加强 IIS7.0 的安全架构体系

 Xiaotang 公司的 WEB 服务器经常受到来自于 Internet 外部和企业内部的一些非法用户破坏和***公司的网站,前几天,因为管理员的工作疏忽、失误,没能及时把委派用户所赋予的权限收回,造成公司的几个普通员工的用户名和密码及相应的访问权限被篡改,给公司带来了一些不必要的管理损失、维护难度,公司要求管理员设法阻止这些恶意的行为等。

1. IIS7.0 中配置身份验证

1 )打开“ Internet 信息服务( IIS )管理器,展开“网站”,单击相应的网站,如 benet.com, 在“视图功能 中双击“身份验证”。

2 )在“功能视图”当中显示了 IIS7.0 所支持的身份验证方式。

1 )匿名身份验证:匿名身份验证允许任何用户访问任何的公共内容,而不要求向客户端浏览器提供用户名和密码。默认情况下,匿名身份验证在 IIS7.0H 中处于启用状态。

2 )基本身份验证:基本身份验证要求用户提供有效的用户名和密码才能访问内容。几乎所有的主流浏览器都支持这种身份验证。基本身份验证可以跨越防火墙和代理服务器,如果仅仅允许访问服务器上的部分内容而非全部内容时,这种身份验证方法是一个不错的选择。但是,由于这种验证方式对密码不加密,所以安全性较低。

3 )摘要式身份验证:摘要式身份验证使用 Windows 域控制器对请求访问 WEB 服务器内容的用户进行身份验证。

4 Windows 身份验证:如果希望客户端使用 NTLM kerbers 协议进行验证,则选择该验证方法。

5 Forms 身份验证: Forms 身份验证使用客户端重定向将未经身份验证的用户重定向至一个 HTML 表单,用户可以在该表单中输入凭据,通常是用户名和密码,确认凭据有效后,系统会将用户重定向至他们最初请求的页面。

6 ASP.NET 模拟:如果要在 ASP.NET 应用程序的非默认安全上下文中运行 ASP.NET 应用程序,则使用 ASP.NET 模拟。

如果某些内容只应由选定用户查看,则必须配置相应的 NTFS 的权限以防止匿名用户访问这些内容,如果希望只允许注册用户查看选定的内容,应该为这些内容配置一种要求提供用户名和密码的身份验证方法,如基本身份验证或摘要式身份验证。

3 )要应用某种身份验证方法,可以单击该验证方法,单击“应用”,在单击“编辑”按钮,配置该身份验证方法。

2. 配置 IPV4 地址和域名规则

1 )打开“ Internet 信息访问( IIS )管理器,展开“网站”,单击相应的网站,如 benet.com 在“功能视图”中双击“ IPV4 地址和域限制”。

2 )如果只允许指定地址访问网站,单击“添加允许条目”。如果想拒绝某些地址访问网站,单击“添加拒绝条目”。要拒绝 192.168.1.100 访问该网站,可以单击“添加拒绝条目”,输出要拒绝的地址,单击“确定”按钮。
3 )如果不再想应用已建立的条目,可以单击“删除”按钮,删除该条目。

3.IIS7.0 中配置 ISAPI CGI 限制

1 )打开“ I nternet 信息服务( IIS )管理器”,单击计算机名,在“功能视图”中双击“ ISAPII CGI 和限制”。

2 )单击“添加”按钮,指定 ISAPI 指定或 CGI 路径和描述信息,单击“确定”按钮,如果要修改该规则,可以单击“编辑”按钮。

4. IIS7.0 中配置安全套接字层

     1 )打开“ Internet 信息服务( IIS )管理器,展开“网站”,单击相应的网站,如 benet.com ,单击操作窗口的“绑定”。

     2 )在弹出的对话框当中单击“添加”按钮,选择协议类型为“ HTTPS ”,选择服务器中已有的证书,单击“确定”按钮,(注:如如果服务器中没有可用的证书,可以单击服务器名称,双击“服务器证书”进行导入或申请新的证书)。

     3 )绑定证书后单击“关闭”按钮。

4 )在“功能试图”中双击“ SSL 设置”。

5 )选中“要求 SSL ”,根据需要选择“需要 128 SSL ”和“忽略”、“接受”、“必需”客户端证书。

5. 配置预先共享

1 打开“ Internet 信息服务( IIS )管理器,在“连接”窗口中单击计算机名,在“功能视图”当中双击“管理服务”。

2 )单击“停止”。

3 )再次单击计算机名称,在“功能视图”中双击“共享的配置”。

4 )选择“启用共享的配置”,设置物理路径和密码。

5 )再右击“操作”下的“应用”,完成以上的所有操作之后应重启一下服务。