وبلاگ آموزشی خبری کامپیوتر

اگر تا به حال از ویندوز سرورNT ویندوز سرور ۲۰۰۰ استفاده کرده باشید ، احتمالا متوجه شده اید که مایکرو سافت آنها را به صورت پیش فرض، غیر ایمن طراحی کرده است . گرچه مایکروسافت و ساز و کارهای امنیتی متعددی ایجاد کرده است ، اما نصب آنها به عهده کاربران است . این در حالی است که وقتی مایکرو سافت ویندوز ۲۰۰۳ را انتشارداد ، با این کار ، فلسفه جدید این است که باید به صورت پیش فرض ایمن باشد. به باشید کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانید آن را به طور کامل پیاده کند . با آن که سرور باید به طور کامل پیاده کند . با آن که ویندوز ۲۰۰۳ را انتشار داد ، با این کار ، فلسفه خود را تغییر داد.

فلسفه جدید این است که سرور با ید به صورت پیش فرض ایمن باشد. به طور کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانست آن را به طور کامل پیاده کند . با آن که ویندوز ۲۰۰۳ بدون شک ایمن تر از ویندوز NTیا ویندوز۲۰۰۰است ، اما هنوز هم نقصانی در آن دیده می شود . در اینجا ما اعمال ساده ای را که شما می توانید برای ایمن تر کردن ویندوز سرور ۲۰۰۳ انجام دهید شرح می دهیم .

● نقش خود را بدانید

شناخت نقش سروردر روند ایمن سازی بسیار حیاتی است. نقش های متعددی وجود دارد که ویندوز سرور ممکن است بر عهده داشته با شد .

برای مثال سرور ممکن است بر عهده داشته باشد . برای مثال ویندوز سرور ۲۰۰۳ میتوانید در نقش یک کنترل کننده دامنه ( domin Contoller ) ، یک سرور عضو ( member server )، سرور پایه( )سرور فایل ( )، سرور پرینت ( ) ، سرور پایانه ( ) و یا حالت های متعدد دیگر عمل کند. یک سرور همچنین می تواند ترکیبی از این نقش ها را به عهده داشته باشد.

مشکل اینجاست که سرئر در هر کدام از این نقش ها ، نیازهای امنیتی خاص خودش رادارد . برای مثال ، اگر قرار است که سرور شما در نقش یک سرو ر IISکار کند ، شما باید سرویس ها ی IISرا فعال کنید، در حالی که اگر سرور قرار است فقط به عنوان یک سرور فایل و پرینت کار کند، فعال کردن IISریسک امنیتی بزرگی خواهد بود. این موضوع رابد ین د لیل مطرح کرد م که بدانید روش خاصی وجود ندارد که بتوانید در هر شرایطی آن را دنبال کرده و انتظار نتیجه از آن داشته باشید . نیازهای امنیتی یک سرور با توجه به نقش سرور و محیط سرور ( server`s environment ) تفاوت های بسیاری دارند . از آنجا که روشهای متعددی برای ایمن سازی یک سرور وجود دارد ، من فقط موارد ضروری و اساسی را برای فعال کردن یک سرور فایل ساده و در عین حال ایمن ، شرح خواهم داد . سعی خواهم کرد مواردی را مشخص کنم که وقتی سرور در نقش های مختلف کار ، شما باید به طور متفاوت انجام دهید اما حتما به این نکته توجه داشته باشید که ااین اعامال در حکم یک راهنمای عمومی برای ایمن سازی همه انواع سرور نیست.

● امنیت فیزیکی

برای رسیدن به امنیت واقعی سرور شما باید در مکان امنی قرار گیرد معمولا” این به معنی قرار دادن سرور پشت درهای بسته است امنیت فیزیکی بسیار همه ماست زیرا بسیاری از بازارهای مدیریتی می‌تواند به عنوان ابزار هک کننده به کارگرفته شود هر شخصی با حداقل مهارت و با استفاده از چنین ابزارهایی در صورت یکه دسترسی فیزیکی به ماشین داشته باشد می‌تواند یک سرور را در عرض چند دقیقه هک کند تنها راه گلوگیری از چنین حمله‌هایی قراردادن سرور در یک محجیط امن است. این در مورد هر سرور ویندوز ۲۰۰۳ صرف نظر از نقش ان، صادق است.

● ایجاد یک لیست پایه (baseline)

در کنار امنیت فیزیکیک خوب، توصیه مهم بعدی من این است که قبل ز استفاده از یک سرور ویندوز ۲۰۰۳ نیازهای امنیتی خود را مشخص کنید و به محض به کارگرفتن سرور مومارد مربوطه در خصوص امنیت و سیاست های مبتنی ب ر آنها را نیرز فعال کنید.

بهترین روش در این زمینه ایجاد یک لیست پایه امنیتی است این لیست شامل مدارک و تنظیمات مورد قبول امنیتی است در اکثر شرایط تنظیمایت لیست پایه شما بر اساس نقش سرور کاملا” فرق خواهد داشت.

بنابر این بهترین کار، ایجاد تعدادی لیست‌های پایه متفاوت است که بتوانید آنها را برای انواع مختلف سرور به کابر ببرید. برای مثال، ممکن است شما یک یست پایه برای سرورهای فایل، یک لیست پایه برای کنترل کننده‌های دامنه و لیست دیگری برای سرورهای IIS داشته باشید.

ویندوز۲۰۰۳ از ابزاری برخوردار است که محدوده امنیتی و ابزار تحلیل ( And Analysis Tool Security Configuration ) نامیده می شود . این ابزار به شما اجازه می دهد که خط مشی امنیتی جاری سرور را با خط مشی امنیتی لیست پایه که درون یک فایل الگو قرار دارد ، مقایسه کنید . شما می توانید این فایل های الگو را خودتان ایجاد کنید یا اینکه از یکی از انواع آماده آنها استفاده کنید . الگو های امنیتی یک رشته متن براساس فایل های INF هستید که در فولدرSECU %SYSTEMROOT% RITY TEMPLATES ذخیره شده اند . ساده ترین روش برا آزمایش و تغییر الگو های شخصی ، از طریق کنسول مدیریت مایکر سافت ( Console MMC Microsoft Management ) است . برای باز کردن کنسول ، دستور MMCرا در خط دستور Run وارد کنید . وقتی که کنسول خالی بالا می آید ، دستور Add Remove Snap-in را نمایش دهد . کلید Add را کلید کنید ،‌ لیستی از تمام کنسول های Snap-in موجود را خواهید دید . الگو های امنیتی Snap-in را از لیست انتخاب کنید و سپس کلید های Add ، Close و OKرا کلید کنید.

زمانی که الگو های امنیتی Snap-in بالا آمد ، می توانید هر کدام از الگو ها را مشخص کنید . به هنگام مرور درخت کنسول ، خواهید دید که هر الگویی از خط مشی گروه خود تقلید می کند و نام هر الگو ، اهداف آن الگو را منعکس می کند . برای مثال ، HISECDC، یک الگو با امنیت بالا برای کنترل کننده های دامنه ( security domain Controller high) است اگر قصد ایمن سازی یک سرور فایل را دارید ، من استفاده از الگو ی SECUREWS را به شما توصی همی کنم . با دقت در نوع تنظیمات این الگو شاید متو جه شوید که این الگو با وجود ایمن تر کردن سرور نسبت به قبل ، ممکن است جوابگوی نیاز های شما نبا شد . تنظیمات امنیتی خاص ممکن است بیش از حد سخگیرا نه یا اغماضگرا نه با شد . من تو صیه می کنم که یا با تغییرات جزیی در نوع تنظیمات مو جود ، آنها را با نیازهایتان متناسب کنید و یا خط مشی های جدیدی ایجاد کنید . شما می توانید به آسانی با کلیک راست روی فولد ر C: WINDOWS Security Template، داخل کنسول و انتخاب دستور Template New شده و از منوی ایجاد شده یک الگو ( template) جدید ایجاد کنید .

وقتی شما یک الگو یامنیتی را مطابق با نیاز خود ایجاد کردید ، به گزینه Add Remove در صفحه Snap-in properties ، یک S nap-in به نام Security Configuration And Analysis را اضافه کنید . زمانی که Snap-in بالا می آ ید ، روی Security Configuration کلیک راست کنید وسپس دستور Open Database را از منو انتخاب کنید . Open را کلید کنید ، آ نگاه دیتابیس لازم ، با نامی که شما برایش در نظر گرفته بو دید ، ایجاد می شود.

سپس ، روی Security Configuration And Analysis کلید راست کنید و دستور Template Import را از منوی میانبر انتخاب کنید. آنگاه لیستی از کلیه الگوهای موجود را خواهید دید . الگویی که تنظیمات امنیتی شما را در بر می گیرد ،‌انتخاب کنید و سپس Open را کلید کنید . پس از آنکه الگوی شما وارد شد ، دوباره روی Security Configuration And Analysis کلیک راست کرده ودستور Analyze Computer Now را از منوی میانبر انتخاب کنید . ویندوز مکانی برای نوشتن گزارش خطا ( error log )در اختیار شما قرار می دهد . مسیر فایل را وارد کرده و OK را کلیک می کنیم . در این مرحله ،‌ویندوز تنظیمات امنیتی موجود در سرور شما را با فایل الگو مقایسه می کند . شما می توانید نتایج این مقایسه را با مرور در کنسول Security Configuration And Analysis مشاهده کنید . تنظیمات خط مشی هر گروهی ، هم تنظیمات جاری و هم تنظیمات الگو زا نمایش می دهد . وقتی که به این لیست دست پیدا کنید، یعنی ان که زمان اجرای خط مشی امنیتی مبتنی بر الگو فرا رسیده است . به همین منظور ، برای آخرین بار روی Security Configure And Analysis کلیک راست کنید و دستور Configure Computer Now را از منوی میانبر انتخاب کنید . آنگاه این ابزار خط مشی امنیتی کامپیوتر شما را برای هماهنگ شدن با خط مشی الگو تغییر می دهد . خط مشی های گروهی از یک خصلت موروثی بر خوردارند.

یک خط مشی گروهی ممکن است در سطح کامپیوتر محلی ، سایت ، دامنه یا در سطح OU به کار رود . وقتی که شما یک سرویس امنیتی مبتنی بر الگو را نصب می کنید ، در حقیقت در این سطوح کاربردی تغییر ایجاد می کنید . سایر خط مشی های گروهی نیز به طور مستقیم تحت تاثیر قرار نمی گیرند ، گر چه خط مشی های نهایی ممکن است باعث تغییری در تنظیمات نوعی خط مشی شود که از سطوح بالاتر به به ارث برده شده .

● تغییر دادن اعتبارهای داخلی

سالها مایکرو سافت به شما توصیه کرده است که نام کاربر مدیر ا( Administrator account ) را تغییر دهید و قابلیت ایجاد کاربر میهمان ( Quest account ) را غیر فعال کنید تا به وضعیت امنیتی خوبی دست یابید. در ویندوز سرور ۲۰۰۳، به صورت پیش فرض ، قابلیت ایجاد کاربر مهمان غیر فعال شده است ، اما وظیفه تغییر نام مدیر سیستم همچنان بر عهده شما است . این تغییر نام ، ایده خوبی است زیرا هکر ها و مهاجمان معمولی سعی می کنند تا به ( Administrator account ) آسیب بر سانند . تعداد زیادی از ابزارهای هک وجود دارد که نام اصلی Administrator account را از طریق امتحان S I D پیدا می کنید ،‌متاسفانه ، شما نمی توانید این account را تغییر دهید و به همین دلیل راهی برای جلوگیری از دستیابی چنین ابزارهایی به نام اصلی Administrator account و تغییر توضیحات این account را به همه توصیه می کنم و برای این کار دو دلیل دارم .

اول اینکه ; بسیاری ار هکرهای تازه کار یا غیر حرفه ای ممکن است از وجود چنین ابزارهایی اطلاع نداشته باشند و دوم آنکه ،‌تغییر نام Administrator account به یک نام خاص ،‌امکان ردیابی و کنترل حملات روی این account را برای شما فراهم می کند .

نکته دیگر مربوط به سرورهای عضو است. سرورهای عضو هر کدامAdministrator account داخلی خاص خود را دارند که کاملا با Administrator account دامنه فرق دارد . شما می توانید سیستمی ایجاد کنید که سرور عضو برای خود از یک نام Administrator account و کلمه عبور جداگانه استفاده کنند . هدف این است که اگر افرادی نام Administrator account و کلمه عبور یک سرور عضو را پیدا کردند ،‌ نتوانند از طریق این اطلا عات بقیه سرور ها را هک کنند. البته ؛ اگر شما وضعیت امنیتی فیزیکی خوبی د ر محل داشته با شید ،‌طبیعی است از آنجا که کسی نمی تواند به هیچ سروری دسترسی پیدا کند ،‌نخواهد توانست account محلی آن را هم پیدا کند.

NAT یا ترجمه آدرس شبکه (Network Address Translation) یکی از پرکاربردترین پروتکلهای ترجمه و نگاشت IP است که در لایه سطح ۳ شبکه مدل OSI فعالیت می کند.عملکرد NAT مانند یک واسط میانی بین شبکه داخلی ( Internal) وشبکه خارجی (External) است،پکتهایی که از یک شبکه خصوصی می آیند توسط NAT مدیریت می شوند وسپس به مقصد مورد تقاضایشان ارسال می شوند.

یک آدرس در اینترنت مشاهده می شود و آدرسهای داخلی در اینترنت نشان داده نمی شوند.یک جدول در Router ساخته می شود که لیستی از آدرسهای محلی (Local) وعمومی (Global) در آن قرار دارد می گیرد و از آن به عنوان یک مرجع برای ترجمه IP ها استفاده می شود.NAT می تواند به چندین روش کار کند:

NAT استاتیک:

یک IP ثبت نشده (Unregistered) به یک IP ثبت شده نگاشت می شود به صورت یک به یک،که هنگامی مفید است که بخواهیم به یک وسیله از خارج شبکه دسترسی پیدا کنیم.

NAT داینامیک:

یک IP ثبت نشده از طریق گروهی از IP های ثبت شده به یک IP ثبت شده نگاشت می شود.

به طور مثال ، یک کامپیوتر با IP ، ۱۹۲.۱۶۸.۱۰.۱۲۱ به اولین IP در دسترس در محدوده ۲۱۲.۱۵۶.۹۸.۱۰۰ تا ۲۱۲.۱۵۶.۹۸.۱۵۰ ترجمه می شود.

Overloading (سربارگذاری) :

یک فرم از NAT داینامیک است که چندین IP ثبت نشده را به یک IP ثبت شده نگاشت می کند ، اما از پورتهای مختلف استفاده می کند.برای مثال، IP آدرس ۱۹۲.۱۶۸.۱۰.۱۲۱ به ۲۱۲.۵۶.۱۲۸.۱۲۲:Port Number (مثلا ۲۱۲.۵۶.۱۲۸.۱۲۲:۱۰۸۰ ) نگاشت خواهد شد.

Overlapping (همپوشانی) :

هنگامی است که آدرسهای داخل شبکه با آدرسهای بیرون شبکه همپوشانی (Overlap) می شوند-IP آدرسها در یک شبکه دیگر نیز رجیستر شده اند.روتر (Router) می بایست یک جدول جستجو از این آدرسها را نگهداری کند تا بتواند آنها را قطع کند و با IP آدرسهای رجیستر شده یکتا جایگزین کند.

NAT چگونه کار می کند:

یک جدول از اطلاعاتی درباره هر پکت(Packet) که عبور کرده توسط NAT نگهداری می شود.هنگامی که یک کامپیوتر در شبکه تلاش می کند تا به یک وب سایت در اینترنت متصل شود:

• هدر (Header) IP مبدا تغییر کرده و IP آدرس کامپیوتر NAT جایگزین آن می شود.

• IP آدرس مقصد به IP آدرس مخصوص داخلی تغییر می کند بر اساس رکوردهای جدول)

NAT می تواند به عنوان یک فایروال اساسی مورد استفاده قرار گیرد ، مدیر شبکه (Administrator) می تواند پکتهایی که از یک IP معین وارد/خارج می شوند را فیلتر کند و دسترسی به یک پورت بخصوص را اجازه دهد یا منع کند.

نصب NAT :

برای نصب NAT شما می بایست ویزارد Configure your server را از administrative tools اجرا کرده و سپس RRAS/VPN را انتخاب کنید.حال NEXT را کلیک کنید،RRAS اجرا می شود. همانطور که در تصویر زیر می بینید می بایست یک اتصال به اینترنت داشته باشید و نوع آن را مشخص کنید،واینکه آیا می خواهید فایروال را فعال کنید.

Next را کلیک کنید و ادامه دهید،پروسه نصب آغاز شده و سرویسها مجددا راه اندازی می شوند.

پیکربندی NAT :

پیکربندی NAT از طریق Routing and Remote Access انجام می شود ، که از طریق Administrative Tools قابل دسترسی است. هرکدام از قسمتها را که می خواهید پیکربندی کنید بر روی آن double click کنید ، این کار پنجره properties مربوطه را باز می کند و شما می توانید تنظیمات آن را تغییر دهید مثل Packet filtering و Port blocking و همچنین فعال/غیرفعال کردن یک سری خصوصیات مانند Firewall .

همانگونه که در تصویر زیر مشاهده می کنید خصوصیات مربوط به Remote router نشان داده شده است.در تب(Tab) مربوط به NAT/Basic Firewall شما می توانید نوع واسط(Interface type) را با توجه به نحوه اتصال به شبکه انتخاب کنید ،که من Public interface connected to the internet را انتخاب کرده ام.دکمه های Inbound filters و outbound filter به شما تا ترفیک ناشی از IP آدرسها یا packet protocol ها را محدود کنید. مطابق بر این ،پکتهای TCP معینی قبل از اینکه به کامپیوتر کلاینت برسند،متوقف می شوند.بنابراین شبکه را امن تر می کند.برای مثال هنگامی مفید است که شما بخواهید پکتهایی که از یک IP آدرس که در لیست سیاه نوشته شده است می آیند را رد کنید،یا دسترسی کاربران داخلی را به پورت ۲۱ (FTP) محدود کنید.برای تنظیمات بیشتر مربوط به Firewall به Tab ،Services and Ports بروید،در این قسمت شما می توانید سرویسهایی را که می خواهید کاربرانتان به آنها دسترسی داشته باشند را انتخاب کنید،همچنین قادر خواهید بود سرویسهای بیشتری را خودتان با مشخص کردن جزییات آن مثل شماره پورت ورودی و خروجی به این لیست اضافه کنید.دکمه Add به شما اجازه میدهد تا یک سرویس جدید ایجاد کنید،با کلیک بر روی Add پنجره ای جلوی شما باز می شود و از شما می خواهد نام سرویس، شماره TCP و UDP و IP آدرس کامپیوتری که میزبان این سرویس است را وارد کنید.اگر یکی از سرویسهای موجود در لیست فعال نشده باشد آنگاه هر کلاینت که در Domain ویندوز ۲۰۰۳ است نمی تواند به آن سرویس خاص دسترسی یابد.به عنوان مثال ، اگر تنظیمات مانند شکل بالا باشد و یک کامپیوتر بخواهد به سایت FTP وصل شود نخواه توانست.همانگونه که مشاهده کردید ،NAT یک خصوصیت مفید است که امنیت را به یک شبکه های کوچک و متوسط اضافه می کند.

پس از چند تلاش نافرجام برای استفاده از بازاریابی در ایجاد یک پلاتفرم کامپیوتری شرکتی، شرکت مایکروسافت هم اکنون در تلاشی برای جذب ویندوز، Exchange، SQL Server و سرورهای زیر ساختی دیگرش به دسته‌ای منسجم از نرم‌افزار شرکتی به نسبت مهندسی روی آورده است.

تلاش مهندسین مایکروسافت در زمینه شالوده سیستم سرور ویندوز است که به عنوان یک واژه بازاریابی ایجاد شد. اما هم اکنون احتمالا به چیزی کاملا متفاوت تبدیل شده است. مایکروسافت تحت لوای سیستم سرور ویندوز ۱۹ سرور را در یکجا جمع‌آورده است و تلاش می‌کند تا آنها را با CEC یا Common Engineering Criteria (معیار رایج مهندسی) در یک واحد منسجم قرار دهد. این معیار در ژوئن به عنوان یک طرح معرفی شد و شامل گروهی از قوانین مربوط به نحوه ایجاد، امنیت مدیریت، تصویب از سوی مصرف‌کنندگان و مجوز گرفتن سرورهاست.

▪ سرورها در سه دسته گروه بندی می‌شوند:

- Operations (عملیات) که شامل سرور یکپارچگی هویت و سرور مدیریت سیستم،

- برنامه‌های کاربردی (Application) شامل سرور SQL و BizTalk است، و

- کار اطلاعات (Information Work) که حاوی سرور پورتال Share Point ‌و Exchange است.

ویندوز سرور ۲۰۰۳ ویژگی‌های مناسبی از قبیل Active Directory و حمایت از VPN را فراهم می‌کند.

این شرکت اولین سرگروه سرور خود را که تحت اصول CEC طراحی شده، عرضه نمود و عرضه‌های دیگر قرار است در امسال انجام شود. هدف از این کار ساده کردن محیط‌های IT است. وی افزود، ما باید بتوانیم تا آنجا که می‌توانیم با مهندسی، قبل از رسیدن نرم‌افزار به مصرف کننده پیچیدگی را کاهش دهیم. راه رسیدن به کاهش پیچیدگی یکپارچگی است.

سرفصل‌های یکپارچگی عبارتند از: تکمیل ترکیب امور کامپیوتری مطابق با CEC، ارائه اقدامات سیستم‌های دینامیک مایکروسافت که طرحی برای ایجاد پلاتفرم مدیریت ویندوز است، موفقیت در امنیت کدگذاری از طریق اقدامات Trustworthy Computing و حمایت از معیارهای مبتنی بر XML برای پشتیبانی از یکپارچگی با پلاتفرم‌های غیر ویندوز.

● در همان ابتدا

با کمال تعجب تلاش‌های کاملا پشت پرده مایکروسافت هم اکنون مصرف کنندگانی را به سوی خود جلب کرده است. از MOM یا Microsoft Operations Manager (مدیریت عملیات مایکروسافت)، یک سرور Windows Server System، استفاده می‌کند تا ۳۱۱ سرور مدل مدیریت معمول را یکپارچه نماید. همچنین در مرحله آزمایش نمودن یکی از جدیدترین سرورهای Windows Server Systems مدیر حفاظت اطلاعات (Data Protection Manager)، به منظور برطرف نمودن مشکلات پشتیبان است. هم اکنون این عرضه بتا یک بسته مدیریت MOM دارد.ضرورت دارد که تمامی انها با هم کار کنند. این تنها راهی است که ما می‌توانیم با تعداد محدودی از کارمندان عملکرد آن راکنترل و مدیریت نماییم.

CEC مستلزم ملزوماتی است که سرورها باید ماژولی به نام بسته‌های مدیریت داشته باشند که به MOM متصل باشد. MOM یک برنامه کاربردی عملکرد و نظارت کننده است. به علاوه مستلزم پشتیبانی از نوشتن دستورات است که سرورها بتوانند درون یک دستگاه مجازی اجرا کرده و تمامی سرورها از یک تکنولوژی نصب کننده و ابزارهای اصلاحی استفاده نمایند. CEC همچنین حلقه‌های باز خورد مصرف کننده، برنامه‌های لوگو و آموزش را اجباری می‌کند. مایکروسافت قصد دارد در تمامی سرورهایی که در آینده عرضه می‌کند از CEC استفاده نماید. مایکروسافت در کنفرانس سالانه TechEd که ماه آینده برگزار می‌شود، قصد دارد ملزومات جدید CEC را در سال ۲۰۰۶ معرفی کند. چیزی که Windows Server Systems را به بیش از یک ترفند تبدیل کرده همان CEC است. همچنین به مردم این پیام رامی‌دهد که می‌توانند چه انتظاری از محصولات درون این مخزن سرورها داشته باشند.

Davis افزود که تلاش‌های مایکروسافت در این قسمت به معنی این است که شرکت اذعان داشته که قبلا این شرکت ملزومات مهندسی رایج را برای محصولات سرور خود نداشته است. وی ادامه داد: با این کار، این شرکت تلاش می‌کند با استفاده از کل مجموعه نرم‌‌افزار به جای تک‌تک محصولات به رقابت بپردازد. به جای ویندوز، لینوکس و به جای Notes، Exchange را قرار داده و باعث شده که مردم کاملا به پورتفولیوی مایکروسافت دقت نمایند. ناظران هنوز بر این عقیده‌اند که مایکروسافت همچنین باید کاربران را متقاعد نماید در موارد تجاری از سرورهای نرم‌افزاری‌اش استفاده نمایند. یکپارچگی یک تفکری بود که در اتاق IT Tech اتفاق افتاد اما این آن بخشی نیست که با افراد تاجر داشتیم .آنها آن را برگزیدند چون نیاز شدیدی به استفاده از برنامه‌های اصلاحی داشتند. اما تکنولوژی با چیز دیگری یکپارچه نمی‌شود

● سر آغاز و مقصد

مایکروسافت به تازگی شروع به عرضه سرورهای توسعه یافته با CEC کرده است. اولین سرگروه این سرورها عبارتند از Live Communication Server ۲۰۰۵، Virtual Server ۲۰۰۵ و MOM ۲۰۰۵ و SQL Server ۲۰۰۵ و Windows Server ۲۰۰۳ R۲ که قرار است هر دو اواخر سال جاری عرضه شوند نیز اصول CEC را به کار می‌برند. سرورهای دیگر این شرکت در زمان عرضه نسخه جدید‌شان نیز با CEC هماهنگ می‌شوند. همچنین مایکروسافت با شرکایی کار می‌کند تا سرویس‌های امنیتی چون Single Sign-On را نیز ایجاد کنند که مایکروسافت و سان اوایل ماه جاری در بین دایرکتوری‌های خود نشان دادند. به علاوه مایکروسافت مشغول توسعه تکنولوژی برای کلاینت‌ها و سرورهای Longhorn به نام Indigo است که یک لایه یکپارچه‌ای را با تکنولوژی‌های دیگر فراهم می‌سازد.

Indigo برای شیوه‌ای که ما عملکرد متقابل و تعاملی را انجام می‌دهند، اساس تلقی می‌شود. وقتی به معیاری برای عملکرد تعاملی فکر می‌کنیم، به یک پایه اصلی در Longhorn می‌رسیم که می‌تواند به عملکرد حول و حوش این معیار کمک کند. اگر تلاش‌های مایکروسافت مطابق برنامه ریزی پیش رود، باید تمامی بسته‌هایش را برای نرم‌افزار Windows Server System جمع‌آورد که پیچیدگی و مدیریت زیر ساخت را کاهش می‌دهد. اگر بخواهید یکی از عوامل اصلی در حوزه زیر ساخت فراگیر باشید، باید بتوانید این سیستم‌ها را با به نحوی مدیریت و اجرا کنید که از همان کیفیت ابزارهایی که در پلاتفرم‌های دیگر مشاهده می‌کنید بهره گرفته و همان میزان دقتی را به کار برید که در high-end Unix محیط‌های AS/۴۰۰ و قالب اصلی به کار می‌رود.

بررسی میزان افزایش امنیت،یکپارچگی و فایده های Windows .NET Server برای برنامه نویسان.

مایکروسافت حرفهای بزرگی درباره امکانات ویندوز آینده اش می زند.Windows .NET Server در اوایل سال ۲۰۰۳ ارائه  شد.

●  بزرگترین تغییر در Windows .NET Server تاکید بر روی برنامه نویس هاست.

دات نت Framework را از ابتدا در Windows .NET Server قرار دادند. مایکروسافت در حال دور شدن از طرح قدیمی و کلاسیک Application Server ها و استفاده از COM+ است.مانند IIS و AD یا Active Directory که از آن روش ها استفاده می کنند.هم اکنون برنامه نویس می تواند از تمام مزیت های دات نت و XML WebService ها استفاده کند.با Windows .NET Server نسل جدیدی از برنامه ها را بوجود آوردند که شرکتهای تجاری بوسیله سیستم های قبلی امکان ایجاد آن را نداشته اند . ما به Application Server به عنوان بخشی از یک Application Platform احتیاج داریم . این یکپارچگی به این معنی است که برنامه نویس و Admin سیستم با اجرای این برنامه ها به صورت Web Based مانند بخش بندی کردن هر برنامه برای جلوگیری از تداخل آنها و بحثهای امنیتی ؛ به تمام اجزای آنها کنترل دارند .

● خیلی از این امکانات برای یکپارچگی و دیگر قدرت های Windows .NET Server هم اکنون در Service Pack ها و برنامه های جنبی وجود دارد و می توان آنها را بر روی ویندوزهای فعلی نصب کرد . وقتی چنین امکاناتی وجود دارد چه احتیاجی به Windows .NET Server است ؟

●ما هم اکنون می توانیم از دات نت در دیگر ویندوز ها استفاده کنیم ، Windows .NET Server چه امکان ویژه جدیدی دارد ؟" ، جواب این سوالات به دو بخش مربوط می شود . یکپارچگی در دات نت تنها از نقطه نظر انتشار(deploy) نرم افزار مورد نظر است . دیگر نیازی به نگرانی برای انتشار نرم افزارها نیست و می دانیم که مطمئنا ً نرم افزار من بدون مشکل بر روی سیستم دیگری کار خواهد کرد . نکته دوم یکپارچگی در IIS۶ که یک بار دیگر از اول نوشته شده است می باشد . در ساختار جدید IIS کنترل بیشتری بر روی محدود کردن نرم افزار های تحت وب و استفاده مجدد(Application Recycling) از آنها داریم . می توانیم تعداد یک یا چند برنامه را در pool قرار دهیم و هر pool تنظیمات مربوط خودش را دارد . همچنین برنامه های در هنگام اجرا در یک محیط مجزا اجرا می شود . (isolated)

این تخییرات از نظر برنامه نویس با اینکه در نحوه نوشتن برنامه ها تغییر خواصی صورت نمی گیرد ولی یک مزیت به شمار می آید . زیرا سرعت بیشتر در اجرا ، امنیت بیشتر و قابلیت توسعه نرم افزارها را به برنامه نویس می دهد . همه اینها به خاطر این است که این pool ها مستقیما ً با Kernel-Mode HTTP Listener در ارتباط هستند . این امکانی که در Windows .NET Server وجود دارد مسئول اجرای تمامی درخواست هایی است که از IIS می رسد . همچنین UDDI نیز به شکل پیش فرض در Windows .NET Server جای گرفته است.

UDDI در حالت یک Yellow Page برای منابع برنامه نویسی است.شرکت های بزرگ این امکانات را می خواهند اما پشت فایروال های خودشان . برای همین ، امکان Authentication را از روی AD به UDDI هم اضافه کردیم ، بنابراین به غیر از لایه های امنیتی که در UDDI وجود داشت لایه دیگری نیز به آن افزوده شد.این امکانات زمان طراحی بودند.

از دیدگاه زمان اجرای برنامه ها Windows .NET Server امکان ساختن برنامه های پویا را به شما می دهد.برای مثال ، فرض کنید که یک شرکت مالی را مدیریت می کنید فرض کنید که سیستمی می خواهید که بازرگانان اطلاعات مورد نیاز خود را در آن پیدا کنند . مطمئنا ً شما می خواهید که آن ها از آخرین اطلاعات به شکل پویا استفاده کنند.حالا فرض کنید که می خواهید مدلی که برای آنها ایجاد کرده اید را با مدل جدیدتری جابجا کنید.شما آن مدل را در UDDI ثبت کرده اید و در تعریف آن گفته اید که به صورت پویا دنبال نسخه های جدید مدل خود بگردد و اگر پیدا کرد آن را با سیستم فعلی عوض کند . این روش برای گردش به دنبال سرویس های جدید یک استاندارد خواهد شد.

یک سناریو دیگر ، فرض کنید شما دفاتر فرعی برای شرکتتان دارید و می خواهید که یک برنامه مرکزی از فروش آنها گزارش کلی تهیه کند . اگر از UDDI برای ثبت آن دفاتر استفاده کنید ، وقتی که یک دفتر جدید به سیستم اضافه شود شما آن را در UDDI ثبت می کنید . این بدین معنی است که برنامه مرکزی می فهمد یک دفتر جدید به لیست اضافه شده است و از آن نیز در گرفتن اطلاعات استفاده می کند . تمام کاری که شما به عنوان برنامه نویس باید انجام دهید ثبت سرور جدید در UDDI است دیگر احتیاجی به تغییری در برنامه مرکزی ندارید . در حقیقت شما چیزی شبیه Late-Binding Web Service – یک برنامه کاملا ً پویا که از UDDI به عنوان یکی از هسته های مرکزی خود استفاده می کند – دارید.

●مایکروسافت چندی پیش تصمیم گرفته است که اهمیت بیشتری به موضوع امنیت بدهد. چه نقطه با اهمیتی در Windows .NET Server وجود دارد که کاربران ، Admin ها و برنامه نویس ها باید به دنبال این ویندوز بیایند ؟

●مهمترین چیزی که برنامه نویس ها باید بدانند این است که کل خدمات این ویندوز در حالت اولیه بسته شده است.عقیده بر این است که کل سیستم عامل از ابتدا با درجه امنیت بالا باشد و این به برنامه نویس ها این امکان را می دهد که برنامه هایی با امنیت بالاتر بنویسند . این فقط درباره امنیت در OS نیست بلکه کاربران هم باید بدانند که چگونه از سیستم ها استفاده کنند تا امنیت نرم افزارهایشان حفظ شود.

بسته بودن خدمات در حالت اول دارای نکات کاربردی مهمی است.برای مثال وقتی برنامه نویس ها ویندوز ۲۰۰۰ را نصب می کردند IIS نیز نصب می شد . در Windows .NET Server خیلی از امکانات به شکل اولیه بسته هستند و برای اینکه از آنها استفاده کنید باید از Wizard های موجود استفاده کنید . حالا فرض کنید یک سرور دارید که می خواهید خدمات وب هم بدهد . شما باید بعد از نصب ویندوز با استفاده از Wizard مخصوص پورت ۸۰ را باز کنید و IIS را به کار بیاندازید . اما هنوز IIS نیز قفل شده است تمام کاری که در این حالت انجام می دهد دادن سرویس به صفحه های ایستا است بنابراین ریسک استفاده از آن کم است . برای اجرای برنامه های در IIS باید از Wizard مخصوص استفاده و آن برنامه را آزاد کنید . اگر شما سرور Index می خواهید باید آن را فعال کنید ، یا اگر بخواهید از front-page server extension استفاده کنید هم باید آن را فعال کنید. به همین شکل اگر بخواهید از ASP و یا ASP.NET استفاده کنید باید آنها را نیز فعال کنید.

●JP ها کمک خیلی خوبی هستند . اما تغییراتی در رویه مایکروسافت داده شده است. در گذشته مایکروسافت فقط به مفید بودن و استفاده راحت فکر می کرد . به طور کل به ما می گویند که سادگی استفاده را دوست دارند ولی امنیت در درجه بالاتری قرار دارد.بنابراین همیشه باید برای هدف هزینه هایی را نیز پرداخت کرد.آنها در حال تلاش هستند که مردم هر دوی اینها را در سیستم های آنها داشته باشند.

● شرکتها به علت حمله های زیادی که به IIS می شود آن را رها می کنند.مهمترین دلیلی که برای این کار می آورند ناموفق بودن Admin ها در نصب patch هایی است که برای ویندوز و IIS می دهند.آیا مایکروسافت فکری برای این مشکل کرده است ؟

● آنها یک محیط گرافیکی جدید برای نصب patch ها ایجاد کرده  که کار مردم را آسان می کند.کار زیادی بر روی کل ساختار این قسمت از ویندوز شکل گرفته تا کار Admin ها را آسان کند.مدل جدیدی ایجاد شده است که شرکت ها برای خود یک Windows Update Server دارند. شرکت ها patch ها را برای این سرورها قرار می دهند و به شکل خودکار دیگر سرورها patch های مورد نیاز خود را از آنجا دریافت می کنند.این روش کارهایی که برای update شدن ویندوز انجام می شد را کمتر می کند.