概要
本文对Microsoft 的Internet信息服务器(IIS) 4.0中一些安全功能的错误理解进行了详细的解释,包括客户证明映射、IP地址限制、加密套接字协议层(SSL)服务器捆绑以及Web
许可。你不但能发现这些功能是如何工作的,也能知道如何优化它们的配置。
在阅读本文之前你应该对IIS和Microsoft Windows NT?4.0的安全性有一个基本的了解,其中包括公用关键字结构、SSL协议、安全信用以及鉴定。
为了更好地理解这些定义,请在http://localhost/iisHelp/iis/misc/default.asp上阅读你的服务器的IIS文档。我们将从讨论Windows
NT和 IIS安全性的关系开始,然后再转到IIS的特殊问题上,例如鉴定、IP限制、SSL以及Web 许可。在文章结尾处,对重要的安全术语进行了一个简短的总结,并且列出了参考资源表,你可以进行深入的参考。
Windows NT和IIS
IIS 4.0是在Windows NT上运行的服务。因此,它在很大程度上依赖Windows NT用户帐号及Windows NT文件系统。
用户帐号
Windows NT 安全的核心是用户帐号及它的逻辑扩展用户群。IIS安装后,它创建两个用户帐号,给它们分配指定的用户权限,将它们放在特定的用户群中。这两个帐号是IUSR_computername和
IWAM_computername。IIS用USR_computername帐号授权对Web 资源的匿名访问。IWAM_computername则是Microsoft处理服务器(MTS)
和其它IIS实体用来提供程序和处理函数的帐号。由于本文的意图,我只介绍第一个帐号IUSR_computername。
IUSR_computername帐号需要正确地设置本地登录信息。这是因为它是在IIS内部作用的,是一个本地作用的服务,就好象它是一个物理登录到服务器上的用户。如果你在匿名登录时使用IUSR_computername以外的帐号,就要仔细选择分配给它的权限。因为你的站点的每一个匿名访问者都被授予了IUSR_computername
帐号的权限。
当IIS提供Basic和Windows要求/反应鉴定时也依靠用户帐号。为了成功地完成,这两种方法都要求有有效的用户帐号。这是必要的,因为IIS虽然创建并配置了IUSR_computername
帐号用于匿名的鉴定,它却并不为Basic 鉴定创建任何帐号。IIS假定你已经或准备创建Windows NT 帐号用于Basic和要求/反应。
注意:当用于Basic 和要求/反应鉴定时必须要有有效的Windows NT 帐号。Windows NT 或IIS都不会为你创建这些帐号。没有这样的帐号,
这些鉴定方法就不能工作。
