• Анонимный доступ: Этот метод аутентификации по умолчанию для веб-узла по умолчанию, и по умолчанию FTP сайта. Анонимный доступ позволяет всем анонимным пользователям доступ к содержанию веб-сайта. Анонимный доступ, как правило, используются для открытых веб-сайтов, которые подключены к Интернету.
• Базовая аутентификация: Это является слабым методом аутентификации для IIS, и должны быть использованы, если вы не можете использовать любой другой метод аутентификации. Базовая аутентификация использует четкий текст имя пользователя и пароль. Основные функции аутентификации за прокси-серверами, и работает со всеми клиентами браузера. Базовая аутентификация FTP сайтов, по умолчанию.
• Комплексная проверка подлинности Windows: Это наиболее безопасный вариант, который может быть использован для проверки подлинности в IIS. Kerberos версии 5 используется, если клиент браузер поддерживает протокол. NTLM аутентификации используется, когда клиент браузер не поддерживает Kerberos.
• Дайджест аутентификация может быть только если включен Active Directory используется. Дайджест аутентификация отправляет пользователя в сети, используя зашифрованный MD5 хеш.
• . NET Passport аутентификации: В этот метод аутентификации,. NET паспорта используются для аутентификации и авторизации происходит с помощью единого входа в метод. Полномочия пользователи обладают уникальными паспорта учетные записи, которые хранятся на серверах паспорта, подключенного к Интернету. Паспортно-серверы управляются Microsoft. IIS отправляет паспорт информации пользователю о паспортах серверы для авторизации, когда пользователь пытается получить доступ к IIS Web-сайте.

Чтобы настроить метод проверки подлинности на веб-сайте,

1. Откройте IIS Manager.
2. Щелкните правой кнопкой мыши веб-узел в дереве консоли и выберите Свойства из контекстного меню.
3. Когда в диалоговом окне Свойства на веб-сайт открывается, нажмите на вкладку "Безопасность каталога.
4. В аутентификации и контроля доступа раздела каталога на вкладку Безопасность, нажмите кнопку "Изменить".
5. Методы аутентификации открывается диалоговое окно. Вы можете настроить методы авторизации только обсуждаться на этом диалоговом окне.

Разрешения NTFS

При обеспечении IIS на основе разрешения, эти два вида разрешений, которые имеют важное значение имеют разрешения NTFS и веб-доступа. NTFS разрешения лежат в основе ОС Windows Server 2003 и IIS безопасности и контроля ли пользователям разрешается доступ к файлам и папкам, а также уровни доступа пользователей. Существуют различные уровни разрешений NTFS в Windows Server 2003. Существуют также различия разрешениями NTFS, когда применяются на файлы, и когда они применяются по папкам.
NTFS разрешений контроля того, что лицо может получить доступ к определенной части диска системы. Вы можете настроить доступ к ресурсам, позволяя либо разрешения или отказа в использовании и групп. Ресурсный доступа расположены в качестве элементов системы контроля доступа (ACE) в список контроля доступа (ACL). Это является составной частью дескриптора безопасности каждого ресурса. Тогда пользователь может получить доступ только к ресурсу, если безопасность доступа знак пользователя сопоставляется с идентификаторами безопасности (SID), в записи управления доступом (ACE) в список контроля доступа (ACL). Безопасность доступа знак пользователь проводит МОРАГ из учетной записи пользователя и группы счетов.
Эти две версии являются NTFS NTFS 4.0 и NTFS 5.0. NTFS 4.0 является широко используемым в Windows NT 4.0. Хотя NTFS 4.0 поддерживает локальные и удаленные системы контроля доступа на файлы и папки, он не поддерживает большинство Windows 2000 и Windows Server 2003 файловая система функций. NTFS 5.0, с другой стороны, поддерживает Active Directory службы каталогов, шифрование, сжатие и дисковые квоты, наряду с другими функциями.

В стандарте NTFS разрешения, который можно настроить, перечислены ниже:

• Полный контроль: Позволяет пользователям выполнять все функции по файлам и папкам, в том числе создавать новые папки, изменение и удаление файлов, подключение к файлам данных, принимая ответственность за файл, изменение атрибутов файлов и папок, а также изменение разрешения на файл .
• Изменить: Позволяет пользователю список содержимого папки и прочитать данные в папке файлы, добавлять и удалять файлы, изменять файлы и свойств файлов, а также изменять атрибуты файлов и папок.
• Читайте И Execute: Позволяет пользователям просматривать атрибуты файла или папки и выполнять файлы (программы), расположенные в папках. Пользователи могут также список содержимого папки, а также считывать данные, содержащиеся в папке.
• Список содержимого папки: Позволяет пользователю список папку содержание, а также просматривать атрибуты файлов и папок.
• Напиши: позволяет пользователям создавать новые файлы и папки, изменять атрибуты файла или папки, перезапись файла, а также просматривать файл собственности и разрешения.
• Читать: Чтение разрешений позволяет пользователям просматривать файлы и любую подпапку имена, атрибуты, свойства, формы собственности и список содержимого папки.

По умолчанию NTFS разрешений установленного на \ wwwroot каталог (по умолчанию веб-сайта), перечислены ниже. Для просмотра этих разрешений,

1. Откройте диспетчер IIS
2. В дереве консоли щелкните правой кнопкой мыши по умолчанию веб-сайта и нажмите кнопку "Разрешения из контекстного меню.
• Администраторы: пользователи, которые принадлежат к группе администраторов безопасности, иметь полный контроль над \ wwwroot каталог. Администраторы имеют следующие разрешения по умолчанию:
• Полный контроль, изменение, чтение И выполнение, Список содержимого папки, писать и читать
• Пользователи: Эта группа имеет стандартный веб-пользователям, как члены группы, а члены группы имеют следующие права:
• Читайте И выполнение, Список содержимого папки, а читать
• СИСТЕМА: Это встроенный в группе (специальные личности), созданных Windows Server 2003. Система имеет следующие разрешения по умолчанию:
• Полный доступ, изменение, чтение И выполнение, Список содержимого папки, писать и читать
• IIS_WPG: IIS_WPG является новой группой в IIS 6. Учетные записи пользователей в эту группу, используются как процесс тождества для работника процессов, связанных с применением бассейны. IIS_WPG имеет следующие разрешения по умолчанию:
• Читайте И выполнение, Список содержимого папки, а читать
• Учетная запись Гость Интернета: Эта группа может быть использована, чтобы анонимные пользователи для доступа к содержанию веб-сайтов.
• Чтение разрешения устанавливается отрицать

Когда новый веб-сайт был создан, то по умолчанию разрешения установленного безопасности директоров являются:

• Администраторы: Полный доступ
• Пользователи: Прочтите И Execute
• System: полный контроль
• Создатель-владелец: Специальные разрешения
• Интернет гостевой учетной записи: нет разрешений присваиваются

Веб Разрешения

Веб разрешений или IIS доступа контроля доступа к содержимому веб-сайтов на IIS. Web-доступа, который можно настроить, перечислены ниже.

Для доступа к IIS веб-доступа,

1. Откройте IIS Manager.
2. Щелкните правой кнопкой мыши на соответствующей веб-сайт и выберите Свойства из контекстного меню.
3. Когда диалоговое окно Свойства этого сайта открывается, нажмите на вкладку Домашний каталог.
• Сценарий Источник Доступ: Когда выбран, пользователи смогут получить доступ к исходному коду ASP-страниц, а также изменять их, если запись является также включен. Он рекомендовал только включить эту разрешения на серверах, используемых для целей развития.
• Читайте: Когда выбран, пользователи могут читать или скачать файлы, которые находятся в директории.
• Напиши: Когда выбран, пользователи могут добавлять и изменять веб-содержимого.
• Просмотр каталогов: Когда включено, пользователям разрешено просматривать структуру каталогов.
• Вход Просмотров: Вы можете разрешить протоколирование на сайте, выбрав опцию регистрации посетители. Вы должны также выбрать лог флажок на вкладке веб-сайта, если вы выбираете опцию регистрации посетители.
• Индекс этого ресурса: При выборе этого Microsoft Windows Служба индексирования содержимого создает индекс домашней папке.

Вы можете настроить веб разрешений на следующих уровнях служб IIS:

• Для всех веб-сайтов: Вы можете настроить веб-доступа для всех веб-сайтах посредством Главная Каталог вкладке Веб-узел Сайты в диалоговом окне Свойства. Все сайты на сервере IIS будут наследовать эти разрешения.
• Для определенных веб-сайт (ы): Вы можете настроить веб-доступа для конкретного веб-сайта через вкладку Домашний каталог данного веб-сайта диалоговом окне Свойства.
• За указанный каталог или виртуальный каталог: При настройке веб-доступа на уровне каталога или виртуального каталога уровне, разрешения наследуются все файлы в определенном каталоге. Можно настроить веб-доступа для конкретной директории каталога через вкладку данного каталога в диалоговом окне Свойства. Веб разрешения могут быть настроены для конкретного виртуального каталога через виртуальный каталог на вкладке этого конкретного виртуального каталога в диалоговом окне Свойства.
• Для конкретного файла, расположенных в виртуальном каталоге: Вы можете настроить веб-доступа для файла в виртуальном каталоге файлов через вкладки в свойствах файла в диалоговом окне.

Если пользователь не может получить доступ к веб-сайту,

• Проверка разрешений, которые были настроены на домашней директории.
• Если анонимный доступ включен, убедитесь, что пароль не был указан.
• Убедитесь ли IP-адресов и доменных имен ограничения были настроены, что может отказать в доступе для пользователей.

IP-адрес и имя домена Ограничения

Вы можете ограничить доступ к Интернет на уровне IP-адрес только позволяет пользователям получать доступ к сайтам, которые используют один IP-адрес из заранее утвержденного списка IP-адресов. Таким образом, вы можете контролировать доступ к веб-сайты, каталоги и файлы, основанные на IP-адреса или доменные имена.

Чтобы сделать это,

1. Откройте IIS Manager.
2. Щелкните правой кнопкой мыши на веб-сайте в дереве консоли и выберите Свойства из контекстного меню.
3. Когда в диалоговом окне Свойства на веб-сайт открывается, нажмите на вкладку "Безопасность каталога.
4. В IP-адресов и доменных имен Ограничения разделе Безопасность каталога нажмите кнопку "Изменить".
5. Если адрес и имя домена Ограничения откроется диалоговое окно, вы можете указать, что все компьютеры имеют доступ, или же вы можете указать те компьютеры, которые не должен быть предоставлен доступ на перечисление их IP-адрес или доменное имя.
6. Нажмите кнопку Добавить, чтобы включить частности пользователям IP-адреса в списке.
7. Нажмите кнопку ОК.

Применение Безопасность IIS

Применение безопасности в IIS включает следующие процессы:

• Включение или отключение веб-служб (WSE): Для запуска динамических веб-приложений на IIS, сначала нужно использовать Web-служб узла в IIS Manager разрешить или запретить веб-служб, перечисленных ниже:
• ASP
• ASP.NET
• Расширения ISAPI
• CGI Расширения
• Главная страница Server Расширения 2000 и 2002 годах
• Данные интернет-коннектор
• WebDAV поддержки

Чтобы получить доступ к веб-служб (WSE),

1. Откройте диспетчер IIS
2. Выберите веб-узел для серверных расширений
• Указание выполнить разрешения для приложений. Эти разрешения включить в веб-приложениях и виртуальных каталогов исполнить / перспективе.
• Создание пула приложений тождеств: Применение бассейн тождествам настроены на контроль за тем, как работник процессами служить применение бассейны. Работник процесс представляет собой процесс, в котором пользователь разработала веб-приложение запускается код. Работник процесс фактически целый процесс, называемый w3wp.exe. Работник процессов обработки запросов пользователей, полученных от HTTP.SYS очереди. Работник процессов также возвращает статической или динамической страницы на страницу с просьбой клиента через HTTP.SYS. Работник процесса можно организовать следующим образом:
• ASP приложений
• ISAPI приложений и фильтров
• CGI приложений
• Статическое содержание

Заявка бассейн состоит из следующих компонентов:

• В режиме ядра HTTP.SYS запрос очереди
• Один экземпляр или несколько экземпляров w3wp.exe - работник процессов.

Передовой практики в целях обеспечения ввода кода для ASP и ASP.NET приложений:

• ASP-страницы не должны содержать каких-либо жестких кодированная имени учетной записи администратора и пароля учетной записи администратора.
• Secure Sockets Layer (SSL) для шифрования технологию, которая может быть использована для шифрования сессии печенье.
• Учитывать или конфиденциальную информацию и данные, не следует хранить в скрытых полях ввода на веб-страницах и в печенье.
• Вы должны в любое время проверить и подтвердить форму ввода до его обработки.
• Вы не должны использовать информацию из заголовков HTTP запроса кода для решения филиалов для приложений.
• Будьте осторожны из буфера, порожденных нерациональным стандартов кодирования.

Как включить или отключить Web-служб с помощью веб-служб узла в IIS Manager

1. Откройте диспетчер IIS
2. Выберите веб-узел для серверных расширений
3. Для того чтобы веб-службы, щелкните правой кнопкой мыши по продлению, и выберите Разрешить.
4. Чтобы отключить службу веб-расширение, щелкните правой кнопкой мыши по продлению, и выберите Запретить.

Как включить или отключить ISAPI и CGI Расширения

1. Откройте диспетчер IIS
2. Выберите веб-узел для серверных расширений.
3. Если вы хотите, чтобы все ISAPI и CGI расширений для работы, так Разрешить Разрешить Неизвестно Расширения ISAPI и CGI Разрешить Неизвестно Расширение вариантов стандартной вкладки.
4. Или Вы можете переключиться в расширенный зрения. Вы сделаете это, нажав на вкладке Расширенных расположенный в нижней части панели.
5. Укажите, какие приложения могут.
6. Этот метод просто описал это лучший вариант, чем позволяет всем ISAPI и CGI расширений запустить на сервере IIS.

Как разрешить все необходимые Расширения веб-службы для конкретного приложения

1. Откройте диспетчер IIS
2. Выберите веб-узел для серверных расширений
3. Переключиться на расширенный мнение, нажав на вкладке Расширенных расположенный в нижней части панели.
4. Нажмите кнопку "Разрешить все Расширения веб-службы для конкретного применения.
5. Выберите приложение из списка доступных.
6. Нажмите кнопку ОК.

Как добавить новый Web-службы

1. Откройте диспетчер IIS
2. Выберите веб-узел для серверных расширений
3. Переключиться на расширенный мнение, нажав на вкладке Расширенных расположенный в нижней части панели.
4. Нажмите кнопку "Добавить новый веб-службы вариант.
5. Когда новый веб-службы откроется диалоговое окно, введите имя для нового веб-расширения. Это имя, которое будет отображаться в IIS Manager.
6. Для ISAPI, выбрать библиотеки DLL, что требуется новое расширение.
7. Для CGI, выбирать EXEs, что новое расширение требует.
8. Нажмите кнопку ОК

Как выполнить настройку разрешения для применения в перспективе

Execute разрешения (применение разрешений) настроены на вкладку Домашний каталог и в закладке Virtual Directory, который содержит приложение корня. Применение корни могут существовать в домашний каталог сайта или в виртуальном каталоге на сайте.

Чтобы выполнить настройку разрешения,

1. Откройте диспетчер IIS
2. Перейдите на вкладку Домашний каталог или виртуальный каталог на вкладке.
3. На выполнение выпадающего списка содержит следующие функции:
• Нет, дает доступ только к статическим файлам. Выбор Ни один вариант не позволит динамичный запуск приложений
• Сценарии только запрещает запуск исполняемых файлов при этом возможности для запуска сценариев.
• Сценарии и исполняемые файлы, скрипты и исполняемые разрешено запускать.

Как составить заявку бассейны

1. Откройте IIS Manager.
2. Щелкните правой кнопкой мыши по применению Бассейны узла в дереве консоли и выберите Новый, а затем приложений из меню.
3. Когда Добавить новое заявление бассейн откроется диалоговое окно, введите имя нового пула приложений.
4. Вы можете указать настройки по умолчанию должен быть использован для нового пула, или вы можете указать, что в настройках уже существующего пула будет использоваться для новых приложений.
5. Нажмите кнопку ОК

Как назначить приложения для приложения пул

1. Откройте диспетчер IIS
2. Щелкните правой кнопкой мыши на соответствующей узла в дереве консоли и выберите пункт Свойства в контекстном меню.
3. Щелкните вкладку Домашний каталог.
4. Выберите группы приложений из списка приложений.
5. Нажмите кнопку ОК

Выбор пула приложений личности
Вы можете выбрать между следующими встроенного в службу счетов Windows Server 2003:

• Сеть обслуживания счета: Сеть обслуживания счета на счет, рекомендованные для использования. По сути, она является стандартной учетной записи, используемые IIS, поскольку он имеет наименьшее привилегий, а является более гибким, чем местные службы учета и локальной системной учетной записи. Характеристики сети обслуживания счета являются:
• Сеть обслуживания счета не имеет пароля.
• Он является членом группы "Все" и Authenticated Users Group.
• Сеть обслуживания счета имеет внутренний название NT AUTHORITY \ NetworkService
• Местные службы счету: Локальная служба счета имеет одинаковые права и привилегии, чем в сети обслуживания счета. Однако местные обслуживания счета может получить доступ только к ресурсам на локальном компьютере. Особенности местного обслуживания счета являются:
• Местные службы счету не имеет пароля.
• Он является членом группы "Все" и Authenticated Users Group.
• Сеть обслуживания счета имеет внутренний название NT AUTHORITY \ LocalService
• Локальная система счета: рекомендуется, чтобы не выбрать этот счет в связи с привилегиями, связанными с ней. Особенности местной системе счета являются:
• Локальная система счета не имеет пароля.
• Локальная система счет внутреннего имя \ LocalSystem
• Процессы под управлением счета имеют те же привилегии, как служба диспетчера. Это орган, контролирующий сеть услуг, работающих на конкретном компьютере.

Как настроить клиентский пул приложений личных целях повышения безопасности, рекомендуется настроить пользовательский процесс тождествах для различных приложений у вас есть бассейны. Это позволит предотвратить применение, что является скомпрометировано ущерба от всех приложений на сервере IIS.

Для создания пользовательских приложений личности,

1. Создать либо учетной записи пользователя домена или локальной учетной записи пользователя
2. Добавить вновь созданной учетной записи пользователя в группу IIS_WPG, новая группа в IIS 6. Учетные записи пользователей в группу IIS_WPG используются как процесс тождества для работника процессов, связанных с применением бассейны.
3. Откройте IIS Manager.
4. Щелкните правой кнопкой мыши на соответствующей заявки бассейн и выберите Свойства из контекстного меню.
5. Перейдите на вкладку Удостоверение.
6. Если вы хотите, чтобы выбрать один из встроенных в службу счетов Windows Server 2003, выберите учетную запись из Предопределенные выпадающего списка. В Предопределенные опция включена по умолчанию.
7. Если вы хотите выбрать либо учетную запись пользователя домена или локальной учетной записи пользователя, который Вы создали специально, выбрать Конфигурируемые опции.
8. Нажмите кнопку Обзор, чтобы выбрать учетную запись пользователя домена или локальной учетной записи пользователя в качестве приложения пул личности.
9. Нажмите кнопку ОК.

Как включить родительский путь для приложения
Хотя это не рекомендуется, чтобы родитель путей, могут быть случаи, когда Вам может понадобиться, чтобы их так, что ваши старые приложения могут работать. Родитель путей особенностью является ASP особенность. Когда включен, вы можете использовать заявления ("..") путь для продвижения к файлу. Из-за уязвимости в системе безопасности, связанные с родителем пути, она отключена в IIS 6.