隨著商業(yè)交易擴大了客戶數(shù)量和供應(yīng)商范圍�,更新用戶訪問控制來確保企業(yè)文件夾���、文件和web文檔中機密數(shù)據(jù)依然遵照‘鎖和鑰匙’是很明智的做法�����。好在可以很容易的在Internet信息服務(wù)器(IIS)里創(chuàng)建規(guī)則���,來指明或限制哪些信息可以訪問�����。讓我們來看看如何配置IIS Web服務(wù)器權(quán)限���,以提供適當(dāng)和安全的訪問控制,使它不僅滿足終端用戶����,而且還確保更好的數(shù)據(jù)安全性。
IIS Web服務(wù)器權(quán)限控制對Web上虛擬目錄的訪問�����,適用于所有用戶��。要實現(xiàn)具體數(shù)據(jù)的訪問控制���,得從配置IIS目錄安全功能開始���。開始配置�,打開 Internet信息服務(wù)管理控制臺,然后輸入網(wǎng)站的屬性對話框或你想控制的子文件夾�����。進入以后,找到目錄選項卡���。在目錄選項卡這里�,您可以設(shè)定用戶是否可以瀏覽目錄���,是否可以查看/修改文件和訪問文件的源代碼����。在這個對話框中�����,你應(yīng)該也找到一個目錄安全性選項卡����。在這個標(biāo)簽這里,你可以配置你的Web服務(wù)器如何驗證用戶身份��。重要的是需要注意�����,因為你處理的是IIS Web服務(wù)器的權(quán)限,新設(shè)置將適用于所有用戶���,而不管他們擁有什么特定的NT文件系統(tǒng)(NTFS)訪問權(quán)限��。
所以我們下一步就是為Web文件配置NTFS權(quán)限�。NTFS權(quán)限控制對服務(wù)器上的物理目錄訪問���,只適用于特定的用戶組�。通過為單個文件或目錄創(chuàng)建一個自由訪問控制列表(DACL)�����,您可以定義哪些用戶可以訪問哪些內(nèi)容��,對這些內(nèi)容進行哪些操作���。要創(chuàng)建一個DACL���,選擇一個特定的Windows用戶帳戶或組,并指定其訪問權(quán)限�����。要更改目錄或者文件的NTFS權(quán)限�����,打開我的電腦����,選擇你需要保護的目錄或文件,并打開其屬性表�。
然后在安全屬性頁,選擇你想改變的賬戶�����、用戶或組的訪問類型����。要授予訪問權(quán)限,選擇"允許"�����,要拒絕訪問選擇"拒絕"��。這將幫助您更好的控制對您的 web內(nèi)容的訪問,因為對于同時設(shè)置了NTFS權(quán)限的內(nèi)容����,在驗證用戶的NTFS權(quán)限前,IIS會首先檢查用戶是否有必要的web權(quán)限來訪問他們請求的資源�����。如果用戶沒有web權(quán)限�,他們將收到一個"403禁止訪問"的消息。如果用戶沒有正確的NTFS權(quán)限���,他們將收到一個"401拒絕訪問"消息�。
如果您的客戶和供應(yīng)商將訪問的內(nèi)容特別的敏感���,考慮安裝一個Web服務(wù)器證書以保證您的Web服務(wù)器的安全套接字層(SSL)功能�。這迫使用戶建立一個加密的連接�,以便連接到特定的目錄或文件。還有一個最后的辦法��,也可以將客戶證書映射到Web服務(wù)器上的Windows用戶帳戶�。這種做法,在提供強大的驗證和訪問控制的同時�,管理也更復(fù)雜���,但是如果您的網(wǎng)站需要在對受限制內(nèi)容授權(quán)訪問前進行用戶身份認(rèn)證的話,這也是值得的�����。
關(guān)鍵詞標(biāo)簽:IIS安全,web服務(wù)器
ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點配置