• Anonieme toegang: Dit authenticatie methode is standaard ingeschakeld voor zowel de Standaardwebsite en Standaard FTP-site. Anonieme toegang kunnen alle anonieme gebruikers om toegang te krijgen tot de inhoud van de website. Anonieme toegang wordt doorgaans gebruikt voor websites die zijn aangesloten op het internet.
• Basic Authentication: Dit is de zwakste authenticatie methode beschikbaar voor IIS, en moet worden gebruikt wanneer u geen gebruik maken van andere authenticatie methode. Basic authenticatie gebruikt een duidelijke tekst gebruikersnaam en wachtwoord. Basic Authentication functies over proxy servers, en werkt met alle browservensters klanten. Basisverificatie is ingeschakeld voor FTP-sites, standaard.
• Geïntegreerde Windows-verificatie: Dit is de meest veilige optie die kan worden gebruikt voor verificatie in IIS. Kerberos versie 5 wordt gebruikt als de client-browser biedt ondersteuning voor het protocol. NTLM-verificatie wordt gebruikt wanneer de client-browser biedt geen ondersteuning voor Kerberos.
• Verificatiesamenvatting kan alleen worden ingeschakeld als Active Directory wordt gebruikt. Verificatiesamenvatting stuurt de gebruiker gegevens via het netwerk door gebruik te maken van een versleutelde MD5 hash.
• . NET Passport-verificatie: In deze authenticatie methode. NET paspoorten zijn gebruikt voor authenticatie, en authenticatie gebeurt via een bord op de methode. De geloofsbrieven van de gebruikers hebben unieke Passport-accounts die zijn opgeslagen op de Passport-servers verbonden met het internet. De Passport-servers worden beheerd door Microsoft. IIS stuurt het paspoort informatie van de gebruiker naar het Passport-servers voor authenticatie wanneer een gebruiker probeert om toegang te krijgen tot een IIS-website.

Voor het configureren van een authenticatie methode voor een website,

1. Open de IIS Manager.
2. Klik met de rechtermuisknop op een website in de consolestructuur en selecteer Eigenschappen in het snelmenu.
3. Als het dialoogvenster Eigenschappen van de website wordt geopend, klikt u op het tabblad Mapbeveiliging.
4. In de Authenticatie en Access Control gedeelte van het repertorium tabblad Beveiliging, klik op de knop Bewerken.
5. De Autorisatie Methoden dialoogvenster geopend. U kunt de verificatiemethoden zojuist besproken op dit dialoogvenster.

NTFS-machtigingen

Bij het beveiligen van IIS via machtigingen, de twee soorten machtigingen die belangrijk zijn NTFS en Web machtigingen. NTFS-machtigingen vormen de basis van zowel Windows Server 2003 en IIS-beveiliging, en de controle of de gebruikers zijn toegestaan om toegang tot bestanden en mappen, en het niveau van de gebruikers toegang hebben. Er zijn verschillende niveaus van NTFS-machtigingen in Windows Server 2003. Er zijn ook verschillen als NTFS-machtigingen worden toegepast op de bestanden, en wanneer ze worden toegepast op mappen.
NTFS-machtigingen controleren wat entiteit kan toegang tot bepaalde delen van de schijf systeem. U kunt de toegang tot de middelen die door een van beide of ontkennen machtigingen tot het gebruik en de groepen. Resource toegangsmachtigingen zijn gevestigd, zoals controle op de toegang tot entries (ACE), over een access control list (ACL). Dit vormt een onderdeel van de security descriptor van elke bron. Een gebruiker kan dan alleen toegang tot een bron bij de beveiliging toegang teken van de gebruiker is afgestemd op de veiligheid identificatoren (SID's) in de controle op de toegang tot entries (ACE) van de access control list (ACL). De zekerheid toegang token van de gebruiker het bezit is van de SID's van de account van de gebruiker en groep rekeningen.
De twee versies van zijn NTFS NTFS 4.0 en NTFS 5.0. NTFS 4.0 is gebruikt met Windows NT 4.0. Hoewel NTFS 4.0 ondersteunt lokale en externe controle op de toegang tot de bestanden en mappen, maar biedt geen ondersteuning voor de meerderheid van de Windows 2000 en Windows Server 2003-bestandssysteem functies. NTFS 5.0 op de andere kant ondersteunt Active Directory-service, encryptie, compressie, en disk quota, onder andere functies.

De standaard-NTFS-machtigingen die u kunt configureren zijn hieronder vermeld:

• Full Control: Hiermee kunnen gebruikers alle functies op de bestanden en mappen, waaronder het creëren van nieuwe mappen, wijzigen en verwijderen van bestanden, die verbonden zijn aan de gegevens-bestanden, die eigenaar van het bestand, het veranderen van de attributen van de bestanden en mappen, en het veranderen van permissies op het bestand .
• Wijzigen: hiermee kunnen gebruikers de inhoud van een map en lees de gegevens in de map waarin de bestanden, toevoegen en verwijderen van bestanden, wijzigen van bestanden en de eigenschappen van bestanden, en verander de eigenschappen van bestanden en mappen.
• Lezen en uitvoeren: Hiermee kunnen de gebruikers om de attributen van een bestand of map en het uitvoeren van bestanden (programma's) zich bevinden in mappen. Gebruikers kunnen ook een lijst van de inhoud van een map, en leest de gegevens in de map.
• Mapinhoud Inhoud: Stelt gebruikers naar de lijst van de inhoud van een map, en bekijk de eigenschappen van bestanden en mappen.
• Schrijven: hiermee kunnen gebruikers voor het maken van nieuwe bestanden en mappen, veranderen de eigenschappen van een bestand of map, overschrijven van een bestand, en bekijken bestand eigendom en toestemming.
• Lees: Het lezen toestemming stelt gebruikers in staat om een bestand en elke submap namen, kenmerken, eigenschappen, de eigendom en de inhoud van een map.

De standaard-NTFS-machtigingen toegewezen op de \ wwwroot directory (Default Web Site) staan hieronder vermeld. Als u deze machtigingen,

1. Open IIS Manager
2. In de console boom, rechts-klik op de Standaardwebsite en klik op Machtigingen in het snelmenu.
• Beheerders: Gebruikers die behoren tot de groep Administrators zekerheid hebben volledige controle over de \ wwwroot directory. Beheerders hebben de volgende standaard machtigingen:
• Volledig beheer, Wijzigen, Lezen en uitvoeren, Mapinhoud weergeven, schrijven en lezen
• Gebruikers: Deze groep heeft standaard web-gebruikers, zoals leden van de groep, en leden van de groep heeft de volgende machtigingen:
• Lezen en uitvoeren, Mapinhoud weergeven en Lezen
• SYSTEEM: Dit is een ingebouwd in groep (bijzondere identiteit) gecreëerd door Windows Server 2003. STELSEL heeft standaard de volgende machtigingen:
• Volledig beheer, Wijzigen, Lezen en uitvoeren, Mapinhoud weergeven, schrijven en lezen
• IIS_WPG: IIS_WPG is een nieuwe groep in IIS 6. Gebruikersaccounts in deze groep worden gebruikt als proces-identiteiten voor de werknemer processen in verband met de toepassing zwembaden. IIS_WPG heeft standaard de volgende machtigingen:
• Lezen en uitvoeren, Mapinhoud weergeven en Lezen
• Internet Score Account: Deze groep kan worden gebruikt om anonieme gebruikers om toegang te krijgen tot de content op websites.
• Lees de toestemming is ingesteld op Weigeren

Als er een nieuwe website wordt gemaakt, wordt het standaard machtigingen aan veiligheid opdrachtgevers zijn:

• Administrators: Volledig beheer
• Gebruikers: Lezen en uitvoeren
• Systeem: Volledig beheer
• Maker Eigenaar: Speciale machtigingen
• Internet Gast-account: geen machtigingen zijn toegewezen

Web Machtigingen

Web permissies of IIS toegangsmachtigingen controle toegang tot de webinhoud op IIS sites. Het Web machtigingen die u kunt configureren zijn hieronder opgesomd.

Om toegang te krijgen tot IIS Web machtigingen,

1. Open de IIS Manager.
2. Klik met de rechtermuisknop op de desbetreffende website en kies Eigenschappen uit het snelmenu.
3. Als het dialoogvenster Eigenschappen van de site wordt geopend, klikt u op het tabblad.
• Script Source Access: Wanneer geselecteerd, kunnen gebruikers toegang krijgen tot de broncode van ASP-pagina's, en ze wijzigen wanneer de Schrijf toestemming is ook ingeschakeld. Het is aanbevolen om alleen in staat stellen deze toestemming op servers die worden gebruikt voor ontwikkelingsdoeleinden.
• Lees: Wanneer geselecteerd, kunnen gebruikers lezen of downloaden van bestanden die zich bevinden in de directory.
• Schrijf: Wanneer geselecteerd, kunnen gebruikers toevoegen en wijzigen van webinhoud.
• Directory surfen: Als dit ingeschakeld is, de gebruikers zijn toegestaan om door de directory-structuur.
• Aanmelden Bezoeken: U kunt bij het aanmelden voor de website door te klikken op de Aanmelden Bezoeken optie. U moet ook de optie Enable Logging selectievakje op het tabblad Web Site wanneer u de Aanmelden Bezoeken optie.
• Index Deze Resource: Wanneer geselecteerd, wordt de Microsoft Windows Content Indexing-service maakt een index van de thuismap.

U kunt configureren Web permissies op het volgende niveau in IIS:

• Voor alle websites: U kunt configureren Web machtigingen voor alle websites via het tabblad van de Web Sites vertakking in het dialoogvenster Eigenschappen. Alle websites van de IIS-server zou erven deze machtigingen.
• Voor een specifieke website (s): U kunt configureren Web-machtigingen voor een bepaalde website door middel van het tabblad van die bepaalde website in het dialoogvenster Eigenschappen.
• Voor een bepaalde map of virtuele directory: Wanneer u configureren Web machtigingen op de directory niveau of virtuele directory niveau, de machtigingen worden overgenomen door alle bestanden in de specifieke directory. U kunt configureren Web machtigingen voor een bepaalde map via het tabblad van die bepaalde map in het dialoogvenster Eigenschappen. Web machtigingen kunnen worden geconfigureerd voor een specifieke virtuele map via het tabblad Virtual Directory van dat virtuele map in het dialoogvenster Eigenschappen.
• Voor een specifiek bestand bevindt zich in een virtuele map: U kunt configureren Web machtigingen voor een bestand in een virtuele directory via het tabblad Bestand van het bestand in het dialoogvenster Eigenschappen.

Wanneer een gebruiker geen toegang krijgt tot een website,

• Controleer welke machtigingen zijn geconfigureerd voor de home-directory.
• Als Anonieme toegang is ingeschakeld, controleert dat er geen wachtwoord is opgegeven.
• Controleer of alle IP-adressen en domeinnamen beperkingen is geconfigureerd, kan de toegang tot de gebruiker.

IP-adressen en domeinnamen Beperkingen

U kunt beperken Webtoegang op het IP-adres niveau door alleen die gebruikers toegang tot een site die via een IP-adres van een vooraf gedefinieerde lijst van goedgekeurde IP-adressen. Op deze manier kunt u de toegang tot websites, mappen en bestanden op basis van IP-adressen of domeinnamen.

Dit doen,

1. Open de IIS Manager.
2. Klik met de rechtermuisknop op de website in de consolestructuur en selecteer Eigenschappen in het snelmenu.
3. Als het dialoogvenster Eigenschappen van de website wordt geopend, klikt u op het tabblad Mapbeveiliging.
4. In de IP-adressen en domeinnamen Beperkingen gedeelte van het repertorium tabblad Beveiliging, klik op de knop Bewerken.
5. Als de adressen en domeinnamen Beperkingen dialoogvenster opent, kunt u aangeven dat alle computers toegang krijgen, of u kunt deze computers die niet mag worden toegekend door het aanbieden van hun IP-adres of domeinnaam.
6. Klik op de knop Toevoegen om bepaalde gebruikers' IP-adressen in een lijst.
7. Klik op OK.

Application Security in IIS

Application Security in IIS betreft de volgende processen:

• Inschakelen of uitschakelen van Web Service Extensions (WSE): Als u dynamische web applicaties op IIS, moet u eerst gebruik te maken van het knooppunt Webservice-extensies in IIS Manager toe te staan of te verbieden, het web-extensies hieronder vermeld:
• ASP
• ASP.NET
• ISAPI Extensions
• CGI Extensions
• Front Page Server Extensions 2000 en 2002
• Internet Data Connector
• WebDAV-ondersteuning

Om toegang te krijgen tot de Web Service Extensions (WSE),

1. Open de IIS Manager
2. Selecteer de Web Server Extensions knoop
• Specificeren uitvoeren permissies voor toepassingen. Deze machtigingen zodat toepassingen op websites en virtuele mappen uitvoeren / run.
• Het opzetten van toepassing zwembad identiteiten: Toepassing zwembad identiteiten zijn geconfigureerd om de wijze waarop de werknemer processen dienen aanvraag zwembaden. Een werknemer is een proces waarbij de gebruiker ontwikkelde webapplicatie-code wordt uitgevoerd. Een werknemer is in feite een host-proces, de zogenaamde w3wp.exe. Werknemer processen proces de gebruiker verzoeken ontvangen van de Http.sys wachtrijen. De werknemer processen ook de terugkeer van een statische pagina of dynamische pagina's aan de verzoekende cliënt via Http.sys. Een werknemer kan host de volgende:
• ASP-toepassingen
• ISAPI-applicaties en filters
• CGI-toepassingen
• Statische inhoud

Een aanvraag pool bestaat uit de volgende componenten:

• Een kernel mode Http.sys verzoek wachtrij
• Een enkel exemplaar van of meerdere exemplaren van w3wp.exe - werknemer processen.

De beste praktijken voor het schrijven van veilige code voor ASP of ASP.NET applicaties zijn:

• ASP-pagina's mogen geen hard-gecodeerd beheerder rekening namen en wachtwoorden beheerdersaccount.
• Secure Sockets Layer (SSL) is een encryptie-technologie die kan worden gebruikt voor het coderen van session cookies.
• Gevoelige of vertrouwelijke informatie en gegevens mogen niet worden opgeslagen in verborgen velden op webpagina's en cookies.
• U dient te allen tijde verifiëren en valideren van vormen input voor het wordt verwerkt.
• U mag geen gebruik maken van informatie van HTTP request headers op code besluit filialen voor toepassingen.
• Wees voorzichtig met buffer overflows gegenereerd door ongezond coderingsnormen.

Hoe te in-of uitschakelen webservice-extensies met behulp van het knooppunt Webservice-extensies in IIS Manager

1. Open IIS Manager
2. Selecteer de Web Server Extensions knoop
3. Om een webservice-extensie, rechts-klik op de uitbreiding en selecteer Toestaan.
4. Het uitschakelen van een webservice-extensie, rechts-klik op de uitbreiding en selecteer verbieden.

Hoe te in-of uitschakelen ISAPI en CGI Extensions

1. Open IIS Manager
2. Selecteer de Web Server Extensions node.
3. Als u wilt inschakelen alle ISAPI en CGI extensies te lopen, laat zowel de Laat Onbekend ISAPI Extensions en de Laat Onbekend CGI Extensions opties op het tabblad Standaard.
4. U kunt ook switchen naar de uitgebreide weergave. U doet dit door te klikken op de uitbreiding tabblad gelegen aan de onderkant van het detailvenster.
5. Specificeren welke toepassingen zijn toegestaan.
6. De zojuist beschreven methode is een betere optie dan die alle ISAPI en CGI extensies te lopen op de IIS-server.

Hoe om alle vereiste Web Service Extensions voor een specifieke toepassing

1. Open IIS Manager
2. Selecteer de Web Server Extensions knoop
3. Schakel over naar het uitgebreid bekijken door te klikken op de uitbreiding tabblad gelegen aan de onderkant van het detailvenster.
4. Klik op de Laat Alle Web Service Extensions voor een specifieke toepassing.
5. Selecteer de toepassing van de beschikbare lijst.
6. Klik op OK.

Hoe voeg ik een nieuwe Web Service Extension

1. Open IIS Manager
2. Selecteer de Web Server Extensions knoop
3. Schakel over naar het uitgebreid bekijken door te klikken op de uitbreiding tabblad gelegen aan de onderkant van het detailvenster.
4. Klik op de toevoegen Een nieuwe webservice-extensie optie.
5. Wanneer de nieuwe webservice-extensie dialoogvenster opent, voer een naam voor de nieuwe web-extensie. Dit is de naam die wordt weergegeven in de IIS Manager.
6. Voor ISAPI, kiest u de DLL's dat de nieuwe uitbreiding vereist.
7. Voor CGI, kies dan de onkosten die de nieuwe uitbreiding vereist.
8. Klik op OK

How to configure uitvoeren machtigingen voor toepassingen te draaien

Execute machtigingen (toepassing machtigingen) zijn geconfigureerd in het tabblad of in de Virtual Directory tabblad met de toepassing root. Toepassing wortels kan bestaan in de home directory van een site, of in een virtuele directory van een site.

Configureren uitvoeren permissies

1. Open de IIS Manager
2. Ga naar het tabblad of het tabblad Virtual Directory.
3. De Execute Permissions keuzelijst doos bevat de volgende opties:
• Geen, laat alleen de toegang tot statische bestanden. Geen selectie van de optie zou verhinderen dynamische applicaties te draaien
• Alleen scripts, verbiedt het uitvoeren van executables terwijl scripts uit te voeren.
• Scripts en uitvoerbare bestanden, scripts en uitvoerbare bestanden worden weergegeven.

Hoe maak toepassing zwembaden

1. Open de IIS Manager.
2. Klik met de rechtermuisknop op de Application Zwembaden node in de consolestructuur en selecteer Nieuw en vervolgens Application Pool uit het snelmenu.
3. Wanneer de Nieuw Application Pool dialoogvenster opent, voer een naam voor de nieuwe toepassing zwembad.
4. U kunt opgeven of de standaardinstellingen worden gebruikt voor het nieuwe zwembad, of je kunt aangeven dat u de instellingen van een bestaande zwembad worden gebruikt voor de nieuwe toepassing zwembad.
5. Klik op OK

Hoe om een aanvraag om een aanvraag in zwembad

1. Open de IIS Manager
2. Klik met de rechtermuisknop op de juiste node in de consolestructuur en klik op Eigenschappen in het snelmenu.
3. Klik op het tabblad.
4. Selecteer de groep van toepassingen van de Application Pool lijst.
5. Klik op OK

Het selecteren van een groep van toepassingen identiteit
U kunt kiezen tussen de volgende built-in service van Windows Server 2003:

• Network Service-account: De Network Service-account is de aanbevolen account te gebruiken. In feite is het de standaardaccount gebruikt door IIS omdat het de minste voorrechten, en is flexibeler dan de Local Service-account en de lokale systeemaccount. De kenmerken van de Network Service-account zijn:
• De Network Service-account geen wachtwoord heeft.
• Het is een lid van de groep Iedereen en de groep Geverifieerde gebruikers.
• De Network Service-account heeft een interne naam van NT AUTHORITY \ NetworkService
• Local Service-account: Het lokale Service-account heeft de identieke rechten en privileges dan die van de Network Service-account. Echter, de Local Service account kan alleen toegang krijgen tot de bestanden op de lokale computer. De eigenschappen van de Local Service-account zijn:
• De Local Service-account geen wachtwoord heeft.
• Het is een lid van de groep Iedereen en de groep Geverifieerde gebruikers.
• De Network Service-account heeft een interne naam van NT AUTHORITY \ LocalService
• Local System-account: Het is aanbevolen om niet selecteren omdat deze rekening van de privileges verbonden. De kenmerken van de lokale systeemaccount zijn:
• Het lokale systeem account geen wachtwoord heeft.
• Het lokale systeem account is een interne naam van \ LocalSystem
• Processen die draaien onder het account hebben dezelfde voorrechten als de Service Control Manager. Dit is entiteit die netwerkdiensten controles uitgevoerd op de betreffende computer.

Het configureren van een aangepaste toepassing zwembad identiteit Om de veiligheid verhogen, is het raadzaam te configureren aangepaste proces identiteiten van de verschillende zwembaden verzoek u hebt. Dit zou voorkomen dat een toepassing die het gedrang van compromitterende alle toepassingen op de IIS-server.

Als u een aangepaste toepassing zwembad identiteit,

1. Maak een domeingebruikersaccount account of een lokale gebruikersaccount
2. Voeg de nieuwe gebruikersaccount aan de IIS_WPG-groep, een nieuwe groep in IIS 6. Gebruikersaccounts in IIS_WPG-groep worden gebruikt als proces-identiteiten voor de werknemer processen in verband met de toepassing zwembaden.
3. Open IIS Manager.
4. Klik met de rechtermuisknop op de juiste toepassing zwembad, en kies Eigenschappen uit het snelmenu.
5. Klik op het tabblad Identiteit.
6. Als u wilt selecteren een van de "built-in service van Windows Server 2003, kiest u de rekening van de Voorgedefinieerde drop-down lijst. De Voorgedefinieerde optie is standaard ingeschakeld.
7. Als u wilt selecteren of een domein user account of een lokale gebruikersaccount die u specifiek gemaakt, selecteert u de Configureerbare optie.
8. Klik op de knop Bladeren te kiezen voor de domeingebruikersaccount of een lokale gebruiker met de toepassing zwembad identiteit.
9. Klik op OK.

Hoe staat te stellen de ouders paden voor een aanvraag
Hoewel het algemeen niet aanbevolen om de ouders paden, kunnen er gelegenheden waarbij je misschien nodig om hen in staat, zodat uw oudere applicaties kunnen werken. De moeder paden functie is een ASP-specifieke functie. Wanneer ingeschakeld, kunt u pad verklaringen ("..") voor opwaartse bestand toegang. Vanwege de beveiligingsproblemen in verband met bovenliggende paden, het is uitgeschakeld in IIS 6.