9. IIS 5.0安全性

本章重点
 

介绍IIS 5.0於安全性上的功能,包括验证、存取控制、稽核。

IIS 5.0安全性
 

Internet Information Services 5.0的安全,包括验证、存取控制、稽核、及凭证,简介如下:

本章介绍验证、存取控制、及稽核,并将在下两章介绍凭证。

9-1 何谓验证(Authentication)呢?
 

验证(Authentication)
 

所谓验证(Authentication),系指使用者存取IIS伺服器上的资讯前,先要求使用者使用一个Windows使用者帐户的身份来登入。验证可以在Web站台、虚拟目录,或档案层级设定。

对於WWW而言,IIS提供了下列的验证方法,一个Web站台、虚拟目录,或档案可选择一或多个适当的验证方法:

  •  匿名存取: 允许使用者使用匿名来建立连线。使用  IUSR_电脑名称  帐户身份登入IIS。任何浏览器都可用。
     
  •  基本验证(Basic Authentication): 采用基本验证方式,於使用者登入IIS时须输入使用者名称和密码来建立连线时,会将使用者的名称及密码以未加密的格式透过网路传输,使用网路监视工具即可以於网路传输中拦截和破解使用者名称及密码。
     
  •  摘要式验证(Digest Authentication): 采取 摘要式验证 方式,於使用者登入IIS时须输入使用者名称和密码来建立连线时,透过网路传送「杂凑值」而非密码,可以跨越proxy伺服器或其他防火墙。使用Windows使用者帐户的身份来登入时,透过网路传送「杂凑值」而非密码,可以跨越proxy伺服器或其他防火墙。只有在具有Windows 2000的网域主控站的网域,加上IE 5.0的使用者浏览器才能使用 摘要式验证 方式。
     
  •  整合的Windows验证: 於使用者登入IIS时不须输入使用者名称和密码即可建立连线,即以前「Windows NT挑战与回应」验证(或称为NTLM),加上新的Kerberos v5验证通讯协定(Kerberos v5 Authentication Protocol)方式。使用者的浏览器以交换密码的方式来确认使用者的身份,唯有IE 2.0以後的版本才支援。不可以跨越proxy伺服器或其他防火墙。适用於私有之intranet网路。
     
  •  凭证验证: 可以将用户端凭证和Windows使用者帐户对应在一起,之後每次使用者使用用户端凭证登入时,Web伺服器便会自动地验证使用用户端凭证登入的使用者,而不需使用 基本验证  摘要式验证  整合的Windows验证 方式。
     

对於FTP而言,IIS提供了下列的验证方法:

  • 匿名FTP验证:允许使用者使用匿名来建立连线。使用  IUSR_电脑名称  帐户身份登入IIS。
     
  • 基本FTP验证:使用一个有效的Windows使用者帐户的身份来登入,使用者登入IIS时须输入使用者名称和密码来建立连线。以未加密的方式传输密码。
     

优先顺序
 

一个Web站台、虚拟目录,或档案同时使用多种验证方式时,优先顺序为:

  1.  匿名存取 验证方式。
  2.  摘要式验证  整合的Windows验证 验证方式。
  3.  基本验证 验证方式。

当优先顺序较高的验证方式验证失败时,才会使用次高的验证方式来验证。

以预设的验证方式为 匿名存取  整合的Windows验证 方式而言,当匿名存取失败或档案及目录的存取受到NTFS权限的限制时,Web伺服器才可使用 整合的Windows验证方式 

因此如果确定需使用 摘要式验证  整合的Windows验证 来验证使用者的身分时,您不能也选择 匿名存取 的验证方式;而只用 基本验证 来验证使用者的身分时,则您不能也选择其他的验证方式。

设定
 

如何设定验证方法呢?步骤如下:

  1.  Internet服务管理员 中,选择一个站台、虚拟目录或档案,按下滑鼠右键开启 内容 ,选取 目录安全设定 、或 档案安全设定 标签页,如下:
     

  2.  匿名存取及验证控制 按下 编辑 按钮,如下:
     

即可选择一或多个适当的验证方法。

本章有关验证的主题如下:

  • 如何设定匿名存取验证方式呢?
     
  • 如何设定基本验证验证方式呢?
     
  • 如何设定摘要式验证方式呢?
     
  • 如何设定整合的Windows验证方式呢?
     
  • 如何设定FTP验证方式呢?
     

9-2 如何设定匿名存取验证方式呢?
 

匿名存取
 

采取匿名存取方式时,允许使用者使用匿名来建立连线,而不需要输入使用者名称和密码。

使用者会使用匿名或来宾帐户登入伺服器,匿名的预设Windows使用者帐户为 IUSR_电脑名称 ,电脑名称是执行IIS的伺服器名称。

 IUSR_电脑名称 使用者帐户包含於Windows的Guests使用者群组中,可利用NTFS档案目录指定存取许可权。另外,您可以在Windows变更 IUSR_电脑名称 帐户的安全性特殊权限,若匿名的使用者帐户并没有权限存取某些资源时,伺服器会拒绝建立此资源的连线。

采取匿名存取方式时,IIS使用 IUSR_电脑名称 使用者帐户登入,检查此帐户和所属Guests使用者群组之NTFS档案目录的权限,判断是否允许此帐户存取这个档案:

  • 若允许存取,则使用者可使用此资源。
     
  • 若不允许存取,则IIS会尝试使用其他的验证方法。
     
  • 如果没有选择使用任何的验证方法,或未通过其他的验证方法时,IIS将传回一个 HTTP 403 拒绝存取的错误讯息给浏览器。
     

如果IIS伺服器上有多个Web或FTP站台,可以设定不同的存取权限,方法为建立多个匿名帐户,每一个帐户都给予不同的存取权限,或指定这些匿名帐户给不同的存取权限的Windows使用者群组,再将不同Web或FTP站台、目录,或档案,各自使用不同的匿名帐户。

当启用 匿名存取 和其他验证方式时,IIS会先使用 匿名存取 验证,若未通过 匿名存取 验证,才会使用其他所启用的验证方式。

匿名帐户一定要有登入本机的使用者权利,在预设的情况下,网域主控站的 IUSR_电脑名称帐户 并没有赋予登入本机的权利,须改成「登入本机」,才能允许匿名登入。若要设定「登入本机」的使用者权利,您可以使用ADSI(Active Directory服务介面)来变更。

匿名存取设定
 

如何设定为采取 匿名存取 方式呢?

步骤为在 Internet服务管理员 中,选取一个Web站台、目录或档案,按右键选择 内容 ,选取 目录安全设定  档案安全设定 标签页,在 匿名存取及验证控制 下,按下 编辑 按钮,在 验证方法 中,勾选取 匿名存取 核取方块,如下画面:


 

变更匿名验证所使用的帐户
 

若要变更用於 匿名存取 验证的Windows使用者帐户,请按下 匿名存取 右边的 编辑 按钮,便可以选择使用什麽帐户做为匿名登入:


 

一旦您变更了 IUSR_电脑名称 匿名使用者帐户,会影响到Web伺服器所有的匿名要求。

匿名使用者登入IIS时并不需输入使用者名称和密码。选取 允许IIS来控制密码 ,表示此帐户登入IIS的密码与登入Windows相同。若不勾选 允许IIS来控制密码 ,则可以修改密码,如下:


 

修改密码後,因与登入Windows的密码不同,登入IIS时将无法进行匿名验证,并出现如下画面:


 

9-3 如何设定基本验证验证方式呢?
 

基本验证
 

基本验证方式,会将使用者的名称及密码以未加密(密码会以Base64方式来编码)的格式透过网路传输,使用网路监视工具即可以於网路传输中拦截和破解使用者名称及密码。

因此除非确定在使用者和IIS伺服器之间的连线是安全的(例如直接用缆线连接或专线),才建议您使用基本验证方式。

您可以将SSL(Secure Sockets Layer)加密功能,使用於 基本验证 方式,来加强使用者帐户在网路上传递的安全。

使用者登入IIS时,须输入使用者名称和密码来建立连线,将出现如下画面:


 

用户端的浏览器方面,由於基本验证方式采用标准HTTP规格,因此大部分的浏览器都支援基本验证方式。

若同时启用 基本验证  整合的Windows验证 方式,则登入IIS时会先使用 整合的Windows验证 验证方式。当未通过 整合的Windows验证 验证,才会使用 基本验证 验证方式登入IIS。

说 明

因为 基本验证 会模拟一位本机使用者,所以使用 基本验证 的Windows使用者帐户必须具有「登入本机」的使用者权利。Windows预设主要网域控制站(PDC)内的使用者帐户,并没有「登入本机」之使用者权利。若要设定「登入本机」的使用者权利,您可以使用ADSI(Active Directory服务介面)来变更。

设定
 

如何设定为采取 基本验证 方式呢?

步骤为在 Internet服务管理员 中,选取一个Web站台、目录或档案,按右键选择 内容 ,选取 目录安全设定  档案安全设定 标签页,在 匿名存取及验证控制 下,按下 编辑 按钮,并在 验证方法 中,勾选取 基本验证 ,画面如下:


 

设定预设的登入网域
 

若登入网域为本机以外的网域,则登入IIS时须在使用者的名称前加上「\网域」,如下:


 

若想修改预设的登入网域为本机以外的网域,请按下 基本验证 右边的 编辑 按钮,可将Web网站预设的登入网域设定为本机以外的网域,如下:


 

如此一来,登入所预设的登入网域时,就不须於使用者的名称前加上此登入网域。

9-4 如何设定摘要式验证方式呢?
 

摘要式验证
 

采取 摘要式验证 方式,使用者登入IIS时须输入使用者名称和密码来建立连线时,透过网路传送「杂凑值」而非密码,可以跨越proxy伺服器或其他防火墙。

 摘要式验证 方式依下列方式进行:

  1. 当伺服器验证方式设定为 摘要式验证 时,IIS伺服器会传送「某些资讯」到浏览器。
  2. 然後浏览器将此「某些资讯」加上其使用者名称、密码和「其他资讯」(「其他资讯」会加入时间戳记,以防止其他人复制杂凑值和再次使用它),进行杂凑运算产生浏览器「杂凑值」,再将浏览器「杂凑值」和「其他资讯」(纯文字)经由网路传送到IIS伺服器。
  3. 最後IIS伺服器会将「某些资讯」、「其他资讯」等所有的资讯执行杂凑运算以产生伺服器「杂凑值」,并与浏览器所产生的浏览器「杂凑值」比对,若两个「杂凑值」数字完全相同时,才会授与存取权。「其他资讯」会加入到一个用户端密码的纯文字副本。

杂凑运算所产生的「杂凑值」,即使提供杂凑演算法,也不可能还原成原始的讯息。相同讯息经过杂凑运算所产生的「杂凑值」,每次都相同;而不同的讯息(即使两个讯息只有一个位元不同) 经过杂凑运算会产生成不同的杂凑值。大部分常用的「杂凑值」数字长度是128或160位元。

因为 基本验证 的密码会被拦截,而 摘要式验证 透过网路传送「杂凑值」而非密码,因此 摘要式验证 验证方式比 基本验证 好。

 摘要式验证 方式可跨过proxy伺服器和其他的防火墙,且可用在WebDAV(Web Distributed Authoring and Versioning)上。

 摘要式验证 方式於伺服器和用户端的浏览器方面都有一些限制:

  • 伺服器方面,只有在具有Windows 2000的网域主控站的网域,才能使用 摘要式验证 方式。因为所有密码在网域主控站有一份纯文字的副本,须防范实体或网路是否会被入侵。
     
  • 用户端的浏览器方面,由於 摘要式验证 方式采用新的HTTP 1.1功能,目前唯有IE 5.0的浏览器才能使用 摘要式验证 方式。
     

设定
 

如何设定为采取 摘要式验证 方式呢?

步骤为在 Internet服务管理员 中,选取一个Web站台、目录或档案,按右键选择 内容 ,选取 目录安全设定  档案安全设定 标签页,在 匿名存取及验证控制 下,按下 编辑 按钮,并在 验证方法 中,勾选取 摘要式Windows网域伺服器验证 核取方块,画面如下:


 

勾选 摘要式Windows网域伺服器验证 时,须确定如下画面:


 

9-5 如何设定整合的Windows验证呢?
 

整合的Windows验证
 

采取 整合的Windows验证 方式时,使用者的浏览器以交换密码的方式来确认使用者的身份。

整合的Windows验证,即以前「Windows NT挑战与回应」验证(或称为NTLM),加上新的Kerberos v5验证通讯协定(Kerberos v5 Authentication Protocol)方式。使用整合的Windows验证时,用户端的浏览器会透过一种加密机制来验证密码,由於使用者名称和密码不会透过网路传送,因此整合的Windows验证是安全的验证形式。

使用整合的Windows验证时,若使用者已经登入Windows伺服器,使用者就不会看到要求输入其Windows帐户之使用者名称和密码的画面,但是验证失败时还是会提示使用者输入使用者名称和密码。而使用「基本验证」方式时,每次登入IIS时都会出现要求输入其使用者名称和密码的画面。

 整合的Windows验证 方式於伺服器和用户端的浏览器方面都有一些限制:

  • 伺服器方面,整合的Windows验证不可以跨越proxy伺服器或其他防火墙。
     
  • 用户端的浏览器方面,唯有IE 2.0以後的版本才支援整合的Windows验证方式。
     

因此 整合的Windows验证 最适合用於intranet环境。

使用整合的Windows验证时,若Windows伺服器上安装「Active Directory」(目录服务),而且使用与Kerberos v5验证通讯协定相容之浏览器(IE 2.0以後的版本),才可以使用Kerberos v5验证方式,否则只能使用「Windows NT挑战与回应」验证方式。

使用Kerberos v5验证方式时,用户端和伺服器两者都必须有连到KDC(Key Distribution Center)的信任连线,并且与「Active Directory」(目录服务)相容。

若同时启用 匿名存取  整合的Windows验证 方式时,则登入IIS时只会使用 匿名存取 验证方式。当未通过 匿名存取 验证,才会使用 整合的Windows验证 验证方式登入IIS。

设定
 

如何设定为采取 整合的Windows验证 方式呢?

步骤为在 Internet服务管理员 中,选取一个Web站台、目录或档案,按右键选择 内容 ,选取 目录安全设定  档案安全设定 标签页,在 匿名存取及验证控制 下,按下 编辑 按钮,并在 验证方法 中,勾选 整合的Windows验证 核取方块,画面如下:


 

您学会了吗?

9-6 如何设定FTP验证方式呢?
 

FTP验证(FTP Authentication)
 

对於FTP而言,IIS提供了下列的验证(Authentication)方法:

  •  匿名FTP验证: 允许使用者使用匿名来建立连线,使用 IUSR_电脑名称 帐户身份登入IIS,不会提示使用者输入名称或密码。
     
  •  基本FTP验证: 使用一个有效的Windows使用者帐户的使用者名称和密码登入,使用者登入IIS时须输入使用者名称和密码来建立连线。因为以未加密的方式传输密码,所以基本FTP验证不是非常安全。
     

FTP站台不能使用 摘要式验证  整合的Windows验证 方式。

设定FTP验证方法
 

如何设定FTP验证方法呢?

对FTP站台而言,只能对一个站台设定验证方法。

  1. 步骤为在 Internet服务管理员 中,选取一个FTP站台,按右键选择 内容 ,选取 安全设定帐户 标签页,然後选取 允许匿名连线 ,画面如下:
     

  2. 匿名登入使用者一般指定为IUSR_电脑名称,如果要变更,请输入 使用者名称  密码 。如果要变更密码,则先不勾选 允许IIS来控制密码 ,即可变更密码。 允许IIS来控制密码 表示密码同步,即密码和Windows使用者帐户相吻合,密码同步只有在本机电脑的匿名使用者帐户上才能使用。

若选取 只允许匿名连线 ,则表示要求所有的使用者都以匿名使用者登入。

9-7 何谓存取控制(Access Control)呢?
 

安全处理程序
 

每当使用者尝试存取Web伺服器或个别的档案时,伺服器的安全处理程序如下:

  1.  使用者帐户验证: 若设定非 匿名存取 的验证方式时,则浏览器会自动提供使用者帐户资讯,或提示要求输入使用者名称及密码的对话方块。
  2.  IP位址限制: 检查用户端的IP位址是否列於IIS中的IP位址限制表中。当此IP位址遭到拒绝时,则使用者浏览器会收到「403禁止存取」的讯息。
  3.  Windows帐户权限: IIS检查使用者的Windows帐户之权限,是否可以存取Web伺服器或个别的档案,如果无权限,则使用者浏览器会收到「403禁止存取」的讯息。
  4.  Web伺服器权限: 检查Web伺服器权限设定是否允许存取。
  5.  NTFS权限: IIS检查使用者是否有该资源的NTFS权限,如果无权限,则使用者浏览器会收到「401存取拒绝」的讯息。

存取控制(Access Control)
 

您可以设定Windows档案系统(目录或档案的NTFS权限)、与Web伺服器(Web伺服器权限、授与存取和拒绝存取)、资料库存取控制的安全功能,来控制使用者存取Web与FTP或个别的档案的内容。包括:

  •  目录或档案的NTFS权限: 使用NTFS可以设定存取Web伺服器的档案和目录的权限,授与或拒绝某些特定使用帐户或使用者群组的存取等级。
     
  •  Web伺服器权限: 对一个Web站台、目录或档案而言,您可以设定伺服器上的存取权限,这个Web伺服器权限设定是适用於所有的使用者。
     
  •  授与存取和拒绝存取: 对一个伺服器Web站台、目录或档案而言,您可以设定授与存取或拒绝存取的某些电脑、电脑群组或网域。
     
  •  资料库存取控制: 采用於资料库软体控制资料库的存取权限、设定资料库档案及目录NTFS权限、资料库存取使用者密码保护等措施可以确保资料库的存取安全。
     

本章有关存取控制(Access Control)的主题如下:

  • 如何设定目录或档案的NTFS权限呢?
     
  • 如何设定Web伺服器的权限呢?
     
  • 如何设定授与存取和拒绝存取呢?
     
  • 如何控制资料库存取的权限呢?
     

9-8 如何设定目录或档案NTFS权限呢?
 

目录或档案的NTFS权限
 

使用NTFS可以设定存取Web伺服器的档案和目录的权限,授与或拒绝某些特定使用帐户或使用者群组的存取等级。NTFS的权限等级如下:


 

  •  完全控制: 可以新增、修改、删除、移动档案,以及和档案相关的属性与目录,还可变更所有档案及子目录的权限设定。
     
  •  修改: 可以浏览、修改档案及档案属性,包括了在目录下新增、删除档案、或新增档案属性。
     
  •  读取与执行: 可以执行指令档、执行档。
     
  •  清单资料夹内容: 可以检视资料夹的内容清单。
     
  •  读取: 可以读取档案及档案属性。
     
  •  写入: 可以写入档案。
     

 拒绝 的优先权比 允许 要高。譬如,若将Everyone群组的存取权限设定成 拒绝 ,则包括Administrator的每个人都会无此存取权限。

当NTFS与Web伺服器的权限设定有冲突时,会采用最具限制性的严格设定。

当设定某一个目录或档案为 共用 时,预设的NTFS目录与档案权限为Everyone完全控制。

设定目录或档案的NTFS权限
 

  1. 执行 我的电脑  档案总管 ,选取要设定NTFS安全权限性的磁碟、目录或档案,然後按下滑鼠右键并开启 内容 。如下:
     

  2. 选择 安全 标签页,选取待要变更权限的Windows帐户,於 权限 下,勾选 允许 下的权限选项来允许存取,勾选 拒绝 下的权限选项来拒绝存取。如下:
     

  3. 若要新增使用者或群组的权限设定,在 安全 中,按下 新增 按钮以加入使用者或群组。如下:
     

  4. 按下 确定 按钮可以设定权限。请於 权限 下,勾选 允许 下的权限选项来允许存取,勾选 拒绝 下的权限选项来拒绝存取。如下:
     

  5. 若要移除使用者或群组的权限设定,请在 安全 标签页中,选择待移除之使用者或群组,按下 移除 按钮以移除使用者或群组。

9-9 如何设定Web伺服器的权限呢?
 

Web伺服器权限
 

对一个Web站台、目录或档案而言,您可以设定伺服器上的存取权限,这个Web伺服器权限设定是适用於所有的使用者。

Web伺服器权限的等级包括:

  •  读取: 可以读取或下载档案、目录以及相关的内容。
     
  •  写入: 可以变更写入档案内容及属性。
     
  •  指令档来源存取: 可以存取指令档的原始程式码(如ASP等)档案。同时也勾选 读取  写入 时,这个选项才有效用。若同时也勾选 读取 时,则可读取原始程式码;若同时也勾选 写入 时,则可写入原始程式码。选取此选项时,建议设定特定的Windows帐户才可以存取,并采用「摘要式」或「整合的Windows验证」验证方式,以确保安全。
     
  •  浏览目录: 可以检视此虚拟目录中档案与子目录的档案清单。
     
  •  日志查阅: 可以检视日志档内容,只有当启动此Web站台的记录功能时才有作用。
     
  •  编制这个资源的索引: 允许「Microsoft索引服务」提供这个目录的全文检索功能。
     

对於指令档(如ASP应用程式等)、或执行档,可以设定的使用权限等级包括:

  •  无: 不可以在伺服器执行指令档(如ASP应用程式等)、或执行档。
     
  •  指令: 可在伺服器执行指令档(如ASP应用程式等)。
     
  •  指令及执行档: 可以在伺服器执行指令档(如ASP应用程式等)、或执行档。
     

Web伺服器的权限和NTFS权限不同之处,为Web伺服器权限适用於所有存取Web和FTP站台的使用者(预设使用 IUSR_电脑名称 帐户); 而NTFS权限只针对特定Windows帐户使用者或群组而设定。Web伺服器权限控制Web或FTP站台之虚拟目录的存取;而NTFS控制伺服器之实体目录的存取。

Web伺服器权限设定
 

  1.  Internet服务管理员 中,选取Web站台、虚拟目录或档案,然後按下滑鼠右键开启 内容 , 选取 主目录  虚拟目录 、或 档案 标签页,即可设定Web伺服器权限,如下:
     

  2.  使用权限 中,设定适当的指令档(如ASP应用程式等)、或执行档使用权限。

FTP伺服器权限设定
 

 Internet服务管理员 中,选取FTP站台、虚拟目录或档案,然後按下滑鼠右键开启 内容 , 选取 主目录  虚拟目录 、或 档案 标签页,即可设定FTP伺服器权限,如下:

  •  读取: 可以检视档案内容。
     
  •  写入: 可以变更档案内容。
     
  •  日志查阅: 可以检视日志档内容。
     

9-10 如何设定授与存取和拒绝存取呢?
 

授与存取和拒绝存取
 

对一个伺服器Web站台、目录或档案而言,您可以设定授与存取或拒绝存取的某些电脑、电脑群组或网域:

  • 除了所条列的某些授与存取者外,可拒绝存取其他所有的电脑和网域:例如,除了IP位址192.123.98.23授与存取者外,拒绝其他所有的电脑和网域来存取。
     
  • 除了所条列的某些拒绝存取者外,可授与存取其他所有的电脑和网域:例如,除了IP位址以192.123.255为开头的所有电脑拒绝存取外,授与其他所有的电脑和网域可以存取。
     

设定的步骤如下:

设定授与存取的电脑、电脑群组或网域
 

  1. 若要除了所条列的某些授与存取者外,可拒绝存取其他所有的电脑和网域,请执行 Internet服务管理员 ,选取Web站台、虚拟目录或档案,然後按下滑鼠右键开启 内容 , 选取 目录安全设定  档案安全设定 标签页,如下:
     

  2. 按下 IP位址及网域名称限制 下的 编辑 按钮,选取 拒绝存取 选项,除了所条列的某些授与存取者外,可拒绝存取其他所有的电脑和网域,如下:
     

  3. 按下 新增 按钮,可选取 单一电脑  电脑群组  网域名称 选项,输入授与存取的IP位址,如下:
     


     

    按下 确定 按钮,即列出所设定的授与存取IP位址,除了所条列的某些授与存取者外,可拒绝存取其他所有的电脑和网域,如下:


     

  4. 若不知IP位址,按下 DNS搜寻 按钮,即可依名称来搜寻电脑IP位址或网域,如下:
     

设定拒绝存取的电脑、电脑群组或网域
 

  1. 若要除了所条列的某些拒绝存取者外,可授与存取其他所有的电脑和网域,请执行 Internet服务管理员 ,选取Web站台、虚拟目录或档案,然後按下滑鼠右键开启 内容 ,选取 目录安全设定  档案安全设定 标签页,按下 IP位址及网域名称限制 下的 编辑 按钮,选取 授与存取权 选项,除了所条列的某些拒绝存取者外,可授与存取其他所有的电脑和网域,如下:
     

  2. 按下 新增 按钮,可选取 单一电脑  电脑群组  网域名称 选项,输入拒绝存取的IP位址。可以根据电脑群组的网路ID和子网路遮罩来拒绝或授与存取,例如,若拒绝存取IP位址以192.123.255为开头的所有电脑,则设定主电脑的IP位址为192.123.255.23,子网路遮罩为255.255.255.0,表示此子网路的所有电脑的IP位址都以192.123.255为开头。如下:
     


    按下 确定 按钮,即列出所设定的拒绝存取IP位址,除了所条列的某些拒绝存取者外,可授与存取其他所有的电脑和网域,如下:
     

  3. 若不知IP位址,按下 DNS搜寻 按钮,可依名称来搜寻电脑IP位址或网域。注意,使用DNS搜寻会降低伺服器的效能。

9-11 如何控制资料库存取的权限呢?
 

控制资料库的存取
 

采用於资料库软体控制资料库的存取权限、设定资料库档案及目录NTFS权限、资料库存取使用者密码保护等措施可以确保资料库的存取安全,如下:

  1. 於资料库软体,控制使用者对於某一个资料库档案资料表、记录、及栏位的存取权限。
  2. 设定资料库档案以及目录的NTFS权限。
  3. 将资料库的使用者登入名称、密码放置於ODBC「资料来源名称」(DSN)以确保档案的安全性,如下:
     

  4. 确保内含使用者名称、密码资讯之.asp指令档案的安全性,建议转换成COM伺服器元件,让别人看不到程式原始码。

9-12 何谓稽核(Auditing)呢?
 

稽核(Auditing)
 

稽核(Auditing)可以追踪使用者动态,监视侦测可能的安全性问题。

稽核(Auditing)的范围包含:

  1.  目录或档案存取稽核: 监视在NTFS目录或档案中读取档案、写入档案、及浏览目录等事件,可以侦测可能的安全性问题。
  2.  伺服器事件稽核: 监视登入和登出Web伺服器、变更Web伺服器的安全原则、将伺服器关机等和伺服器有关的事件,可以侦测可能的安全性问题。
  3.  Web或FTP站台存取稽核: IIS记录档(位於%WinDir%\System32\ LogFiles) 记录着Web站台、FTP站台、虚拟目录、或档案之读取、或写入档案等尝试,由IIS记录档可以侦测可能的安全性问题。

本章有关稽核的主题如下:

  • 如何设定及监视稽核呢?
     
  • 如何侦测未经授权的存取呢?
     

9-13 如何侦测可能的安全性问题?
 

如何设定及监视稽核呢?
 

利用Windows档案总管、IIS服务管理员、及MMC主控台,可以监视Web伺服器的相关安全事件,找出档案或目录在安全上的漏洞。

将群组原则加入MMC主控台
 

若要使用稽核功能,首先您必须将群组原则加入MMC主控台。

  1. 首先开启一个新的MMC主控台,按下 开始 / 执行 ,并在 开启 中输入『MMC』以执行MMC,如下:
     

  2. 选择 新增/移除嵌入式管理单元 ,如下:
     

  3. 按下 新增 按钮,如下:
     

  4. 选取 群组原则 後,按下 新增 按钮,如下:
     

  5. 按下 完成 按钮即可稽核本机电脑,或按下 浏览 按钮稽核其他电脑,如下:
     


    您可以稽核另一台电脑,方法为按 浏览 按钮,按下 电脑 标签页之 另一台电脑 按钮,浏览选取待稽核的另一台电脑,最後按下 确定 完成 按钮。

  6. 按下 确定 後,即可将 群组原则 加入MMC主控台中,如下:
     

稽核特定目录或档案
 

因为稽核功能会耗费电脑的资源,建议稽核的范围(目录、档案、使用者、群组)愈特定愈好,譬如只选择特定某些档案作稽核,而非对整个目录稽核。

您可从远端对共用目录或档案之存取进行稽核。

若要稽核NTFS档案系统之目录或档案的存取动作,步骤如下:

  1.  Windows档案总管 选择待稽核的目录或档案,按滑鼠右键开启 内容 ,选择 安全 标签页,按下 进阶 按钮,如下:
     

  2. 选择 稽核 标签页,如下:
     

  3. 按下 新增 按钮,选取纳入稽核范围内之使用者、群组、或电脑後,按下 确定 按钮,如下:
     

  4. 选择适当的 存取 选项,从 套用在 下拉式清单中可变更稽核的范围。如下:
     


    按下 确定 按钮,如下:
     

设定伺服器事件的稽核功能
 

  1. 若要设定伺服器事件的稽核功能,请於包括 群组原则 之MMC主控台中,选择 稽核原则 之待稽核的事件(位於 电脑设定 / Windows设定 / 安全性设定 / 本机原则 ),按下滑鼠右键选择 安全性 ,如下:
     

  2. 选取待稽核的尝试,如下:
     

  3. 按下 确定 ,如下:
     

其他群组或使用者管理稽核
 

只有Administrators群组的成员才有权利来管理稽核与安全日志。

若要将管理稽核与安全日志的权限,授权给另一个群组或使用者帐户时,步骤如下:

  1. 於包括 群组原则 之MMC主控台中,选择 使用者权限指派  管理稽核与安全日志 (位於 电脑设定 / Windows设定 / 安全性设定 / 本机原则 ),按下滑鼠右键选择 安全性 ,如下:
     


    按下 新增 按钮,如下:
     

  2. 从帐户和群组清单中选取待授权之群组或使用者帐户後,按下 新增 按钮,如下:
     


    按下 确定 按钮,如下:
     

9-14 如何侦测未经授权的存取呢?
 

定期检阅「Windows安全记录」和IIS记录,藉由检视警告、错误的记录项目、或未经授权的存取尝试,可以侦测可能的安全性问题。

「Windows安全记录」可以封存起来以供日後使用。

侦测可能的安全性问题
 

  1. 若要由检阅「Windows安全记录」来侦测可能的安全性问题,方法为执行 控制台 / 系统管理工具 / 电脑管理 ,然後选择 系统工具 / 事件检视器 / 安全性 ,即可检视安全记录,如下:
     

  2. 请检测安全记录上可疑的安全事件,如下:
     
    • 无效的登入尝试事件。
       
    • 存取与修改.bat或.cmd档案失败。
       
    • 特殊权限使用失败。
       
    • 尝试更动安全特殊权限或稽核之记录。
       
    • 试图将伺服器关机。
       

侦测IIS可能的安全性问题
 

若要侦测IIS可能的安全性,可以检阅IIS记录档,方法为使用「记事本」等文字编辑器来开启IIS记录档(位於%WinDir%\System32\LogFiles),如下:


 

检查IIS可疑的安全事件,如下:

  • 可执行档或指令出现多次执行失败。
     
  • 将未经授权之可执行档案上载到某一个目录。
     
  • 可能因为网路流量遽增,或者因为存取遭拒的缘故,造成从单一IP位址的登入尝试失败。
     
  • 存取与修改.bat或.cmd档案失败。
     

储存Windows安全记录
 

您可以将「Windows安全记录」封存起来以供日後使用。若要储存Windows安全记录,方法为执行 控制台 / 系统管理工具 / 电脑管理 ,并於 系统工具 / 事件检视器 / 安全性 ,按下滑鼠右键选择 另存记录档 ,如下:


 

输入储存Windows安全记录的档案名称目录,即可储存Windows安全记录。