L'autenticazione in IIS verifica se un utente tenta di accedere a un particolare sito web, può accedere. L'autenticazione è il processo che consente di verificare se l'utente può accedere al sito che egli sta tentando di accedere. I metodi di autenticazione che può essere utilizzato per autenticare gli utenti in IIS 6 sono elencati di seguito. Ogni metodo di autenticazione può essere utilizzato per autenticare gli utenti che tentano di accedere ai siti web. Tuttavia, solo l'accesso anonimo e l'autenticazione di base può essere utilizzato come un metodo di autenticazione per i siti FTP.

• Accesso anonimo: Questo metodo di autenticazione è attivata per impostazione predefinita per il Sito Web predefinito e il sito FTP predefinito. Anonimo accesso permette a tutti gli utenti anonimi di accedere al contenuto del sito web. L'accesso anonimo è tipicamente utilizzata per siti Web delle amministrazioni pubbliche, che sono collegati a Internet.
• Autenticazione di base: Questo è il metodo di autenticazione più deboli disponibili per IIS, e dovrebbe essere utilizzato quando non è possibile utilizzare qualsiasi altro metodo di autenticazione. L'autenticazione di base utilizza un testo chiaro, username e password. Funzioni di autenticazione di base su server proxy, e funziona con tutti i browser client. L'autenticazione di base è abilitata per i siti FTP, per impostazione predefinita.
• L'autenticazione integrata di Windows: questo è l'opzione più sicura che può essere utilizzato per l'autenticazione in IIS. Kerberos versione 5 è utilizzato se il browser client include il supporto per il protocollo. L'autenticazione NTLM viene utilizzato quando il client browser non supporta Kerberos.
• Digest di autenticazione può essere attivata solo se Active Directory è utilizzato. Digest di autenticazione l'utente invia le credenziali in rete utilizzando uno codificato hash MD5.
• . NET Passport di autenticazione: In questo metodo di autenticazione,. NET passaporti sono utilizzati per l'autenticazione, e l'autenticazione avviene tramite un unico segno sul metodo. Le credenziali di utenti unici Passaporto conti che vengono memorizzati sul server Passport collegato a Internet. Il Passaporto server sono gestiti da Microsoft. IIS invia le informazioni di Passport l'utente al server per l'autenticazione Passport quando un utente tenta di accedere a un sito Web IIS.

Per configurare un metodo di autenticazione per un sito Web,

1. Aprire la Gestione IIS.
2. Fai clic destro di un sito Web nella struttura della console e selezionare Proprietà dal menu di scelta rapida.
3. Quando la finestra di dialogo Proprietà del sito Web apre, fare clic sulla scheda Protezione directory.
4. In Controllo autenticazione e accesso sezione della scheda Protezione directory, fare clic sul pulsante Modifica.
5. La finestra di dialogo Metodi di autenticazione si apre. È possibile configurare i metodi di autenticazione appena discusso in questa finestra di dialogo.

NTFS

Quando garantire attraverso le autorizzazioni di IIS, i due tipi di permessi che sono importanti sono le autorizzazioni NTFS e le autorizzazioni Web. NTFS costituire la base di Windows Server 2003 e IIS di sicurezza, di controllo e se gli utenti sono autorizzati ad accedere ai file e le cartelle, e il livello di accesso degli utenti. Ci sono diversi livelli di autorizzazioni NTFS in Windows Server 2003. Ci sono anche delle differenze, quando vengono applicate le autorizzazioni NTFS su file, e quando sono applicate in cartelle.
NTFS quale ente di controllo può accedere a determinate parti del disco di sistema. È possibile configurare l'accesso alle risorse da consentire o negare le autorizzazioni per gli usi ed i gruppi. Permessi di accesso a risorse come si trovano le voci di controllo di accesso (ACE) su un elenco di controllo di accesso (ACL). Ciò costituisce una componente del descrittore di protezione di ogni risorsa. Un utente può quindi accedere a una risorsa solo quando la sicurezza del token di accesso utente è trovato per la sicurezza identificatori (SID) in voci di controllo di accesso (ACE), della lista di controllo degli accessi (ACL). La sicurezza del token di accesso utente contiene il SID di account utente e account di gruppo.
Le due versioni sono di NTFS NTFS 4.0 e file system NTFS 5.0. NTFS 4.0 è comunemente utilizzato con Windows NT 4.0. Anche se NTFS 4.0 supporta l'accesso remoto a livello locale e il controllo sui file e le cartelle, non supporta la maggior parte di Windows 2000 e Windows Server 2003 le caratteristiche del file system. NTFS 5,0 dall'altro lato sostiene servizio Active Directory, la crittografia, compressione, e la quota disco, tra le altre caratteristiche.

Lo standard autorizzazioni NTFS che si possono configurare sono elencati di seguito:

• Controllo completo: consente agli utenti di eseguire tutte le funzioni per i file e le cartelle, compresa la creazione di nuove cartelle, modificare e cancellare i file, i dati inerenti ai file, che la proprietà del file, modificare gli attributi dei file e le cartelle, e cambiare i permessi sul file .
• Modifica: Consente agli utenti di elencare il contenuto di una cartella e leggere i dati nella cartella di file, aggiungere ed eliminare file, modificare i file e le proprietà dei file, e modificare gli attributi di file e cartelle.
• Lettura ed esecuzione: Consente agli utenti di visualizzare gli attributi di un file o una cartella e di eseguire i file (programmi) che si trova nelle cartelle. Gli utenti possono inoltre visualizzare il contenuto di una cartella, e leggere i dati contenuti nella cartella.
• Visualizzazione contenuto cartella: Consente agli utenti di elencare il contenuto di una cartella, e visualizzare gli attributi di file e cartelle.
• Scrivi: Consente agli utenti di creare nuovi file e cartelle, modificare gli attributi di un file o una cartella, sovrascrivere un file, e visualizzare file di permessi ed il proprietario.
• Leggi: L'autorizzazione di lettura consente agli utenti di visualizzare un file e di qualsiasi sottocartella nomi, attributi, le proprietà, la proprietà, e l'elenco del contenuto di una cartella.

L'impostazione predefinita le autorizzazioni NTFS assegnate in \ wwwroot directory ( "Sito Web predefinito) sono elencati qui di seguito. Per visualizzare queste autorizzazioni,

1. Aprire Gestione IIS
2. Nella struttura della console, fare clic con il Sito Web predefinito e scegliere Autorizzazioni dal menu di scelta rapida.
• Gli amministratori: gli utenti che appartengono al gruppo Administrators di sicurezza hanno il pieno controllo su \ wwwroot directory. Gli amministratori sono le seguenti autorizzazioni predefinite:
• Controllo completo, Modifica, Lettura / esecuzione, Visualizzazione contenuto cartella, scrivere, e Leggi
• Utenti: Questo gruppo ha standard di utenti del Web come membri del gruppo, i membri del gruppo e hanno i seguenti permessi:
• Lettura / esecuzione, Visualizzazione contenuto cartella e Lettura
• SISTEMA: Questo è un built-in gruppo (identità) creati da Windows Server 2003. Sistema ha le seguenti autorizzazioni predefinite:
• Controllo completo, Modifica, Lettura / esecuzione, Visualizzazione contenuto cartella, scrivere, e Leggi
• IIS_WPG: IIS_WPG è un nuovo gruppo in IIS 6. Gli account utente in questo gruppo sono utilizzati come processo di identità per il lavoratore processi associati con l'applicazione piscine. IIS_WPG ha le seguenti autorizzazioni predefinite:
• Lettura / esecuzione, Visualizzazione contenuto cartella e Lettura
• Internet Guest Account: Questo gruppo può essere utilizzato per consentire agli utenti anonimi di accedere ai contenuti su siti web.
• L'autorizzazione di lettura è impostata su Nega

Quando un nuovo sito Web è stato creato, le autorizzazioni predefinite assegnate a principi di sicurezza sono i seguenti:

• Administrators: Controllo completo
• Users: Lettura / esecuzione
• System: Controllo completo
• Creator Owner: permessi speciali
• Internet Guest Account: n. permessi vengono assegnati

Web Autorizzazioni

Le autorizzazioni Web di IIS o permessi di accesso per controllare l'accesso al contenuto Web in IIS siti. Le autorizzazioni Web che si possono configurare sono elencati di seguito.

Per accedere a Web IIS autorizzazioni,

1. Aprire la Gestione IIS.
2. Fare clic col tasto destro del sito Web appropriato e selezionare Proprietà dal menu di scelta rapida.
3. Quando la finestra di dialogo Proprietà del sito si apre, fare clic sulla scheda Home directory.
• Accesso origine script: Quando viene selezionata, gli utenti saranno in grado di accedere al codice sorgente delle pagine ASP, e cambiare quando il permesso di scrittura è attivata. Si raccomanda di attivare questa autorizzazione soltanto sui server utilizzato a fini di sviluppo.
• Leggi: Quando viene selezionata, gli utenti possono leggere o scaricare i file che si trovano nella directory.
• Scrivi: Se selezionata, gli utenti possono aggiungere e modificare contenuti web.
• Esplorazione directory: Quando abilitato, gli utenti sono autorizzati a sfogliare la struttura delle directory.
• Entra Visite: È possibile attivare la registrazione per il sito web selezionando l'opzione Entra visitatori. È inoltre necessario selezionare la casella di controllo Abilita registrazione sul sito web scheda quando si seleziona l'opzione Entra visitatori.
• Indice Questa risorsa: Quando viene selezionata, di sistema di Microsoft Windows servizio di indicizzazione di contenuti crea un indice della cartella home.

È possibile configurare le autorizzazioni Web ai seguenti livelli in IIS:

• Per tutti i siti web: è possibile configurare le autorizzazioni Web per tutti i siti web attraverso la scheda Home directory dei siti Web nodo della finestra di dialogo Proprietà. Tutti i siti Web sul server IIS che ereditano le autorizzazioni.
• Per un sito Web specifico (s): È possibile configurare le autorizzazioni Web per un sito Web specifico attraverso la scheda Home directory di quel particolare sito Web finestra di dialogo Proprietà.
• Per una determinata directory o directory virtuale: Quando si configura le autorizzazioni Web a livello di directory o la directory virtuale di livello, le autorizzazioni vengono ereditate da tutti i file all'interno della directory particolare. È possibile configurare le autorizzazioni Web per una directory specifica attraverso la scheda Directory di quel particolare directory finestra di dialogo Proprietà. Le autorizzazioni Web può essere configurato per una specifica directory virtuale attraverso la scheda Directory virtuale di quella particolare directory virtuale della finestra di dialogo Proprietà.
• Per un determinato file in una directory virtuale: è possibile configurare le autorizzazioni Web per un file in una directory virtuale tramite la scheda File del file della finestra di dialogo Proprietà.

Quando un utente non può accedere a un sito Web,

• Verificare che le autorizzazioni sono stati configurati per la home directory dell'utente.
• Se l'accesso anonimo è abilitato, verificare che la password non è stata specificata.
• Verificare se un indirizzo IP e nome di dominio restrizioni sono stati configurati, che può negare l'accesso per l'utente.

Indirizzo IP e nome di dominio Restrizioni

È possibile limitare l'accesso Web a livello di indirizzo IP da solo consente agli utenti di accedere a un sito che si sta utilizzando un indirizzo IP da un elenco predefinito di indirizzi IP approvato. In questo modo, è possibile controllare l'accesso a siti web, directory e file basati su indirizzi IP oi nomi a dominio.

Per fare questo,

1. Aprire la Gestione IIS.
2. Fare clic col tasto destro del sito Web nella struttura della console e selezionare Proprietà dal menu di scelta rapida.
3. Quando la finestra di dialogo Proprietà del sito Web apre, fare clic sulla scheda Protezione directory.
4. L'indirizzo IP e nome di dominio Restrizioni sezione della scheda Protezione directory, fare clic sul pulsante Modifica.
5. Quando il nome di dominio Indirizzo e Restrizioni finestra di dialogo si apre, è possibile specificare che tutti i computer sono concesso l'accesso, o si può specificare che tali computer non dovrebbe essere concesso l'accesso da un elenco delle loro indirizzo IP o il nome di dominio.
6. Fare clic sul pulsante Aggiungi per includere particolare gli utenti 'indirizzi IP in un elenco.
7. Fare clic su OK.

Domanda di sicurezza in IIS

Sicurezza delle applicazioni in IIS prevede i seguenti processi:

• Attivazione o disattivazione delle estensioni del servizio Web (WSE): Per eseguire le applicazioni Web dinamiche su IIS, è necessario prima di utilizzare il nodo Estensioni servizio Web in Gestione IIS per consentire o vietare le estensioni del servizio Web elencati di seguito:
• ASP
• ASP.NET
• Estensioni ISAPI
• CGI Estensioni
• Le estensioni del server di Front Page 2000 e il 2002
• Internet Data Connector
• Supporto WebDAV

Per accedere al servizio Web Extensions (WSE),

1. Aprire la Gestione IIS
2. Selezionare il Web Server Extensions nodo
• Specificando i permessi di esecuzione per le applicazioni. Tali autorizzazioni consentono il funzionamento di applicazioni e siti web in directory virtuali per l'esecuzione / run.
• La creazione di pool di applicazioni identità: identità del pool di applicazioni sono configurati per controllare il modo in cui i processi servono lavoratore domanda piscine. Un processo di lavoro è un processo in cui l'utente delle applicazioni Web sviluppate codice viene eseguito. Un processo di lavoro è in realtà un processo di accoglienza, denominato w3wp.exe. Operaio processi processo l'utente ha ricevuto richieste da HTTP.sys code. Il lavoratore processi anche restituisce una pagina statica o dinamica a pagina attraverso il client richiedente HTTP.sys. Un processo di lavoro in grado di accogliere i seguenti:
• Applicazioni ASP
• Applicazioni e filtri ISAPI
• Applicazioni CGI
• Contenuto Statico

Un pool di applicazioni è costituito dai seguenti componenti:

• Una modalità kernel HTTP.sys richiesta coda
• Una singola istanza di o più istanze di w3wp.exe - lavoratore processi.

Le migliori pratiche per la scrittura di codice sicuro per ASP o ASP.NET applicazioni sono:

• Le pagine ASP non deve contenere alcun hard-coded amministratore nomi di account e password account amministratore.
• Secure Sockets Layer (SSL) è una tecnologia di crittografia che può essere utilizzata per cifrare i cookie di sessione.
• Sensibili o di dati e di informazioni riservate, non devono essere conservati in campi di input nascosti nelle pagine Web e in cookie.
• Si dovrebbe in ogni momento verificare e convalidare sotto forma di ingresso prima di esso in fase di elaborazione.
• Si consiglia di non utilizzare le informazioni da intestazioni di richiesta HTTP codice decisione rami per le applicazioni.
• Diffidare di buffer overflow generati da una cattiva norme di codifica.

Come abilitare o disabilitare le estensioni del servizio Web utilizzando il nodo Estensioni servizio Web in Gestione IIS

1. Aprire Gestione IIS
2. Selezionare il Web Server Extensions nodo
3. Per consentire una estensione del servizio Web, cliccate con il tasto destro l'estensione, e selezionare Consenti.
4. Per disabilitare una estensione del servizio Web, cliccate con il tasto destro l'estensione, e selezionare Proibire.

Come abilitare o disabilitare le estensioni ISAPI e CGI

1. Aprire Gestione IIS
2. Selezionare il Web Server Extensions nodo.
3. Se si vuole consentire a tutte le estensioni ISAPI e CGI a funzionare, sia Consenti Consenti Sconosciuto estensioni ISAPI e le estensioni CGI Sconosciuto Consenti opzioni sulla scheda Standard.
4. È possibile in alternativa, passare alla vista estensione. Puoi farlo cliccando sulla scheda estesa situato nella parte inferiore del riquadro dei dettagli.
5. Specifica che le domande sono ammessi.
6. Il metodo appena descritto è una soluzione migliore rispetto, consentendo a tutte le estensioni ISAPI e CGI per eseguire il server IIS.

Come tutti i componenti necessari per consentire le estensioni del servizio Web per una specifica applicazione

1. Aprire Gestione IIS
2. Selezionare il Web Server Extensions nodo
3. Passare alla vista cliccando Estesa Extended scheda si trova sul fondo del riquadro dei dettagli.
4. Fare clic su Consenti Tutte le estensioni del servizio Web per una determinata applicazione.
5. Selezionare l'applicazione dalla lista disponibile.
6. Fare clic su OK.

Come aggiungere una nuova estensione del servizio Web

1. Aprire Gestione IIS
2. Selezionare il Web Server Extensions nodo
3. Passare alla vista cliccando Estesa Extended scheda si trova sul fondo del riquadro dei dettagli.
4. Fare clic su Aggiungi un nuovo Web Service Estensione opzione.
5. Quando il nuovo servizio Web Estensione finestra di dialogo, immettere un nome per il nuovo web estensione. Questo è il nome che verrà visualizzato in Gestione IIS.
6. Per ISAPI, scegliere la DLL che richiede la nuova estensione.
7. Per CGI, scegliere il EXEs che richiede la nuova estensione.
8. Fare clic su OK

Come configurare i permessi di esecuzione per le applicazioni per l'esecuzione

I permessi di esecuzione (applicazione autorizzazioni) sono configurati nella scheda Home Directory o nella scheda Directory virtuale che contiene l'applicazione principale. Applicazione radici possono esistere nella home directory di un sito, o in una directory virtuale di un sito.

Per configurare i permessi di esecuzione,

1. Aprire la Gestione IIS
2. Passare alla scheda Home directory o la scheda Directory virtuale.
3. Autorizzazioni di esecuzione a discesa nella casella di riepilogo contiene le seguenti opzioni:
• Nessuno, permette l'accesso solo a file statici. Selezionando la opzione Nessuno avrebbe impedito l'esecuzione di applicazioni dinamiche
• Solo gli script, vieta l'esecuzione di script eseguibili pur consentendo di eseguire.
• Script e file eseguibili, script ed eseguibili sono autorizzati ad eseguire.

Come creare un pool di applicazione

1. Aprire la Gestione IIS.
2. Destro del Pool di applicazioni fare clic sul nodo nella struttura della console, quindi selezionare Nuovo, quindi Pool di applicazioni dal menu di scelta rapida.
3. Quando il Aggiungi nuovo pool di applicazioni finestra di dialogo, immettere un nome per il nuovo pool di applicazioni.
4. È possibile specificare se le impostazioni di default dovrebbero essere utilizzati per la nuova piscina, o è possibile specificare che le impostazioni di un pool di essere utilizzati per il nuovo pool di applicazioni.
5. Fare clic su OK

Come assegnare una domanda a un pool di applicazioni

1. Aprire la Gestione IIS
2. Fare clic col tasto destro del caso il nodo nella struttura della console, quindi fare clic su Proprietà dal menu di scelta rapida.
3. Fare clic sulla scheda Home directory.
4. Selezionare il pool di applicazioni dal Pool di applicazioni lista.
5. Fare clic su OK

Selezione di un pool di applicazioni di identità
Si può scegliere tra le seguenti built-in servizio conti di Windows Server 2003:

• Account Servizio di rete: L'account Servizio di rete è il conto da utilizzare. In realtà, è l'account predefinito utilizzato da IIS perché è il meno privilegi, ed è più flessibile di account Servizio locale e l'account di sistema locale. Le caratteristiche del Servizio di rete sono:
• L'account Servizio di rete non ha password.
• Si tratta di un membro del gruppo Everyone e il gruppo Authenticated Users.
• L'account Servizio di rete ha un nome interno di NT AUTHORITY \ NetworkService
• Local Service: Il locale ha l'account Servizio identici diritti e privilegi da quella del Servizio di rete. Tuttavia, l'account Servizio locale possono accedere solo le risorse del computer locale. Le caratteristiche dei locali di servizio considerazione sono:
• L'account Servizio locale non ha alcuna password.
• Si tratta di un membro del gruppo Everyone e il gruppo Authenticated Users.
• L'account Servizio di rete ha un nome interno di NT AUTHORITY \ LocalService
• Account di sistema locale: Si consiglia di non selezionare l'account a causa dei privilegi ad esso associati. Le caratteristiche del sistema locale sono:
• L'account di sistema locale non ha alcuna password.
• L'account di sistema locale ha un nome interno di \ LocalSystem
• Processi in esecuzione con l'account sono gli stessi privilegi, come il Service Control Manager. Si tratta di entità che controlla i servizi di rete in esecuzione sul computer.

Come configurare un pool di applicazioni personalizzate identità Per aumentare la sicurezza, si consiglia di configurare il processo di identità personalizzate per le diverse applicazioni che si sono aggregati. Ciò impedisce una domanda che è compromessa da compromettere tutte le applicazioni sul server IIS.

Per creare un pool di applicazioni di identità,

1. Creare un account utente di dominio o un account utente locale
2. Aggiungere il nuovo account utente creato per il gruppo IIS_WPG, un nuovo gruppo in IIS 6. Gli account utente nel gruppo IIS_WPG sono utilizzati come processo di identità per il lavoratore processi associati con l'applicazione piscine.
3. Aprire Gestione IIS.
4. Fare clic col tasto destro del caso il pool di applicazioni, e selezionare Proprietà dal menu di scelta rapida.
5. Fare clic sulla scheda Identità.
6. Se si desidera selezionare uno dei built-in servizio conti di Windows Server 2003, scegliere l'account predefiniti dal menu a tendina. L'opzione predefinita è abilitato di default.
7. Se si desidera selezionare un account utente di dominio o un account utente locale che avete appositamente creato, selezionare l'opzione Configurabile.
8. Fare clic sul pulsante Sfoglia per scegliere l'account utente di dominio o un account utente locale come il pool di applicazioni identità.
9. Fare clic su OK.

Come attivare percorsi madre per una domanda
Mentre non è generalmente raccomandato per consentire percorsi madre, ci possono essere occasioni in cui potrebbe essere necessario per consentire loro in modo che i tuoi vecchi applicazioni possono lavorare. La Capogruppo sentieri funzionalità ASP è una caratteristica specifica. Quando è abilitato, è possibile utilizzare le dichiarazioni ("..") percorso verso l'alto per l'accesso ai file. A causa della vulnerabilità di sicurezza connessi con percorsi madre, è disattivato in IIS 6.