加強IIS7.0的安全架構體系
Xiaotang公司的WEB服務器經常受到來自于Internet外部和企業內部的一些非法用戶破壞和攻擊公司的網站,前幾天,因為管理員的工作疏忽、失誤,沒能及時把委派用戶所賦予的權限收回,造成公司的幾個普通員工的用戶名和密碼及相應的訪問權限被篡改,給公司帶來了一些不必要的管理損失、維護難度,公司要求管理員設法阻止這些惡意的行為等。
1.在IIS7.0中配置身份驗證
(1)打開“Internet信息服務(IIS)管理器,展開“網站”,單擊相應的網站,如benet.com,在“視圖功能”中雙擊“身份驗證”。
(2)在“功能視圖”當中顯示了IIS7.0所支持的身份驗證方式。
1)匿名身份驗證:匿名身份驗證允許任何用戶訪問任何的公共內容,而不要求向客戶端瀏覽器提供用戶名和密碼。默認情況下,匿名身份驗證在IIS7.0H中處于啟用狀態。
2)基本身份驗證:基本身份驗證要求用戶提供有效的用戶名和密碼才能訪問內容。幾乎所有的主流瀏覽器都支持這種身份驗證。基本身份驗證可以跨越防火墻和代理服務器,如果僅僅允許訪問服務器上的部分內容而非全部內容時,這種身份驗證方法是一個不錯的選擇。但是,由于這種驗證方式對密碼不加密,所以安全性較低。
3)摘要式身份驗證:摘要式身份驗證使用Windows域控制器對請求訪問WEB服務器內容的用戶進行身份驗證。
4)Windows身份驗證:如果希望客戶端使用NTLM和kerbers協議進行驗證,則選擇該驗證方法。
5)Forms身份驗證:Forms身份驗證使用客戶端重定向將未經身份驗證的用戶重定向至一個HTML表單,用戶可以在該表單中輸入憑據,通常是用戶名和密碼,確認憑據有效后,系統會將用戶重定向至他們最初請求的頁面。
6)ASP.NET模擬:如果要在ASP.NET應用程序的非默認安全上下文中運行ASP.NET應用程序,則使用ASP.NET模擬。
如果某些內容只應由選定用戶查看,則必須配置相應的NTFS的權限以防止匿名用戶訪問這些內容,如果希望只允許注冊用戶查看選定的內容,應該為這些內容配置一種要求提供用戶名和密碼的身份驗證方法,如基本身份驗證或摘要式身份驗證。
(3)要應用某種身份驗證方法,可以單擊該驗證方法,單擊“應用”,在單擊“編輯”按鈕,配置該身份驗證方法。 #p#
2.配置IPV4地址和域名規則
(1)打開“Internet信息訪問(IIS)管理器,展開“網站”,單擊相應的網站,如benet.com在“功能視圖”中雙擊“IPV4地址和域限制”。
(2)如果只允許指定地址訪問網站,單擊“添加允許條目”。如果想拒絕某些地址訪問網站,單擊“添加拒絕條目”。要拒絕192.168.1.100訪問該網站,可以單擊“添加拒絕條目”,輸出要拒絕的地址,單擊“確定”按鈕。
(3)如果不再想應用已建立的條目,可以單擊“刪除”按鈕,刪除該條目。#p#
3.IIS7.0中配置ISAPI和CGI限制
(1)打開“I nternet信息服務(IIS)管理器”,單擊計算機名,在“功能視圖”中雙擊“ISAPII和CGI和限制”。
(2)單擊“添加”按鈕,指定ISAPI指定或CGI路徑和描述信息,單擊“確定”按鈕,如果要修改該規則,可以單擊“編輯”按鈕。
4.在IIS7.0中配置安全套接字層
(1)打開“Internet信息服務(IIS)管理器,展開“網站”,單擊相應的網站,如benet.com,單擊操作窗口的“綁定”。
(2)在彈出的對話框當中單擊“添加”按鈕,選擇協議類型為“HTTPS”,選擇服務器中已有的證書,單擊“確定”按鈕,(注:如如果服務器中沒有可用的證書,可以單擊服務器名稱,雙擊“服務器證書”進行導入或申請新的證書)。
(3)綁定證書后單擊“關閉”按鈕。
(4)在“功能試圖”中雙擊“SSL設置”。
(5)選中“要求SSL”,根據需要選擇“需要128位SSL”和“忽略”、“接受”、“必需”客戶端證書。
5.配置預先共享
(1)打開“Internet信息服務(IIS)管理器,在“連接”窗口中單擊計算機名,在“功能視圖”當中雙擊“管理服務”。
(2)單擊“停止”。
(3)再次單擊計算機名稱,在“功能視圖”中雙擊“共享的配置”。
(4)選擇“啟用共享的配置”,設置物理路徑和密碼。
(5)再右擊“操作”下的“應用”,完成以上的所有操作之后應重啟一下服務。
【編輯推薦】
