四、安全與權(quán)限設(shè)置
安全與權(quán)限設(shè)置是IIS保證其站點安全的最重要的保護措施�����,它可用來控制怎樣驗證用戶的身份以及他們的訪問權(quán)限��。在權(quán)安全與限設(shè)置過程中����,管理員不但可以設(shè)置權(quán)限和站點安全的繼承關(guān)系��,而且還可以選擇要應(yīng)用的設(shè)置����,包括驗證方法����、訪問許可����、IP地址限制等設(shè)置�����。權(quán)限與安全設(shè)置過程如下:
1. 選擇“所有任務(wù)” “權(quán)限向?qū)А泵?���,打開“權(quán)限向?qū)А睂υ捒?�。單擊“下一步”按鈕��,打開“安全設(shè)置”對話框��,如圖5所示。
圖5 "權(quán)限向?qū)?對話框
2.如果要從父站點或者虛擬目錄繼承安全性設(shè)置����,應(yīng)選擇“繼承所有的安全設(shè)置”單選按鈕��;如果需要選取新的安全性設(shè)置��,應(yīng)選擇“請從模板選取新的安全設(shè)置。
3. 單擊“下一步”按鈕�����,打開“ Windows 目錄和文件權(quán)限”對話框�����,如圖6所示��。
圖6 "Windows 目錄和文件權(quán)限"對話框
4. 如果要保持Windows 目錄和文件權(quán)限�����,應(yīng)選擇“保持目錄和文件權(quán)限”單選按鈕;如果要保持原來Windows 目錄和文件權(quán)限并加入新設(shè)置的權(quán)限�����,應(yīng)選擇“原封不動地保持當(dāng)前的目錄和文件許可配置,并加入推薦的許可權(quán)限”單選按鈕����。這里選擇“推薦:替換全部的目錄和文件訪問權(quán)限”單選按鈕,以新設(shè)置的權(quán)限替換原有的目錄和文件權(quán)限����。
5. 單擊“下一步”按鈕����,打開如圖7所示的“安全摘要”對話框,在設(shè)置列表框中選擇要應(yīng)用的設(shè)置����,包括驗證方法����、訪問許可����、IP地址限制和文件ACL將不能被修改等設(shè)置。
圖7 "安全摘要"對話框
6. 單擊“下一步”按鈕��,打開“您已成功的完成IIS 5.0‘權(quán)限向?qū)А睂υ捒颍賳螕簟巴瓿伞奔纯赏瓿稍O(shè)置��。
五�����、安全認證
在windows 2000中��,對于通過HTTP協(xié)議訪問��,Internet 信息 服務(wù)提供了三種登錄認證方式,它們分別是匿名方式��、明文方式和詢問/應(yīng)答方式。用戶采用那種方式取決于用戶建立Internet信息 服務(wù)器的的目的����。
如果用戶建立站點的目的是為了做廣告,那么可以選擇匿名方式�����。因為訪問者中的大多數(shù)是第一次訪問用戶的站點��,用戶不可能也沒有必要為他們建立帳戶�����。如果希望通過自己的Internet信息 服務(wù)器為訪問者提供電子郵件寄存或信息交付等網(wǎng)絡(luò)服務(wù)��,則需要選用明文方式�����。因為在這種方式下��,訪問者必須使用用戶名和密碼進行訪問����,可有效的保護私人郵件或信息的安全性��。如果用戶的Internet信息服務(wù)器的訪問者主要是企業(yè)內(nèi)部的員工��,并且希望服務(wù)器中的信息受到最安全的保護����,可選擇詢問/應(yīng)答方式。這種方式要求訪問者在訪問之前先進行訪問請求��,在得到許可后才可進行訪問�����;這樣,訪問者對用戶服務(wù)器的訪問在用戶直接控制下進行����。不過這種方式要求訪問者使用的瀏覽器必須是InternetExplorer瀏覽器,因為其他瀏覽器不支持這種認證方式����。
由于在許多Internet信息 服務(wù)器上����,對Web、FTP及SMTP虛擬 服務(wù)器的訪問都是匿名的����,本節(jié)就以匿名訪問為例介紹如何進行安全認證設(shè)置。
1. 在如圖所示的對話框中�����,單擊“目錄安全性”選項卡����,如圖8所示��。
圖8 “目錄安全性”選項卡
2. 在“匿名訪問和驗證控制”選項區(qū)域中�����,單擊“編輯”按鈕��,打開“驗證方法”對話框�����,如圖9所示����。
圖9 設(shè)置匿名訪問和驗證控制
3. 要選擇匿名認證方式�����,啟用“匿名訪問”復(fù)選框����,并單擊“編輯”按鈕,打開如圖10所示的“匿名賬號”對話框進行設(shè)置�����。
圖10 設(shè)置匿名賬號
4. 在安裝Internet信息 服務(wù)時��,系統(tǒng)將自動創(chuàng)建一個匿名賬號: IUSR計算機名�����,如果計算機名為LY����,則匿名賬號為: IUSR_LY�����。使用“IUSR 計算機名”賬號可以將Web客戶登錄到 服務(wù)器上��。允許匿名服務(wù)時��,管理員可更改用戶匿名請求的的用戶賬號,并可更改此賬號的密碼�����。在“用戶名”文本框中直接輸入用戶賬號名��,或者單擊“瀏覽”按鈕����,打開如圖11所示的“選擇Windows用戶賬號”對話框選擇一個要添加的用戶賬號。
圖11 選擇Windows用戶賬號
5. 在“匿名用戶賬號”對話框中�����,啟用“允許IIS控制 密碼”復(fù)選框�����,或者在“ 密碼”文本框中輸入用戶賬號 密碼�����。
6.單擊“確定”按鈕完成匿名訪問設(shè)置����,同時返回到“驗證方法”對話框��,再單擊“確定”按鈕返回到“默認Web站點屬性”對話框�����,然后單擊“確定”按鈕關(guān)閉對話框����。
注釋:如果用戶的Web和FTP服務(wù)禁用匿名訪問或訪問受NTFS訪問控制列表限制時����,系統(tǒng)會自動使用明文方式進行認證,需要訪問者的用戶名和密碼�����。這時�����,就需要選擇登錄驗證訪問方法��,Internet信息服務(wù)可選的驗證方法有基本驗證、Windows域服務(wù)器的簡要驗證和Windows驗證��。一般選擇Windows驗證��,因為基本驗證時是一種明文密碼驗證�����,可能會造成未經(jīng)過加密的密碼在網(wǎng)絡(luò)上傳輸�����,想危害用戶的系統(tǒng)的非法訪問者可用協(xié)議分析器在驗證過程中檢查用戶密碼����;Windows域服務(wù)器的簡要驗證是一種簡要的身份驗證����,使Internet信息 服務(wù)與windows 2000域賬號管理器一起工作進行驗證��,僅要求用戶賬號并將賬號 密碼保存為加密明文文本�����;不利于驗證信息的安全性��。要使用Windows驗證��,在“驗證方法”對話框中的“驗證訪問”選項區(qū)域中��,啟用“繼承Windows驗證”復(fù)選框��。
六�����、IP地址及域名限制
通過IP地址及域名限制�����,用戶可禁止某些特定的計算機或者某些區(qū)域中的主機對自己的Web和FTP站點及SMTP虛擬服務(wù)器的訪問��。當(dāng)有大量的攻擊和破壞來自于某些地址或者某個子網(wǎng)時��,使用這種限制機制是非常有用的����。不過,進行IP地址及域名限制的首要條件是用戶必須知道網(wǎng)絡(luò)黑客的計算機使用哪些IP地址或?qū)儆谀男┚W(wǎng)絡(luò)區(qū)域�����,否則無法進行限制�����。對基于Internet的信息服務(wù)器,站點接受來自于各個方的訪問��,用戶很難進行地址限制��。一般,只有基于企業(yè)內(nèi)部網(wǎng)絡(luò)的信息服務(wù)器才使用IP地址及域名進行安全保護�����。下面就以Web站點為例介紹IP地址及域名限制的設(shè)置過程����。
1. 在如圖8所示的圖中��,在“ IP地址及域名限制”文本框中單擊“編輯”按鈕�����,打開“ IP地址及域名限制”對話框����,如圖12所示。
圖12 設(shè)置IP地址及域名限制
2. 如果選擇“授權(quán)訪問”單選按鈕��,除了“例外”列表框中的計算機外�����,其他所有的計算機都可訪問該Web站點上的內(nèi)容����。如果選擇“拒絕訪問”單選按鈕��,除了“例外”列表框中的計算機外��,其他所有的計算機都不能訪問該Web站點上的內(nèi)容����。這里選擇“授權(quán)訪問”單選按鈕并添加沒有訪問權(quán)限的 計算機�����。
3. 單擊“添加”按鈕����,打開“授權(quán)以下訪問”對話框,如圖13所示��。
圖13 授權(quán)訪問
4. 如果要對單個 計算機進行限制��,選擇“單機”單選按鈕����,并在“ IP地址”文本框中輸入要授權(quán)的 計算機的IP地址�����;或者單擊“ DNS查找”按鈕�����,打開“ DNS查找”對話框����,選擇某個DNS域中要授權(quán)的 計算機����。如果要對一組 計算機進行限制�����,選擇“一組計算機”單選按鈕,在“網(wǎng)絡(luò)標識”文本框中輸入要授權(quán)的一組計算機中的任何一個計算機的IP地址����,并在“子網(wǎng)掩碼”文本框中輸入子網(wǎng)掩碼。如果要對某個域中的計算機進行限制����,選擇“域名”單選按鈕�����,并在“域名”文本框中輸入授權(quán)的域的域名��。
5.單擊“確定”按鈕返回到“IP地址及域名限制”對話框�����。如果還要進行訪問授權(quán)�����,可繼續(xù)單擊“添加”按進行添加��。這樣�����,被添加的單個 計算機��、一組 計算機或者一個域的客戶可訪問 服務(wù)器����,而其他的客戶則沒有訪問權(quán)����。
6. 單擊“確定”按鈕返回到“默認Web站點屬性”對話框�����,再單擊“確定”按鈕保存設(shè)置��。
七�����、停止����、啟動和暫定站點服務(wù)
在站點維護中,停止�����、啟動和暫定站點服務(wù)是經(jīng)常要進行的工作��。例如��,當(dāng)某個站點的內(nèi)容和設(shè)置需要進行比較大的修改時����,用戶可將該站點的服務(wù)停止或者暫停,以便操作�����。當(dāng)已經(jīng)停止或暫停的站點需要啟動自己的服務(wù)時�����,就啟動它�����。
要停止、啟動和暫定某個站點的信息 服務(wù)��,在控制臺目錄樹中����,展開“ Internet信息服務(wù)”節(jié)點和 服務(wù)器節(jié)點����,展開服務(wù)器節(jié)點。如果要暫停某個Web或者FTP站點服務(wù)�����,右擊該站點�����,從彈出的快捷菜單中選擇“暫?����!泵罴纯桑蝗绻V鼓硞€Web或者FTP站點服務(wù)��,右擊該站點����,從彈出的快捷菜單中選擇“停止”命令即可����;如果要啟動某個已經(jīng)暫?�;蛘咄V沟腤eb或者FTP站點 服務(wù)�����,右擊該站點��,從彈出的快捷菜單中選擇“啟動”命令即可��。
