11.1.6【知识点】IIS安全

1. Internet 信息服务安全

Windows安全是Internet 信息服务安全的基本保证，但是IIS本身的安全措施可以为Web站点提供前沿保护，这些措施包括验证和Web权限等。

IIS要求每一个站点或目录都使用客户端能够支持的最安全的验证形式。例如，集成的Windows验证和"数字"验证就比"基本"验证安全。当然，证书验证是IIS中最安全的验证形式，它允许用户使用"一对一映射"与"多对一映射"两个方法将客户证书映射到Windows用户账户。

验证可以阻止非法用户对站点的访问，但不能阻止正常用户对站点或目录的破坏，因此，要想有效地维护站点安全，应设置Web权限。设置Web权限首先要对站点的主目录和虚拟目录进行访问许可设置，包括"读"、"脚本"、"执行"和"写"等。例如，如果Web站点仅用于查看信息，则只需指派"读"权限；如果目录或站点包含ASP应用程序，则只需指派"脚本"权限，而不是"脚本"和"执行"权限。另外，还要利用权限向导进行权限设置，利用匿名账户进行匿名访问控制，以及根据网络的攻击来源进行IP地址和域名限制。

2. 设置用户访问权限

在IIS中，权限设置是服务器安全的重要措施，它可以调整Windows安全（Windows 2000目录和文件的权限）与IIS安全之间的关系，同步化它们的权限设置，并可以检查站点和目录已经应用的设置项目，包括验证方法、访问许可、IP地址限制和文件AC将不能被修改等。

进行权限设置的操作步骤如下：

打开"Internet信息服务"控制台窗口，在控制台目录树中展开服务器节点。右击要进行权限设置的站点或目录，例如，"默认Web站点"节点，从弹出的快捷菜单中选择"所有任务"→"权限向导"命令，打开"权限向导"对话框。

单击〖下一步〗按钮，打开"安全设置"对话框，如图11-62所示。如果要从父站点或者虚拟目录继承安全性设置，则应选择"继承所有的安全设置"单选按钮；如果需要选取新的安全性设置，则应选择"请从模板选取新的安全设置"单选按钮。

图11-62   安全设置对话框         图11-63 Windows目录和文件权限对话框

单击〖下一步〗按钮，打开"Windows 目录和文件权限"对话框，如图11-63所示。如果要保持Windows 目录和文件权限，则应选择"保持目录和文件权限"单选按钮；如果要保持原来Windows 目录和文件权限，并加入新设置的权限，则应选择"原封不动地保持当前的目录和文件许可配置，并加入推荐的许可权限"单选按钮。这里选择"推荐：替换全部的目录和文件访问权限"单选按钮，以新设置的权限替换原有的目录和文件权限。

单击"下一步"按钮，打开"安全摘要"对话框，在设置列表框中列出了所有要应用的设置，如验证方法、访问许可和IP地址限制等。单击"完成"按钮，完成设置。

3. 设置匿名访问

匿名访问是最常用的Web站点和FTP站点访问控制方式，允许任何用户访问Web站点上的公共区域，防止未授权用户访问Web服务器关键的管理特性和私人信息。默认情况下，Web服务器允许所有使用匿名账户的用户登录。安装过程中，服务器创建了一个特定的匿名账户，为IUSRcomputername.如果计算机名称是CSAIDept1,匿名账户的名称则为IUSRCSAIDept1.设置匿名访问的操作步骤如下：

打开Internet信息服务管理器窗口，在控制台目录树中展开服务器节点，右击要进行匿名访问控制设置的站点，例如"默认Web站点"节点，从弹出的快捷菜单中选择"属性"命令，打开其属性对话框，并切换到"目录安全性"选项卡，如图11-64所示。

图11-64  "目录安全性"选项卡            图11-65 启用匿名访问

在"匿名访问和验证控制"选项组中，单击"编辑"按钮，打开"验证方法"对话框，如图11-65所示。启用"匿名访问"复选框，表示允许用户建立匿名连接，这时服务器将使用匿名或来宾账户登录。

单击"编辑"按钮，打开"匿名用户账号"对话框，如图11-66所示。在"用户名"文本框中直接输入用户账户名，或单击"浏览"按钮，选择一个特定的用户账户。

图11-66   "匿名用户账号"对话框

在密码文本框中输入匿名连接账户使用的密码。如果选中"允许 IIS控制密码"复选框，密码将不能被更改。连续单击"确定"按钮，完成匿名访问设置。

4. 验证访问

验证访问就是要求用户在访问服务器之前，提供有效的Windows用户账户、用户名和密码。同IIS中的许多功能一样，验证可以在Web站点和FTP站点、目录或文件级别上进行设置。除了匿名验证和证书验证以外，IIS还为控制对服务器内容的访问提供了基本验证、集成Windows身份验证、简要身份验证等控制方式。

选择这3种验证控制方法的操作步骤如下：

打开"Internet信息服务"管理器窗口，在控制台目录树中展开服务器节点，右击要进行验证访问控制设置的站点，例如"默认Web站点"节点，弹出快捷菜单，选择"属性"命令，打开其属性对话框，并切换到"目录安全性"选项卡，参见图11-64所示。

单击"匿名访问和验证控制"选项组中的"编辑"按钮，打开"验证方法"对话框，参见图11-65所示。

启用"集成Windows验证"复选框，可使用Windows验证。

启用"基本验证"复选框，可进行明文密码验证。

启用"Windows域服务器的简要验证"复选框，可使Internet信息服务器与Windows 2000域账户管理器一起工作，进行简要的身份验证。

选择了验证方法之后，单击"确定"按钮，保存设置，并返回到"默认Web站点属性"对话框，然后单击"应用"按钮应用设置。

5. 证书管理

证书是一种数字标识，包含通过网络建立标识（即称为验证的过程）所使用的信息，用于服务器和从服务器请求信息的客户。证书是IIS安全套接字层（SS）功能的一部分，用于建立安全连接，通过该连接可以加密并发送敏感信息，这样就不会被未授权的一方截取和使用。

在SS中使用的证书有两种类型，每一种都有特定的格式和用途。"客户证书"包含关于请求访问站点的客户的个人信息，可在允许其访问站点之前加以识别；"服务器证书"包含关于服务器的信息，服务器允许客户在共享敏感信息之前对其加以识别。

启用和管理服务器证书的操作步骤如下：

打开"Internet信息服务"控制台窗口，在控制台目录树中展开服务器节点，右击要进行证书验证的Web站和目录，从弹出的快捷菜单中选择"属性"命令，打开其属性对话框，选择"目录安全性"选项卡，参见图11-64.

单击的"安全通信"选项组中的"服务器证书"按钮，打开"欢迎使用Web服务器证书向导"对话框。单击"下一步"按钮，打开"IIS证书向导"对话框，如图11-67所示。

图11-67   选择要使用的证书

选择"创建一个新证书"单选按钮，进行新证书的创建；如果要使用一个已存在的证书，则应选择"分配一个已存在的证书"单选按钮；如果要从密钥管理器备份文件中导入一个证书，则应选择"从密钥管理器备份文件导入一个证书"单选按钮。

单击〖下一步〗按钮，打开"稍后或立即请求"对话框，选择"现在准备请求，但稍后发送"单选按钮，先进行证书请求，然后再发送。

单击〖下一步〗按钮，打开"命名和安全设置"对话框，如图11-68所示。在"名称"文本框中输入新证书的名称。从"位长"下拉列表框中选择或者输入要设置的位长；也可直接启用"服务器网关加密（SGC）证书"复选框，而不必设置位长。

图11-68   "命名和安全设置"对话框

单击〖下一步〗按钮，打开"组织信息"对话框，输入组织和部门名称。然后单击〖下一步〗按钮，打开"站点的公用名称"对话框，在"公用名称"文本框中输入站点的公用名称。

单击〖下一步〗按钮，打开"地理信息"对话框，如图11-69所示。在"（地区）"下拉列表框中输入或选择所在的或地区；在"省、市/自治区"下拉列表框中输入所在的省、市或自治区名称；在"市/县"下拉列表框中输入所在的市或县名称。

图11-69 设置地理信息

单击〖下一步〗按钮，打开"证书请求文件名"对话框。在"文件名"文本框中输入一个文件名及路径，系统将以指定的文件名把证书请求保存为一个文本文件。

单击〖下一步〗按钮，打开"请求文件摘要"对话框，显示文件摘要。确认设置之后，单击"下一步"按钮，打开"完成Web服务器证书向导"对话框，单击"完成"按钮，完成证书请求。

以电子邮件方式发送证书请求文件给证书颁发机构，该机构将回复一个包含有新证书的答复文件。然后再启用该向导来附加服务器证书。

服务器证书被启用之后，通过"查看证书"和"编辑"按钮可以对证书进行管理。

6. 限制地址访问

限制地址访问就是通过IP地址及域名限制，来防止具有潜在威胁的用户对Internet信息服务器的访问。这是一种非常有用的方法，可有效地保护站点和目录的安全性。不过，地址访问限制主要应用在公司网络内部，这是因为内部网络的IP地址和域名比较容易确定，而Internet上的地址是很难确定的。设置IP地址及域名限制的操作步骤如下：

打开"Internet信息服务"控制台窗口，在控制台目录树中展开服务器节点。右击要限制地址访问的站点、目录和文件，从弹出的快捷菜单中选择"属性"命令，打开其属性对话框，并选择"目录安全性"选项卡，参见图11-64.

在"IP地址及域名限制"选项组中，单击"编辑"按钮，打开"IP地址及域名限制"对话框，如图11-70所示。

图11-70   "IP地址及域名限制"对话框

如果管理员要限制的计算机比较少，可选择"授权访问"单选按钮，然后在"例外"列表框中添加被拒绝访问的计算机名称。

如果要限制的计算机比较多，而有访问权限的计算机比较少，可选择"拒绝访问"单选按钮，然后在"例外"列表框中添加有访问权限的计算机名称。

要添加例外计算机，如添加授权计算机，则单击"添加"按钮，打开"授权以下访问"对话框，如图11-71所示。

图11-71  "授权以下访问"对话框

如果要选择某一台计算机，则选择"单机"单选按钮，并在"IP地址"文本框中输入计算机的IP地址；或者单击"DNS查找"按钮，打开"DNS查找"对话框，选择某个DNS域中的计算机。

如果要选择一组计算机，则选择"一组计算机"单选按钮，并在"网络标识"文本框中输入要选择的一组计算机中的任何一台计算机的IP地址，并在出现的"子网掩码"文本框中输入子网掩码，如图11-72所示。

图11-72  选择"一组计算机"           图11-73  选择"域名"

如果要对一个域的计算机进行授权，则选择"域名"单选按钮，并在出现的"域名"文本框中输入所授权的域的域名，如图11-73所示。

确定选择对象之后，单击"确定"按钮，返回到"IP地址及域名限制"对话框。如果还要添加新的计算机，可继续单击"添加"按钮进行添加。设置完毕，单击"确定"按钮，应用设置。

返回目录：网络工程师考试教材网工知识点全析第11章

编辑推荐：网络工程师考试教材网工知识点全析第8章

网络工程师考试教材网工知识点全析第9章

网络工程师考试教材网工知识点全析第10章