Kontynuować śledzenie nieudanych żądań usług IIS7 jako narzędzia diagnostycznego tylko dla administratora systemu?


Daję niektórym naszym klientom możliwość zarządzania swoimi witrynami przy użyciu delegowania usług IIS i

Menedżer usług IIS dla administracji zdalnej
http://www.iis.net/download/iismanager
.
Jedną z funkcji, której nie jestem pewien, jest śledzenie nieudanych żądań z następujących powodów:
  • Klienci zapomną go wyłączyć
  • Serwer obniży wydajność (zwłaszcza jeśli jest włączony we wszystkich 500 witrynach).
  • Serwer zostanie zalany starym FRT
  • Możliwość wycieku poufnych informacji o konfiguracji serwera, dostarczając tym samym przydatnych informacji potencjalnym napastnikom.

Czy powinniśmy zostawić to jako narzędzie do rozwiązywania problemów dla naszych własnych administratorów?
2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Słyszałem, że mówi, że narzut wydajności związany z włączeniem FRT i słuchaniem wszystkich żądań stron wynosi około 5%. Nie zweryfikowałem tego osobiście, ale jeśli jest gdzieś w takim miejscu, to naprawdę nie jest to zbyt duże obciążenie.
    Ponadto FRT domyślnie zapisuje 50 plików dziennika na witrynę i nadpisuje najstarsze, jeśli istnieje więcej niż 50 plików.
    Ponadto domyślna ścieżka, w której są przechowywane dzienniki, znajduje się w udziale dzienników, więc użytkownicy końcowi nie mają dostępu do przeglądania dzienników.
    Ostatnia uwaga, zanim dojdę do wniosku, jest taka, że ​​domyślne wartości delegowania pozwalają ludziom tworzyć własne reguły, ale nie mogą

    włączyć

    FRT bez włączania administratora na poziomie witryny lub na poziomie globalnym.
    Tak więc, przy domyślnych ustawieniach umożliwiających samodzielne tworzenie reguł, powinieneś być bezpieczny. Nie mogą nic zrobić z zasadami. Jeśli naprawdę chcą nimi zarządzać, nadal będą musieli skontaktować się z administratorem systemu. Po uruchomieniu będą potrzebować kogoś, kto zarchiwizuje i wyśle ​​im rzeczywiste wygenerowane dzienniki, chyba że zmienisz mapowanie folderu lub udostępnisz im dostęp FTP do ich folderu dzienników FRT.
    Jeśli naprawdę chcesz dać im pełny dostęp, możesz włączyć to globalnie i dać im dostęp FTP do plików dziennika. Myślę, że nie musisz posuwać się tak daleko, chyba że zauważysz, że domaga się tego wielu użytkowników. W większości przypadków ludzie muszą go włączyć tylko w celu krótkotrwałego rozwiązywania problemów. Mając to na uwadze, miejmy nadzieję, że pomoże Ci to podjąć decyzję dotyczącą konkretnego środowiska.
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved