحددة بالفعل استناداً إلى دور الملقم الذي قمت بتحديده في الصفحة السابقة، حتى تتمكن من استخدام كافة التحديدات الافتراضي.

    إذا كان الملقم أدوار متعددة (على سبيل المثال، حيوية ملقم ويب أيضا ملقم وكيل)، انقر فوق لتحديد أخرى (Server التي لا تطابق أي من الأدوار المسرودة)، تأكد من عناية مراعاة كافة الخيارات التي ترد في الصفحات التالية، للتحديدات الافتراضية قد لا تكون مناسبة للخادم الخاص بك. عندما تقوم بتحديد الإعدادات المناسبة، انقر فوق التالي.
  5. في الصفحة "خدمات إنترنت"، حدد الخدمات التي تريد الملقم لتوفير. تتطلب معظم ملقمات خدمة ويب. إذا كنت لا تريد الملقم لتوفير خدمات بروتوكول نقل الملفات (FTP) أو بروتوكول نقل البريد البسيط (SMTP) (أي نقل أو البريد الإلكتروني خدمات الملفات)، يمكنك النقر فوق لإلغاء تحديد هذه الخيارات. لاحظ أنه يجب ترك تحديد إذا كنت تشغل Small Business Server أو Exchange SMTP.

    الخدمات التي لم تحدد في هذه الصفحة تعطيل ولا يمكن بدء تشغيل. إذا كنت تستخدم معالج تأمين على IIS 5.0، يمكنك أيضا النقر فوق لتحديد إزالة خدمات غير محددة، مما يزيل تماما الخدمات التي لم تقم بتحديد من النظام. عندما تقوم بتحديد الإعدادات المناسبة، انقر فوق التالي.
  6. في الصفحة "تعيينات البرامج النصية"، انقر لإلغاء تحديد خانة الاختيار المجاورة لأي نوع الملف أو أنواع الملفات التي تريد الملقم الخاص بك لتوفير. إذا لم تكن متأكداً من ما لتعطيل، يمكنك البحث في الدلائل المحتوى الخاص بك لمعرفة ما إذا كان يوجد ملحقات أسماء الملفات هذه. لاحظ أن معظم ملقمات تتطلب "صفحات الملقم النشطة" (.asp)، حيث يجب النقر لإلغاء تحديد خانة الاختيار إلا إذا كنت متأكداً من أن الملقم لا يخدم صفحات ASP. انقر فوق التالي.
  7. في صفحة "أمان إضافية"، حدد الدلائل الظاهرية التي تريد إزالتها من هذا الخادم. بشكل افتراضي، يتم تثبيت هذه الدلائل الظاهرية بشكل افتراضي مع IIS، حيث أنها أهداف معروفة للمهاجمين وقد تحتاج إلى إزالة هذه الدلائل الظاهرية أو إعادة تسميتها على. هذه الدلائل الظاهرية من IIS إزالة الدلائل الفعلية المقابلة على القرص، حتى لا تفقد أية بيانات عن طريق تحديد هذا الخيار.
  8. في صفحة "أمان إضافية"، انقر لتحديد أدوات نظام التشغيل إذا كنت تريد أن إنكار الحقوق القابلة للتنفيذ على الملفات الموجودة في دليل Windows لحساب الضيف (guest) إنترنت (افتراضياً، IUSR_ <computername>). يجب تحديد هذا الخيار في معظم الأنظمة.
  9. الصفحة "مزيد من الأمان"، انقر فوق لتحديد الكتابة إلى الدلائل المحتوى إذا كنت ترغب في منع كتابة حقوق ضيف إنترنت الحساب على الدلائل التي تحتوي على صفحة ويب المحتوى. تأكد من ترك هذا الخيار غير محدد إذا كنت تستخدم ملحقات ملقم FrontPage على هذا الملقم، أو إذا كان هذا الملقم يعمل كخادم وكيل.
  10. في صفحة "أمان إضافية"، انقر لتحديد تعطيل ويب التأليف الموزع وتعيين الإصدار (WebDAV) إذا كنت لا تستخدم WebDAV لإنشاء ونشر محتوى ويب على هذا الملقم. إذا كان هذا الملقم يعمل Outlook Web Access (OWA) ل Exchange 2000، تأكد من ترك هذا الخيار غير محدد.
    ملاحظة: إذا قمت بتحديد هذا الخيار، تعيين معالج تأمين الحقوق في DLL التي تقوم بتنفيذ وظيفة WebDAV (Httpext.dll) لرفض تنفيذ الإذن. هذا يأذن باستمرار طلبات WebDAV معينة لتنفيذ. للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    307934 تأمين WebDAV إلى ACL يسمح الوضع وحذف طلبات

  11. انقر فوق التالي.
  12. في الصفحة "URLScan"، حدد خيار تثبيت URLScan إذا كنت تريد استخدام URLScan لتصفية الطلبات الواردة استناداً إلى مجموعة من القواعد. إذا حاول عميل طلب غير صحيح استناداً إلى قواعد URLScan، IIS الرد مع خطأ 404 "لم يتم العثور على الملف" وتسجيل الطلب في ملف السجل URLScan. بشكل افتراضي، يوجد هذا الملف في % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    ملاحظة: إذا تركت WebDAV ممكنة على صفحة "أمان إضافية" ولكن قررت تثبيت URLScan، لاحظ الذي يحظر URLScan طلبات WebDAV بشكل افتراضي. يجب تعديل الملف Urlscan.ini إذا كنت تريد استخدام WebDAV مع URLScan.
  13. على صفحة "إعدادات تطبيق" الجاهزة، مراجعة التغييرات التي سيتم إجراء، ثم انقر فوق التالي.
  14. معالج تأمين احتياطي قاعدة التعريف الخاص بك وإجراء تغييرات محددة. عند اكتمال هذه العملية، انقر فوق عرض التقرير لعرض تقرير يصف التغييرات التي قام المعالج. انقر فوق التالي للمتابعة.

    ملاحظة: يمكنك عرض تقرير التثبيت عن طريق فتح %WINDIR%\System32\Inetsrv\Oblt-rep.log في "المفكرة".
  15. انقر فوق إنهاء لإغلاق معالج تأمين IIS.
  16. اختبار كافة وظائف الملقم الخاص بك بشكل كامل. تعد هذه الخطوة مهمة جداً. إذا اكتشفت مصادفة تعطيل الوظائف المطلوبة من الملقم، مباشرة استرجاع التغييرات التي تم إجراؤها تأمين معالج، وثم إعادة تشغيل المعالج لتحديد الخيارات الصحيحة. للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    317052 كيفية التراجع عن التغييرات التي تم إجراؤها من قبل معالج تأمين IIS

تكوين URLScan

عند تشغيل معالج تأمين IIS، يمكنك تثبيت URLScan. URLScan هو عامل تصفية ISAPI بحظر طلبات HTTP استناداً إلى مجموعة من القواعد القابلة لتكوين. على سبيل المثال، يمكنك تكوين URLScan منع كافة طلبات معينة ملحق اسم ملف، لحظر الأفعال HTTP معينة (مثل جلب أو نشر)، أو لحظر الطلبات التي تحتوي على الأحرف التي يتم تضمين في هجمات على ملقمات ويب.

لتكوين URLScan، استخدم محرر نص مثل المفكرة لتحرير الملف %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. يحتوي هذا الملف على تعليقات شاملة توضح كل خيار التكوين. عند الانتهاء من تحرير ملف.ini، حفظها وإعادة تشغيل IIS.

للحصول على معلومات إضافية حول كيفية تكوين URLScan، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

312376 كيفية تكوين URLScan للسماح بطلبات بملحق فارغة (null) في IIS

كيفية تكوين أداة URLScan 326444

استكشاف الأخطاء وإصلاحها بعد تشغيل معالج تأمين IIS

المشكلة الأكثر شيوعاً بعد تشغيل معالج IIS Lockdown يتلقى رسائل غير متوقعة 404 "لم يتم العثور على ملف" خطأ عند فتح موقع المؤمنة. قد تتلقى رسائل الخطأ هذه حتى بالنسبة للملفات الموجودة. يحدث هذا عندما يطلب عميل ملف تم حظره بواسطة معالج تأمين أو URLScan. في هذه الحالة، IIS يقول أن الملف غير موجود لأغراض أمنية. إذا كان مستخدم ضار يعرف أن خدمة عرضه موجود على الملقم ولكن يتم حظر، المستخدم لا تزال تجد طريقة للالتفاف الحظر واستغلال الثغرة الأمنية؛ ومع ذلك، إذا كان المستخدم يعتقد أنه لم يتم تثبيت الخدمة، المستخدم لن يحاول استغلال ذلك.

إذا تلقيت رسالة خطأ 404 بعد تشغيل معالج تأمين IIS، اتبع هذه الخطوات لاستكشاف المشكلة وإصلاحها:

  1. تحقق من أن الملف الذي تطلبه موجود على الخادم. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    248033 كيف يمكن استكشاف مسؤولي النظام "الملف-HTTP 404 لم يتم العثور على" رسالة خطأ على خادم يقوم بتشغيل IIS

  2. فحص ملف سجل URLScan لمعرفة إذا كان URLScan يتم حظر الطلبات. هذا الملف موجود في %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (حيث MMDDYY هو تاريخ السجل). إذا اكتشفت أن URLScan بحظر الطلبات، راجع المقطع تكوين URLScan لإعداد URLScan حيث تسمح هذه الطلبات.
  3. إذا كنت تطلب ملف ليست بتنسيق HTML، مثل صفحة ASP أو ملقم جانب تضمين ملف ممكنة، تحقق من تعيين التطبيق لنوع الملف في "إدارة خدمات إنترنت":
    1. زر الماوس الأيمن فوق موقع ويب الخاص بك ومن ثم انقر فوق خصائص.
    2. في علامة التبويب الدليل الرئيسي ، انقر فوق تكوين.
    3. انقر فوق علامة التبويب تعيينات التطبيقات .
    4. انقر فوق السطر الذي يتوافق مع ملحق الملف الذي تحاول الوصول إليه.
    5. إذا تم تعيين المسار القابل للتنفيذ إلى WINDIR%\System32\Inetsrv\404.dll في المائة، انقر فوق تحرير، ثم قم بتعيين مسار الملف التنفيذي للمسار القابل للتنفيذ الافتراضي لملحق الملف هذا. إذا لم تكن متأكداً من القيمة الافتراضية، افتح الملف %WINDIR%\System32\Inetsrv\oblt-log.log الذي تم إنشاؤه عندما قمت بتشغيل "معالج" تأمين ". ابحث عن سطر الذي يبدأ ب SMAP

      متبوعة بملحق اسم الملف. يحتوي هذا البند أيضا على المسار القابل للتنفيذ الافتراضي لنوع الملف هذا.
إذا كنت تواجه مشكلة مع خدمة التي تعتمد على IIS مثل تبادل أو SharePoint، راجع مقالات قاعدة معارف Microsoft المسرودة في المقطع التحضير لتشغيل معالج تأمين IIS .

وربما تجد هذه FTP أو SMTP لا تعمل بعد تشغيل معالج تأمين IIS. يحدث هذا إذا كنت تعطيل أو إزالة هذه الخدمات. إذا قمت بتعطيل الخدمات، اتبع هذه الخطوات لإعادة تمكينها:
  1. افتح لوحة التحكم
  2. في Windows NT 4.0، فتح برنامج " الخدمات ". في نظام التشغيل Windows 2000 أو نظام التشغيل Windows XP، افتح المجلد "أدوات إدارية"، وقم بفتح برنامج " الخدمات ".
  3. انقر نقراً مزدوجاً فوق النشر FTP أو نقل البريد البسيط (SMTP) بروتوكول.
  4. نوع بدء التشغيل، انقر لتحديد تلقائي.
  5. انقر فوق ابدأ إذا أردت الخدمة للبدء على الفور.
إذا قمت تماما إزالة أحد أو كلا من هذه الخدمات عن طريق تحديد إزالة الخدمات غير الضرورية عندما قمت بتشغيل معالج IIS Lockdown على IIS 5.0، اتبع هذه الخطوات لإعادة تثبيتها:

  1. افتح لوحة التحكم
  2. فتح برنامج "إضافة/إزالة البرامج"، ومن ثم انقر فوق إضافة/إزالة مكونات Windows في الجزء الأيمن.
  3. حدد خدمات معلومات إنترنت (IIS)ومن ثم انقر فوق تفاصيل.
  4. انقر لتحديد خدمة بروتوكول نقل الملفات (FTP) أو خدمة SMTP.
  5. انقر فوق "موافق"، ومن ثم انقر فوق التالي. سيتم تثبيت الخدمة المحددة أو الخدمات. قد تتم مطالبتك بإدراج القرص المضغوط ل Windows.
  6. تأكد من تطبيق أحدث حزمة خدمة ل Windows وأي الإصلاحات العاجلة التي تم تثبيتها.
إذا كان أي من هذه الطرق يعمل، يمكنك عرض ملف التقرير معالج IIS Lockdown لرؤية كافة التغييرات التي تم إجراؤها الأداة. قد يساعد هذا تحديد التغييرات السبب في المشاكل التي تواجهها. يتم حفظ ملف التقرير هذا في WINDIR\System32\Inetsrv\Oblt-rep.log في المائة.

للحصول على معلومات إضافية حول كيفية التراجع عن التغييرات التي تم إجراؤها معالج تأمين IIS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

317052 كيفية التراجع عن التغييرات التي تم إجراؤها من قبل معالج تأمين IIS

المراجع

لمزيد من المعلومات حول معالج تأمين IIS وكيفية تأمين ملقم IIS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

310725 كيفية تشغيل معالج تأمين IIS غير المراقب في IIS

كيفية إنشاء نوع ملقم مخصصة للاستخدام مع معالج تأمين IIS 311350

282060 الموارد لتأمين "خدمات معلومات إنترنت"

خصائص

رقم الموضوع: 325864 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات