加强
IIS7.0
的安全架构体系
Xiaotang
公司的
WEB
服务器经常受到来自于
Internet
外部和企业内部的一些非法用户破坏和攻击公司的网站,前几天,因为管理员的工作疏忽、失误,没能及时把委派用户所赋予的权限收回,造成公司的几个普通员工的用户名和密码及相应的访问权限被篡改,给公司带来了一些不必要的管理损失、维护难度,公司要求管理员设法阻止这些恶意的行为等。
1.
在
IIS7.0
中配置身份验证
(
1
)打开“
Internet
信息服务(
IIS
)管理器,展开“网站”,单击相应的网站,如
benet.com,
在“视图功能
”
中双击“身份验证”。
(
2
)在“功能视图”当中显示了
IIS7.0
所支持的身份验证方式。
1
)匿名身份验证:匿名身份验证允许任何用户访问任何的公共内容,而不要求向客户端浏览器提供用户名和密码。默认情况下,匿名身份验证在
IIS7.0H
中处于启用状态。
2
)基本身份验证:基本身份验证要求用户提供有效的用户名和密码才能访问内容。几乎所有的主流浏览器都支持这种身份验证。基本身份验证可以跨越防火墙和代理服务器,如果仅仅允许访问服务器上的部分内容而非全部内容时,这种身份验证方法是一个不错的选择。但是,由于这种验证方式对密码不加密,所以安全性较低。
3
)摘要式身份验证:摘要式身份验证使用
Windows
域控制器对请求访问
WEB
服务器内容的用户进行身份验证。
4
)
Windows
身份验证:如果希望客户端使用
NTLM
和
kerbers
协议进行验证,则选择该验证方法。
5
)
Forms
身份验证:
Forms
身份验证使用客户端重定向将未经身份验证的用户重定向至一个
HTML
表单,用户可以在该表单中输入凭据,通常是用户名和密码,确认凭据有效后,系统会将用户重定向至他们最初请求的页面。
6
)
ASP.NET
模拟:如果要在
ASP.NET
应用程序的非默认安全上下文中运行
ASP.NET
应用程序,则使用
ASP.NET
模拟。
如果某些内容只应由选定用户查看,则必须配置相应的
NTFS
的权限以防止匿名用户访问这些内容,如果希望只允许注册用户查看选定的内容,应该为这些内容配置一种要求提供用户名和密码的身份验证方法,如基本身份验证或摘要式身份验证。
(
3
)要应用某种身份验证方法,可以单击该验证方法,单击“应用”,在单击“编辑”按钮,配置该身份验证方法。
2.
配置
IPV4
地址和域名规则
(
1
)打开“
Internet
信息访问(
IIS
)管理器,展开“网站”,单击相应的网站,如
benet.com
在“功能视图”中双击“
IPV4
地址和域限制”。
(
2
)如果只允许指定地址访问网站,单击“添加允许条目”。如果想拒绝某些地址访问网站,单击“添加拒绝条目”。要拒绝
192.168.1.100
访问该网站,可以单击“添加拒绝条目”,输出要拒绝的地址,单击“确定”按钮。
(
3
)如果不再想应用已建立的条目,可以单击“删除”按钮,删除该条目。
3.IIS7.0
中配置
ISAPI
和
CGI
限制
(
1
)打开“
I nternet
信息服务(
IIS
)管理器”,单击计算机名,在“功能视图”中双击“
ISAPII
和
CGI
和限制”。
(
2
)单击“添加”按钮,指定
ISAPI
指定或
CGI
路径和描述信息,单击“确定”按钮,如果要修改该规则,可以单击“编辑”按钮。
4.
在
IIS7.0
中配置安全套接字层
(
1
)打开“
Internet
信息服务(
IIS
)管理器,展开“网站”,单击相应的网站,如
benet.com
,单击操作窗口的“绑定”。
(
2
)在弹出的对话框当中单击“添加”按钮,选择协议类型为“
HTTPS
”,选择服务器中已有的证书,单击“确定”按钮,(注:如如果服务器中没有可用的证书,可以单击服务器名称,双击“服务器证书”进行导入或申请新的证书)。
(
3
)绑定证书后单击“关闭”按钮。
(
4
)在“功能试图”中双击“
SSL
设置”。
(
5
)选中“要求
SSL
”,根据需要选择“需要
128
位
SSL
”和“忽略”、“接受”、“必需”客户端证书。
5.
配置预先共享
(
1
)
打开“
Internet
信息服务(
IIS
)管理器,在“连接”窗口中单击计算机名,在“功能视图”当中双击“管理服务”。
(
2
)单击“停止”。
(
3
)再次单击计算机名称,在“功能视图”中双击“共享的配置”。
(
4
)选择“启用共享的配置”,设置物理路径和密码。
(
5
)再右击“操作”下的“应用”,完成以上的所有操作之后应重启一下服务。