• Acesso anónimo: Este método de autenticação é ativado por padrão tanto para o Web site predefinido e site FTP padrão. Anónimos acesso permite a todos os usuários anônimos para acessar o conteúdo do site. Anónimos, o acesso é normalmente utilizado para os sítios Web públicos que estão ligados à Internet.
• Autenticação básica: Esse é o método de autenticação mais fracos disponíveis para o IIS, e deve ser utilizado quando você não pode utilizar qualquer outro método de autenticação. Autenticação básica utiliza um texto claro, usuário e senha. Autenticação Básica funções mais servidores proxy, e trabalha com todos os clientes navegador. Autenticação Básica está activada para sites FTP, por padrão.
• Autenticação integrada do Windows: Esta é a opção mais segura que pode ser usada para autenticação no IIS. Kerberos versão 5 é usado se o navegador do cliente inclui suporte para o protocolo. A autenticação NTLM é utilizado quando o cliente navegador não suporta Kerberos.
• A autenticação só pode ser ativado se o Active Directory é utilizado. Autenticação Digest envia as credenciais do usuário através da rede, utilizando um hash MD5 criptografado.
• . NET Passport Authentication: Neste método de autenticação,. NET passaportes são utilizados para autenticação, e autenticação ocorre através de um único sinal sobre o método. As credenciais de usuários únicos Passaporte tem contas que são armazenados em servidores Passaporte conectado à Internet. O Passaporte servidores são geridos pela Microsoft. IIS envia o Passaporte informações do usuário para o Passaporte servidores de autenticação quando um usuário tenta acessar um site da Web IIS.

Para configurar um método de autenticação para um Web site,

1. Abra o IIS Manager.
2. Direito do mouse em um site da Web na árvore do console, e selecione Propriedades no menu de atalho.
3. Quando a caixa de diálogo Propriedades do Web site abrir, clique na guia Segurança de diretório.
4. Na seção Autenticação e controle de acesso do separador Segurança de directórios, clique no botão Editar.
5. A caixa de diálogo Métodos de autenticação. Você pode configurar os métodos de autenticação apenas discutiram sobre esta caixa de diálogo.

Permissões NTFS

Quando o IIS através da obtenção de permissões, os dois tipos de permissões que são importantes são as permissões NTFS e Web permissões. Permissões NTFS formam a base do Windows Server 2003 e IIS segurança, bem como controlar se os usuários têm permissão para acessar arquivos e pastas, bem como o nível de acesso usuários têm. Existem diferentes níveis de permissões NTFS no Windows Server 2003. Existem também diferenças quando são aplicadas as permissões NTFS nos arquivos, e quando eles são aplicados em pastas.
Permissões NTFS entidade pode controlar o acesso de determinadas partes do sistema de disco. Você pode configurar o acesso a recursos, quer por permitir ou negar permissões para utilizações e grupos. Resource permissões de acesso estão localizados como controle de acesso entradas (ACEs) em uma lista controle de acesso (ACL). Isso forma uma componente do descritor de segurança de todos os recursos. Um usuário pode, então, só acessar um recurso de segurança quando o token de acesso do usuário é comparado ao identificadores de segurança (SIDs) no controle de acesso entradas (ACEs) do Access Control List (ACL). O token de segurança o acesso do usuário detém os SIDs da conta do usuário e contas do grupo.
As duas versões do NTFS são NTFS 4.0 e NTFS 5.0. NTFS 4.0 é comumente usado com o Windows NT 4.0. Embora o NTFS 4.0 suporta local e acesso remoto controle de arquivos e pastas, ele não suporta a maioria dos Windows 2000 e Windows Server 2003 sistema de arquivos funcionalidades. NTFS 5.0, por outro lado apoia Active Directory serviço de diretório, criptografia, compressão e disco contingente, entre outras funcionalidades.

O padrão de permissões NTFS que você pode configurar estão listados abaixo:

• Controle total: Permite que os usuários para executar todas as funções em arquivos e pastas, incluindo a criação de novas pastas, alterar e excluir arquivos, juntando dados de arquivos, tendo a propriedade do arquivo, alterar os atributos dos arquivos e pastas, e alterar permissões no arquivo .
• Modificar: Permite que os usuários para listar o conteúdo de uma pasta e ler os dados na pasta de arquivos, adicionar e excluir arquivos, alterar arquivos e as propriedades de ficheiros, e alterar os atributos dos arquivos e pastas.
• Ler & Executar: Permite aos utilizadores visualizar os atributos de um arquivo ou pasta e para executar arquivos (programas), localizados em pastas. Os usuários também podem listar o conteúdo de uma pasta, e ler os dados contidos na pasta.
• Listar conteúdo das pastas: Permite aos utilizadores uma lista da pasta conteúdo, e ver os atributos dos arquivos e pastas.
• Escreve: Permite aos usuários criar novos arquivos e pastas, mudar os atributos de um arquivo ou pasta, substituir um arquivo, e exibir arquivos propriedade e permissão.
• Leia: A permissão Ler permite aos usuários visualizar um arquivo e subpasta quaisquer nomes, atributos, propriedades, a propriedade, e listar o conteúdo de uma pasta.

As permissões NTFS padrão atribuído sobre o \ Wwwroot (Default Web Site) estão listados abaixo. Para visualizar estas permissões,

1. Abra o Gerenciador do IIS
2. Na árvore do console, clique com o botão direito do Default Web Site e clique em Permissões no menu de atalho.
• Administradores: Os usuários que pertencem ao grupo de segurança Administradores têm controle total sobre o \ Wwwroot. Os administradores têm as seguintes permissões padrão:
• Controle Total, Modificar, Ler & Executar, Listar Conteúdo das Pastas, Escrever e Ler
• Users: Este grupo tem como padrão Os usuários membros do grupo, e os membros do grupo têm as seguintes permissões:
• Ler & Executar, Listar conteúdo de pastas e Leitura
• SISTEMA: Este é um espaço construído, em grupo (identidade), criado pelo Windows Server 2003. SYSTEM tem as seguintes permissões padrão:
• Controle Total, Modificar, Ler & Executar, Listar Conteúdo das Pastas, Escrever e Ler
• IIS_WPG: IIS_WPG é um novo grupo no IIS 6. Contas de usuários neste grupo são usadas como processo de identidades para o trabalhador processos associados com a aplicação piscinas. IIS_WPG tem as seguintes permissões padrão:
• Ler & Executar, Listar conteúdo de pastas e Leitura
• Internet Guest Account: Este grupo pode ser usado para permitir que usuários anônimos para acessar o conteúdo de sites.
• A permissão Leitura está definida como Negar

Quando um novo Web site é criado, as permissões padrão atribuídas a principais de segurança são:

• Administradores: Controle total
• Usuários: Ler & Executar
• Sistema: Controle total
• Criador Proprietário: permissões especiais
• Internet Guest Account: Não permissões são atribuídas

Permissões da Web

Web IIS permissões ou permissões de acesso controlar o acesso ao conteúdo da Web no IIS locais. As permissões da Web que você pode configurar estão listados abaixo.

Para acessar a Web IIS permissões,

1. Abra o IIS Manager.
2. Clique com o botão direito site apropriado e selecione Propriedades no menu de atalho.
3. Quando a caixa de diálogo Propriedades do site abrir, clique no separador Directório inicial.
• Script Source Access: Quando selecionada, os usuários serão capazes de acessar o código fonte das páginas ASP, e alterá-las quando a permissão Escrever também é ativado. Recomenda-se apenas a permitir que essa permissão em servidores utilizados para fins de desenvolvimento.
• Leia-se: Quando selecionada, os usuários podem ler ou baixar arquivos que estão localizados no diretório.
• Escreve: Quando seleccionada, os utilizadores podem adicionar e alterar o conteúdo da Web.
• Directory Browsing: Quando ativado, os usuários têm permissão para pesquisar o diretório estrutura.
• Log Visitas: Você pode habilitar log para o site, selecionando a opção Criar log de visitantes. Você também deve selecionar a opção Enable Logging na guia Site da Web quando você selecionar a opção Criar log de visitantes.
• Índice este recurso: Quando seleccionada, o Microsoft Windows Indexing Service Content cria um índice da pasta.

Você pode configurar permissões da Web nos seguintes níveis no IIS:

• Para todos os sítios Web: Você pode configurar as permissões para todos os sites da Web por meio da guia Pasta da Web Sites nó da caixa de diálogo Propriedades. Todos os sites no servidor IIS que herdam essas permissões.
• Para um site específico (s): Você pode configurar permissões para um Web site específico através do separador Directório inicial de que determinado site caixa de diálogo Propriedades.
• Para um diretório específico ou diretório virtual: Quando você configurar permissões da Web no nível do diretório ou diretório virtual, as permissões são herdadas por todos os arquivos dentro do diretório específico. Você pode configurar permissões da Web para um diretório específico através do separador Directório de que determinado diretório da caixa de diálogo Propriedades. Permissões da Web pode ser configurado para um diretório virtual específico através do separador Virtual Directory desse especial diretório virtual do caixa de diálogo Propriedades.
• Para um determinado arquivo localizado em um diretório virtual: Você pode configurar permissões da Web para um arquivo em um diretório virtual, através do Arquivo guia do arquivo da caixa de diálogo Propriedades.

Quando um usuário não pode acessar um site da Web,

• Verifique permissões que foram configurados para o diretório home.
• Se o acesso anônimo está ativado, verifique se a senha não foi especificado.
• Verifique se algum Endereço IP e Domain Name restrições tenham sido configurado, o que pode negar o acesso para o usuário.

Endereço IP e Domain Name Restrictions

Você pode restringir o acesso a Web o endereço IP nível por apenas permitindo aos usuários acessar um site que está usando um endereço IP a partir de uma lista predefinida de aprovados endereços IP. Desta forma, você pode controlar o acesso a sites, diretórios e arquivos com base em endereços IP ou nomes de domínio.

Para fazer isso,

1. Abra o IIS Manager.
2. Clique com o botão direito no Web site da árvore do console, e selecione Propriedades no menu de atalho.
3. Quando a caixa de diálogo Propriedades do Web site abrir, clique na guia Segurança de diretório.
4. Em Endereço IP e Domain Name Restrictions seção do guia Directory Security, clique no botão Editar.
5. Quando o nome de domínio e endereço Restrições caixa de diálogo, você pode especificar que todos os computadores têm acesso, ou você pode especificar os computadores que não deve ser concedido acesso ao enumerar os seus endereços IP ou nome de domínio.
6. Clique no botão Adicionar para incluir nomeadamente endereços IP dos usuários em uma lista.
7. Clique em OK.

Aplicação de segurança no IIS

Aplicação de segurança no IIS envolve os seguintes processos:

• A ativação ou desativação Web Service Extensions (WSE): Para executar os aplicativos da Web dinâmico com o IIS, primeiro você tem de usar o nó Extensões de serviço Web no IIS Manager para permitir ou proibir de extensões de serviço Web listados abaixo:
• ASP
• ASP.NET
• Extensões ISAPI
• CGI Extensões
• Front Page Server Extensions 2000 e 2002
• Internet Data Connector
• WebDAV apoio

Para acessar o Web Service Extensions (WSE),

1. Abra o IIS Manager
2. Selecione o nó Extensões de Servidor Web
• Especificando as permissões para executar aplicações. Essas permissões permitem aplicações em sites e diretórios virtuais para executar / run.
• Configurando a aplicação piscina identidades: Aplicação piscina identidades são configuradas para controlar a maneira pela qual trabalhador processos servir aplicação piscinas. Um processo de trabalho é um processo onde usuário aplicativo da Web desenvolvido o código é executado. Um processo de trabalho é, na realidade, um processo anfitrião, chamado w3wp.exe. Trabalhador processos processo o usuário solicitar recebeu do Http.sys filas. O trabalhador processos também retorna uma página estática ou dinâmica página para o cliente solicitando através Http.sys. Um processo de trabalho pode receber o seguinte:
• Aplicativos ASP
• ISAPI aplicações e filtros
• CGI aplicações
• Conteúdo estático

Um pedido conjunto é constituído pelos seguintes componentes:

• Um modo kernel Http.sys pedido fila
• Uma única instância ou de múltiplas instâncias de w3wp.exe - trabalhador processos.

As melhores práticas para escrever código seguro para ASP ou aplicações ASP.NET são:

• ASP páginas não devem conter qualquer rígido-codificado administrador conta nomes e conta administrador senhas.
• SSL (Secure Sockets Layer) é uma tecnologia de criptografia pode ser usada para encriptar cookies de sessão.
• Informações sensíveis ou confidenciais e os dados não devem ser armazenados em campos ocultos em páginas da Web e em cookies.
• Você deve verificar em todos os momentos e validar formulário de entrada antes de ele ser processado.
• Você não deve utilizar as informações de cabeçalhos de solicitação HTTP código decisão ramos para aplicações.
• Esteja atento a buffer overflows gerada pelo mórbido codificação normas.

Como activar ou desactivar extensões de serviço Web usando o nó Extensões de serviço Web no IIS Manager

1. Abra o Gerenciador do IIS
2. Selecione o nó Extensões de Servidor Web
3. Para ativar uma extensão do serviço Web, clique com o botão direito à prorrogação, e selecione Permitir.
4. Para desativar uma extensão de serviço Web, clique com o botão direito à prorrogação, e selecione Prohibit.

Como activar ou desactivar ISAPI CGI e Extensões

1. Abra o Gerenciador do IIS
2. Selecione o nó Extensões de Servidor Web.
3. Se você quiser ativar todas as extensões ISAPI e CGI para ser executado, tanto as permissões Permitir Desconhecido ISAPI extensões e as opções Permitir Unknown CGI Extensions na guia Padrão.
4. Você pode mudar para a alternativa Extensão vista. Você faz isso clicando no separador Extensão localizado na parte inferior do painel de detalhes.
5. Especificar quais as aplicações são permitidas.
6. O método descrito é apenas uma opção melhor do que permitir que todas as extensões ISAPI e CGI para ser executado no IIS Server.

Como permitir que todas as extensões de serviço da web para uma aplicação específica

1. Abra o Gerenciador do IIS
2. Selecione o nó Extensões de Servidor Web
3. Mudar para a visualização clicando no Extensão Extensão guia localizada na parte inferior do painel de detalhes.
4. Clique a permitir que todas as extensões de serviço da web para uma aplicação específica.
5. Seleccione a aplicação a partir da lista disponível.
6. Clique em OK.

Como adicionar uma nova extensão de serviço da web

1. Abra o Gerenciador do IIS
2. Selecione o nó Extensões de Servidor Web
3. Mudar para a visualização clicando no Extensão Extensão guia localizada na parte inferior do painel de detalhes.
4. Clique em Adicionar uma nova extensão de serviço da web opção.
5. Quando a nova extensão de serviço da web caixa de diálogo abre, digite um nome para o novo web extensão. Este é o nome que será exibido no Gerenciador do IIS.
6. Para ISAPI, escolher as DLLs que requer a nova extensão.
7. Para CGI, escolher o EXEs exige que a nova extensão.
8. Clique em OK

Como configurar permissões para executar aplicações a correr

Executar permissões (permissões aplicação) são configurados na guia Home Directory ou na guia Diretório virtual que contém a aplicação raiz. Aplicação raízes podem existir no diretório home de um site, ou em um diretório virtual de um site.

Para configurar permissões executar,

1. Abra o IIS Manager
2. Navegue até a guia Home Directory ou na guia Diretório virtual.
3. O Execute Permissions lista pendente caixa contém as seguintes opções:
• Nenhuma, apenas permite o acesso a arquivos estáticos. Selecionando a opção Nada impediria a execução de aplicações dinâmicas
• Apenas Scripts, proíbe o funcionamento dos executáveis, permitindo simultaneamente a execução de scripts.
• Scripts e executáveis, scripts e executáveis estão autorizadas a executar.

Como criar aplicação piscinas

1. Abra o IIS Manager.
2. Clique com o botão direito Application Pools nó na árvore de console, e selecione Novo e, em seguida, Application Pool no menu de atalho.
3. Quando o Add New Application Pool caixa de diálogo abre, digite um nome para o novo pedido piscina.
4. Você pode especificar se as configurações padrão devem ser utilizadas para a nova piscina, ou você pode especificar que as configurações existentes de um pool ser utilizado para a nova aplicação piscina.
5. Clique em OK

Como atribuir uma aplicação para uma aplicação piscina

1. Abra o IIS Manager
2. Clique com o botão direito apropriado nó na árvore de console, e clique em Propriedades no menu de atalho.
3. Clique no separador Directório inicial.
4. Selecione o pool de aplicativos a partir da lista Application Pool.
5. Clique em OK

Selecionando uma aplicação piscina identidade
Você pode escolher entre as seguintes built-in contas serviço do Windows Server 2003:

• Network Service conta: A conta Network Service é a conta recomendado para uso. Na verdade, é a conta padrão utilizado pelo IIS porque tem o menos privilégios, e é mais flexível do que a conta Serviço Local e de a conta Sistema local. As características do serviço de rede conta são os seguintes:
• A conta Network Service não tem senha.
• É um membro do grupo Todos e ao grupo Usuários autenticados.
• A conta Network Service tem um nome interno de NT AUTHORITY \ NetworkService
• Conta Serviço Local: A conta Serviço Local tem os direitos e privilégios idênticos que não o da conta Network Service. No entanto, a conta Serviço Local só podem acessar recursos no computador local. As características do Serviço Local conta são os seguintes:
• A conta Serviço Local não tem senha.
• É um membro do grupo Todos e ao grupo Usuários autenticados.
• A conta Network Service tem um nome interno de NT AUTHORITY \ LocalService
• Local System Account: Recomenda-se não seleccionar esta conta porque dos privilégios associados a ele. As características do sistema local conta são os seguintes:
• A conta Sistema local não tem qualquer senha.
• A conta Sistema local tem um nome interno de \ LocalSystem
• Processos em execução sob a conta ter os mesmos privilégios do Service Control Manager. Esta é a entidade que controla os serviços de rede em execução no computador específico.

Como configurar uma aplicação personalizada piscina identidade Para aumentar a segurança, é recomendado para configurar personalizado processo para as diferentes identidades aplicação piscinas você tem. Isto impediria que um aplicativo que está comprometida a partir de comprometer todas as aplicações no servidor do IIS.

Para criar um aplicativo personalizado piscina identidade,

1. Criar uma conta de usuário do domínio ou uma conta de usuário local
2. Adicione a conta de usuário recém-criada para o grupo IIS_WPG, um novo grupo no IIS 6. Contas de utilizador no grupo IIS_WPG são utilizados como processo identidades para o trabalhador processos associados com a aplicação piscinas.
3. Abra o Gerenciador do IIS.
4. Clique com o botão direito aplicação adequada piscina, e selecione Propriedades no menu de atalho.
5. Clique na guia Identidade.
6. Se pretender seleccionar um built-in do serviço de contas do Windows Server 2003, selecione a conta a partir da lista suspensa predefinidos. A opção Predefinida estiver ativado por padrão.
7. Se pretender seleccionar uma conta de usuário do domínio ou uma conta de usuário local que você tem especificamente criada, selecione a opção Configurável.
8. Clique no botão Procurar para escolher a conta de usuário do domínio ou uma conta de usuário local como o pool de aplicativos identidade.
9. Clique em OK.

Como habilitar pais caminhos para uma aplicação
Embora geralmente não é recomendado para permitir caminhos-mãe, pode haver ocasiões em que você pode precisar ativá-los, para que seus aplicativos mais antigos podem trabalhar. A mãe é uma característica caminhos ASP característica específica. Quando ativado, você pode usar declarações ("..") trajectória ascendente arquivo de acesso. Devido a vulnerabilidades de segurança associadas a mãe caminhos, ele está desativado no IIS 6.