如何保护 IIS 站点、添加和启用 Windows 身份验证

默认情况下，当您创建新的 Internet 信息服务 (IIS) 网站时，它对启用匿名访问的所有人开放 - 任何人都可以访问和查看该网站托管的数据。显然，这是大多数组织的安全问题。事实上，客户和同事经常问我如何锁定 IIS 站点，以便只有所需的人员才能访问它。

答案非常简单：为了保护 IIS 站点的安全，您所需要做的就是更改默认权限、为用户帐户启用 Windows 身份验证，并在 IIS 管理器中禁用匿名身份验证。步骤如下：

如何保护 IIS 站点的安全

1.选择您的站点并单击“身份验证”，在下面的屏幕截图中，您可以看到我有很多 IIS 站点，其中包括一个名为“默认网站”的站点。

2. 如果您为 IIS 安装了 Windows 身份验证，请继续执行步骤 3。如果您没有在 IIS 中集成 Windows 身份验证，请从服务器管理器中的“IIS 的角色/服务”下添加此功能前任。 IIS IIS 的 Windows 身份验证功能。

4.重新配置网站的权限。首先，我们将打破继承，然后我们将删除“用户”的任何访问权限：

4.1 右键单击站点选择“编辑权限”

4.2 单击“高级”。

4.3 点击“更改权限”。

4.4 取消选中“包括来自此对象父对象的可继承权限”框。当出现警告提示时，选择“添加”。这只是将现有权限复制回来而不继承；这非常重要，以免破坏您自己和整个系统的网站。

4.5删除用户的权限。这将禁止任何域用户简单地通过您的站点身份验证来查看报告，同时允许本地管理员和 IIS_IUSRS 成员登录并查看报告。 （基本权限集可能因操作系统而异。）还要确保“所有人”和“经过身份验证的用户”等安全主体没有任何访问权限。

4.6 最后，您现在可以使用基本的“编辑”按钮为选定的用户和组添加只读访问权限。就我而言，我向 Frank 授予了对我的报告的“阅读”权限。对于基本的站点使用，真正需要的只是读取访问权限；除非有特殊需要，否则不要向任何人授予修改或完全控制访问权限。

请注意，我在 Windows 2008 和 Win 7 上进行了此测试，并且我不需要为任何这些配置更改启动 IIS 即可开始工作。

Netwrix 如何提供帮助？

Netwrix StealthAUDIT 可以帮助您增强 Windows 基础架构的安全性并最大限度地降低数据泄露的风险。它使您能够：

• 识别攻击者可利用的漏洞来危害 Windows 系统并获取您的数据。
• 通过基线配置分析实施安全和运营策略。
• 审计和管理特权帐户。
• 通过预构建的报告和完整的系统透明度更轻松地证明合规性。

常问问题

什么是 IIS 中的 Windows 身份验证？

IIS 中的 Windows 身份验证是一种安全类型的身份验证，其中用户帐户凭据在通过网络传输之前经过哈希处理。

Windows 身份验证与 Active Directory 相同吗？

不需要。即使您的服务器不是 Active Directory 域的成员，您也可以使用 Windows 身份验证。

IIS Windows 身份验证是否使用 LDAP？

不可以。IIS Windows 身份验证仅支持 Kerberos 和 NTLM 协议。