《网络安全防护项目教程》 课件 子任务3-2-1 用户控制安全设置.pptx

了解Web的基本概念及工作原理

掌握IIS组件的配置和管理方法

掌握虚拟主机及虚拟目录的配置方法

掌握客户端测试Web网站的操作方法

学习目标：

会安装IIS组件、会配置与管理默认网站

能新建Web网站并进行相关设置

能配置与管理虚拟主机、虚拟目录、网站的安全

能解决Web服务器配置中出现的问题

培养认真细致的工作态度和工作作风

养成刻苦、勤奋、好问、独立思考和细心检查的学习习惯

能与组员精诚合作，能正确面对他人的成功或失败

具有一定自学能力，分析问题、解决问题能力和创新的能力

新天教育培训集团曾提出为实现企业信息化、数字化和现代化，需要将现行的许多管理实现无纸化、网络化，其中包括对外建立一个门户网站进行产品的宣传和有关的服务，内部管理和办公也需要采用网络平台进行交流，还有就是各部门也得有自己的主页，个别员工也想建立个人网站，而中心现在只要一个公网IP，此时，谢立夫在服务器中应该进行哪些配置才能为天一研发中心解决上述问题呢？

唐宇经过凭借所学的知识他马上想到了要满足以上要求需要配置Web服务器。

首先应根据网络拓扑和网络规模合理规划服务器，并采取合适的服务器配置与管理流程。然后为研发中心配置虚拟主机。

当希望确定服务器是否被攻击时，日志记录就显得极其重要。默认的日志不会为搜索黑客记录提供很大的帮助，因此必须扩展W3C日志记录格式。

Web服务的主要功能是为用户提供信息发布和查询平台，不同的用户查看不同的发布信息，因此需要验证不同用户的身份，也就是说Web服务需要配置身份验证来保证服务的安全性。

子任务3-2-1用户控制安全设置

一般情况下，如果信息面向所有用户，可以使用匿名身份验证，而如果仅面向某些用户，则需要给这些用户设置访问权限。通常对用户进行验证的方法有匿名身份验证、基本身份验证、摘要式身份验证、Windows集成身份验证，其顺序依次为“匿名身份验证→Windows集成身份验证→摘要式身份验证→基本身份验证”，即当同时设置匿名身份验证和基本身份验证时，匿名身份验证起作用。

子任务3-2-1用户控制安全设置

1.匿名身份验证

该方式是系统默认启用的身份验证方式，即不需要提供身份认证信息。具体操作如下。

步骤1：依次单击“开始”→“管理工具”→“Internet信息服务（IIS）管理器”，打开如图3-2-1所示的对话框，选中需要设置的网站，在其主页中找到并选中“身份验证”项。

子任务3-2-1用户控制安全设置

1.匿名身份验证

图3-2-1“Internet信息服务（IIS）管理器”对话框

子任务3-2-1用户控制安全设置

步骤2：双击打开如图3-2-2所示“身份验证”对话框，发现“匿名身份验证”已默认开启。

图3-2-2“身份验证”对话框

子任务3-2-1用户控制安全设置

步骤3：单击右侧操作栏中的“编辑…”，打开如图3-2-3所示的“编辑匿名身份验证凭据”对话框，默认设置为“特定用户”IUSR。如选用“应用程序池标识”单选项，则可以允许IIS进程使用在应用程序池的属性页上指定的账户运行。

图3-2-3“编辑匿名身份验证凭据”

子任务3-2-1用户控制安全设置

步骤4：如选择“特定用户”项，则可单击“设置”按钮，打开如图3-2-4所示的“设置凭据”对话框，设置相应的用户名和密码，单击“确定”按钮，保存设置。

图3-2-4“设置凭据”对话框

子任务3-2-1用户控制安全设置

更改系统默认匿名访问账户，可以起到一定的安全保护作用，但对于较高安全需求的服务器还是不能适用，需要选择其他的身份验证。

2.Windows集成身份验证

该验证方式适用于Intranet环境中需要用户使用NTLM或Kerberos协议的情况，同时包括NTLM和Kerberosv5身份验证。

NTLM方式需要把用户的用户名和密码传送到服务端，服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送，但是密码经过处理后派生出一个8字节的key加密质询码后传送。

子任务3-2-1用户控制安全设置

2.Windows集成身份验证

Kerberosv5方式只把客户端访问IIS的验证票发送到IIS服务器，IIS收到这个票据就能确定客户端的身份，不需要传送用户的密码。需要kerberos验证的用户一定是域用户。

子任务3-2-1用户控制安全设置

3.摘要式身份验证

该方式使用时需要输入账号和密码，用户密码使用MD5加密。但使用该方式必须具备3个条件。

●IIS服务器必须是Windows域控制器成员服务器或域控制器

●登录用户必须是域控制器帐户，或者是IIS服务器的信任域

●浏览器支持HTTP1.1，如IE5以上

子任务3-2-1用户控制安全设置