Windows操作系统的IIS是大家最常用的Web服务器之一。IIS功能强大、简单易用,但也容易受到恶意攻击,它的安全性一直是大家谈论的焦点,为了增强Web服务器的安全性,在Windows Server 2003操作系统的IIS6中增加了很多安全防范功能,“URL授权”就是其中之一。该功能可以使得IIS6更加安全稳定地工作,本文就向大家介绍一下有关URL授权的相关的知识。
) F4 k& V$ p) y3 o
: Y8 S: H4 k9 {- w一、为什么使用URL授权* G) m7 T( ?8 w u; q9 i6 f
5 u0 r5 T, r1 S
IIS网站为用户工作提供便利,但它的安全性一直是管理员最关心的话题。众所周知,IIS服务器组件存在一些漏洞,很多“不法之徒”利用这些漏洞对网站进行攻击。虽然及时安装IIS补丁可以修复这些漏洞,但新的漏洞又会不断出现。很多管理员采用取消匿名访问权限方式来控制访问网站的用户范围,但此方式还是存在一定的安全隐患。为了增强IIS的安全性,在Windows Server 2003系统中提供URL授权功能,它可以通过授权管理器对浏览网站的用户进行严格的控制。如要想让某个用户账户能访问启用了URL授权功能的虚拟目录,首先这个用户账号必须是Windows Server 2003系统合法的账号。此外,还要将该账号添加到授权管理器的角色分配项中。
5 E e% w8 I9 x7 I. \$ y9 P3 j( {' {4 s- ~: G
二、配置URL授权功能2 ^! p* \, Y8 n: H# ~ \% T0 }: N
; f% O. r. ~$ X
IIS6默认情况下并没有启用URL授权功能,必须结合授权管理器进行手工配置才能实现。下面笔者将一步步介绍如何实现。
. l: l3 Z( u% f' E1 F4 A3 l( A1 w8 D9 S3 H8 D% i; Z) E* R- {
1.禁用匿名访问
* q+ \" A' _- ?/ j4 N( u+ r: n* J# g% r% F& w$ e2 |' f
在Windows Server 2003系统中,IIS6默认是允许用户匿名访问的,要想使用URL授权功能,首先必须禁用匿名访问。点击“开始→运行”,在运行对话框中输入“%systemroot% \System32\InetSrv\IIS.msc”命令(其中“%systemroot%”表示操作系统所在目录)。回车后弹出“Internet信息服务(IIS)管理器”窗口,然后依次展开“本地计算机→网站→默认网站”。下面笔者以默认网站的Online虚拟目录为例,介绍如何配置URL授权功能。
: D) H) N6 `, [; ^
4 V/ n# k- S) A% ?; B右键点击“Online文件夹”选项,在弹出的菜单中选择“属性”,在弹出的Online属性对话框中,切换到“虚拟目录”标签页,点击“创建”按钮。在“目录安全性”标签页的身份验证和访问控制栏中点击“编辑”按钮,在弹出的身份验证方法对话框中,取消“启用匿名访问”前的钩选,确保“集成Windows身份验证”选项被选中(如图1),然后两次点击“确定”按钮。
3 j. o6 q/ A# @% I6 W" A
; Z+ i# y- h8 N: w, R9 D1 L
7 D" b( p3 K$ t1 S4 a
9 h6 F5 K. o S( P3 g4 W
% p( m% ]8 C7 Z G) A* Q
0 m# ^( p. w* ~" l* @4 `- j1 K* D
- N# |( O* i, d# w( a4 E' R
9 r8 Q. Q' s- M5 N2 m; A/ \
2.配置通配符应用程序映射
% H; Y( I4 x. c
8 H+ V0 A6 M; M" J: p
禁用了匿名访问功能后,我们就正式开始进行配置。首先要为URL授权功能配置通配符应用程序映射。在Online属性对话框的虚拟目录标签页中,点击“配置”按钮,弹出“应用程序”对话框,点击“通配符应用程序映射”栏中的“插入”按钮(如图2),在“添加/编辑应用程序扩展名映射”对话框中点击“浏览”按钮,进入到“%systemroot% \System32\InetSrv”目录,找到urlauth.dll文件后,点击“打开”按钮,最后点击“确定”按钮。
+ Z) t( E/ A# v5 i. g
9 o4 B1 n. a4 S# x
4 y! d @( E6 F, y+ e4 `* F
, g( u; h4 V ]2 r# {0 M; w3 J- W0 S" s/ w1 t
