挖掘IIS 7新特性 提升Web服务器安全(3)
[时间:2010-05-06]  [文章来源:上海百络]  [责任编辑:master]

    4.管理委派,降低安全风险

    许多管理员图方便,在有人需要对某站点或应用程序应用更改的时候就把管理员权限给他,这当然会带来巨大安全风险。但通常我们会面临两难的境地,要么不加限制地分配管理员权限,要么把所有管理权限都集中到一点,限制任何其他人对设置进行更改。在IIS 7中,服务器管理员可以把一个特定的Web站点或应用程序的管理权限授予一名或多名用户,并且无需提升他们的用户权限。在IIS管理控制台中,用户既可以使用Windows身份凭证也可以使用IIS Manager专用的身份凭证连接到一台IIS 7服务器。IIS Manager专用身份凭证的好处在于提供给用户的权限是具有专门用途和有所限制的,即IIS Web站点管理权限,该身份凭证在IIS Manager以外是毫无用处的,也就是说除此之外不能对系统进行任何操作。

    如果是远程使用的话,一个独立的IIS Manager版本现在可以安装在Windows Vista、Windows Sewer 2003和Windows XP上。在远程连接到IIS Manager之前,必须明确启用Web服务器上的远程管理功能,具体操作是:首先,安装Web管理服务(WMSVC);然后,在Web服务器上通过IIS Manager(或通过注册表)开启远程管理功能;最后,启动Web管理服务。防火墙规则或远程访问策略有可能会给远程管理工具的使用造成麻烦。出于这个原因,IIS Manager走的是HTTPS协议,因此既安全又不与防火墙冲突。默认情况下,Web管理服务使用一个自我分配的证书并且在8172端口上监听。

    5.URL授权,屏蔽非法访问

    Web应用程序通常都有一些受限制的区域,只允许特定的用户访问。比方说,只有经理才有权访问HR系统里的业绩报告内容。这些受限制的页面通常被归并到“Administration”、“Reporting”或“Moderation”的目录中。在旧版的IlS里,保护这些目录不被未经授权者访问可不是一个简单的任务。即使ASP.NET里内置了URL授权的功能,也还是需要处理一些非ASP.NET的内容,例如:PDF或Excel文件,它们同样需要保护。而且ASP.NET URL授权规则是通过编辑XML来管理的,这同样也是一项乏味的工作。

    在IIS 7中,ASP.NET URL授权功能依然保留,但是除此以外,Web服务器本身现在也提供一个URL授权功能。现在,对所有类型的内容(例如:静态的、PHP、ASP)的访问可以根据用户、组或URL来加以控制。举例来说,你可以轻松地限制对任何位于“Reporting” 路径下的内容的访问,只允许“Managers”组的成员访问,同时无需修改ACL。URL授权规则在“Web.Config” 文件的“system.webServer” 段落中得到保持,其语法与ASP.NET的授权规则略有不同。由于授权规则完全包含在你的配置文件里(本地“web.config”),所以它们很容易在应用程序和服务器之间迁移。并且IIS 7里的URL授权与Windows用户和组,以及ASP.NET的用户和角色可以很好地配合。

    6.利用过滤请求,杜绝恶意攻击

    对于管理过IIS服务器的管理员来说,对UrlScah应该不会感到陌生,它是一个可供IIS 4及以上版本下载的工具,可用于限制IIS可以接受的请求类型。请求过滤的目的主要是保护你的Web服务器免遭恶意请求的攻击。在lIS 7.O的请求过滤模块里,UrlScah得到了增强,并且与Web服务器进行了绑定。请求过滤模块会根据可配置的标准来过滤请求。例如,它可以拒绝双重编码的请求或者不符合常规大小的请求(例如:超大的POST载荷或者太长的URL)。请求过滤模块还可以拒绝针对特定文件类型、路径或你的站点所不支持的HTTP动作的请求。在IlS 7里,请求过滤配置也可以进行委派,它允许站点管理员在“web.config”文件里定义自己的请求过滤规则,而这在IIS 6的UrlScah里是无法实现的。

    总结:以上所提到的这些功能都属于IIS 7在安全性方面的改进,这些非常值我们得更深入地研究。深入挖掘并利用这些特性不仅会改变你管理和配置Web站点的思路,而且更大程度上提升了Web服务器的安全同时也简化了我们的管理。



    [关闭本页]
  关键词:  挖掘IIS 7新特性 提升Web服务器安全(3)
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证