Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 05-03-2012, 10:55 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Bảo mật với IIS 6.0
Bảo mật với IIS 6.0




Các bước bảo mật IIS

Microsoft khuyên nên thực hiện các bước khi bảo mật hệ thống IIS.
  1. Luôn cập nhật các bản vá và các bản cập nhật để đảm bảo hệ thống và các thành phần của nó luôn được cập nhật phiên bản gần nhất để ngăn ngừa bất kỳ lỗ hỏng đã biết.
  2. IIS Lockdown, chạy URLScan trong IIS 6.0
  3. Chỉ cài đặt những thành phần cần thiết và tắt các services ko cần
  4. Loại bỏ các thành phần không sử dụng trên IIS
  5. Sử dụng tài khoản cho các ứng dụng web một cách hợp lý
  6. Phân quyền file và thư mục
  7. Loại bỏ các tài nguyên chia sẻ khi chúng không được sử dụng
  8. Bảo mật kết nối mạng
  9. Tắt dịch vụ “remote registry access”
  10. Các thư mục và file cho các website nên lưu trữ trên thư mục khác với thư mục của window. Phân quyền chỉ cho các tác vụ cần thiết
  11. Loại bỏ các services đuợc dùng để thực thi (Script Mapping) những loại file không cần thiết
  12. Loại bỏ các ISAPI ko cần thiết
  13. IIS Metabase chứa các thông tin quan trọng đối với IIS. Bạn nên hạn chế việc truy cập đến file này từ người dùng
  14. Sử dụng Certificates
  15. File Machine.config dùng để cấu hình các ứng dụng ASP.NET. Bạn nên loại bỏ các HttpModule không dùng, bảo vệ tài nguyên với HttpForbiddenHandler
  16. Phân quyền việc truy cập code, các file .config
Giống như cách mà các trình duyệt dùng để xử lý file dữ liệu, bạn có thể dùng MIME để hạn chế các loại file sẽ được xử lý bởi IIS. Điều này giúp ngăn ngừa việc truy cập trái phép, như là các file cấu hình (.ini) và các file chạy (batch) hoặc các file hệ thống không cần phải xử lý và gởi đến kẻ tấn công. Bằng cách loại bỏ các file ko cần thiết, bạn có thể ngăn ngừa IIS gởi những loại file đó.
Mặc định, IIS chỉ xử lý các loại MIME đã được đăng ký. Nếu một MIME không đăng ký được yêu cầu, IIS sẽ phản hồi lỗi 404.3 để thông báo rằng yêu cầu đã bị khóa bỏi vì MIME này không được đăng ký. Bạn có thể cấu hình IIS xử lý tất cả các loại file bằng cách thêm MIME. Tuy nhiên, bạn không nên cấu hình cái này.
Website permissions có thể áp dụng cho toàn bộ website, cho thư mục ảo (virtual directory), thư mục, hoặc file. Website permissions có những loại sau:


Read
Users có thể xem các nội dung và các thuộc tính của các directories hay các files. Đây là thiết lập mặc định.


Write
Users có khả năng thay đổi nội dung và thuộc tính của directories hay các files.


Script Source Access
Users có thể truy cập tới “source files, nếu quyền Read được cho phép, sau đó source có thể được đọc, nếu quyền Write được cho phép thì sau đó “script source code” có thể bị thay đổi. Script Source Access bao gồm “source code – mã nguồn” cho các đoạn script. Nếu Read hay Write đều không được cho phép thì Script Source Access không được phép truy cập.
Một điều quan trọng đó là nếu Script Source Access được cho phép, user có thể xem các thông tin có trong file. Và khi đó họ có thể thay đổi được mã nguồn chạy trên IIS Server thì bảo mật trên toàn máy chủ sẽ bị ảnh hưởng.


Directory browing


User có thể xem danh sách các files.
Log Visits


Toàn bộ log ghi lại quá trình truy cập của người dùng vào web site.


Index this Resource


Cho phép Indexing Service có khả năng index resource. Nó cho phép tìm kiếm và thực hiện một số tác vụ khác với tài nguyên trên IIS Server.


Excuted


Có những tuỳ chọn các mức độ chạy scipt cho từng users
none– không cho chạy các script trên server
scripts only– chỉ cho phép các scripts chạy trên server
scripts and executables– cho phép cả scripts và executables trên server.



Anonymous


Phương thức xác thực này không yêu cầu người dùng phải đăng nhập tài khoản cũng như mật khẩu và bình thường đây là các nội dung của trang Web được public một cách hoàn toàn. Phương thức xác thực Anonymous không hoàn toàn được coi là một phương thức xác thực bởi người dùng không được yêu cầu xác thực trong quá trình truy cập. Nó mang đến một khả năng đơn giản hoá quá trình truy cập cho phép mọ người đều có thể truy cập được vào trang Web. Nó là lựa chọn đơn giản nhất giúp bạn public tài nguyên cho toàn bộ mọi người.
Mặc định IIS sử dụng tài khoản Internet cho việc truy cập lạc danh (anonymous) là tài khoản IUSER_computername, trong computername chính là tên của máy tính đang chạy IIS. Tài khoản này được thêm vào trong nhóm Guests trên máy tính cài đặt IIS. Nếu bạn làm việc với nhiều bản IIS khác nhau bạn phải cấu hình cho phép tài khoản này có đặc quyền trong User right là “Allow Log on Locally”. IIS 6.0 không cần thiết phải có sự cho phép của tài khoản này. Anonymous được truy cập và hỗ trợ trên toàn bộ các phiên bản trình duyệt khác nhau.
Basic
Phương thức xác thực này yêu cầu người dùng phải có tài khoản (account name) và mật khẩu (password) để truy cập vào tài nguyên trên Web site. Nhưng mặc dù mật khẩu của người dùng được lưu trữ mã hoá trên máy chủ, nhưng những thông tin đó được truyền đi trên mạng hoàn toàn không bị mã hoá (truyền dạng clear text) và hoàn toàn có khả năng bị capture. Tuy nhiên khi bạn sử dụng phương thức xác thực này kết hợp với SSL (secure socket layer), bạn có thể bảo mật thông tin được truyền trên mạng. Sử dụng phương thức xác thực Basic với SSL là một phương pháp phổ biến nhất cung cấp khả năng xác thực người dùng và tính bảo mật cao. Và đây là một phương thức hỗ trợ hầu hết trong các trình duyệt Web hiện nay.
Với phương thức xác thực Basic, một người dùng luôn có được sự xác thực tin cậy, trường hợp nếu người dùng sử dụng tài khoản để truy cập vào một domain cùng với tài khoản và mật khẩu để truy cập vào trang Web. Khi bạn đóng trình duyệt web và vào lại trang web cũ, bạn sẽ vẫn có được sự xác thực, và việc bạn lựa chọn “remember password”, nhưng điều đó không được khuyến cáo.
Digest
Phương thức xác thực này chỉ làm việc với các tài khoản người dùng trong Active Directory, và nó không hỗ trợ tất cả các trình duyệt web khác nhau, nó là lựa chọn không được sử dụng khi bạn public một trang Web ra Internet. Nó là trường hợp cụ thể trong việc triển khai trang Web cho mạng Intranet. Nó làm việc như phương thức xác thực Basic, ngoại trừ việc thông tin người dùng khi truyền trên mạng với MD5, hay messsage digest. Bởi vì với phương pháp “hash” cho quá trình truyền tải mật khẩu, phương thức Digest rất bảo mật bởi nó có khả năng chống việc gói tin bị đánh cắp và phân tích nhưng cũng sẽ không tìm ra được mật khẩu.
Advanced Digest
Đây là một phương thức xác thực rất bảo mật bởi các thông tin người dùng được lưu trữ trong Domain Controller như dạng MD5. hay message digest, tạo ra khả năng khó khăn trong việc phân tích gói tin về tài khoản người dùng và mật khẩu.
Phương thức xác thực Advanced Digest dựa trên giao thức HTTP 1.1. Nó không có trong: Bảng tích hợp các phương thức xác thực trong IIS 6.0

Chú ý là mặc định, ASP.NET không dùng IUSR_<machinename> cho các yêu cầu anonymous, ứng dụng ASP.NET sẽ dùng process identity của application pool. Bạn có thể cấu hình dùng IIS anonymous trong file web.config bằng cách thêm: <identity impersonate=”true”>. Tất cả các yêu cầu khác (cho file tĩnh hoặc ASP, PHP) sẽ dùng IUSR_<machinename>.
Chúng ta có thể sử dụng SSL để bảo mật quá trình kết nối, nhưng vẫn có một số hạn chế đối với SSL.
Đầu tiên, bất kỳ thông tin được truyền theo chuỗi URL (ví dụ: là phần query string) sẽ không được mã hóa. Nếu bạn truyền các dữ liệu nhạy cảm trong URL, nó có thể được đọc bởi bất kỳ ai đang giám sát luồng thông tin.


Ví dụ:
- https://user:password@www.myCompany.com and
- www.myCompany.com?user=user&password= password

Hai là, các thông tin mã hoá được truyền đi sẽ được giải mã tại client và server. Kẻ tấn công khi đã truy cập được vào client hoặc server sẽ có thể đọc được các thông tin được giải mã. Các thông tin này có thể đang sử dụng hoặc trong cơ sở dữ liệu, file log của IIS
Để ngăn ngừa kẻ tấn công lấy được quyền truy xuất đến source code, bạn nên thực hiện các bước cấu hình sau:


- Nếu bạn include file có phần mở rộng mà không được dùng cho các mục đích khác của ứng dụng web (ví dụ: .inc) và bạn đang chạy URLScan, thêm phần mở rộng đó vào danh sách [DenyExtension].


- Nếu bạn include file với phần mở rộng thuộc loại file tĩnh – là file mà không có một web service extension được cấu hình để xử lý, như là .html hoặc .inc, loại bỏ quyền IIS Read cho thư mục mà chứa các file đó – với điều kiện là thư mục đó không chứa các file yêu cầu phải được xử lý trực tiếp.


- Nếu bạn include file với loại file động – file sẽ được xử lý bởi một web service – như là asp, loại bỏ quyền IIS script cho thư mục mà bạn chứa các file include – với điều kiện là thư mục đó không chứa các file yêu cầu phải được xử lý trực tiếp.
Cấu hình thư mục và phân quyền đối với web hosting

Để bảo mật hệ thống hosting với nhiều khách hàng trên hệ thống window server 2003. Bạn cần phải có kế hoạch phân vùng dữ liệu, tô chức thư mục của khách hàng và phân quyền trên từng thư mục.
Đầu tiên, nội dung web nên được chứa trên phân vùng khác với phân vùng mà hệ thống được cài đặt. Chúng ta sẽ dùng ký tự E:\ cho phân vùng chứa nội dung web phục vụ cho các ví dụ bên dưới.
Tại thư mục gốc của ổ E:\ , tạo thư mục tên là Websites. Tất cả các file của khách hàng sẽ được chứa trong thư mục này. Mỗi khách hàng có một thư mục riêng biệt.


Ví dụ:
E:\WebSites\test1.vn
E:\WebSites\test2.vn
E:\WebSites\test3.vn

Trong mỗi thư mục của khách hàng, có các thư mục con như:
E:\WebSites\test1.vn\public_html
E:\WebSites\test1.vn\logs

E:\WebSites\test1.vn\databases
Thư mục public_html là thư mục chứa các file web, nó chính là đường dẫn Home Directory trong cấu hình IIS. Thư mục logs chứa các file log cho ứng dụng web được cấu hình trên IIS. Mặc định, nó sẽ chỉ đến thư mục C:\WINDOWS\system32\LogFiles. Nếu một khách hàng nhiều website, chúng ta nên cấu hình mỗi website ứng với một thư mục riêng biệt.
Nhóm Administrators, System có quyền Full Controll trên thư mục Websites. Lựa chọn “Allow inheritable permissions from the parent” trong Advanced Security được tắt (disabled) để việc phân quyền trên thư mục Websites không bị ảnh hưởng bởi việc phân quyền trên ổ cứng E: . Tất cả các thư mục con có lựa chọn “Allow inheritable permissions from the parent” để các thư mục này thừa hưởng việc phần quyền cho Administrators và System.
Mỗi thư mục của khách hàng (ví dụ: test1.vn) có một tài khoản duy nhất đóng vai trò như IUSR anonymous(ví dụ như IUSR_test1), được phân quyền Read/Execute. Bạn tham khảo bài viết [intlink]Phương thức xác thực trong IIS[/intlink]. Tài khoản này cũng cần được cấu hình như một identity cho application pool mà ứng dụng web dùng để chạy. Mặc định, identity của application pool là Network Service.
Thư mục public_html có lựa chọn “Allow inheritable permissions from the parent” để nó sẽ được thừa hưởng quyền của Administrators, System và IUSR anonymous. Đối với các thư mục con của public_html cần cho phép upload file, bạn có thể cấu hình cho phép thêm quyền Modify đến IUSR anonymous. Bạn cũng cần tắt chức năng script trong IIS đối với thư mục cho phép người dùng upload để tăng cường việc bảo mật cho ứng dụng web của bạn – trong trường hợp các file trong thư mục đó không cần phải được xử lý bởi IIS.




  Trả lời ngay kèm theo trích dẫn này
Tuổi 05-03-2012, 03:37 PM   #2
luansatedo
Newbie
 
Gia nhập: Dec 2011
Trả Lời: 6
Tổ yến chưng đường phèn

Nguyên liệu:

- 5g tổ yến đã làm sạch

- 25g đường phèn hòa tan

- 1/2 chén nước lọc

- 3 lát gừng

Chuẩn bị:

- Cho tổ yến vào thố ngâm nở trong nước ấm

- Gừng thái thành từng sợi

Chế Biến:

- Cho gừng và tổ yến đã được ngâm nở vào một thố sứ.

- Chưng cách thủy 10-15 phút, sau đó cho nước đường vào thố, tiếp tục chưng thêm 5 phút nữa.

Trình Bày:

- Cho ra chén thủy tinh hoặc chén sứ

- Dùng nóng hoặc lạnh tùy thích

Công dụng:

- Đây là món ăn được coi là cải lão hoàn đồng. Bổ dưỡng giúp ngủ ngon, làm đẹp da và phục hồi sức khỏe nhanh chóng.

[hr]

Tổ yến tiềm gà ác thuốc bắc

Nguyên liệu:

- 30g tổ yến đã ngâm nở và làm sạch

- 1 con gà ác

- 1 gói thuốc bắc

- 3 miếng vỏ quýt khô, ngâm mềm

- 5 miếng thịt xá xíu

- Một thìa nhỏ bột nêm canh

Chuẩn bị:

- Gà mổ bụng rửa sạch để ráo

- Đun sôi nước vỏ quýt, cho gà vào chần sơ qua, vớt gà ra để ráo.

- Cho 2 chén nước lọc vào nồi nhỏ, thuốc bắc, gà, nấu 1 giờ, trở gà nhiều lần cho chín đều

Chế biến:

- Sau khi đun sôi gà 1 giờ, cho tất cả hỗn hợp vào thố sứ

- Tiềm thêm 1 giờ bằng cách chưng cách thủy

- Tắt bếp, cho bột nêm vừa dùng

Trình bày:

- Để trong chén sứ và dùng nóng.

Công dụng:

- Đại bổ,tăng cường sinh lực.

[hr]

Chè tổ yến hạt sen

Nguyên liệu:

- 5g tổ yến đã được làm sạch

- 15 hạt sen

- 25g đường phèn

- 3-5 lát gừng thái mỏng

Chế biến:

- Hạt sen luộc chín mềm

- Nấu tan đường phèn

- Ngâm nở tổ yến

- Cho hạt sen, nước vào thố chưng trước 10 phút, sau đó cho yến vào chưng thêm 10 phút, tiếp tục cho nước đường vào thố chưng thêm 5 phút nữa.

Trình bày:

- Cho ra chén sứ, dùng nóng hoặc lạnh.

Công dụng:

- Bổ phổi, làm đẹp da, giúp ngủ ngon.

[hr]

Cháo yến

Nguyên liệu:

- 30g yến làm sạch lông và ngâm mềm

- 4 chén cháo trắng

- 500g thịt gà

- Gia vị: 1 muỗng cà phê muối, đường, nước tương, nước gừng, dầu mè, dầu hào, tiêu

Chế biến:

- Gà luộc lấy nước dùng, vớt gà, xé lấy thịt và bỏ xương, cho nước dùng vào cháo trắng

- Tổ yến chưng cách thủy 30 phút

- Cho cháo, thịt gà, tổ yến vào thố và nêm gia vị là có thể dùng được

Công dụng:

- Tốt cho người ốm, người già và trẻ biếng ăn.



Lời giới thiệu

Công Ty TNHHTM DV Thiên Ngọc Yến xin kính chào Quý khách!

Cảm ơn Quý khách đã ghé vào tham quan Website của chúng tôi. Công ty chúng tôi được thành lập với nghành nghề kinh doanh chính là tổ yến- yến sào, với tên gọi.

“ Yến sào Thiên Phú, thực phẩm từ thiên nhiên.

Quà tặng cho sức khoẻ và sắc đẹp”

Người xưa có câu: "Sức khoẻ là tài sản quí nhất của đời người" ,có sức khỏe là có tất cả, mà sản phẩm yến sào Thiên Phú là thực phẩm bổ dưỡng mang lại cho Quý vị sức khỏe,sự trẻ trung và trí tuệ trong cuộc sống.
Sản phẩm yến sào Thiên Phú của Công ty Thiên Ngọc Yến được khai thác ở các tỉnh miền trung, yến đảo Cù lao Chàm Hội An, Khánh Hòa - Nha Trang với chất lượng tuyệt đối.
Yến sào Thiên Phú của Công ty Thiên Ngọc Yến mang đến cho Quý vị một sản phẩm được mệnh danh là “Vàng trắng của đất việt” mà xưa kia chỉ có vua chúa mới được thưởng thức. Nếu lâu nay Quý vị đã và đang dùng yến sào thì mong Quý vị hãy đến với sản phẩm yến sào Thiên Phú để được thưởng thức hương vị yến sào độc đáo ,nguyên chất 100% và lấy đó làm đối chứng mỗi khi dùng yến sào. Đối với chị em phụ nữ thì món quà quý giá mà thượng đế ban cho là nhất dáng, nhì da thì yến sào Thiên Phú sẽ là thực phẩm mang lại cho chị em một làn da mịn màng tươi trẻ và giữ mãi tuổi thanh xuân.
Mỗi khi Quý vị muốn bày tỏ tấm lòng chân thành với bạn bè, người thân yêu thì yến sào Thiên Phú sẽ là một món quà quý giá, sang trọng, đẳng cấp gắn liền với những người thành đạt, người con hiếu thảo .
Yến sào Thiên Phú mong quý vị tin tưởng và ủng hộ cho thương hiệu của chúng tôi.

Thiên Ngọc Yến xin gửi tới Quý vị lời chúc sức khỏe, hạnh phúc và thành đạt.
luansatedo vắng mặt   Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 06:42 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.