Иис брокеры: Рейтинг лучших брокеров для ИИС

• Моя библиотека

Как мне настроить веб-сервер IIS так, чтобы uniPaaS принимал запросы?

Прежде чем вы сможете работать с брокером uniPaaS, вам необходимо правильно сконфигурировать веб-сервер. Этот процесс состоит из нескольких частей:

1. Перед установкой uniPaaS необходимо установить веб-сервер IIS.

2. Необходимо установить интернет-запросчики для uniPaaS.

3. После установки проверьте установку и убедитесь, что сервер запущен.

Давайте рассмотрим каждый из этих шагов один за другим.

IIS расшифровывается как Internet Information Services.Это компонент Microsoft, который позволяет вашему компьютеру работать в качестве веб-сервера, и на большинстве компьютеров с Windows сегодня установлены службы IIS как часть операционной системы. Вы можете проверить это, посмотрев Пуск-> Панель управления-> Администрирование-> Internet Information Services .

Если IIS не установлен, вы можете установить его с помощью Пуск-> Панель управления-> Установка и удаление программ . На полях вы увидите опцию для Добавить / удалить компоненты Windows .Следуйте диалогу, чтобы установить IIS.

Установка uniPaaS автоматически выполняет необходимую настройку, если обнаруживает, что IIS установлен на сервере Windows, и разработчик решает установить веб-запросчики uniPaaS (например, веб-запросчик ISAPI).

Настройка uniPaaS также определит необходимые веб-псевдонимы, такие как псевдоним «uniScripts», с соответствующими разрешениями (для клиента браузера также требуется «uniCache»).

Повышение безопасности для IIS предотвращает работу файлов DLL и исполняемых файлов, если они явно не разрешены.Этапы реализации

Следующие шаги показывают, как настроить IIS 6.0 для работы с запросчиками ISAPI и CGI.

1. Щелкните правой кнопкой мыши значок Мой компьютер и выберите Управление .

2. Перейдите к Службы и приложения-> Информационная служба Интернета-> Расширения веб-служб .

3. Щелкните задачу Добавить новое расширение веб-службы.

4. Нажмите кнопку «Добавить» и добавьте файл mgrqispixxx.dll (где xxx — номер версии продукта).

Когда вы закончите, вы увидите список запрашивающих Magic в разделе Расширения веб-службы со статусом «Разрешено».

Теперь, когда установлен uniPaaS, убедитесь, что установлены соответствующие Internet Requesters. Установите флажок ISAPI для Microsoft IIS. CGI предназначен для Apache.

Если вы уже установили uniPaaS, вы можете добавить запрашивающих:

• Перейдите в Панель управления -> Установка и удаление программ-> Разработчик-> Изменить / удалить.

• Выберите вариант установки Изменить .

• Добавьте проверку перед запрашивающей стороной ISAPI, как показано выше.

• НЕ снимайте отметку ни с одной опции: это приведет к удалению этой опции.

Когда инициатор запроса будет правильно установлен, вы увидите, что DLL mgrqispi установлена ​​в каталоге IIS.

Это библиотека DLL, которая вызывается в Интернет-запросе в IIS.

В зависимости от того, как вы установили uniPaaS, брокер будет работать либо как служба, либо как исполняемый файл. Если он работает как служба Windows, он может запускаться автоматически. Если он установлен как исполняемый файл, вам нужно будет запустить его вручную. В меню Start-> uniPaaS 1.0-> Broker есть опция для запуска и остановки брокера.

Вы можете убедиться, что брокер работает, и посмотреть, как он работает, запустив Broker Monitor.Вы можете узнать больше о мониторе в разделе «Как отслеживать активность брокера?».

Вы можете проверить, работает ли сервер, просмотрев запись веб-сайта в службах IIS. Если он говорит (остановлен) , значит, его нужно запустить. Вы можете запустить сервер из этой строки, используя контекстное меню.

Веб-сервер может или не может запускаться автоматически при запуске компьютера, в зависимости от того, как у вас настроена Служба.Для IIS это настраивается в Windows Пуск-> Панель управления-> Инструменты администрирования-> Службы .

Разблокировать проверку подлинности Windows в IIS для веб-сайта по умолчанию в Windows Server 2008 R2, 2012, 2012 R2, 2016)

Портал приложений / брокер приложений 2021 R1

В Windows Server необходимо разблокировать раздел windowsAuthentication для веб-сайта по умолчанию в IIS, чтобы разрешить веб-приложениям использовать проверку подлинности Windows, которая является требованием для портала приложений / брокера приложений.

Чтобы разблокировать параметр «Веб-сайт по умолчанию», выполните следующие действия.

Чтобы разблокировать вариант веб-сайта по умолчанию:

Рекомендации по предотвращению серьезных сбоев в работе веб-интерфейса

Предпосылки

Сборник проблемных областей

• Использование брокера XML и STA.

• Отсутствие очистки журнала IIS на диске журнала, что вызывает проблемы с местом на диске.

• Незаконные нестандартные приложения XenApp опубликованы только для избранной группы пользователей, которые время от времени используют это приложение.

• Точки аутентификации, разрешенные веб-интерфейсом, которые иногда не работают по разным причинам.

Предотвращение серьезных сбоев

1. Используйте проверенный в отрасли балансировщик нагрузки, такой как NetScaler, который настоятельно рекомендуется из-за его встроенных XML-мониторов и механизма устойчивости для поддержания пользовательских сеансов для обеспечения максимальной производительности и удобства работы пользователей.VIP-адрес балансировки нагрузки, созданный в NetScaler, может затем использоваться для обеспечения уверенности Web Interface в том, что брокер XML, получающий от него запрос, функционирует должным образом, поскольку NetScaler удаляет все неотвечающие службы брокера XML из списка.

2. Если балансировщик нагрузки не используется для серверов-посредников XML, то каждый веб-интерфейс должен указывать на один или два уникальных и различных посредника XML в одной ферме для агрегирования приложений XenApp. Этот метод гарантирует, что отказ одного брокера XML затронет только один сервер Web Interface.Это работает только в том случае, если это не сбой в масштабах всей фермы, когда все брокеры XML выходят из строя, независимо от того, где он находится. Ниже приводится более наглядное представление этой идеи:

   Web Interface 1 -> XML-брокер 1 и 2
   Web Interface 2 -> XML-брокер 3 и 4
   Web Interface 3 -> XML-брокер 5 и 6
   Web Interface 4 -> XML брокер 7 и 8

   Этот метод дает больше шансов повлиять только на один сервер Web Interface, чем на все четыре, если они будут использовать одни и те же брокеры XML.
   Если продукты Citrix Access Gateway используются вместе с этим типом настройки, Access Gateway должен содержать все восемь брокеров XML и STA, чтобы он мог использовать соответствующий билет STA.
   В качестве дополнительной меры предосторожности каждый веб-интерфейс можно усовершенствовать, чтобы он лучше реагировал на проблему брокера XML, настроив следующие параметры в разделе «Расширенные настройки фермы» на сайте.

   • Включить объединение сокетов : этот параметр доступен только в том случае, если точки аутентификации сайта находятся в веб-интерфейсе или шлюзе доступа.
     Снимите этот флажок, чтобы разрешить подключение сокетов к брокеру XML по желанию, а не использовать уже созданный сокет из пула.Любое снижение производительности, вызванное этим изменением, минимально, особенно для не SSL-соединений с серверами брокера XML.

   • Тайм-аут сокета : уменьшение этого временного интервала позволяет ускорить упреждающее определение проблемного брокера XML.

   • Попытки связаться со службой XML : Интервал, количество попыток, которое Web Interface предпринимает для связи с брокером XML, у которого соблюден интервал тайм-аута сокета.

Дополнительные ресурсы

Брокер учетных данных системного приложения Экран (ACB)

Оглавление

Введение

Брокер учетных данных приложений системы Экран (ACB) — это автономный компонент системы Экран, который используется для интеграции ИТ-системы клиента с Системой Экран через API Экран системы ACB.

Это приложение предназначено для того, чтобы клиенты могли получать секретные данные Экранной системы через ACB API, чтобы использовать их в своих бизнес-целях.

Предварительные требования

Сначала убедитесь, что соблюдены следующие системные требования, а затем загрузите последнюю версию установочного файла.

• Windows Server 2019 [рекомендуется], Windows Server 2019 Core, Windows Server 2016, Windows Server 2012 или Windows 10.Поддерживаются как платформы x86, так и x64.

• IIS 7.5 или выше.

Примечание: аренда P см. В Руководстве по развертыванию системы Ekran к :

— Включите информационные службы Интернета (IIS).

— Настройка информационных служб Интернета (IIS).

• ASP.NET Core 5.0 Runtime (v5.0.4) — Windows Hosting Bundle или выше.

• Сервер системных приложений Экран 6.41.1 или выше.

Последнюю версию установочного файла можно загрузить с веб-сайта ekransystem.com: https://www.ekransystem.com/sites/default/files/ekransystem/EkranSystem_ACB.zip

Запустить этот файл , чтобы открыть мастер установки, который проведет вас через процесс установки.

Добавление учетной записи приложения с помощью инструмента управления

Перед использованием Ekran System ACB API необходимо создать учетную запись приложения на странице Добавление нового пользователя , нажав кнопку Добавить учетную запись приложения (необходимо иметь административную Инструмент управления Доступ и Управление пользователями разрешений для этого).

На странице Добавление нового пользователя вы получите токен обновления, который необходим для получения токена доступа, который будет использоваться для доступа к секретным данным.

При желании вы также можете указать срок действия токена авторизации (который определяет, как долго токен доступа будет действителен после его получения) и список ограничений IP-адресов, позволяющий использовать учетную запись приложения только с определенных IP-адресов.

ПРИМЕЧАНИЕ. Значение срока действия токена авторизации по умолчанию составляет «600» секунд, и если вы укажете значение «0», срок действия токена доступа никогда не истечет.

Редактирование секретных разрешений для учетной записи приложения

После создания учетной записи приложения ее необходимо добавить к разрешениям секрета, к которому вы хотите получить доступ.

Для существующего секрета вы можете увидеть идентификатор секрета в нижней части вкладки Свойства секрета (этот идентификатор требуется для использования API ACB для получения данных секрета).

ACB API системы Ekran

После установки службы ACB системы Ekran на машине веб-сервера (см. Системные требования) вы можете начать использовать ACB API с любым HTTP-клиентом.

URL-адрес запроса: https: // / EkranACB /

Примеры запросов с использованием утилиты cURL :

• curl -X POST «https: // localhost / EkranACB / get_access_token» -H «accept: * / *» -H «Content-Type : application / json «-d» {\ «refreshToken \»: \ «Vs7yGDEJGU8DLovudELezwMEZqFZ4nOcpjtrvNIlZbETWJCz5xH7FZOImYeFkeaW \»} «

90X417OST»

90X417OST / get_current_current_current_current_current_customized «-H» Content-Type: application / json «-d» {\ «accessToken \»: \ «u) _MM * vCYn8GY; In | [электронная почта защищена]% XvfWSi5- | @pC | PASoOA_b49N {j (V2htXIPlHK8v + YPJ \ «, \» secretId \ «: 1}»

Запросы API ACB возвращают следующие коды состояния:

Интерфейс командной строки ACB системы Ekran

После установки службы ACB системы Ekran вы можете найти инструмент командной строки в папке c: \ Program Files (x86) \ Ekran System \ Ekran System Application Credentials Broker \ Console папка (для запуска требуется .NET 4.8 или выше).

Выполните следующие команды, чтобы определить параметры CLI (интерфейса командной строки) для выполнения запросов к ACB API:

• EkranACBConsole.exe

• EkranACBConsole.exe get_access_token —help

• EkranACBConsole.exe get_secret_details —help

в Windows может привести к эксплойту червя

Сегодня Microsoft выпустила критическую уязвимость (CVE-2021-31166) на своем веб-сервере http.sys. Этот продукт представляет собой HTTP-сервер только для Windows, который может работать автономно или в сочетании с IIS (Internet Information Services) и используется для передачи интернет-трафика через сетевые запросы HTTP.Уязвимость очень похожа на CVE-2015-1635, еще одну уязвимость в стеке сети HTTP, о которой Microsoft сообщила в 2015 году.

С оценкой CVSS 9,8 заявленная уязвимость может иметь как непосредственное воздействие, так и исключительно проста в использовании, что приводит к удаленному отказу в обслуживании без проверки подлинности (синий экран смерти) для уязвимых продуктов.

Проблема связана с тем, что Windows неправильно отслеживает указатели при обработке объектов в сетевых пакетах, содержащих HTTP-запросы.Поскольку HTTP.SYS реализован как драйвер ядра, использование этой ошибки приведет как минимум к синему экрану смерти (BSoD), а в худшем случае — удаленному выполнению кода, которое может быть червячным. Хотя эта уязвимость является исключительной с точки зрения потенциального воздействия и простоты использования, еще неизвестно, будет ли достигнуто эффективное выполнение кода. Кроме того, эта уязвимость затрагивает только последние версии Windows 10 и Windows Server (2004 и 20h3), а это означает, что уязвимость корпоративных серверов, подключенных к Интернету, довольно ограничена, поскольку многие из этих систем используют версии Long Term Servicing Channel (LTSC), такие как Windows Server 2016 и 2019, которые не подвержены этому недостатку.

На момент написания этой статьи нам не было известно о каких-либо «реальных» случаях использования CVE-2021-31166, но мы продолжим отслеживать ландшафт угроз и предоставлять соответствующие обновления. Мы настоятельно призываем пользователей Windows по возможности применять исправление немедленно, уделяя особое внимание внешним устройствам, которые могут быть взломаны из Интернета. Для тех, кто не может установить обновление Microsoft, мы предоставляем «виртуальный патч» в виде сигнатуры сетевой IPS, которую можно использовать для обнаружения и предотвращения попыток эксплуатации этой уязвимости.

Защита платформы McAfee Network Security Platform (NSP)
Версия набора сигнатур: 10.8.21.2
Идентификатор атаки: 0x4528f000
Имя атаки: HTTP: Уязвимость удаленного выполнения кода в стеке протоколов Microsoft HTTP (CVE-2021-31166)

Статья базы знаний McAfee KB94510:
https://kc.mcafee.com/corporate/index?page=content&id=KB94510