[IIS]Administration Guide for IIS6.0 (2) (多國語言版)
摘要
IIS的設定既多且雜,雖然我們常使用到的並不多,但我們仍會有需要用到的一天,本著活學活用的精神,我們還是會將IIS的應用逐一介紹給各位。
IIS6.0[文件]設定
文件頁籤/文档选项卡/ Documents Tab
一般我們在設定好一個虛擬目錄時,我們可以在該虛擬目錄上點選滑鼠右鍵à[內容],切換到[文件]頁籤,這個頁籤主要有兩個設定,以下我們分別介紹:
- 啟用預設內容頁(C)/启用默认内容文档/ Enable default content page
這個選項的用途在設定當使用者輸入http://localhost/IIStest/時預設要開啟的畫面,這個選項預設是勾選的,且已經幫我們新增好五個預設頁面,當使用者輸入http://localhost/IIStest/時IIS預設會依設定的順序一個一個去找,直到找到其中一個網頁為止,如果都沒有呢,就會出現以下畫面:
如果想要顯示自訂的歡迎首頁可以這樣做,我加入一個mystartpage.htm作為我預設的首頁,
當我再次執行http://localhost/IIStest/時就會出現以下的畫面了,這個做法很常被用來作網址的轉址,使用者只要輸入到虛擬目錄的名稱,就自動redirect到系統的首頁或登入畫面。
- 啟用文件頁尾(O)/启用文档页脚Enable document footer
選取 [啟用文件頁尾] 核取方塊後,可將網頁伺服器設定為自動將頁尾附加到網頁伺服器傳回的每一個文件中。 頁尾檔案不應是完整的 HTML 文件。 它應該只包含調整頁尾內容的外觀格式與功能所需之 HTML 標記。
這個選項預設是不勾選的,若今天我們勾選了,並將他指定到mystartpage.htm,我們就會看到如下下圖的結果。
Mystartpage.htm的內容重付出現兩次了,因為IIS幫這個網頁加上了頁尾,但這邊需要特別注意的是,因為加入頁尾的動作是透過網頁合併,類似<#include>的效果,所以加入頁尾不能適用於動態網頁如ASP/ASPX,如果要在ASP/ASPX中使用還是乖乖的使用其他作法吧。
目錄安全性設定/目录安全性/Directory Security
這個頁籤主要在針對站台下的目錄進行存取權限的設定,可設定的範圍登入的方式、登入的帳號、IP來源、憑證等等…
- 驗證及存取控制/身份验证和访问控制/ Authentication and access control
此設定允許您設定網頁伺服器在授予存取受限制的內容之前,先確認使用者的識別。 在網頁伺服器可以驗證使用者之前,您必須先建立有效的 Windows 使用者帳戶,然後為這些帳戶設定 NTFS 目錄及檔案使用權限。
按下編輯後進行進階設定:
- 啟用匿名存取(A)/启用匿名访问/ Enable anonymous access
設定是否無需驗證帳號及進行系統登入,若未啟用匿名存取,則會依下方驗證的存取方式進行驗證,若啟用匿名存取,則需選擇匿名登入作業系統的帳號,預設是IUSR_電腦名稱。
 |
- 驗證的存取/经过验证的访问/Authenticated access
在存取系統的任何資源前,需要經過特定的驗證模式,這些模式包含四種:
- 整合式Windows驗證(N)/集成Windows身份验证/Integrated Windows authentication
選取即可確保透過網路以雜湊的方法,傳送使用者名稱及密碼。 這樣會提供安全的驗證格式,選用此設定後,在存取系統時就會出現以下畫面,這時您需要輸入在該台Server上擁有權限的帳號,例如administrator…
- 摘要式Windows網域伺服器驗證(I)/ Windows 域服务器的摘要式身份验证/ Digest authentication for Windows domain servers
選取以搭配 Active Directory(R) 一起使用,並透過網路而不是透過純文字密碼傳送雜湊值。 此方法可以透過 Proxy 伺服器及其他防火牆運作。使用「摘要式」驗證需要定義「領域」(Domain)。
當選用此設定後,IIS管理員會跳出以下提示訊息告知此設定只可用於AD網域帳戶驗證:
確定後,當我們在存取系統時會出現AD的系統登入畫面,這時候我們就需要輸入在AD中所存在的使用者帳號與密碼了。
- 基本驗證(使用純文字傳送密碼)(S)/ 基本身份验证(以明文形式发送密码)/ Basic authentication (password is sent in cleartext)
選取即可透過網路以純文字傳送密碼。「基本」驗證是 HTTP 規格的一部分,並受到多數瀏覽器的支援,但是使用者名稱及密碼未加密,無法防止安全性風險。
選取後會出現以下警告視窗告知其風險性:
而在我登入系統時,也會跳出以下警示訊息,透過這個訊息告知使用者目前的密碼驗證是沒有經過任何保密機制進行:
使用Fiddle檢查網頁驗證模式就可以直接看到帳號密碼的傳遞,因此這種驗證方式只能用在不包含個人資訊的網站上,否則所有的個人資訊將輕易的被竊取。
- .NET Passport 驗證/ .NET Passport身份验证/ .NET Passport Authentication
.NET Passport 是一項使用者驗證服務及 Microsoft .NET 架構的元件。.NET Passport 單一登入服務及快速購買服務,可讓您的公司提供客戶快速、便利及安全的登入方式,並在您的站台上進行交易。使用 .NET Passport 單一登入服務,您可將登入名稱對應至資料庫中的資訊,透過目標式廣告、促銷及內容,提供 .NET Passport 成員個人化的網頁經驗。
勾選.NET Passport時需要選擇預設網域,
設定好,首次要進行系統存取時會出現以下的畫面:
新增好帳戶後便可成供的登入系統,而在Server上若有其他系統若也使用.NET Passport驗證的話,擇系統會以單一登入(Single-Sign-On)的方式讓使用者進行登入。
- IP位址及網域名稱限制/ IP 地址和域名限制/ IP Address and Domain Name Restrictions
按下編輯後會出現以下畫面,我們可以分別設定來自哪些IP擁有存取權,哪些IP沒有存取權限。
按下新增後會出現以下畫面,可以選擇是針對單一電腦、電腦群組或者網域名稱來限制,此部分設定較為繁瑣,在此不多說,請有興趣的人自行做研究。
- 安全通訊/安全通信/ Secure Communications
- 必須使用安全通道(SSL)(R)/ 要求安全通道 (SSL)/ Require secure channel (SSL)
選取即可將 IIS 設定為需要網頁瀏覽器之加密的通訊連結來連線到此網站、目錄或檔案。 選取此選項後,此網站送出及接收的所有資料都將使用憑證加密。設定的方法可以參考附件由軍皓在2006年發佈的通告:如何強化網頁產品的安全性(SSL).doc。
- 用戶憑證/客户端证书/client certificates
- 略過用戶端憑證/忽略客户端证书/Ignore client certificates
選取即可允許使用者存取此站台,而不被提示提出用戶端憑證。
- 接受用戶端憑證/接受客户端证书/Accept client certificates
選取即可允許擁有用戶端憑證的使用者存取,但不要求此憑證。 可以對應擁有用戶端憑證的使用者。沒有用戶端憑證的使用者可以使用其他驗證方法。
- 需要用戶端憑證/要求客户端证书/Require client certificates
選取即可只允許擁有有效用戶端憑證的使用者連線。 拒絕沒有有效用戶端憑證的使用者存取此站台。 在選取此選項以要求用戶端憑證之前,必須選取 [需要安全通道 (SSL)] 選項。
- 啟用用戶端憑證對應/启用客户端证书映射/ Enable client certificate mapping
選取即可將伺服器設定為驗證使用有效用戶端憑證登入的使用者。
結語
IIS網站的安全性在內部網域使用時可能重要性並不高,但當此網站有對外IP時,系統被駭所需承擔的風險與成本就會相對提高了許多,在幫客戶設定實務必要特別的注意。
最後一部分與憑證有關的,由於欠缺實例說明,可能比較難懂,有機會再做補充吧。
 |
游舒帆 (gipi) 探索原力Co-founder,曾任TutorABC協理與鼎新電腦總監,並曾獲選兩屆微軟最有價值專家 ( MVP ),離開職場後創辦探索原力,致力於協助青少年培養面對未來的能力。認為教育與組織育才其實息息相關,都是在為未來儲備能量,2018年起成立為期一年的專題課程《職涯躍升的關鍵24堂課》,為培養台灣未來的領袖而努力。 |
