windows server 2008 IIS 安全向導

 當今，提供WWW服務和FTP服務的IIS已經成為windows 系統中最常用的服務之一。這樣的情景也使網絡管理者對IIS的安全配置要求的更高了。在windows server 2008中，IIS已經更新到7.0的版本。相對于6.0來說安全型已經有了很大的提高。我們可以通過控制台通路權限，站點目錄的通路權限和傳輸過程中所使用的加密手段來實作伺服器的安全。 

      對于IIS的通路總共可以分為兩種安全措施，一種是IIS本身的安全通路政策，另外一種是配合NTFS實作更高的伺服器安全。而IIS通路控制安全可以分為以下幾點： 

      第二點就是我們經常使用的IIS管理器權限。也就是我們通過遠端連接配接伺服器所需要的權限。我們可以通過IIS管理器權限以授權的方式進行通路的過濾行為，提高Web伺服器的安全。 

      第三點，IIS管理器使用者，限制可以連接配接到伺服器的使用者，配合管理器的權限使用。 

      第四點是通路控制，相當于IIS6.0的IP位址和域名限制，通過IP位址和域名來限制通路。 

      第五點，搭建動态網站環境時所應用的ISAPI和CGI限制。ISAP和CGI也就是允許在伺服器上執行動态内容的請求處理程式，通過此功能進行動态網站的安全執行。 

      第六點,也是我們現在經常使用的PKI伺服器證書，通過加密和數字簽名等密碼服務及必須的密鑰和證書管理實作網絡傳輸的安全。 

      第七點，權限分散委派。通過管理人員的分工，對不同賬戶進行不同權限的委派，實作管理賬戶洩露時不會出現太大的損失。 

      第八點，身份驗證。通過7種不同的身份驗證模式實作通路安全，這個在後面我們會詳細說明。 

      第九點，就是我們的授權規則了，使用者通路必須遵循通路規則來實作。 

      通過以上九點，再配合我們的NTFS通路安全就可以大大提升Web伺服器的安全效果。windows上的NTFS權限如果與IIS上的權限出現沖突，同樣的最嚴格的權限生效，也就是兩者的交集，這樣就對權限方面形成了一個完善的體系。

      我們在windows server 2008中安裝IIS7.0的時候可以看到，可以選擇安裝很多身份驗證的模式，通過這幾種驗證模式可以對任何請求通路網站的使用者進行身份的稽核，并驗證其應有的權限，同時也可以防止沒有被授權的使用者通路專用的檔案。 

      Forms身份驗證。是通過在管理用戶端注冊擷取授權通路。 

      基本身份驗證，模拟本地使用者進行通路，但這種驗證方式的密碼在網絡上傳輸的時候不會進行加密，是以不是十分安全。 

      摘要式身份驗證，是在活動目錄中使用的身份驗證模式。 

      匿名身份驗證，預設在IIS7.0中是開啟的，如此設定會使所有通路的使用者可以通路任何公共内容，不需要輸入帳戶和密碼。 

      windows 身份驗證，和基本身份驗證所不同的是，windows 身份驗證在網絡中傳輸的時候會給密碼加密，以實作傳輸時的安全。 

      最後一個就是我們的證書了，通過證書的加密和簽名實作通路安全，避免釣魚網站為企業帶來損失。

      在IIS安裝的時候我們也要注意一些事項，以免對伺服器造成不必要的損失。安裝在非系統目錄下和NTFS檔案系統就不多說了，要說的是不要将IIS安裝在域控制器上，安裝IIS過程中，系統将自動建立一個IUSR_計算機名的匿名使用者，如果是在域控制器上安裝，則該使用者會被添加到USER組中，進而把應用與組的權限分發給每個通路IIS伺服器的匿名使用者上，直接影響了整個内部網絡的安全。還有一點，IIS7.0預設安裝時最安全的，因為他隻安裝了必須安裝的元件。隻安裝必須的元件就減少了網絡攻擊的範圍，實作了Web伺服器的安全。

本文轉自 鄭偉  51CTO部落格，原文連結:http://blog.51cto.com/zhengweiit/311916