转载自:http://www.greenwww.org/html/19/t-1619.html
安装 Windows Vista™ 时,不会自动安装 IIS 7.0。而必须由您自己决定是否安装 IIS 7.0。这是一项安全预防措施,可保护您的计算机免受基于 Web 的病毒或攻击者的攻击。
为了提高安全性,在安装 IIS 7.0 之后,Web 服务器将仅提供静态内容。要为 Web 服务器提供更多保护,必须至少采用下面的一项安全措施。
身份验证
身份验证用于确定哪些人有权访问 Web 服务器上的资源。IIS 7.0 支持以下几种基于质询的身份验证方法:
匿名身份验证(默认情况下启用)
基本身份验证
摘要式身份验证
Windows 身份验证(默认情况下启用)
IIS 7.0 还支持 Forms 身份验证(一种基于登录重定向的身份验证方法),以及 Active Directory 身份验证(要求将客户证书映射到 Active Directory 用户帐户)。
名为 IIS_IUSRS 的新 Windows 内置组代替了本地 IIS_WPG 组。同样,名为 IUSRS 的新增 Windows 内置帐户代替了 IIS 6.0 的本地 IUSR_MachineName 匿名帐户。但 FTP 将继续使用 IUSR_MachineName 帐户。
授权
授权决定特定用户可以访问 Web 服务器上的哪些资源。使用 IIS 7.0,您可以配置 URL 授权规则,以授权或拒绝特定计算机、计算机组或域访问服务器上的站点、应用程序、目录或文件。
服务器证书
服务器证书为用户提供了一种在传输个人信息(例如信用卡号码)之前,确保其位于正确网站的方法。证书还可以标识访问服务器的用户。通过使用 IIS 证书映射,您可以将客户证书映射到一个或多个用户。另外一种映射客户证书的方法是使用 Active Directory 证书映射。
ISAPI 和 CGI 限制
如果没有配置扩展限制,则可在您的 Web 服务器上运行动态内容(例如应用程序或脚本)。例如,如果您希望 Web 服务器仅提供静态内容,则必须阻止在服务器上运行特定的文件类型。
请求筛选
如果希望限制 Web 服务器处理的 HTTP 请求的类型,可以配置 IIS 7.0 分析每个传入请求的特定条件。过去,此配置要求下载 UrlScan 2.5 版安全工具。但 IIS 7.0 简化了筛选过程,它现在集成了 UrlScan 2.5 版安全工具的功能。
.NET 角色
您可以使用 IIS 7.0 将 .NET 用户组织到名为 .NET 角色的组中。角色允许您同时针对多个用户执行与安全有关的操作,例如授权。
SSL 设置
安全套接字层 (SSL) 有助于在 Web 服务器与客户端之间建立安全通信。如果用户要向 Web 服务器发送机密信息,则必须使用 SSL。IIS 7.0 支持 40 位和 128 位 SSL,并允许您基于每个网站来忽略、接受或要求客户证书。
.NET 信任级别
在 IIS 7.0 中配置 .NET 信任级别可以阻止 Web 服务器上运行的应用程序不适当地访问文件夹和文件。
.NET 用户
使用 IIS 7.0,您可以定义要与某个应用程序相关联的用户标识。只有那些已定义的用户标识可以访问应用程序。