استفاده از شبکه های کامپیوتری از چندین سال قبل رایج و در سالیان اخیر روندی تصاعدی پیدا کرده است .اکثر شبکه های پیاده سازی شده در کشور مبتنی برسیستم عامل شبکه ای ویندوز می باشند . شبکه های کامپیوتری، بستر و زیر ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نماید . امروزه اطلاعات دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپیوتری زیر ساخت لازم را برای عرضه اطلاعات بدست آورده اند . عرضه اطلاعات توسط سازمان ها و موسسات می تواند بصورت محلی ویا جهانی باشد. با توجه به جایگاه والای اطلاعات از یکطرف و نقش شبکه های کامپیوتری ( اینترانت و یا اینترنت ) از طرف دیگر ، لازم است به مقوله امنیت در شبکه های کامپیوتری توجه جدی شده و هر سازمان با تدوین یک سیاست امنیتی مناسب ، اقدام به پیاده سازی سیستم امنیتی نماید . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعایت اصول اولیه به همان میزان و یا شاید بیشتر ، نگران کننده و مسئله آفرین خواهد بود . بدون تردید امنیت در شبکه های کامپیوتری ، یکی از نگرانی های بسیار مهم در رابطه با تکنولوژی اطلاعات بوده که متاسفانه کمتر به آن بصورت علمی پرداخته شده است . در صورتیکه دارای اطلاعاتی با ارزش بوده و قصد ارائه آنان را بموقع و در سریعترین زمان ممکن داشته باشیم ، همواره می بایست به مقوله امنیت، نگرشی عمیق داشته و با یک فرآیند مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سایت اختصاصی خود در اینترنت می باشند . سازمان ها و موسسات برای ارائه وب سایت ، یا خود امکانات مربوطه را فراهم نموده و با نصب تجهیزات سخت افزاری و تهیه پهنای باند لازم، اقدام به عرضه سایت خود در اینترنت نموده و یا از امکانات مربوط به شرکت های ارائه دهنده خدمات میزبانی استفاده می نمایند . وجه اشتراک دو سناریوی فوق و یا سایر سناریوهای دیگر، استفاده از یک سرویس دهنده وب است . بدون تردید سرویس دهنده وب یکی از مهمترین نرم افزارهای موجود در دنیای اینترنت محسوب می گردد . کاربرانی که به سایت یک سازمان و یا موسسه متصل و درخواست اطلاعاتی را می نمایند ، خواسته آنان در نهایت در اختیار سرویس دهنده وب گذاشته می شود . سرویس دهنده وب، اولین نقطه ورود اطلاعات و آخرین نقطه خروج اطلاعات از یک سایت است . بدیهی است نصب و پیکربندی مناسب چنین نرم افزار مهمی ، بسیار حائز اهمیت بوده و تدابیرامنیتی خاصی را طلب می نماید .در ادامه به بررسی نحوه پیکربندی سرویس دهنده وب IIS در شبکه های مبتنی بر ویندوز با تمرکز بر مسائل امنیتی ، خواهیم پرداخت .
IIS)Internet Information services) ، یکی از سرویس دهندگان وب است که از آن برای برای نشر و توزیع سریع محتویات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سیستم های مبتنی بر ویندوز 2000 قابل استفاده است . نسخه های ویندوز 2000 Server و Advanced server بمنظور نصب IIS ، مناسب و بهینه می باشند . نسخه پنج برای استفاده در نسخه های قدیمی ویندوز طراحی نشده است . امکان نصب IIS نسخه پنج ، بهمراه ویندوز Professional نیز وجود داشته ولی برخی از امکانات آن نظیر : میزبان نمودن چندین وب سایت ، اتصال به یک بانک اطلاعاتی ODBC و یا محدودیت در دستیابی از طریق IP در آن لحاظ نشده است .
نسخه پنج IIS ، سرویس های WWW ، FTP، SMTP و NNTP را ارائه می نماید . سه نرم افزار و سرویس دیگر نیز با IIS در گیر می شوند : Certificate Server , Index server و Transaction server .
امنیت در IIS متاثر از سیستم عامل است . مجوزهای فایل ها ، تنظیمات ریجستری ، استفاده از رمزعبور، حقوق کاربران و سایر موارد مربوطه ارتباط مستقیم و نزدیکی با امنیت در IIS دارند .
قبل از پیکربندی مناسب IIS ، لازم است که نحوه استفاده از سرویس دهنده دقیقا" مشخص گردد . پیکربندی دایرکتوری های IIS ، فایل ها ، پورت های TCP/IP و Account کاربران نمونه هائی در این زمینه بوده که پاسخ مناسب به سوالات زیر در این رابطه راهگشا خواهد بود :
آیا سرویس دهنده از طریق اینترنت قابل دستیابی است ؟
آیا سرویس دهنده از طریق اینترانت قابل دستیابی است ؟
چه تعداد وب سایت بر روی سرویس دهنده میزبان خواهند شد ؟
آیا وب سایت ها نیازمند استفاده از محتویات بصورت اشتراکی می باشند ؟
آیا سرویس دهنده امکان دستیابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و یا صرفا" افراد مجاز حق استفاده از سرویس دهنده را خواهند داشت ؟ و یا هر دو ؟
آیا امکان استفاده و حمایت از SSL)Secure Socket Layer) وجود دارد ؟
آیا سرویس دهنده صرفا" برای دستیابی به وب از طریق HTTP استفاده می گردد ؟
آیا سرویس دهنده ، سرویس FTP را حمایت می نماید ؟
آیا کاربرانی وجود دارد که نیازمند عملیات خاصی نظیر کپی، فعال نمودن، حذف و یا نوشتن فایل هائی بر روی سرویس دهنده باشند ؟
موارد زیر در زمان نصب IIS پیشنهاد می گردد :
کامپیوتری که IIS بر روی آن نصب شده است را در یک محل امن فیزیکی قرار داده و صرفا" افراد مجاز قادر به دستیابی فیزیکی به سرویس دهنده باشند .
در صورت امکان، IIS را بر روی یک سرویس دهنده Standalone نصب نمائید. در صورتیکه IIS بر روی یک سرویس دهنده از نوع Domain Controller نصب گردد و سرویس دهنده وب مورد حمله قرار گیرد، تمام سرویس دهنده بهمراه اطلاعات موجود در معرض آسیب قرار خواهند گرفت . علاوه بر مورد فوق، نصب IIS بر روی یک سرویس دهنده از نوع Domain controller ، باعث افزایش حجم عملیات سرویس دهنده و متعاقبا" کاهش کارآئی سیستم در ارائه سرویس های مربوط به وب خواهد شد .
برنامه های کاربردی و یا ابزارهای پیاده سازی نمی بایست بر روی سرویس دهنده IIS نصب گردند .
کامپیوتر مربوط به نصب IIS را بگونه ای مناسب پارتیشن نموده تا هر یک از سرویس ها نظیر www و یا FTP بر روی پارتیشن های مجزاء قرار گیرند .
IIS امکان نصب برنامه ها را در مکانی دیگر بجز پارتیشن C فراهم نمی نماید ( مگراینکه یک نصب سفارشی داشته باشیم ) .موضوع فوق به عملکرد سیستم عامل مرتبط می گردد . مجوزهای پیش فرض در رابطه با %Systemdrive% اعمال می گردد ( مثلا" درایو C) . موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرویس های IIS گردد. می بایست مطمئن شد که مجوزهای سیستم عامل با عملیات مربوط به سرویس های IIS ، رابطه ای ندارند .
تمام پروتکل های پشته ای (Stack) غیر از TCP/IP را از روی سیستم حذف نمائید. ( در مواردیکه برخی از کاربران اینترانت نیازمند برخی از این نوع پروتکل ها می باشند می بایست با دقت اقدام به نصب و پیکربندی مناسب آن نمود ) .
روتینگ IP ، بصورت پیش فرض غیرفعال است و می بایست به همان حالت باقی بماند . در صورت فعال شدن روتینگ ، این امکان وجود خواهد داشت که داده هائی از طریق کاربران اینترانت به اینترنت ارسال گردد .
نصب Client for Microsoft networking ، بمنظور اجرای سرویس های HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در صورتیکه ماژول فوق نصب نگردد، امکان اجرای سرویس های فوق بصورت دستی و یا اتوماتیک وجود نخواهد داشت .
در صورتیکه تمایل به نصب سرویس های NNTP و SMTP ، می بایست سرویس File and Print Sharing for Microsoft نیز نصب گردند .
عملیات قبل از نصب IIS
در زمان نصب IIS ، یک account پیش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ایجاد می گردد . نام پیش فرض برای account فوق ، IUSER_computername بوده که computername نام کامپیوتری است که IIS بر روی آن نصب شده است . account فوق ، می بایست دارای کمترین حقوق و مجوزهای مربوطه بوده و گزینه ها ی user cannot change password و password Never Expires فعال شده باشد. account فوق همچنین می بایست از نوع local account بوده و domain-wide account را شامل نگردیده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای Access this computer from the network و یا log on as a batch job در رابطه با account ، فوق می بایست غیر فعال گردند . در صورتیکه سیاست ارتباط با وب سایت ، صرفا" کاربران مجاز باشد، پیشنهاد می گردد account فوق ، غیر فعال گردد . بدین ترتیب تمام کاربران با استفاده از نام و رمز عبور مربوطه قادر به ورود به سایت خواهند بود .
گروه هائی برای فایل دایرکتوری و اهداف مدیریتی
حداقل دو گروه جدید که در IIS قصد استفاده از انان را داریم، می بایست ایجاد گردد : گروه WebAdmin ( نام فوق کاملا" اختیاری است ) . در گروه فوق، کاربرانی که مسئولیت مدیریت محتویات WWW/FTP را دارند، تعریف می گردند . در صورتیکه سرویس دهنده ، چندین سایت را میزبان شده است، برای هر سایت یک گروه مدیریتی ایجاد می گردد . گروه WebUser ( نام فوق کاملا" اختیاری است ) . در گروه فوق لیست account افراد مجاز برای ارتباط با سایت ، تعریف می گردد. در حالت اولیه ، گروه فوق صرفا" شامل IUSER_computername است . از گروه های فوق برای تنظیمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نباید عضو گروهی دیگر باشد . بصورت پیش فرض IUSER_computername عضو گروه های Guests، Everyone و Users است . پیشنهاد می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از سایر گروهها وجود ندارد ) . دقت گردد که تمام افراد موجود در گروه WebUsers می بایست صرفا" برای دستیابی به وب سایت تعریف شده باشند و نباید عضوی از سایر گروهها باشند .
مدیریت IIS با چندین گروه
نسخه شماره چهار IIS ، امکان تعریف گروههای محلی بمنظور پیکربندی و تعریف گروههای مدیریتی متفاوت برای سرویس های IIS را فراهم می نمود . رویکرد فوق در نسخه شماره پنج IIS ، تغییر یافته است . گروهها ی محلی می توانند و می بایست برای گروههای مدیریتی متفاوت ایجاد گردند . تفاوت موجود بین گروههای محلی برای سرویس www و FTP صرفا" استفاده از مجوزهای NTFS خواهد بود . سرویس های SMTP و NNTP ، قابلیت تنظیم گروههای محلی را بعنوان اپراتورهای مدیریتی برای سرویس دهنده IIS فراهم می نماید .
نصب تمام Patch ها برای سیستم عامل و IIS
مدیران IIS ، می بایست همواره بررسی های لازم در خصوص آخرین نسخه های fixes و patch را انجام داده و پس از تهیه ، اقدام به نصب آنان نمایند . بدین منظور می توان از بخش Security سایت ماکروسافت ملاقات و برنامه های جدید را اخذ و نصب نمود .
دایرکتوری پیش فرض نصب IIS
پس از نصب IIS ، می بایست تغییرات لازم در خصوص مجوزهای دستیابی NTFS را در رابطه با دایرکتوری هائی که IIS نصب شده است ، انجام داد . گروه های Everyone و Guests بهمراه account مربوط به Guest می بایست حذف گردند . گروه Everyone بصورت پیش فرض دارای تمامی مجوزهای لازم در رابطه با دایرکتوری Inetpub است . کاربران غیر مجاز با استفاده از ویژگی گروه فوق قادر به دستیابی به سیستم خواهند بود، بنابراین لازم است در این راستا اقدام لازم ( حذف ) صورت پذیرد . دایرکتوری Inetpub ، بر روی درایو پیش فرض نصب می گردد . ( مثلا" درایو C ) . دایرکتوری جدید و یا ساختار موجود می بایست به پارتیشن دیگر منتقل و عملا" تمایزی بین سایت های در دسترس از محل سیستم های عملیاتی را بوجود آورد . پیشنهاد می گردد Inetpub به نام دلخواه دیگری تغییر یابد .
دایرکتوری های IIS نسخه پنج را می توان در یک محل خاص ( سفارشی ) دیگر نیز نصب نمود( تحقق خواسته فوق صرفا" از طریق یک نصب سفارشی میسر می گردد ) . بدین منظور از یک فایل پاسخ استفاده می شود. فایل پاسخ ( مثلا" iis5.txt) می بایست دارای اطلاعات زیر باشد :
اطلاعات ضروری در فایل پاسخ بمنظور تغییر محل نصب IIS |
[Components] |
در ادامه از دستور زیر برای نصب استفاده می گردد . ( از طریق خط دستور )
Sysocmgr/I:%windir%infsysoc.inf /u:a:iis5.txt |
جدول زیر مجوزهای لازم NTFS و IIS در رابطه با دایرکتوری های مربوطه را نشان می دهد :
Type of |
Example Directories |
Data Examples |
NTFS File Permissions |
IIS 5.0 |
Static Content |
Inetpubwwwrootimages |
HTML, images, FTP |
Administrators (Full Control) |
Read |
FTP Uploads (if required) |
Inetpubftprootdropbox |
Directory used as a |
Administrators (Full Control) |
Write |
Script Files |
Inetpubwwwrootscripts |
.ASP |
Administrators (Full Control) |
Scripts only |
Other Executable and Include Files |
WebScriptsexecutables |
.exe, .dll, .cmd, .pl |
Administrators (Full Control) |
Scripts only |
Metabase |
WINNTsystem32inetsrv |
MetaBase.bin |
Administrators (Full Control) |
N/A |
دایرکتوری ها ئی که شامل فایل های فقط خواندنی هستند ( فایل های Html ، تصاویر، فایل های آماده برای Download توسط FTP و ... ) ، می بایست دارای مجوز فقط خواندنی بمنظور دستیابی گروه WebUsers باشند . هر نوع از فایل های فوق می تواند دارای دایرکتوری اختصاصی خود با مجوز فقط خواندنی باشند . مجوزهای لازم Read&Execute write و Modify را می بایست به گروهی که مسئولیت مدیریت محتویات وب را برعهده دارد اعطاء گردد ( مثلا" گروه WebAdmin) . برای فایل های اجرائی ( اسکریپت ها ، فایل های batch و ... ) ، می بایست یک دایرکتوری اختصاصی ایجاد کرد . دایرکتوری های فوق صرفا" دارای مجوز Travesr Folder/Execute مربوط به NTFS برای کاربرانی می باشند که مجوز لازم بمنظور دستیابی به سایت را دارا می باشند ( کاربر IUSER_computername و سایر کاربران تعریف شده در گروه WebUsers ) . دایرکتوری فوق همچنین می بایست دارای مجوز های مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، می بایست صرفا" به دایرکتوری هائی که به این مجوز نیاز دارند اعطاء گردد. مثلا" یک دایرکتوری که شامل فایل های باینری بوده و می بایست این فایل ها توسط سرویس دهنده وب اجراء گردند .
تمام دایرکتوریهائی که دارای نمونه مثال هائی بوده و یا هر اسکریپت استفاده شده بمنظور اجرای برنامه های نمونه را می بایست حذف و یا انتقال داد . در زمان نصب IIS دایرکتوری های متعددی ایجاد که در آنها فایل های نمونه بهمراه اسکریپت ها قرار می گیرد. پیشنهاد می گردد دایرکتوری های فوق حذف و یا مکان آنها تغییر یابد . دایرکتوری های زیر نمونه هائی در این زمینه می باشند :
InetPubiissamples |
سرویس های IIS
در زمان نصب IIS ، چهار سرویس بر روی سیستم نصب خواهد شد :
www . سرویس فوق،بمنظور ایجاد یک سرویس دهنده وب و سرویس دهی لازم به درخواست سرویس گیرندگان برای صفحات وب استفاده می گردد .
FTP . سرویس فوق، بمنظور ارائه خدمات لازم در خصوص ارسال و دریافت فایل بر روی سرویس دهنده برای کاربران استفاده می گردد .
SMTP . سرویس فوق،امکان ارسال و دریافت نامه الکترونیکی برای سرویس گیرندگان را در پاسخ به فرم ها و برنامه های خاص دیگر فراهم می نماید .
NNTP . سرویس فوق، بمنظور میزبانی یک سرویس دهنده خبری USENET استفاده می گردد .
در زمان نصب IIS ، می توان تصمیم به نصب برخی از سرویس ها و یا همه آنها گرفت . پس از نصب IIS ، در صورتیکه به وجود برخی از سرویس ها نیاز نباشد، می توان آنها را غیر فعال نمود. بدین منظور می بایست مراحل زیر را دنبال کرد :
انتخاب گزینه Services از طریق مسیر زیر :
Programs => Administrative Tools => Services |
انتخاب سرویسی که قصد غیر فعال کردن آن را داریم . در ادامه با فعال کردن کلید سمت راست موس ، گزینه Stop را بمنظور توقف سرویس فعال نمائید .
بمنظور اطمینان از عدم اجرای سرویس غیر فعال شده در زمان راه اندازی مجدد سیستم، سرویس را مشخص و پس از فعال کردن کلید سمت راست موس، گزینه Properties را انتخاب ودر بخش Startup type وضعیت اجرای سرویس را از حالت Automatic به Disable تغییر دهید . شکل زیر نحوه غیر فعال نمودن سرویس www را نشان می دهد .
ایمن سازی متابیس
متابیس (Metabase) ، مقادیر مربوط به پارامترهای پیکربندی برنامه IIS را ذخیره می نماید . متابیس بمنظور استفاده در IIS طراحی و بمراتب سریعتر و انعطاف پذیرترنسبت به ریجستری ویندوز 2000 است . هر گره در ساختار متابیس ، یک کلید (key) نامیده شده و می تواند دارای یک و یا چندین مقدار مربوط به پیکربندی بوده که خصلت نامیده می شوند . کلیدهای متابیس IIS به عناصر و قابلیت های مربوط به IIS اختصاص داده شده و هر کلید شامل خصلت هائی است که تاثیر مستقیمی بر روی سرویس و پتانسیل مربوطه ، خواهد داشت . ساختار استفاده شده در متابیس بصورت سلسله مراتبی بوده و تصویری مناسب از ساختار IIS است که بر روی سیستم نصب شده است . اکثر کلیدهای پیکربندی IIS بهمراه مقادیر مربوطه در نسخه های قبلی IIS ، در ریجستری سیستم ذخیره می گردیدند. در نسخه پنج ، تمام مقادیر فوق در متابیس ذخیره می گردند . کلیدهای دیگری نیز بمنظور افزایش کنترل انعطاف پذیری IIS در متابیس ذخیره می گردد . یکی از مزایای ساختار استفاده شده در متابیس ، اختصاص تنظمیات متفاوت یک خصلت خاص برای نمونه های متفاوتی از کلید ها ی مشابه است . مثلا" خصلت MaxBandwidth ،حداکثر پهنای باند قابل دسترس را برای یک سرویس دهنده مشخص و می تواند به تراکنش های متعدد وب تعمیم یابد . متابیس ، قادر به نگهداری مقادیر متفاوت MaxBandwidth برای هر یک از سایت های وب می باشد .
متابیس در یک فایل خاص با نام Metabase.bin و در آدرس winntsystem32ineterv ذخیره می گردد . پس از استقرار IIS در حافظه ، متابیس نیز از روی دیسک خوانده شده و در حافظه مستقر می گردد . پس از غیرفعال شدن IIS ، متابیس مجددا" بر روی دیسک ذخیره خواهد شد . ( متابیس بدفعاتی که IIS اجراء خواهد شد بر روی دیسک ذخیره می گردد) . با توجه به نقش حیاتی فایل فوق برای برنامه IIS ، حفاظت و کنترل دستیابی به آن دارای اهمیت فراوان است . در صورتیکه فایل فوق ، با یک فایل دیگر ( نامعتبر) جایگزین گردد، عملکرد صحیح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سریعا" متاثر از تغییرات خواهد شد . (اولین مرتبه ای که IIS پس از اعمال تغییرات اجراء می گردد ) . در چنین مواردی ممکن است سرویس مربوطه از طریق سرویس دهنده ، اجراء نشود. پیشنهاد می گردد که فایل Metabsat.bin بر روی پارتیشننی از نوع NTFS ذخیره و با استفاده از امکانات امنیتی ویندوز 2000 آن را حفاظت کرد . مجوزهای پیش فرض برای فایل فوق ، System و Administrator Full Access می باشد . محدودیت دستیابی به System و local Administrators امنیتی قابل قبول در رابطه با فایل فوق را ایجاد و ضرورتی به تغییر و یا اضافه نمودن تنظیمات جدیدی نخواهد بود .
بمنظورایجاد پوسته حفاظتی مطلوبتر امنیتی در رابطه با فایل فوق ، پیشنهاد می گردد فایل فوق برای کاربران غیر مجاز مخفی شود . انتقال و یا تغییر نام فایل نیز می تواند امنیت فایل فوق ر ا مضاعف نما ید . بدین منظور می بایست در ابتدا برنامه IIS متوقف و پس از تغییر نام و یا انتقال فایل فوق ، تغییرات لازم را در کلید ریجستری زیر اعمال نمود .
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInetMgrParameters |
در ادامه یک مقدار جدید REG_SZ برای کلید فوق با نام MetadataFile ایجاد و مسیر کامل فایل را که شامل نام درایو و نام فایل است ، بعنوان نام جدید فایل متابیس معرفی نمائیم . بدین ترتیب برنامه IIS آگاهی لازم در خصوص نام و آدرس فایل متابیس را پیدا و در زمان را اندازی از آن استفاده خواهد کرد .
پیشنهادات تکمیلی در رابطه با امنیت برنامه IIS
بر روی سرویس دهنده IIS صرفا" IIS و عناصر مورد نیاز را نصب و از نصب برنامه ها و ابزارهای پیاده سازی ممانعت بعمل آید .
تمام سرویس های غیر ضروری را غیر فعال نمائید .
در رابطه با IUSER_Computername account ، گزینه های User cannot change password و Password Never Expires را انتخاب و فعال نمائید .
در صورتیکه تمایلی به ورود افراد گمنام (anonymous) به شبکه وجود نداشته باشد ، می بایست account مربوطه را غیر فعال نمود (IUSER_Computername) .
برای هر وب سایت local admin groups ایجاد و account مربوطه را مشخص نمائید .
برای کاربران وب یک local group ایجاد و صرفا" account های مورد نیاز و مجاز نظیر IUSER_Computername را در آن فعال نمائید .
از تمام گروه های دیگر، account مربوط به IUSER_Computername را حذف نمائید .
تمام مجوزهای NTFS مربوط به دایرکتوری Inetpub را حذف و صرفا" گروه ها و account های مجاز را به آن نسبت دهید .
یک ساختار منطقی برای دایرکتوری ایجاد نمائید . مثلا" برای محتویات ایستا ، فایل های asp ، scripts و Html ، اسامی دایرکتوری دیگری ایجاد و با یک ساختار مناسب بیکدیگر مرتبط گردند.
مجوزهای لازم NTFS بر روی ساختار دایرکتوری ها را در صورت نیاز اعمال نمائید .
تمام دایرکتوری های نمونه و اسکریپت هائی که نمونه برنامه هائی را اجراء می نمایند ، حذف نمائید .
مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service و Access this computer from the network از کاربر سلب گردد .