1. “Internet Information Server”ın Kurulması

Internet Information Server (IIS), iki şekilde kurulabilir. Birinci olarak Windows NT Server kurulurken IIS seçeneği işaretlenir. Böylece server kurulurken IIS de yüklenmiş olur. İkinci olarak da server kurulduktan sonra ayrıca servis olarak yüklenir. İkinci seçenekle kurulurken Control Panel-Network-Services-Add yolu izlenir, kurulmak istenen servisler işaretlenir ve IIS kurulur. Burada makina sizden Windows NT Server cdrom’unu isteyecektir. IIS kurulması için gerekenleri şu şekilde sıralayabiliriz :

IIS kurulu bir sunucuda hizmetlerin Internet üzerinden erişilebilir olması için şu şartların sağlanmış olması gerekir :

IIS kurulmadan önce makina üzerinde kurulu başka servisler (FTP, WWW gibi) varsa bunların devre dışı bırakılması gerekir. IIS’nin kurulması için sisteme “administrator” yetkilerine sahip bir kullanıcı ile girilmesi gerekir.

Normal olarak IIS, C:\Winnt\System32\Inetsrv dizinine kurulur. Elbetteki bu dizin değiştirilebilir. Mevcut bir IIS sistemden silineceği zaman IIS Setup menüsünden “remove all” seçeneği seçilir.

Şimdi de IIS’nin kurulumasını aşamalı olarak anlatalım:

Windows NT Server Kurulurken IIS’nin de Kurulması :

    1. Bu aţamaya gelindiğinde “Install Microsoft Internet Information Server” seçeneği işaretlenir ve “Next” butonuna basılır.

    2. Ekrandaki uyarılara göre kurma işlemine devam edilir.

 

Windows NT Server Kurulduktan Sonra IIS’nin Kurulması:

    1. Windows NT cdromu, cd sürücüsüne takılır.

    2. Cdrom takıldıktan sonra ekrana gelen menüden “Install Internet Information Server” seçilerek IIS kurulur.

    3. Ekrana gelen mesajlar takip edilerek kurma iţlemine devam edilir. Burada IIS’nin hangi dizine kurulacağı, hangi servislerin IIS içinde yer alacağı gibi sorular yer alır.

IIS’yi Control Panel içinden de kurmak mümkündür :

    1. Windows NT cdromu ,cd sürücüsüne takılır.

    2. Control Panel açılır ve Network-Services-Add yolu izlenerek ekrana gelen listeden “Microsoft Internet Information Server” seçilir.

    3. “Installed from” kısmına da içinde Windows NT cdromunun bulunduğu cd sürücünün ismi yazılır (Örneğin D: \i386 gibi).

    4. Yine ekrana gelen mesajlar takip edilerek kurma iºlemi sona erdirilir.

 

Şimdi ekrana gelen setup prosesinde nelere dikkat edilmesi gerektiğine bakalım. Ekrana gelen menüde genel başlangıç olarak tüm servisler seçili durumdadır. Kurulması istenmeyen servisler için başındaki işaret kaldırılarak kurulması engellenebilir. İstenilen servisler seçildikten sonra “OK” butonu ile kurma işlemi başlatılır. Servisler şunlardır :

“Internet Service Manager” servisleri yönetmek için gereken yönetim programını yükler.

“World Wide Web” bir WWW sunucusu oluºturur.

“Gopher Service” bir gopher sunucusu oluºturur.

“FTP Service” bir FTP sunucusu oluºturur.

“ODBC Drivers and Administration” Open Database Connectivity (ODBC) sürücülerini yükler. Bu, arşiv dosyalarının ODBC dosyaları olarak tutulması ve “Internet Database Connector (IDC)” üzerinden ODBC erişimi yapılması için gereklidir. IIS üzerinden veri tabanlarına erişim sağlanmak isteniyorsa Control Panel’den ODBC’nin kurulması gerekir.

“Sample files” örnek HTML sayfalarını yükler.

Setup programı yardımıyla daha sonra bazı programlar eklenebilir ya da çıkarılabilir. IIS normal olarak C:\Winnt\System32\Inetsrv dizinine kurulur. Ancak istenildiği takdirde “Change Directory” butonu ile bu dizin değiştirilebilir. Burada dikkat edilmesi gerekn nokta şudur : IIS bir defa kurulduktan sonra silinip tekrar farklı bir dizine kurulmak istenirse

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\INetStp

isimli kayıt anahtarının silinmesi gerekir. Bunun içinde Start menüsünden regedt32.exe dosyası Run edilir ve ekrana gelen pencereden yukarıdaki işlem yapılır.

IIS’nin yükleneceği dizin de seçildikten sonra “OK” butonu ile bu dizinler yaratılır. Publishing Directories kısmında da servis dosyalarının (WWW, FTP ve Gopher için) bulunacağı dizinler belirtilir. Burada da başlangıç olarak C:\InetPub isimli bir dizin altında her servis için bir ana dizin oluşturulur. Bu dizinler, servislerin ana dizinleridir. Ancak daha sonra “Internet Service Manager” kullanılarak bu dizinler değiştirilebilir ve ek dizinler eklenebilir.

Eğer “ODBC Drivers and Administration” seçeneği işaretlenirse “Install Drivers” isimli bir seçenek daha ekrana gelir. Bu durumda “Available ODBC Drivers” listesinden bir sürücü seçilir ve kurma işlemi sona erdirilir.

Bu kurma iţlemi bittikten sonra sistemde, IUSR_computername isminde yeni bir kullanıcı açıldığı görülecektir. Bu kullanıcı servislere anonim (anonymous) olarak erişimi sağlayan bir kullanıcıdır. Bu kullanıcı IIS’nin kurulması sırasında otomatik olarak oluşturulur ve buna rastgele bir şifre atanır. Internet Service Manager (ISM) açıldığında oradaki Service kısmında bu kullanıcı görülecektir. Bu kullanıcı isminin değiştirilmesi mümkündür. User Manager for Domains ile bu amaç için yeni bir kullanıcı açılabilir. Ancak burada yeni bir kullanıcı açmaktan ziyade otomatik olarak açılmış olan IUSR_computername isimli kullanıcının bir başka kullanıcıya kopyalanması tavsiye edilir. Böylece IUSR_computername isimli kullanıcı aynı kullanıcı hakları ile başka bir kullanıcıya aktarılmış olur. Çünkü buradaki kullanıcı hakları önem taşımaktadır. Bu yeni kullanıcı için yeni atanan şifre hem ISM’de hem de “User Manager”da aynı olmalıdır.

Böylece IIS kurulması tamamlanmış olur. Bu andan itibaren kurulan servislere internet üzerinden erişim mümkündür. Bundan sonraki işlem oluşturulan dizinlerin amaca uygun şekilde düzenlenmesidir. Hazırlanmış olan HTML formatındaki dosyalar C:\InetPub dizini altındaki Wwwroot dizinine yerleştirildiği takdirde artık erişilebilir durumdadır. Ana dosya Default.htm ismini taşır. Bu isim istenildiği takdirde ISM’den değiştirilebilir. ISM içindeki Directories kısmında Enable Default Document altında bu dosyanın ismi yazmaktadır, bu isim istenildiği gibi değiştirilebilir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. “Internet Information Server”ın Biçimlenmesi ve Yönetimi

IIS, servislerin monitör edilmesi, biçimlendirilmesi ve kontrol edilmesi için grafiksel bir ortam sunar.IIS, ağa bağlı herhangi bir NT sunucu veya NT İş İstasyonu üzerinde , Start-Programs-Internet Information Server menüsünden ya da HTML tabanlı bir program üzerinden (Netscape veya Internet Explorer gibi) yönetilebilir.

Microsof Internet Service Manager

Microsoft Internet Service Manager (ISM), Windows NT tabanlı sistemlerdeki Internet servislerinin biçimlendirilmesi ve yönetilmesi işini yürütür. ISM açıldıktan sonra ekrana bir pencere gelir. Bu pencerede sunucunun ismi ve o sunucu altında çalışan servisler görüntülenir. Buradan farklı sunuculara da bağlanmak mümkündür. Properties menüsünden Connect to Server seçeneği ile ismi yazılacak olan sunucuya

Bağlanılır ve o sunucuda çalışan servisler monitör edilebilir. Yine Properties kısmında Find All Servers seçeneği ile sunucunun da bulunduğu ağ üzerindeki tüm sunucular taranır. View menüsünde ise Servers View, Services View ve Report View gibi seçenekler vardır. Servers View ile sıralama sunucu ismine göre yapılır, istenen sunucu seçilerek o sunucu altındaki tüm servisler görüntülenir. Services View ile sıralama servis türüne göre yapılır ve bir servis seçildiğinde o servisi sunan tüm sunucular listelenir. Report View ile de tüm sunucular tüm servisleri ile beraber listelenir. Report View ile sunucuda çalışan, IIS’ye dahil olmayan servisler de görüntülenir (Örneğin NNTP ve SMTP gibi). ISM açıldığında ekrana gelen pencerenin bir örneği aşağıdaki gibidir.

 

 

Bu şekildeki bölümler şunlardır :

  1. Tek bir sunucuya bağlanır.

  2. Ağ üzerindeki tüm sunucuları listeler.

  3. Seçilen bir servisin özelliklerini gösterir.

  4. Seçilen servisi çalıştırır.

  5. Seçilen servisi durdurur (stop).

  6. Seçilen servisi beklemeye alır (pause).

  7. Sunuculardaki FTP servislerinin listelenmesini sağlar.

  8. Sunuculardaki gopher servislerinin listelenmesini sağlar.

  9. Sunuculardaki WWW servislerinin listelenmesini sağlar.

  10. Key Manager penceresini getirir.

  11. Hangi kolon seçilirse o kolona göre sıralama yapılır.

  12. Çift klik ile o servisin özelliklerini gösterir.

  13. Sunucunun ve servislerin durumunu gösterir.

Servers View seçildiğinde aşağıdaki gibi bir pencere gelir.

 

Services View seçildiğinde aşağıdaki gibi bir pencere gelir.

 

 

ISM ekranındaki herhangi bir servis seçilerek özellikleri incelenebilir. Ekrana gelen pencerede Service, Directories, Logging ve Advanced olmak üzere dört ayrı bölüm vardır.

Servis Özellikleri Penceresi (Service Property): Burada servisin hangi porttan hizmet verdiği, time-out süresinin ne kadar olduğu, maksimum bağlantı sayısının ne olacağı, anonim bağlantı için hangi kullanıcının kullanılacağı, şifre için hangi tanımlama biçiminin kullanılacağı ve servisin tanımı için alanlar vardır.

Dizin Özellikleri Penceresi (Directories Property) : Burada servis için gereken dosyaların hangi dizinlerde bulunacağı belirtilir. WWW servisi için ana dizinlerin yanında görüntü(virtual) dizinler de bu kısımda oluşturulur. Ayrıca bir makina üzerinde birden fazla ve farklı isimlerde sunucular kurulması da yine burada gerçeklenir. Bu işlemlerin nasıl yapılacağı sonraki konularda anlatılacaktır.

Log Dosyalarının Tutulması (Logging Property) : Bir Web sunucusunun ne şekilde kullanıldığı, hangi dosyalara erişildiği log dosyalarında tutulur. Log bilgileri text dosyalara ya da Open Database Connectivity(ODBC) tabanlı veri tabanlarına yazılabilir. Birden fazla sunucu veya servisin olduğu makina ya da ağlarda, tüm log bilgileri tek bir makina üzerindeki bir veri tabanında tutulabilir. Bu bölümde ayrıca log dosyalarının hangi formatta tutulacağı da belirtilir.

Ek Özellikler Penceresi (Advanced Property) : Bu bölümde servise erişim için kısıtlamalar konulabilir. Belirli makinalar ya da makina gruplarına kısıtlamalar konulabilir. Ayrıca servisin kullanacağı bant genişliği de bu bölümde ayarlanabilir. Bu bölümde granted access ve denied access olmak üzere iki seçenek vardır. Granted access seçildiğinde tüm makinalara erişim izni verilir. Erişimi engellenmek istenen makina ya da makina grupları ise alt kısım daki alana yazılır. Böylece bu alan dışındaki tüm makinalara erişim izni verilmiş olur. Bu işlemin tersi de mümkündür. Denied access seçildiğinde tüm makinalara bu hizmet yasaklanmış olur. İzin verilenler ise alt kısıma yazılır. Böylece servise sadece alt bölüme eklenen makinalar ya da gruplar erişebilir. Eğer az sayıdaki makinanın erişimi kısıtlanacaksa granted access seçeneğinin, az sayıdaki makinaya hizmet verilecekse de denied access seçeneğinin seçileceği açıktır.

Bant genişliği de bu bölümde değiştirilebilir. Eğer kullanılan bant genişliği ayrılanın altında ise o servise gelen istekler karşılanır aksi halde yeterli band genişliği oluşana dek beklenir.

IIS bir gösterici(browser) yardımıyla da yönetilebilir. Bu Netscape ya da Internet Explorer olabilir. Açılan göstericide http://computername/iisadmin adresi ile yönetim sayfası görüntülenir ve benzer işlemler burada da yapılabilir. Netscape ile görüntüleyebilmek için, IIS-Services altındaki şifre tanımlama seçeneklerinden Basic (Clear Text) seçeneğinin seçili olması gerekir. Çünkü Netscape, Basic (Clear Text) tanımlamasını destekler. Internet Explorer ise Windows NT Challange /Response tanımlamasını destekler.

Bir gösterici yardımıyla bir Web sunucusu yönetilirken ţu hususlara dikkat etmek gerekir :

IIS’nin yönetimi için Windows NT içindeki diğer uygulamalardan da faydalanılabilir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Dizinlerin Düzenlenmesi ve Görüntü Sunucu (Virtual Server) Kurulması

 

Basit Bir Servis Dizininin Oluşturulması:

IIS için ana dizinler, inetpub dizini altında kurum aşamasında oluşturulur. Web için wwwroot, FTP için ftproot, Gopher için de gophroot dizinleri oluşturulur. Bu dizinler ISM altında Directories kısmında görülür. Bu dizinleri değiştirmek mümkündür. Directories altında, o servis için home olarak gösterilen dizin Edit Properties seçeneği ile değiştirilebilir. Bu dizin, o servis için mevcut olan hizmet dosyalarının bulunduğu dizindir.

Bu dizin içinde, örneğin web sunucusu için C:\InetPub\wwwroot, bir Default Document bulunması gerekir. Bu dosyanın isminin ne olacağı Directories kısmında belirtilir. Bu başlangıçta Default.htm olarak gelir. Ancak genelde kullanılan isim index.htm’dir. Bu dosya, sunucuya bir istek geldiğinde sunucunun nasıl davranacağını belirler. Örneğin http://www.itu.edu.tr şeklinde bir istekle sunucuya erişilmeye çalışıldığında wwwroot dizini altında Default Document kısmında belirtilen dosyayı arar. Şayet bu dosya belirtilen yerde bulunursa gösterici de görüntülenir. Aksi takdirde o dizindeki diğer dizin ve dosyalar listelenmeye çalışılır. Bunun mümkün olması için de yine Directories kısmındaki Directory Browsing Allowed seçeneğinin işaretli olması gerekir. Aksi takdirde dizinlerin listelenmesine de izin verilmez ve bir hata mesajı döner. Elbette bu Web sunucusu için geçerli bir durumdur. FTP için böyle bir problem yoktur çünkü FTP’de zaten ekrana gelen dizinlerin listesidir.

Burada dikkat edilmesi gereken bir nokta vardır. Görüntü dizinler bu listelemede normalde gözükmez. Bu özellikle FTP’de problem çıkarır. Çünkü FTP sunucusu için görüntü olarak tanımlanan bir dizinin de listelemede görülmesi gerekir. Bunun için şöyle bir çözüm üretilebilir. Sunucunun ana dizininde, görüntü olarak tanımlanan dizinle aynı isimli boş bir dizin açılır. Bu durumda görüntü olarak tanımlanan dizinin de listelemede gözükmesi sağlanır.

Görüntü Sunucuların Oluşturulması:

Normal olarak bir servise verilen simgesel isim tek bir makinayı ifade eder. Örneğin www.company.com isimli bir web sunucusu bir makina üzerinde çalışır. Bu makina üzerinde farklı isimlerle başka sunucular kurmak mümkündür. Örneğin aynı makina üzerinde marketing.company.com, sales.company.com isminde iki ayrı web sunucusu kurulmak istensin. Bu işlem IIS ile yapılabilir. Burada her sunucu için ayrı bir IP adresi tahsis edilmelidir. Bu adresler makinadaki farklı kartlara atanabileceği gibi aynı karta da atanabilir. Örneğin www.company.com sunucusu için 160.75.2.50 adresi, marketing.company.com sunucusu için de 160.75.2.51 adresi ayrılsın. Bu adresler makina üzerindeki farklı kartlara verilebileceği gibi aynı karta da verilebilir. Bir karta birden fazla adres verebilmek için Control Panel-Network-Protocols yolu izlenerek TCP/IP protokolu seçilir. Properties ile makinada tanımlı olan kartlar görülebilir. Buradan herhangi bir kart seçilir ve Advanced seçeneği ile bu karta yeni adresler verilebilir. Elbetteki bu yeni adresler ile kurulan sunucular için DNS’de simgesel isim tanımları yapılmalıdır. Böylece tek makina üzerinde birden fazla sunucu kurma imkanı sağlanmış olur. ISM içinde Directories kısmında Add ile bir görüntü sunucu kurulabilir. Burada görüntü sunucunun ana dizini (home directory) ve IP adresi belirtilir. Burada belirtilen ana dizin, sadece o IP adres ve simgesel isimle tanımlanan sunucu için erişilebilir durumdadır. Eğer bir ana dizin, herhangi bir IP adresi verilmeden tanımlanırsa, o makina üzerinde olan ve herhangi bir ana dizine atanmayan tüm IP adresler için erişilebilir durumdadır. Özet olarak bir görüntü sunucu kurmanın adımları sırası ile şu şekildedir :

1. ISM’den WWW servisi seçilir.

2. Directories kısmına girilir.

3. dd butonuna basılır.

4. Browse butonu ile bir ana dizin seçilir.

5. Home Directory iţaretlenir.

6. Virtual Server seçeneği işaretlenir.

7. Görüntü sunucunun IP adresi yazılır. Bu adresin daha önce makinaya tanıtılmış bir adres olması gerektiği açıktır.

8. OK ile iţlem sonlandırılır.

IIS kurulurken başlangıçta otomatik olarak tanımlanan ana dizine bir IP adresi verilmez ama görüntü sunucular için ana dizinler tanımlanırken IP adresinin mutlaka tanımlanması gerekir.

Görüntü sunucu kavramı sadece Web hizmeti için geçerli bir kavramdır. FTP ve Gopher için görüntü sunucu tanımlamak mümkün değildir.

 

Görüntü Sunuculara Görüntü Dizinler Eklenmesi:

Birden fazla sunucunun hizmet verdiği bir sistemde görüntü dizinler oluşturulurken, oluşturulan dizinin hangi sunucu tarafından kullanılacağı da belirtilmelidir. Eğer görüntü dizine bir IP adres atanırsa, bu dizin sadece o IP adresi ile çalışan sunucu tarafından erişilebilir haldedir. Şayet bir IP adresi verilmez ise bu dizin tüm sunucular için geçerli bir dizindir.

Görüntü dizinler eklenmesinin amacı, tek bir dizin altında ya da tek bir makinada tutulamayacak kadar fazla miktarda bilgi içeren sunucular için bir çözüm üretilmesidir. Aşağıdaki şekilde bir Web sunucusu için örnek bir dizin yapısı görülmektedir.

 

 

 

 

 

 

 

 

 

Burada;

Directory, dizinin fiziksel yerini gösterir.

Alias, bu dizine erişimde kullanılacak isimdir.

Address, o dizini kullanacal görüntü sunucunun IP adresi.

Error, hataların belirtilmesi.

Bu örnekte, makina üzerinde üç ayrı Web sunucusunun çalıştığı görülmektedir. Çünkü üç tane ana dizin tanımlıdır. 10.212.56.186 IP adresi ile çalışan görüntü sunucunun ana dizini ağ üzerindeki başka bir makinada bulunmaktadır. 10.212.56.185 IP adresi ile çalışan görüntü sunucunun ana dizini ise makina üzerindeki başka bir sürücüde (E) bulunmaktadır. Makina üzerindeki ana sunucu ise C:\wwwroot ana dizini ile çalışan Web sunucusudur. Burada herhangi bir ana dizin seçilerek Edit Properties ile ana dizinin yeri ve özellikleri değiştirilebilir. Herhangi bir dizin yine bu ekrandan silinebilir. Ana dizinler / ile simgelenir, dolayısıyla bir sunucuya eriºirken

http://inetsrvr.microsoft.com

http://inetsrvr.microsoft.com/

http://inetsrvr.microsoft.com/index.htm (Default Document index.htm olarak tanımlı ise)

ţeklinde verilen referansların hepsi eşdeğerdir. Bir Web sunucusunun ana dizini altındaki tüm dizinler ve o sunucu için tanımlanan tüm görüntü dizinler, o sunucu tarafından erişilebilir dizinlerdir. Bu dizinlere referanslar yapılabilir.

Yukarıdaki şekilde \scripts ismi ile tanımlı C:\scripts dizini tüm sunucular için eriºilebilir durumdadır, çünkü bir IP adresi belirtilmemiştir. Yine /East, /Central ve /West isimleri ile tanımlanan dizinler görüntü dizinlerdir ve sadece 10.212.56.185 IP adresi ile hizmet veren görüntü sunucu tarafından erişilebilir durumdadırlar. Bu görüntü dizinler diğer sunucular için (örneğin 10.212.56.186 IP adresi ile hizmet veren sunucu) geçerli dizinler değildir. Görüntü dizinler de yine Add butonu ile Virtual Directory seçeneği işaretlenerek ve kullanılacağı sunucunun IP adresi belirtilerek oluşturulabilir. Eğer IP adres belirtilmez ise bu görüntü dizinin tüm sunucular için erişilebilir olacağı yukarıda belirtilmişti.

Yine yukarıdaki örnekte scripts dizini, uygulama programlarının yer aldığı dizindir. CGI programları bu dizine yerleştirilir.

FTP ve Gopher servisleri için de yine ilk bakılan dizinler, ana dizinlerdir. FTP sunucusuna bağlanıldığında ilk önce ana dizin altında bağlanılan kullanıcı ismi ile aynı isimde bir dizin aranır, eğer böyle bir dizin bulunursa o dizin listelenir aksi halde ana dizin listelenir. Ancak genellikle FTP sunucularda sadece anonim bağlantılara izin verilir. Bunun için ISM içindeki Services kısmında Allow only anonymous connections seçeneğinin işaretli olması gerekir. Eğer burası işaretli ise diğer kullanıcı isimleri ile FTP sunucusuna bağlanmak mümkün değildir. Buradaki erişim hakları konusu ise bundan sonraki güvenlik konusunda incelenecektir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4 . Servislerin Güvenliğinin Sağlanması

Internet Information Server’da Güvenlik Mekanizması :

Windows NT iºletim sistemi, sistemi saldırılara karşı korunması için güvenli bir şekilde tasarlanmıştır. IIS, Windows NT’nin güvenlik modeline göre kurulmuştur. Windows NT işletim sisteminde tanımlanan kullanıcılara verilen haklar denetlenerek bir güvenlik mekanizması oluşturulabilir. NTFS dosya sistemi sayesinde dosya ve dizinlere de özel izinler verilebilir. IIS’de görüntü dizinlere Read-only veya Execute-only haklar verilebilir. Ayrıca belli IP adreslerinin servislere erişimi de engellenebilir. Secure Socket Layer (SSL) adı verilen bir protokol de IIS tarafından desteklenir. Bu protokol, verilerin sunucu ile istekçi arasında şifrelenerek iletilmesini sağlar. IIS WEB sunucusu bir istek aldığında bunun geçerli olup olmadığına bakar. İstekler üzerinde yürütülen bu basit güvenlik algoritması şu şeklidedir :

 

 

 

 

 

Sunulan hizmetlerde genellikle anonim erişimlere izin verilir. Bu durumda diğer kullanıcı isimleri ile servislere erişmek mümkün değildir. Bu durumda FTP’ye eriţim anonymous kullacısı ile yapılır. Tüm gopher istekleri karşılanır. Web isteklerinde genellikle bir kullanıcı ismi belirtilmez, bu göstericilerde otomatik olarak tanımlıdır.

ISM’den Service penceresinde o sunucu için geçerli olan anonim kullanıcı ismi belirlidir. Bir makina üzerinde çalışan sunucular anonim kullanıcısı olarak aynı kullanıcıyı kullanabilecekleri gibi farklı kullanıcıları da kullanabilirler. Anonim kullanıcısı Windows NT işletim sisteminde geçerli bir kullanıcı olmalıdır. Service penceresinde belirtilen kullanıcı şifresi ile o kullanıcının sistem veri tabanındaki kullanıcısı aynı olmalıdır. User Manager içinden bu kullanıcı için gereken tanımlar yapılmalıdır. Burada verilecek olan şifre ile Services penceresindeki şifre aynı olmalıdır. Ayrıca anonim erişim için kullanılacak olan kullanıcının mutlaka Log on Locally kullanıcı hakkına sahip olması gerekir.

IUSR_computername kullanıcısı otomatik olarak yaratılır. Normal olarak da bu kullanıcı kullanılır. IUSR_computername kullanıcısı aynı zamanda Guests grubuna dahil edilir. Dolayısıyla Guests grubunun erişim haklarında yapılacak bir değişiklik bu kullanıcıyı da etkileyeceğinden bu hususa dikkat edilmelidir. Böylece Web ve FTP sunucuları için anonim erişime izin verilebilir ya da yasaklanabilir. Gopher eriţimleri ise zaten tamaman anonimdir.

Anonim Kullanıcısının “Domain Controller”larda Kullanımı:

IIS, birincil veya ikincil bir domain controller’a kurulduğu zaman o domain’e ait veri tabanında bir anonim kullanıcı yaratılır. IIS, bir server’a kurulduğu zaman ise bu kullanıcı yerel olarak o bilgisayarda yaratılır. Bir domaindeki birden fazla domain controller üzerine IIS kurulduğu zaman her biri için ayrı birer anonim kullanıcı yaratılır. Bu bir karışıklı yaratmaz çünkü her biri ayrı bilgisayarca kullanılır. Ancak kullanım kolaylığını artırmak için ortak bir kullanıcı kullanılması daha mantıklıdır ve bu mümkündür. Bu durumda ortak bir kullanıcı açılır ve bu tüm domain controller’larda kullanılır. Sadece IUSR_computername kullanıcısına uzaktan erişim izni verilirse herhangi başka bir kullanıcı ile servislere erişim mümkün olmaz. Bu da sistemi bazı saldırılara karşı korur.

Bir Kullanıcı veya Gruba Göre Erişim Haklarının Belirlenmesi:

Bir Web sunucusunda servise eriţim kullanıcı veya gruplara verilecek haklarla da kontrol edilebilir. Windows NT işletim sisteminde yapılan işlemler kullanıcıya göre değişir. Sistem işlemi yapan kullanıcının kim olduğuna bakar. Kullanıcı ismi ve şifre de kullanıcıyı sisteme tanıtır. Dolayısıyla kullanıcı hakları ile oynayarak erişim denetimi sağlamak mümkündür. Güvenliği artırmak için şu önlemler alınabilir:

Authentication kullanıldığı zaman geçerli bir kullanıcı ismi ve şifre olmaksızın servislere erişim mümkün değildir. Hem anonim eriºim hem de authentication kullanılarak denetlenen erişim mümkündür. WWW servisi iki tür authentication metodu kullanır. Bunlar Basic ve Windows NT Challenge/Response.

Basic authentication, sunucu ile istekçi arasında verileri şifrelemeden iletir. Kullanıcı isimleri ve şifreler, şifrelenmeden iletildiği için ele geçirilmeleri mümkündür. Windows NT Challenge/Response metodu ise şu an için sadece Microsoft Internet Explorer (Versiyon 2.0 ya da daha sonraki sürümler) tarafından desteklenir. Bu metod verileri şifreleyerek gönderir. Güvenlik nedenlerinden dolayı ikinci metodun kullanılması daha yararlıdır. Genel olarak iki metod da seçili durumdadır. Göstericiler hangisini desteklerse o metod kullanılır. FTP sadece Basic authentication desteklediğinden FTP servisinde sadece anonim erişimlere izin vermek daha güvenilirdir. FTP için sadece anonim erişime izin verilebileceği gibi kullanıcılara da izin verilebilir. Dizin ve dosyalara erişim hakları üzerinde değişiklik yaparak erişim denetimi sağlanabilir.

WWW Dizinine Eriºimin Düzenlenmesi :

Web servisi için oluşturulan ana ve görüntü dizinlerinin erişim izinleri ayarlanabilir. Directories altında herhangi bir dizin için şu erişim hakları mevcuttur :

READ Read, ana veya görüntü dizinlerdeki dosyaların görüntülenmesine ve saklanmasına (download) izin verir. Eğer Read izni olmayan bir dizinde bulunan bir dosyaya erişilmek istenirse bir hata mesajı döner. Genellikle HTML dosyalarının bulunduğu dizinlere Read izni verilirken, CGI ve benzeri uygulama programlarının bulunduğu dizinlerde bu iznin kaldırılması gerekir.

EXECUTE Execute, ana veya görüntü dizinlerde yer alan uygulama programlarının yürütülmesi için bu iznin verilmesi gerekir. Bu dizinlere sadece bu iznin verilmesi ve Read izninin kaldırılması gerekir. Aksi takdirde uygulama programları başkaları tarafında alınabilir.

ISM altında Advanced kısmında servislere erişim IP adresleri bazında kısıtlanabilir. Bu işlem Granted Access ve Denied Access seçenekleri ile gerçeklenebilir. Bu iºlemin nasıl yapıldığı daha önce anlatılmıştı.

ISM altında bulunan başka bir kısımda Logging kısmıdır. Burada log dosyalarının ne şekilde, hangi sıklıkta, hangi dizine alınacağı gibi bilgiler vardır. Log dosyaları text olarak saklanabileceği gibi bir veri tabanına da kaydedilebilir.




Ana Sayfa