• Häufig gestellte Fragen
• Artikel
• Tutorials
• Web-Tools
• Referenz
• Blog
• Proxy
• Software
• Handys

• Microsoft IIS-Artikel
• Verständnis IIS 5 und IIS 6
• IIS-Performance Monitoring und Tuning
• Installieren von IIS 6.0
• Verwalten von IIS 5.0 und IIS 6.0
• Verwalten der IIS-Metabasis
• Publishing Content auf IIS
• Absichern von IIS
• SSL und IIS
• Troubleshooting IIS
• User-Authentifizierung in IIS
• Mit IIS Command Line Utilities für die Verwaltung IIS
• Verständnis und Verwalten von virtuellen SMTP-Server
• Was ist neu in IIS 6.0
• Artikel Menü
• »Windows Server
• »Microsoft Networking
• »Microsoft Security
• »Active Directory
• »Microsoft IIS
• »Microsoft IPSec
• »Microsoft DNS
• »Microsoft DHCP
• »Microsoft WINS
• »Microsoft Dateisysteme
• »Remote Access
• »Microsoft Exchange
• »Microsoft SMS
• »Microsoft ISA Server
• »Microsoft Biztalk Server
• Main Menu
• »Networking
• »Physical Layer
• »Data Link Layer
• »Network Layer
• »Network Security
• »Wireless Networks
• »VoIP
• »Telefonie
• »Mobile Telefonie
• »Elektronik
• »Radio
• »Fernsehen
• »Kryptologie
• »Passwörter
• »Smart Cards
• »Datenschutz
• »Malware
• »Sicherheitslücken
• »Unix
• »Macintosh
• »Microsoft Windows
• »Die Web -
• »Web-Publishing
• »E-Mail
• »Instant Messaging
• »Datenbanken
• »Computer-Hardware
• »CPU's
• »Memory
• »Storage
• »Video
• »Audio
• »Multimedia
• »Satellite
• »Java
• »IT-Management
• »Wissenschaft
• »Verschiedenes

Absichern von IIS

Authentifizierung in IIS

Authentifizierung in IIS prüft, ob ein Benutzer versucht, Zugang zu einer bestimmten Website, kann in der Tat auf ihn zugreifen. Die Authentifizierung ist der Prozess, der prüft, ob der Benutzer Zugriff auf die Seite, die er / sie versucht, den Zugang. Die Authentifizierungs-Methoden, die benutzt werden können, um Benutzer zu authentifizieren in IIS 6 sind unten aufgeführt. Jede Authentifizierungs-Methode kann verwendet werden, um Benutzer zu authentifizieren versucht, Zugriff auf Web-Sites. Jedoch nur anonymen Zugriffs und der Basic-Authentifizierung verwendet werden kann als Authentifizierungsmethode für FTP-Sites.

• Anonym Zugang: Diese Authentifizierungsmethode ist standardmäßig aktiviert sowohl für die Standard-Web-Site-und Standard-FTP-Site. Anonymer Zugriff erlaubt alle anonymen Benutzern den Zugriff auf den Inhalt der Web-Site. Anonymer Zugriff ist in der Regel verwendet für öffentliche Websites, die mit dem Internet verbunden sind.
• Basic-Authentifizierung: Dies ist der schwächste Authentifizierungsmethode für IIS, und sollte genutzt werden, wenn Sie nicht verwenden können, eine andere Authentifizierungsmethode. Basic-Authentifizierung benutzt ein Klartext-Benutzernamen und ein Passwort. Basic-Authentifizierung über einen Proxy-Server-Funktionen, und funktioniert mit allen Browser-Clients. Basic-Authentifizierung aktiviert ist für FTP-Sites, standardmäßig aktiviert.
• Integrierte Windows-Authentifizierung: Dies ist die sicherste Möglichkeit, die verwendet werden können für die Authentifizierung in IIS. Kerberos Version 5 zum Einsatz, wenn die Client-Browser die Unterstützung für das Protokoll. NTLM-Authentifizierung wird verwendet, wenn die Client-Browser nicht unterstützt Kerberos.
• Digest-Authentifizierung kann nur aktiviert werden, wenn Active Directory verwendet wird. Digest-Authentifizierung sendet der Benutzer Anmeldeinformationen über das Netzwerk durch den Einsatz einer verschlüsselten MD5-Hash.
• . NET Passport-Authentifizierung: In diesem Authentifizierungsmethode. NET Pässen verwendet werden für die Authentifizierung und die Authentifizierung erfolgt über einen Single-Sign-On-Methode. Die Anmeldedaten der Nutzer haben einzigartige Passport-Konten, die auf Passport-Server an das Internet angeschlossen. Die Passport-Server von Microsoft. IIS sendet die Passport-Informationen des Nutzers an den Passport-Server für die Authentifizierung, wenn ein Benutzer versucht, auf einem IIS-Web-Site.

So konfigurieren Sie eine Authentifizierungsmethode für eine Web-Site,

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf eine Web-Site in der Konsolenstruktur, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Website öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
4. In der Authentifizierung und Access Control Abschnitt der Registerkarte Verzeichnissicherheit, klicken Sie auf die Schaltfläche "Bearbeiten".
5. Die Authentifizierungs-Methoden Dialogfeld öffnet. Sie können die Authentifizierungsmethoden nur auf dieser Dialogbox.

NTFS-Berechtigungen

Bei der Sicherung von IIS durch Berechtigungen, die zwei Arten von Berechtigungen, die wichtig sind die NTFS-Berechtigungen und Web-Berechtigungen. NTFS-Berechtigungen bilden die Grundlage für die Windows Server 2003 und IIS-Sicherheit, und ob Benutzer sind erlaubt den Zugriff auf Dateien und Ordner, und der Ebene der Nutzer Zugang haben. Es gibt verschiedene Ebenen von NTFS-Berechtigungen in Windows Server 2003. Es gibt auch Unterschiede bei der NTFS-Berechtigungen werden auf Dateien, und wenn sie auf Ordner.
NTFS-Berechtigungen steuern, was Unternehmen kann der Zugriff auf bestimmte Teile der Festplatte System. Sie können den Zugang zu Ressourcen durch die entweder eine oder Berechtigungen zu leugnen und Gruppen verwendet. Resource Zugriffsrechte sind wie Access Control-Einträge (ACEs) auf eine Access Control List (ACL). Dies ist eine Komponente der Sicherheit Schlagwort jeder Ressource. Ein Benutzer kann dann nur auf eine Ressource zugreifen, wenn die Sicherheit des Zugangs-Token des Benutzers auf die Sicherheit (SIDs) in der Access Control-Einträge (ACEs) des Access Control List (ACL). Die Sicherheit des Zugangs-Token des Benutzers hält die SIDs der Benutzer-Account-und Gruppen-Accounts.
Die beiden Versionen von NTFS sind NTFS 4.0 und NTFS 5.0. NTFS 4.0 ist gemeinsam mit Windows NT 4.0. Obwohl NTFS 4.0 unterstützt lokale und Remote-Zugriff die Kontrolle über die Dateien und Ordner, nicht die Mehrheit der Windows 2000 und Windows Server 2003-Datei-System-Funktionen. NTFS 5.0 auf der anderen Seite unterstützt Active Directory-Verzeichnisdienst, Verschlüsselung, Komprimierung und die Festplatten-Quota, unter anderem.

Die Standard-NTFS-Berechtigungen, die Sie konfigurieren können, sind unten aufgeführt:

• Volle Kontrolle: Ermöglicht Benutzern, alle Funktionen auf Dateien und Ordnern, einschließlich der Schaffung neuer Ordner, Ändern und Löschen von Dateien, wobei Daten in Dateien, die Eigentum der Datei, Ändern Sie die Eigenschaften der Dateien und Ordner, und ändern die Berechtigungen für die Datei .
• Ändern: Ermöglicht Benutzern, den Inhalt eines Ordners und lesen Sie die Daten in den Ordner die Dateien, Hinzufügen und Löschen von Dateien, Dateien und die Eigenschaften von Dateien, und ändern Sie die Attribute von Dateien und Ordnern.
• Lesen und Ausführen: Ermöglicht Benutzern, um die Attribute einer Datei oder den Ordner und Dateien ausführen (Programme), die sich in Ordnern. Benutzer können auch den Inhalt eines Ordners, und Lesen von Daten in den Ordner.
• Ordnerinhalt auflisten: Ermöglicht Benutzern die Liste einen Ordner Inhalt, und die Attribute von Dateien und Ordnern.
• Schreiben: Ermöglicht Benutzern das Erstellen neuer Dateien und Ordnern, ändern Sie die Attribute einer Datei oder eines Ordners, eine Datei zu überschreiben, und zeigen Sie Datei Eigentum und Genehmigung.
• Lesen Sie: Das Lesen Sie erlauben es Benutzern, um eine Datei und alle Unterordner mit Namen, Attribute, Eigenschaften, Eigentum, und in der Liste den Inhalt eines Ordners.

Die Standard-NTFS-Berechtigungen zugewiesen auf die \ wwwroot-Verzeichnis (Standard-Web-Site), sind unten aufgeführt. Um diese Rechte,

1. Öffnen Sie den IIS-Manager
2. In der Konsolenstruktur mit der rechten Maustaste auf die Standardwebsite, und klicken Sie auf Berechtigungen aus dem Kontextmenü aus.
• Administratoren: Benutzer, die der Gruppe "Administratoren" Sicherheit haben die volle Kontrolle über die \ wwwroot Verzeichnis. Administratoren haben die folgende Standard-Berechtigungen:
• Vollzugriff, Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Schreiben und Lesen
• Benutzer: Diese Gruppe verfügt über Standard-Web-Nutzer als Gruppe, und Gruppen-Mitglieder haben folgende Rechte:
• Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und
• SYSTEM: Dies ist ein Einbau-Gruppe (besondere Identität), die von Windows Server 2003. System verfügt über die folgenden Standard-Berechtigungen:
• Vollzugriff, Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Schreiben und Lesen
• IIS_WPG: IIS_WPG, ist eine neue Gruppe in IIS 6. Benutzer-Accounts in dieser Gruppe werden als Prozess Identitäten für die Arbeitnehmer Prozesse im Zusammenhang mit der Anwendung Pools. IIS_WPG hat folgende Standard-Berechtigungen:
• Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und
• Internet-Gast-Konto: Diese Gruppe kann benutzt werden, um anonymen Benutzern den Zugriff auf die Inhalte auf Webseiten.
• Lesen Sie die Genehmigung ist auf Deny

Wenn eine neue Website erstellt wird, wird die Standard-Zugriffsrechte für Sicherheit Prinzipien sind:

• Administratoren: Vollzugriff
• Benutzer: Lesen und Ausführen
• System: Vollzugriff
• Ersteller-Besitzer: speziellen Berechtigungen
• Internet-Gast-Konto: Nr. Berechtigungen zugewiesen

Web-Berechtigungen

IIS-Web-Berechtigungen oder Zugriffsrechte steuern Sie den Zugriff auf Web-Content auf IIS-Sites. Die Web-Berechtigungen, die Sie konfigurieren können, sind unten aufgeführt.

Für den Zugriff auf IIS-Web-Berechtigungen,

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf den entsprechenden Web-Site und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Website öffnet, klicken Sie auf die Registerkarte.
• Script Source Access: Wenn diese Option ausgewählt ist, werden die Nutzer Zugriff auf den Quellcode von ASP-Seiten, und ändern sie, wenn der Schreib Genehmigung ebenfalls aktiviert ist. Es wird empfohlen, nur damit diese Erlaubnis auf den Servern für die Entwicklung Zwecke.
• Lesen Sie: Wenn diese Option ausgewählt ist, können Benutzer lesen oder herunterladen, die Dateien befinden sich im Verzeichnis.
• Schreiben: Wenn diese Option ausgewählt ist, können Benutzer hinzufügen, ändern und Web-Inhalte.
• Verzeichnis durchsuchen: Wenn diese Option aktiviert ist, werden die Benutzer erlaubt, um die Verzeichnis-Struktur.
• Besuche protokollieren: Sie können die Protokollierung für die Website, indem Sie die Log-Besuches Option. Sie sollten auch das Kontrollkästchen Protokollierung aktivieren auf der Registerkarte Website, wenn Sie die Log-Besuches Option.
• Index Diese Seite: Wenn diese Option ausgewählt ist, wird der Microsoft Windows Indexing Service Content erstellt einen Index der Home-Ordner.

Sie können Web-Berechtigungen auf folgenden Ebenen in IIS:

• Für alle Websites: Sie können Web-Berechtigungen für alle anderen Webseiten, über die Registerkarte der Webseiten Knotens Dialogfenster "Eigenschaften". Alle Websites, auf dem IIS-Server würde diese Berechtigungen erben.
• Für eine bestimmte Website (s): Sie können Web-Berechtigungen für eine bestimmte Website über die Registerkarte der jeweiligen Website Dialogfeld "Eigenschaften".
• Für ein bestimmtes Verzeichnis oder virtuelles Verzeichnis: Web-Konfiguration Wenn Sie Berechtigungen auf das Verzeichnis oder virtuelles Verzeichnis-Ebene, die Berechtigungen sind geerbt von allen Dateien innerhalb des bestimmten Verzeichnis. Sie können Web-Berechtigungen für ein bestimmtes Verzeichnis über die Registerkarte dieser bestimmten Verzeichnis der Dialogfeld "Eigenschaften". Web-Berechtigungen konfiguriert werden kann für ein bestimmtes virtuelles Verzeichnis über die Registerkarte Virtuelles Verzeichnis, dass von bestimmten virtuellen Verzeichnis Dialogfeld "Eigenschaften".
• Für eine bestimmte Datei in ein virtuelles Verzeichnis: Sie können Web-Berechtigungen für eine Datei in ein virtuelles Verzeichnis über das Register "Datei" die Datei im Dialogfeld Eigenschaften.

Wenn ein Benutzer keinen Zugriff auf eine Web-Site,

• Überprüfen Sie die Berechtigungen konfiguriert wurden für das Home-Verzeichnis.
• Wenn anonyme Zugriff aktiviert ist, stellen Sie sicher, dass kein Passwort angegeben wurde.
• Überprüfen Sie, ob alle IP-Adressen und Domänennamen konfiguriert wurden, die den Zugang zu der Benutzer.

IP-Adressen und Domänennamen

Sie können den Web-Zugriff auf die IP-Adresse durch die nur von Benutzern den Zugriff auf eine Seite, die mit einer IP-Adresse aus einer vordefinierten Liste der zugelassenen IP-Adressen. Auf diese Weise können Sie den Zugriff auf Websites, Verzeichnisse und Dateien auf der Basis von IP-Adressen oder Domain-Namen.

Um dies zu tun,

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Web-Site in der Konsolenstruktur, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Website öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
4. In der IP-Adresse und Domain Name Beschränkungen des Directory-Registerkarte Sicherheit, klicken Sie auf die Schaltfläche "Bearbeiten".
5. Wenn die Adressen und Domänennamen Dialogfeld öffnet, können Sie festlegen, dass alle Computer zugreifen, oder Sie können die Computer, die nicht der Zugriff gewährt werden kann, indem die IP-Adresse oder Domain-Namen.
6. Klicken Sie auf die Schaltfläche "Hinzufügen", um vor allem Nutzer von IP-Adressen in einer Liste angezeigt.
7. Klicken Sie auf OK.

Application Security in IIS

Application Security in IIS umfasst die folgenden Prozesse:

• Aktivieren oder Deaktivieren von Web Service Extensions (WSE): So führen Sie dynamische Web-Anwendungen auf IIS verwenden, müssen Sie zunächst die Verwendung des Web-Service-Erweiterungen Knoten im IIS-Manager zu erlauben oder zu verbieten, die Web-Service-Erweiterungen zu finden unter:
• ASP
• ASP.NET
• ISAPI-Erweiterungen
• CGI-Erweiterungen
• Front Page Server-Erweiterungen 2000 und 2002
• Internet Data Connector
• WebDAV-Unterstützung

Für den Zugriff auf die Web Service Extensions (WSE),

1. Öffnen Sie den IIS-Manager
2. Wählen Sie die Web-Server-Erweiterungen Knoten
• Festlegen von Berechtigungen für die Ausführung von Anwendungen. Diese Berechtigungen ermöglichen Anwendungen in Web-Sites und virtuelle Verzeichnisse zu führen / run.
• Einrichten der Anwendung Pool Identitäten: Application Pool Identitäten konfiguriert sind, um die Art und Weise, wie Arbeitnehmer Prozesse dienen Anwendungspools. Ein Worker-Prozess ist ein Verfahren entwickelt, dass Benutzer Web-Anwendung Code läuft. Ein Arbeitnehmer ist eigentlich ein Host-Prozess, genannt w3wp.exe. Worker-Prozess Prozesse, die der Benutzer von der Http.sys Warteschlangen. Der Arbeitnehmer Prozesse liefert auch eine statische oder dynamische Seite, um die Client-Anforderung durch Http.sys. Ein Arbeitnehmer kann Host folgende Fassung:
• ASP-Anwendungen
• ISAPI-Anwendungen und-Filter
• CGI-Anwendungen
• Statische Inhalte

Ein Antrag Pool besteht aus den folgenden Komponenten:

• Ein Kernel-Modus Http.sys Anfrage-Warteschlange
• Einen einzigen Fall einer oder mehrere Instanzen von w3wp.exe - Arbeitnehmer Prozesse.

Die besten Praktiken für Writing Secure Code für ASP oder ASP.NET-Anwendungen sind:

• ASP-Seiten sollten keine hart codierte Administrator-Account-Namen und Administrator-Account-Passwörter.
• Secure Sockets Layer (SSL)-Verschlüsselung ist eine Technologie, die verwendet werden können zum Verschlüsseln von Session-Cookies ".
• Sensible oder vertrauliche Informationen und Daten dürfen nicht gespeichert werden, in versteckten Eingabefelder auf Webseiten und Cookies.
• Sie sollten jederzeit die Überprüfung und Bestätigung vor dem Eingang bilden sie verarbeitet werden.
• Sie sollten nicht von HTTP-Request-Header-Code Entscheidung Niederlassungen für Anwendungen.
• Seien Sie vorsichtig bei Pufferüberläufe, die durch ungesunde Kennzeichnungsnormen.

Wie zu aktivieren oder zu deaktivieren Web-Service-Erweiterungen mit Hilfe des Web-Service-Erweiterungen Knoten im IIS-Manager

1. Öffnen Sie den IIS-Manager
2. Wählen Sie die Web-Server-Erweiterungen Knoten
3. So aktivieren Sie einen Web-Service-Erweiterung, die der rechten Maustaste auf die Erweiterung, und wählen Sie Zulassen.
4. So deaktivieren Sie einen Web-Service-Erweiterung, die der rechten Maustaste auf die Erweiterung, und wählen Sie verbieten.

Wie zu aktivieren oder zu deaktivieren ISAPI-und CGI-Erweiterungen

1. Öffnen Sie den IIS-Manager
2. Wählen Sie die Web-Server-Erweiterungen Knoten.
3. Wenn Sie möchten, dass alle ISAPI-und CGI-Erweiterungen ausgeführt werden, erlauben zulassen Unknown ISAPI Extensions und die CGI-Erweiterungen zulassen Unbekannt Optionen auf die Registerkarte Standard.
4. Sie können alternativ auf die erweiterten Ansicht. Sie tun dies, indem Sie auf die Registerkarte Erweitert auf der Unterseite der Fensterbereich "Details".
5. Legen Sie fest, welche Anwendungen sind erlaubt.
6. Die eben beschriebene Methode ist eine bessere Option als die alle ISAPI-und CGI-Erweiterungen auf dem IIS-Server.

Wie können alle benötigten Web-Service-Erweiterungen für eine bestimmte Anwendung

1. Öffnen Sie den IIS-Manager
2. Wählen Sie die Web-Server-Erweiterungen Knoten
3. Wechseln Sie in den erweiterten Ansicht, indem Sie auf die Registerkarte Erweitert auf der Unterseite der Fensterbereich "Details".
4. Klicken Sie auf die alle Web-Service-Erweiterungen für eine bestimmte Anwendung.
5. Wählen Sie die Anwendung aus der verfügbaren Liste.
6. Klicken Sie auf OK.

Wie fügen Sie einen neuen Web-Service-Erweiterung

1. Öffnen Sie den IIS-Manager
2. Wählen Sie die Web-Server-Erweiterungen Knoten
3. Wechseln Sie in den erweiterten Ansicht, indem Sie auf die Registerkarte Erweitert auf der Unterseite der Fensterbereich "Details".
4. Klicken Sie auf das Hinzufügen einer neuen Web-Service-Erweiterung Option.
5. Wenn der neue Web-Service-Erweiterung Dialogfeld öffnet, geben Sie einen Namen für das neue Web-Erweiterung. Dies ist der Name, wird in der IIS-Manager.
6. Für ISAPI, wählen Sie die DLLs, dass die neue Erweiterung erfordert.
7. Für CGI, wählen Sie das EXEs, dass die neue Erweiterung erfordert.
8. Klicken Sie auf OK

So konfigurieren Sie die Berechtigungen für Anwendungen ausführen, um

Ausführen (Anwendung Berechtigungen) konfiguriert sind, in das Home-Verzeichnis oder Register in der Registerkarte Virtuelles Verzeichnis, in dem sich die Anwendung root. Anmeldenummer Wurzeln können in das Home-Verzeichnis der Web-Seite, oder in ein virtuelles Verzeichnis der Web-Seite.

So konfigurieren Sie Ausführen,

1. Öffnen Sie den IIS-Manager
2. Navigieren Sie zu der Registerkarte oder der Registerkarte Virtuelles Verzeichnis.
3. Die Ausführungsberechtigungen Dropdown-Listenfeld enthält die folgenden Optionen:
• Keine, erlaubt nur den Zugriff auf statische Dateien. Keine Auswahl der Option würde verhindern, dass dynamische Anwendungen ausgeführt
• Nur Skripts, verbietet die Ausführung von ausführbaren Dateien, während die Skripte ausgeführt werden.
• Skripts und ausführbare Dateien, Skripte und Programme sind zu laufen.

So erstellen Sie Anwendungspools

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf den Knoten Application Pools in der Konsolenstruktur, und wählen Sie Neu und anschließend Anwendungspool aus dem Kontextmenü aus.
3. Wenn die Neuen Anwendungspool Dialogfeld öffnet, geben Sie einen Namen für die neue Anwendung Pool.
4. Sie können festlegen, ob die Standard-Einstellungen verwendet werden soll für den neuen Pool, oder Sie können festlegen, dass die Einstellungen einer bestehenden Pool verwendet werden, für die neue Anwendung Pool.
5. Klicken Sie auf OK

Wie wird ein Antrag auf einen Antrag Pool

1. Öffnen Sie den IIS-Manager
2. Der rechten Maustaste auf den entsprechenden Knoten in der Konsolenstruktur, und klicken Sie auf Eigenschaften im Kontextmenü.
3. Klicken Sie auf die Registerkarte.
4. Wählen Sie die Anwendung, aus der Liste Anwendungspool.
5. Klicken Sie auf OK

Die Auswahl eines Antrags Pool Identität
Sie können wählen zwischen den folgenden built-in Service-Konten von Windows Server 2003:

• Netzwerk-Service: Das Service-Netz ist die empfohlene Konto zu verwenden. In der Tat, es ist das Standard-Konto von IIS verwendet, weil es die am wenigsten Privilegien und ist flexibler als die lokalen Service-Konto und dem lokalen Systemkonto ausgeführt werden. Die Merkmale der Netzwerk-Service-Konto:
• Das Netzwerk-Service-Konto hat kein Passwort.
• Es handelt sich um ein Mitglied der Gruppe "Jeder" und die Gruppe "Authentifizierte Benutzer".
• Das Netzwerk-Service-Konto verfügt über einen internen Namen von NT AUTHORITY \ NetworkService
• Lokale Service: Das Lokale Service-Konto hat die gleichen Rechte und Privilegien als die der Netzwerk-Service-Konto. Allerdings ist die Lokale Service-Konto kann nur Zugriff auf Ressourcen auf dem lokalen Computer. Die Merkmale der lokalen Service-Konto:
• Die lokale Service-Konto hat kein Passwort.
• Es handelt sich um ein Mitglied der Gruppe "Jeder" und die Gruppe "Authentifizierte Benutzer".
• Das Netzwerk-Service-Konto verfügt über einen internen Namen von NT AUTHORITY \ LocalService
• Local System Account: Es wird empfohlen, nicht wählen Sie dieses Konto aufgrund der mit ihr verbundenen Privilegien. Die Merkmale des lokalen Systems Konto:
• Das lokale Systemkonto hat kein Passwort.
• Das lokale Systemkonto hat eine interne Namen \ LocalSystem
• Prozesse laufen unter dem Konto haben die gleichen Rechte wie der Service Control Manager. Diese Einheit ist, dass die Kontrollen Netzwerk-Dienste auf dem entsprechenden Computer.

So konfigurieren Sie eine benutzerdefinierte Anwendung Pool Identität zur Erhöhung der Sicherheit wird empfohlen, die Konfiguration Benutzerdefiniert Identitäten für die verschiedenen Anwendungspools Sie haben. Dies würde verhindern, dass eine Anwendung, die gefährdet ist dabei von allen Anwendungen auf dem IIS-Server.

So erstellen Sie eine benutzerdefinierte Anwendung Pool Identität,

1. Erstellen Sie entweder ein Domänenbenutzerkonto oder einem lokalen Benutzer-Account
2. Fügen Sie die neu erstellte Benutzer-Account auf die Gruppe IIS_WPG, eine neue Gruppe in IIS 6. Benutzer-Accounts in IIS_WPG Gruppe werden als Prozess Identitäten für die Arbeitnehmer Prozesse im Zusammenhang mit der Anwendung Pools.
3. Öffnen Sie den IIS-Manager.
4. Der rechten Maustaste auf die entsprechende Anwendung Pool, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
5. Klicken Sie auf die Registerkarte Identität.
6. Wenn Sie möchten, wählen Sie eine der built-in Service-Konten von Windows Server 2003, wählen Sie das Konto aus der vordefinierten Liste. Der vordefinierte Option ist standardmäßig aktiviert.
7. Wenn Sie möchten, wählen Sie entweder eine Domänenbenutzerkonto oder einem lokalen Benutzer-Account, den Sie haben, speziell, wählen Sie die Option Konfigurierbar.
8. Klicken Sie auf die Schaltfläche "Durchsuchen", um die Domain-Benutzer-Account oder ein lokales Benutzerkonto für die Anwendung Pool Identität.
9. Klicken Sie auf OK.

Wie aktiviert man Eltern Wege für eine Anwendung
Es ist zwar nicht generell empfohlen, dass Eltern Wege, es kann vorkommen, dass Sie benötigen, damit sie so, dass ältere Anwendungen arbeiten können. Die Eltern-Wege-Funktion ist eine ASP-spezifische Funktion. Wenn diese Option aktiviert ist, können Sie Pfad-Anweisungen für ("..") nach oben Dateizugriff. Aufgrund der Sicherheitslücken im Zusammenhang mit der Muttergesellschaft Pfade, es ist in IIS 6.

Damit Eltern Wege,

1. Öffnen Sie den IIS-Manager
2. Suchen Sie und der rechten Maustaste auf die Anwendung Wurzelknoten und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Klicken Sie auf die Registerkarte, oder die Registerkarte Virtuelles Verzeichnis.
4. Klicken Sie auf Konfiguration
5. Wenn die Anwendung Dialogfeld öffnet, klicken Sie auf die Registerkarte Optionen.
6. Aktivieren Sie das Kontrollkästchen Übergeordnete Pfade Kontrollkästchen.
7. Klicken Sie auf OK.

Absichern von IIS durch Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL)-Verschlüsselung ist eine Technologie, die Public Key-Kryptographie, um eine verschlüsselte Session-Key, um die sichere Kommunikation zwischen einem Web-Server und einen Web-Client. Eine der Voraussetzungen der Nutzung der SSL-Verschlüsselung ist, die Sie benötigen, um ein digitales Zertifikat erwerben und installieren Sie es auf dem Web-Server als Server-Zertifikat. Das digitale Zertifikat verifiziert die Identität des Servers an den Client und auch verschlüsselt die Kommunikation zwischen dem Server und einem Client. Sie können ein digitales Zertifikat von einer externen Zertifizierungsstelle, wie VeriSign, Thawte oder GlobalSign, oder Sie können eine interne CA für die Organisation.

Sie müssen zur Installation und Nutzung Certificate Services zu konfigurieren, eine interne CA. Es gibt zwei Arten von CA, die Sie konfigurieren können, nämlich eine Enterprise-CA oder eine Stand-alone-CA.

• Enterprise CA: Eine Enterprise CA-Zertifikat speichert seine Informationen in Active Directory. Enterprise CA sind im Wesentlichen abhängig von Active Directory zu speichern und zu replizieren Zertifikatsdaten. Das bedeutet, dass das Unternehmen zuständigen Behörden müssen so konfiguriert sein, wie Domain-Controller.
• Stand-alone-CA: Ein Stand-Alone-CA-Zertifikat speichert seine Daten in einem freigegebenen Ordner zugegriffen werden kann über einen Web-URL. Wenn Benutzer möchten, um Zertifikate von Stand-alone-CA, sie zu nutzen Web Immatrikulation.

So erhalten und installieren Sie ein Server-Zertifikat auf einem IIS-Server

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Standard-Web-Site-Knoten und klicken Sie auf Eigenschaften im Kontextmenü.
3. Wenn die Standard-Web-Site-Dialogfeld "Eigenschaften" öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit
4. Klicken Sie auf das Server-Zertifikat-Button in der Secure Communications Bereich der Registerkarte.
5. Der Web-Server-Zertifikat-Assistent wird gestartet.
6. Auf der Willkommen auf der Web-Server-Zertifikat-Assistenten, klicken Sie auf "Weiter".
7. Wählen Sie das Erstellen eines neuen Zertifikat-Option, und klicken Sie anschließend auf Weiter
8. Wählen Sie das Senden der Anforderung sofort an eine Online Certificate Authority Option, und klicken Sie auf "Weiter".
9. Geben Sie einen Namen für die neue Server-Zertifikat, und wählen Sie die Bit-Länge. Der Standardwert ist 1024 Bit. Klicken Sie auf Weiter.
10. Geben Sie einen Namen der Organisation und Organisationseinheit, und klicken Sie auf "Weiter".
11. Geben Sie den Namen der Website, und klicken Sie auf "Weiter".
12. Geben Sie den Code des Landes, und der Name und die Stadt, und klicken Sie auf "Weiter".
13. Wählen Sie den TCP-Port verwendet werden soll für SSL-Verbindungen. Die Standard-Port ist Port 443 verwendet. Klicken Sie auf Weiter.
14. Geben Sie die CA, von denen Sie möchten, um das Server-Zertifikat. Klicken Sie auf Weiter.
15. Stellen Sie sicher, dass Sie ausgewählt haben, die richtigen Konfigurationseinstellungen auf der Seite "Zusammenfassung".
16. Klicken Sie auf Weiter. Klicken Sie auf "Fertig stellen".
17. Die neue Server-Zertifikat wird von der CA und installiert auf dem IIS-Server.

So aktivieren Sie SSL auf dem IIS-Server

1. Öffnen Sie den IIS-Manager
2. Suchen Sie und der rechten Maustaste auf die Standard-Web-Site-Knoten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Standard-Web-Site öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
4. Klicken Sie auf die Schaltfläche "Bearbeiten" in der Secure Communications Bereich der Registerkarte.
5. Wenn der Secure Communications Dialogfenster öffnet, klicken Sie auf das Kontrollkästchen Sicheren Kanal verlangen (SSL) Kontrollkästchen.
6. Klicken Sie auf OK.

Wie die Verwaltung bestehenden Server-Zertifikate auf dem IIS-Server.

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Standard-Web-Site-Knoten und klicken Sie auf Eigenschaften im Kontextmenü.
3. Wenn die Standard-Web-Site-Dialogfeld "Eigenschaften" öffnet, klicken Sie auf die Registerkarte Verzeichnissicherheit.
4. Klicken Sie auf das Server-Zertifikat-Button in der Secure Communications Bereich der Registerkarte.
5. Der Web-Server-Zertifikat-Assistenten neu gestartet, und stellt die folgenden Optionen für die Verwaltung der Server-Zertifikat.
• Erneuerung der bestehenden Server-Zertifikat.
• Löschen oder ersetzen Sie die vorhandene Server-Zertifikat. Dies ist in der Regel notwendig, wenn das Server-Zertifikat abgelaufen ist, und bei SSL-Verbindungen sind nicht mehr verwendet werden.
• Kopieren oder verschieben Sie die vorhandenen Server-Zertifikat auf einen anderen Server oder Ort.
• Exportieren Sie die vorhandenen Server-Zertifikat.

Aktivieren und Konfigurieren von Web Logging (IIS-Protokollierung)

Ein paar Vorteile von Web Logging sind im Folgenden zusammengefasst:

• Die Ereignisprotokolle enthalten Fehler-, Warn-und Informations-Veranstaltungen, die angemeldet sind, von IIS. Die Web-Logs enthalten zusätzliche Informationen zu diesen Veranstaltungen, die hilfreich sein können bei der Behebung von IIS Fragen, und in der Erkenntnis, Verkehr ungewöhnliche Muster, die ein Anzeichen sein für ein Angriff auf den Web-Server.
• Die Web-Logs, spezifische Informationen zu den Ursachen der HTTP-Fehler.

Sie können die Web-Protokollierung in einer der folgenden Ebenen:

• Webseiten-Ebene: Diese ermöglicht es automatisch Web Logging für alle Websites, die in der IIS-Server.
• Besondere Web-Sites: Sie können die Web-Protokollierung für einzelne Websites.

Nach Web-Protokollierung aktiviert ist, können Sie die Home-Verzeichnisse, virtuelle Verzeichnisse, Unterverzeichnisse und Dateien an, die Zugang haben sollten Protokollierung aktiviert.

Um Web-Logging:

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Standard-Web-Site-Knoten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Standard-Web-Site öffnet, klicken Sie auf das Kontrollkästchen Protokollierung aktivieren auf der Registerkarte Website.
4. In der aktiven Log Format Wählen Sie die Log-Datei-Format, dass die Web-Protokolle verwenden soll. Die Optionen, mit denen Sie wählen können zwischen sind:
• W3C Extended Log-Datei-Format: Dies ist die Standard-Log-Datei-Format für die IIS-Protokollierung. Es erlaubt Ihnen zu entscheiden, welche Eigenschaften werden auf der Web-Logs. Da können Sie die Eigenschaften auf der Web-Logs, die W3C Extended Log-Datei-Format ist als flexibler als die anderen Formate.
• IIS-Log-Datei-Format: Diese feste Log-Datei-Format kann nicht angepasst werden und ist in diesen Tagen kaum genutzt.
• NCSA Log-Datei-Format: Diese feste Log-Datei-Format kann nicht angepasst werden, sondern können auch von den meisten der bestehenden Web-Server-Produkte. Das W3C Extended Log-Datei-Format ist aber immer noch eine bessere Option zur Nutzung.
• ODBC-Logging-Format: Da ODBC-Protokollierung der Regel negativ auf IIS-Server-Performance, es wird dringend empfohlen, nicht in der Lage dieses Format Protokollierung. Aktivieren der ODBC-Protokollierung deaktiviert die Kernel-Mode-Caching in IIS.
• Zentrale Binärloggen Format: Das Logging-Format wird in der Regel verwendet, wenn ein ISP eine große Anzahl von Websites auf einem IIS-Maschine, da sie es ermöglichen, alle diese Websites, um sich auf eine Log-Datei. Die Zentrale Binärloggen-Format ist eine neue Funktion von IIS.
5. Wenn Sie wollen, um sich Zugang zu allen physischen Verzeichnisse, virtuelle Verzeichnisse, Unterverzeichnisse und Dateien, klicken Sie auf die Registerkarte, und wählen Sie das Kontrollkästchen Besuche protokollieren.
6. Klicken Sie auf OK.
7. Wenn Sie wollen, dass der Zugriff auf Dateien in ein virtuelles Verzeichnis protokolliert werden, navigieren Sie zu dem Dialogfeld Eigenschaften des virtuellen Verzeichnisses, und klicken Sie auf die Registerkarte Virtuelles Verzeichnis.
8. Wenn Sie wollen, dass der Zugang zu einer bestimmten Datei protokolliert werden sollen, rufen Sie das Dialogfeld "Eigenschaften" der Datei und klicken Sie auf das Register "Datei".

So konfigurieren Sie, welche Felder oder Eigenschaften sollen im W3C Extended Log File Format,

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Standard-Web-Site-Knoten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Standard-Web-Site öffnet, klicken Sie auf das Kontrollkästchen Protokollierung aktivieren auf der Registerkarte Website.
4. Klicken Sie auf die Schaltfläche "Eigenschaften" auf der Registerkarte Website.
5. Die Protokollierung Dialogfeld "Eigenschaften" wird geöffnet.
6. Klicken Sie auf die Registerkarte "Erweitert".
7. Die Eigenschaften und Feldern, die Sie auf die Registerkarte "Erweitert" sind unten aufgeführt, zusammen mit einer Beschreibung für jedes Feld:
• Datum, der Tag, an dem die Aktion stattgefunden hat.
• Zeit, die Zeit, in der die Aktion stattgefunden hat.
• Client-IP-Adresse, die IP-Adresse des Client, der Zugriff auf die IIS-Server.
• User-Name, der Name des Benutzers. Dies ist die Benutzer-Authentifizierung an.
• Service-Name, den Internet-Service und die Instanznummer zugänglich.
• Server-Name, die Server-Namen.
• Server-IP-Adresse, den Server die IP-Adresse
• Server-Port, der Port-Nummer, die verwendet wurde.
• Methode, die HTTP-Verb verwendet in der HTTP-Client-Anfrage
• URI-Stamm, wird die Datei durch den Client
• URI-Abfrage, die Abfrage durch den Client
• Protokoll-Status, den Status der Maßnahme auf der Grundlage von HTTP-oder FTP-Begriffe Begriffe.
• Win32-Status, den Status der Maßnahme auf der Basis von Windows Bedingungen.
• Gesendete Bytes, die Anzahl der Bytes, die der Server an den Client.
• Bytes, die Anzahl der Bytes, die der Server von den Kunden.
• Zeit, die Dauer der Tätigkeit.
• Protokoll-Version, die Version, die der Client genutzt werden.
• Host, der Inhalt des Host-Header.
• User-Agent, der Browser, die von den Kunden.
• Cookie, den Inhalt der gesendeten und empfangenen Cookies
• Referrer, die letzte Seite, die der Benutzer zugreifen.

Wie konfiguriert man den Zeitplan für die Web-Protokollierung

1. Öffnen Sie den IIS-Manager.
2. Der rechten Maustaste auf die Standard-Web-Site-Knoten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften der Standard-Web-Site öffnet, klicken Sie auf das Kontrollkästchen Protokollierung aktivieren auf der Registerkarte Website.
4. Klicken Sie auf die Schaltfläche "Eigenschaften" auf der Registerkarte Website.
5. Die Protokollierung Dialogfeld "Eigenschaften" wird geöffnet.
6. Die Optionen, die Sie konfigurieren auf der Registerkarte "Allgemein" sind nachfolgend aufgeführt:
• In den neuen Log Schedule Bereich der Registerkarte können Sie wählen, wenn Log-Dateien erstellt:
• Stündlich
• Täglich
• Weekly
• Monatliche
• Unbegrenzte Dateigröße
• Wenn die Dateigröße erreicht:
• Lokale Zeit für File Naming und Rollover Kontrollkästchen. Wählen Sie diese Option, wenn Sie IIS, neue Log-Dateien um Mitternacht der lokalen Zeit, in der die Daily-Option ausgewählt ist. Der Standardwert ist, dass die neue Log-Dateien erstellt, um Mitternacht Greenwich Mean Time (GMT).
• Log-Datei-Verzeichnis Textfeld: Dies ist der Ort, an dem die Log-Dateien gespeichert werden. Die Standard-Log-Datei ist das Verzeichnis \ Windows \ System32 \ LogFiles-Verzeichnis. Die Berechtigungen sollten für eine neue Log-Datei-Ordner sind im Folgenden aufgeführt:
• Administratoren Vollzugriff
• SYSTEM, Vollzugriff
• IIS_WPG, Full Control
• Klicken Sie auf OK.

Bookmark Absichern IIS

Neueste Blog-Posts

• Windows 7 Forum

• Boston College: Die Möglichkeit für die Verwendung eines Command Line ist ein Zeichen für kriminelle Aktivitäten

• Google Hacked?

• Recycling Ihrer alten Telefon - Machen Sie etwas Geld, und speichern Sie die Umwelt!

• SourceForge vs Freshmeat

• Schnellste Web-Browser: Google Chrome

• Neue Webmaster Forum

• Ubuntu Security Tools

• Terroristen Go Hi-Tech

• Wie um zu trocknen ein Handy Das Kommen Sie in Kontakt mit Wasser