L'authentification dans IIS vérifie si un utilisateur tente d'accéder à un site Web particulier, peuvent en effet accéder. L'authentification est le processus qui vérifie si l'utilisateur peut accéder au site dont il est tentant d'y accéder. Les méthodes d'authentification qui peut être utilisé pour authentifier les utilisateurs dans IIS 6 sont énumérées ci-dessous. Chaque méthode d'authentification peut être utilisé pour authentifier les utilisateurs essayant d'accéder à des sites Web. Cependant, seulement l'accès anonyme et l'authentification de base peut être utilisée comme méthode d'authentification pour les sites FTP.

• Accès anonyme: Cette méthode d'authentification est activée par défaut à la fois pour le site Web par défaut et le site FTP par défaut. L'accès anonyme permet à tous les utilisateurs anonymes d'accéder au contenu du site Web. L'accès anonyme est généralement utilisé pour les sites Web qui sont connectés à l'Internet.
• L'authentification de base: Il s'agit de la méthode d'authentification la plus faible disponible pour IIS, et devrait être utilisé lorsque vous ne pouvez pas utiliser une autre méthode d'authentification. L'authentification de base utilise un texte clair nom d'utilisateur et mot de passe. L'authentification de base sur les fonctions des serveurs proxy, et fonctionne avec tous les navigateurs clients. L'authentification de base est activée pour les sites FTP, par défaut.
• L'authentification intégrée de Windows: Il s'agit de l'option la plus sûre qui peut être utilisé pour l'authentification dans IIS. Kerberos version 5 est utilisé si le navigateur du client inclut le support pour le protocole. L'authentification NTLM est utilisée lorsque le navigateur du client ne prend pas en charge Kerberos.
• Digest Authentication ne peut être activée si Active Directory est utilisé. Digest Authentication l'identification de l'utilisateur envoie sur le réseau en utilisant un système de cryptage MD5.
• . NET Passport Authentication: Dans cette méthode d'authentification,. NET passeports sont utilisés pour l'authentification, et l'authentification se produit via une authentification unique sur la méthode. Les pouvoirs des utilisateurs ont des passeports, qui sont stockées sur les serveurs de Passeport connecté à Internet. Les passeports sont gérés par les serveurs Microsoft. IIS envoie le Passeport de l'information à l'utilisateur de le Passeport pour l'authentification des serveurs lorsqu'un utilisateur tente d'accéder à un site Web IIS.

Pour configurer une méthode d'authentification pour un site Web,

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur un site Web dans l'arborescence de la console et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
4. Dans l'authentification et contrôle d'accès de l'onglet Sécurité de répertoire, cliquez sur le bouton Modifier.
5. Méthodes d'authentification La boîte de dialogue s'ouvre. Vous pouvez configurer les méthodes d'authentification peu expliqué sur cette boîte de dialogue.

NTFS

Lorsque IIS grâce à l'obtention des autorisations, les deux types d'autorisations qui sont importants sont les autorisations NTFS et les autorisations Web. Les autorisations NTFS constituent la base de Windows Server 2003 et IIS de sécurité et de contrôler si les utilisateurs sont autorisés à accéder à des fichiers et des dossiers, et le niveau des utilisateurs ont accès. Il existe différents niveaux d'autorisations NTFS dans Windows Server 2003. Il existe également des différences lorsque les autorisations NTFS sont appliquées sur les fichiers, et quand ils sont appliqués sur les dossiers.
NTFS entité ne peut contrôler ce que l'accès de certaines parties du système de disque. Vous pouvez configurer l'accès aux ressources par l'une ou autorisant ou refusant les autorisations d'utilisation et de groupes. Les autorisations d'accès aux ressources sont situées dans les entrées de contrôle d'accès (ACE) sur une liste de contrôle d'accès (ACL). Cela constitue une composante du descripteur de sécurité de toutes les ressources. Un utilisateur peut seulement accéder à une ressource lorsque le jeton d'accès de sécurité de l'utilisateur correspond à la identificateurs de sécurité (SID) dans les entrées de contrôle d'accès (ACE) de la liste de contrôle d'accès (ACL). Le jeton d'accès de sécurité de l'utilisateur tient le SID de l'utilisateur du compte et des comptes de groupe.
Les deux versions de NTFS sont NTFS 4.0 et NTFS 5.0. NTFS 4.0 est utilisé avec Windows NT 4.0. Bien que NTFS 4.0 soutient les collectivités locales et à distance le contrôle d'accès sur les fichiers et dossiers, il ne prend pas en charge la majorité des Windows 2000 et Windows Server 2003 dispose du système de fichiers. NTFS 5.0 de l'autre prend en charge Active Directory, le cryptage, de compression et de quota de disque, entre autres fonctions.

Le niveau des autorisations NTFS, vous pouvez configurer qui sont énumérés ci-dessous:

• Full Control: Permet aux utilisateurs d'exécuter toutes les fonctions sur les fichiers et dossiers, y compris la création de nouveaux dossiers, modification et suppression de fichiers, en joignant des données de fichiers, de l'appropriation du fichier, de changer les attributs des fichiers et des dossiers, et de changer les permissions sur le fichier .
• Modifier: Permet aux utilisateurs à la liste le contenu d'un dossier et de lire les données dans le dossier de fichiers, ajouter et supprimer des fichiers, modifier les fichiers et les propriétés des fichiers, et de changer les attributs des fichiers et des dossiers.
• Lecture et exécution: Permet aux utilisateurs d'afficher les attributs d'un fichier ou un dossier et d'exécuter des fichiers (programmes), situé dans les dossiers. Les utilisateurs peuvent également donner la liste le contenu d'un dossier et de lire des données contenues dans le dossier.
• Liste du contenu du dossier: Permet aux utilisateurs à la liste le contenu d'un dossier et afficher les attributs des fichiers et des dossiers.
• Write: Permet aux utilisateurs de créer de nouveaux fichiers et dossiers, changer les attributs d'un fichier ou un dossier, d'écraser un fichier, et afficher la propriété des fichiers et l'autorisation.
• Lire: L'autorisation de lecture permet aux utilisateurs de visualiser un fichier et de tout sous-dossier les noms, les attributs, les propriétés, la propriété, et liste le contenu d'un dossier.

Les autorisations NTFS par défaut attribué à la \ wwwroot répertoire (Default Web Site), sont énumérés ci-dessous. Pour afficher ces autorisations,

1. Ouvrez le Gestionnaire des services Internet
2. Dans l'arborescence de la console, cliquez droit sur le site Web par défaut et cliquez sur Autorisations dans le menu.
• Administrateurs: Les utilisateurs qui appartiennent au groupe de sécurité Administrateurs ont un contrôle total sur le répertoire \ Wwwroot. Les administrateurs ont les autorisations par défaut suivantes:
• Contrôle total, Modification, Lecture et exécution, Afficher le contenu du dossier, écriture et de lecture
• Utilisateurs: ce groupe a standard Web que les utilisateurs membres du groupe, les membres du groupe ont les autorisations suivantes:
• Lecture et exécution, Afficher le contenu du dossier et Lecture
• SYSTEM: Il s'agit d'un groupe à (identité), créé par Windows Server 2003. SYSTEM est la suivante: les autorisations par défaut:
• Contrôle total, Modification, Lecture et exécution, Afficher le contenu du dossier, écriture et de lecture
• IIS_WPG: IIS_WPG est un nouveau groupe dans IIS 6. Comptes d'utilisateurs dans ce groupe sont utilisés en tant que processus d'identité pour le travailleur les processus associés à des pools d'applications. IIS_WPG a autorisations par défaut suivantes:
• Lecture et exécution, Afficher le contenu du dossier et Lecture
• Compte Invité Internet: Ce groupe peut être utilisé pour permettre aux utilisateurs anonymes d'accéder à du contenu sur les sites Web.
• L'autorisation de lecture est mis à Deny

Quand un nouveau site web est créé, les autorisations par défaut attribuées aux entités de sécurité sont les suivants:

• Administrateurs: Contrôle total
• Utilisateurs: Lecture et exécution
• Système: Contrôle total
• Propriétaire créateur: autorisations spéciales
• Internet compte Invité: Non autorisations sont attribuées

Web autorisations

Les autorisations Web IIS ou des autorisations d'accès à contrôler l'accès à du contenu Web sur IIS sites. Les autorisations Web que vous pouvez configurer sont énumérés ci-dessous.

Pour avoir accès à des autorisations Web IIS,

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur le site Web approprié et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site s'ouvre, cliquez sur l'onglet Répertoire de base.
• La source du script d'accès: Lorsque cette option est sélectionnée, les utilisateurs seront en mesure d'accéder au code source des pages ASP, et de les changer lorsque l'écriture est également activée. Il est recommandé d'activer cette autorisation uniquement sur les serveurs utilisés à des fins de développement.
• Lire: Lorsque cette option est sélectionnée, les utilisateurs peuvent lire ou télécharger des fichiers qui sont situés dans le répertoire.
• Ecrire: Lorsque cette option est sélectionnée, les utilisateurs peuvent ajouter et modifier du contenu Web.
• Répertoire de navigation: Lorsque cette option est activée, les utilisateurs sont autorisés à naviguer dans la structure des répertoires.
• Connectez-vous Visites: Vous pouvez activer la journalisation pour le site en sélectionnant l'option Connexion de visites. Vous devez également sélectionner la case à cocher Activer la journalisation sur l'onglet Site Web lorsque vous sélectionnez l'option Connexion de visites.
• Index de cette ressource: Lorsque cette option est sélectionnée, le contenu de Microsoft Windows Indexing Service crée un index du dossier de départ.

Vous pouvez configurer les autorisations Web à l'adresse suivante dans IIS:

• Pour tous les sites web: Vous pouvez configurer les autorisations Web pour tous les sites Web par le biais de l'onglet Répertoire de base des sites Web noeud boîte de dialogue Propriétés. Tous les sites sur le serveur IIS qui héritent de ces autorisations.
• Pour un site Web spécifique (s): Vous pouvez configurer les autorisations Web pour un site Web par le biais de l'onglet Répertoire de base de ce site Web boîte de dialogue Propriétés.
• Pour un répertoire ou répertoire virtuel: Lorsque vous configurez les autorisations Web dans le répertoire de niveau ou de niveau répertoire virtuel, les autorisations sont héritées par tous les fichiers dans le répertoire particulier. Vous pouvez configurer les autorisations Web pour un répertoire par le biais de l'onglet Répertoire de ce répertoire de la boîte de dialogue Propriétés. Autorisations Web peut être configuré pour un répertoire virtuel par le biais de l'onglet Répertoire virtuel de ce répertoire virtuel de la boîte de dialogue Propriétés.
• Pour un fichier situé dans un répertoire virtuel: Vous pouvez configurer les autorisations Web pour un fichier dans un répertoire virtuel par le biais de l'onglet Fichier du fichier de la boîte de dialogue Propriétés.

Quand un utilisateur ne peut pas accéder à un site Web,

• Vérifiez que les permissions ont été configurées pour le répertoire home.
• Si l'accès anonyme est activée, vérifiez que le mot de passe n'a pas été spécifié.
• Vérifiez si une adresse IP et les noms de domaine de restrictions ont été configurés, qui mai refuser l'accès à l'utilisateur.

Adresse IP et nom de domaine Limites

Vous pouvez restreindre l'accès au Web à l'adresse IP de niveau que de permettre aux utilisateurs d'accéder à un site qui utilisent une adresse IP à partir d'une liste prédéfinie de l'agrément des adresses IP. De cette manière, vous pouvez contrôler l'accès à des sites Web, des répertoires et des fichiers basés sur les adresses IP ou les noms de domaine.

Pour ce faire,

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur le site Web dans l'arborescence de la console et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
4. Dans l'adresse IP et les noms de domaine de la limitation de l'onglet Sécurité de répertoire, cliquez sur le bouton Modifier.
5. Lorsque l'adresse et les noms de domaine de la limitation boîte de dialogue s'ouvre, vous pouvez spécifier que tous les ordinateurs ont accès, ou vous pouvez spécifier les ordinateurs qui ne devrait pas avoir accès par l'inscription de leur adresse IP ou le nom de domaine.
6. Cliquez sur le bouton Ajouter pour inclure notamment les adresses IP des utilisateurs dans une liste.
7. Cliquez sur OK.

Application de sécurité dans IIS

Application à la sécurité IIS comprend les processus suivants:

• L'activation ou la désactivation des extensions du service Web (WSE): Pour exécuter des applications Web dynamiques sur IIS, vous devez d'abord utiliser le nœud Extensions du service Web dans IIS Manager à permettre ou d'interdire les extensions de service Web énumérés ci-dessous:
• ASP
• ASP.NET
• ISAPI Extensions
• CGI Extensions
• Front Page Server Extensions 2000 et 2002
• Internet Data Connector
• WebDAV support

Pour accéder aux extensions du service Web (WSE),

1. Ouvrez le Gestionnaire des services Internet
2. Sélectionnez le noeud Web Server Extensions
• Spécification des autorisations d'exécution pour les applications. Ces autorisations permettent aux applications dans les sites Web et des répertoires virtuels pour exécuter / run.
• Configuration de l'identité du pool d'applications: Application piscine identités sont configurés de manière à contrôler la manière dont les processus travailleur servir des pools d'applications. Un processus de travail est un processus mis au point ce que l'utilisateur exécute le code d'application Web. Un processus de travail est en fait un processus d'accueil, appelé w3wp.exe. Processus de travailleur processus des demandes reçues à l'utilisateur de la HTTP.sys files d'attente. Le travailleur a également des processus retourne une page statique ou dynamique page à la demande du client par le biais de HTTP.sys. Un processus de travail peut accueillir le texte suivant:
• Les applications ASP
• Applications et les filtres ISAPI
• Des applications CGI
• Contenu statique

Un pool d'applications se compose des éléments suivants:

• Un mode noyau HTTP.sys demande la file d'attente
• Un seul exemple, ou de plusieurs instances de w3wp.exe - travailleur processus.

Les meilleures pratiques pour l'écriture de code sécurisé pour les applications ASP ou ASP.NET sont:

• Les pages ASP ne devrait pas contenir de codé en dur le nom du compte administrateur et un mot de passe du compte administrateur.
• Secure Sockets Layer (SSL) est une technologie de cryptage qui peut être utilisé pour crypter les cookies de session.
• Informations sensibles ou confidentielles et les données ne doivent pas être stockés dans des champs cachés dans les pages Web et dans des cookies.
• Vous devez à tout moment de vérifier et de valider le formulaire d'entrée avant d'être traitées.
• Vous ne devez pas utiliser les informations de têtes de requête HTTP à code décision branches pour les applications.
• Méfiez-vous des débordements de buffer mal généré par les normes de codage.

Comment faire pour activer ou désactiver les extensions de service Web en utilisant les extensions du service Web dans IIS Manager noeud

1. Ouvrez le Gestionnaire des services Internet
2. Sélectionnez le noeud Web Server Extensions
3. Afin de permettre une extension de service Web, cliquez avec le bouton droit de la prolongation, et sélectionnez Autoriser.
4. Afin de désactiver une extension de service Web, cliquez avec le bouton droit de la prolongation, et sélectionnez Interdire.

Comment faire pour activer ou désactiver les extensions ISAPI et CGI

1. Ouvrez le Gestionnaire des services Internet
2. Sélectionnez le noeud Web Server Extensions.
3. Si vous voulez permettre à toutes les extensions ISAPI et CGI à courir, à la fois Autoriser Autoriser Unknown ISAPI Extensions et Autoriser Unknown CGI Extensions options sur l'onglet Standard.
4. Vous pouvez aussi passer à la vue étendue. Pour ce faire, l'extension en cliquant sur l'onglet situé en bas du volet de détails.
5. Précisez les applications qui sont autorisées.
6. La méthode vient d'être décrit est une meilleure option que de permettre à toutes les extensions ISAPI et CGI pour exécuter sur le serveur IIS.

Comment faire pour permettre à toutes les extensions du service Web pour une application spécifique

1. Ouvrez le Gestionnaire des services Internet
2. Sélectionnez le noeud Web Server Extensions
3. Passez à l'extension en cliquant sur la vue étendue onglet situé en bas du volet de détails.
4. Cliquez sur Autoriser toutes les extensions du service Web pour une application spécifique.
5. Sélectionnez l'application dans la liste.
6. Cliquez sur OK.

Comment ajouter une nouvelle extension de service Web

1. Ouvrez le Gestionnaire des services Internet
2. Sélectionnez le noeud Web Server Extensions
3. Passez à l'extension en cliquant sur la vue étendue onglet situé en bas du volet de détails.
4. Cliquez sur le bouton Ajouter une nouvelle option d'extension de service Web.
5. Lorsque la nouvelle extension de service Web boîte de dialogue qui s'ouvre, entrez un nom pour la nouvelle extension web. C'est le nom qui sera affiché dans le Gestionnaire des services Internet.
6. Pour ISAPI, choisir la DLL que la nouvelle extension nécessite.
7. Pour CGI, choisissez le EXEs que la nouvelle extension exige.
8. Cliquez sur OK

Comment faire pour configurer les autorisations d'exécution pour les applications de fonctionner

Les autorisations d'exécution (application des autorisations) sont configurés dans l'onglet Répertoire de base ou dans l'onglet Répertoire virtuel qui contient l'application root. Application racines ne peut exister dans le répertoire d'un site, ou dans un répertoire virtuel du site.

Pour configurer des autorisations d'exécution,

1. Ouvrez le Gestionnaire des services Internet
2. Accédez à l'onglet Répertoire de base ou l'onglet Répertoire virtuel.
3. Les Autorisations d'exécution liste déroulante contient les options suivantes:
• Aucun, ne permet que l'accès à des fichiers statiques. Sélection de l'option Aucune permettrait d'éviter de courir des applications dynamiques
• Scripts seulement, interdit l'exécution de scripts exécutables, tout en permettant à courir.
• Scripts et exécutables, des scripts et les exécutables sont autorisés à courir.

Comment faire pour créer des pools d'applications

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur le nœud Pools d'applications dans l'arborescence de la console et sélectionnez Nouveau, puis pool d'applications dans le menu.
3. Lorsque l'Assistant Ajout de nouveau pool d'applications boîte de dialogue qui s'ouvre, entrez un nom pour le nouveau pool d'applications.
4. Vous pouvez spécifier si les paramètres par défaut devraient être utilisées pour la nouvelle piscine, ou vous pouvez spécifier que les paramètres d'un bassin utilisé pour le nouveau pool d'applications.
5. Cliquez sur OK

Comment attribuer une application à un pool d'applications

1. Ouvrez le Gestionnaire des services Internet
2. Cliquez-droit sur le noeud approprié dans l'arborescence de la console, puis cliquez sur Propriétés dans le menu.
3. Cliquez sur l'onglet Répertoire de base.
4. Sélectionnez le pool d'applications de la liste Pool d'applications.
5. Cliquez sur OK

Sélection d'une identité du pool d'applications
Vous pouvez choisir entre la suite intégré dans les comptes de services de Windows Server 2003:

• Service de réseau en compte: Le compte Service réseau est recommandée compte à utiliser. En fait, c'est le compte par défaut utilisé par IIS, car il a le moins de privilèges, et est plus souple que le compte Service local et le compte système local. Les caractéristiques du service de réseau en compte sont:
• Le compte Service réseau n'a pas de mot de passe.
• Il est membre du groupe Tout le monde et le groupe Utilisateurs authentifiés.
• Le compte Service réseau a un nom interne de NT AUTHORITY \ NetworkService
• Service local compte: Le compte Service local a les mêmes droits et privilèges que ceux de la compte Service réseau. Toutefois, le compte de service local ne peut accéder aux ressources sur l'ordinateur local. Les caractéristiques du compte de service local sont:
• Le compte Service local n'a pas de mot de passe.
• Il est membre du groupe Tout le monde et le groupe Utilisateurs authentifiés.
• Le compte Service réseau a un nom interne de NT AUTHORITY \ LocalService
• Compte système local: Il est recommandé de ne pas sélectionner ce compte en raison des privilèges qui lui sont associés. Les caractéristiques du système local compte sont:
• Le compte Système local n'a pas de mot de passe.
• Le compte Système local a un nom interne du \ LocalSystem
• Processus en cours d'exécution dans le cadre du compte ont les mêmes privilèges que le Service Control Manager. C'est l'entité qui contrôle les services de réseau en cours d'exécution sur l'ordinateur.

Comment faire pour configurer une application personnalisée piscine identité Pour accroître la sécurité, il est recommandé de configurer les processus de mesure pour les différentes identités des pools d'applications que vous avez. Cela permettrait d'éviter une application qui est compromise de compromettre l'ensemble des applications sur le serveur IIS.

Pour créer un pool d'applications d'identité,

1. Créer un utilisateur de domaine ou l'autre compte ou un compte d'utilisateur local
2. Ajoutez le compte d'utilisateur nouvellement créé pour le groupe IIS_WPG, un nouveau groupe dans IIS 6. Comptes d'utilisateurs dans le groupe IIS_WPG sont utilisés en tant que processus de l'identité du travailleur processus liés à des pools d'applications.
3. Ouvrez le Gestionnaire des services Internet.
4. Cliquez-droit sur le pool d'applications, puis sélectionnez Propriétés dans le menu de raccourci.
5. Cliquez sur l'onglet Identité.
6. Si vous voulez sélectionner l'un des bâti-service dans les comptes de Windows Server 2003, sélectionnez le compte de la pré-liste déroulante. Le pré-option est activée par défaut.
7. Si vous voulez choisir un compte d'utilisateur de domaine ou un compte d'utilisateur local que vous avez créé spécialement, sélectionnez l'option configurable.
8. Cliquez sur le bouton Parcourir pour choisir le compte d'utilisateur de domaine ou un compte d'utilisateur local que l'identité du pool d'applications.
9. Cliquez sur OK.

Comment faire pour activer les chemins parents pour une demande
Alors qu'il est généralement recommandé de ne pas permettre aux parents des chemins, il y mai être reprises lorsque vous pourriez avoir besoin pour leur permettre de sorte que vos anciennes applications peuvent travailler. The Parent chemins ASP est une fonctionnalité spécifique. Lorsque cette option est activée, vous pouvez utiliser la voie de la hausse des déclarations ("..") accès aux fichiers. En raison de la vulnérabilité liés à la sécurité des chemins parent, il est désactivé dans IIS 6.