014-IIS信息安全培训 .docxVIP

主讲：Gnosis

第1页 8/6/20181:16PM ?2015谷安天下版权所有

IIS服务器的安全设置

IIS服务器常见漏洞

第2页 8/6/20181:16PM ?2015谷安天下版权所有

MicrosoftWindows的互联网基本服务IIs是InternetInformationServices的缩写，意为互联网信息服务，它的功能是提供信息服务，如架设

MicrosoftWindows的互联网基本服务

第3页 8/6/20181:16PM ?2015谷安天下版权所有

了解身份验证功能，能够对访问用户进行控制

了解利用账号控制web目录的访问权限，防止跨目录访问

了解为每个站点设置单独的应用程序池和单独的用户的方法

了解取消上传目录的可执行脚本的权限的方法

第4页 8/6/20181:16PM ?2015谷安天下版权所有

IIS的身份验证概述

匿名身份验证

基本身份验证

摘要式身份验证

windows集成身份验证

第5页 8/6/20181:16PM ?2015谷安天下版权所有

系统默认只启用了匿名身份验证，另外三中需要通过添加角色服务的方式来添加

第6页 8/6/20181:16PM ?2015谷安天下版权所有

另外身份验证的顺序为：

?匿名身份验证windows验证摘要式身份验证基本身份验证

?可以这么理解，如果同时开启匿名身份验证和基本身份验证，客户端就会先利用匿名身份验证，所以基本身份验证即无效！

第7页 8/6/20181:16PM ?2015谷安天下版权所有

?匿名身份验证?即用户访问站点时，不需要提供身份认证信息，即可正常访问站点！

（服务端IIS设置允许匿名访问后，收到客户端的资源请求后，不需要经过身份验证，直接把请求的资源返回给客户端）?GET/iisstart.htmHTTP/1.1

?Accept:*/*

?Accept-Language:zh-cn?UA-CPU:x86

?Accept-Encoding:gzip,deflate

?If-Modified-Since:Fri,21Feb200312:15:52GMT?If-None-Match:0ce1f9a2d9c21:d87

?User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322;InfoPath.1;.NETCLR2.0.50727;MAXTHON2.0)?Host:

?Connection:Keep-Alive?

?HTTP/1.1200OK

?Content-Length:1193?Content-Type:text/html

?Last-Modified:Fri,21Feb200312:15:52GMT?Accept-Ranges:bytes

?ETag:0ce1f9a2d9c21:d8b?Server:Microsoft-IIS/6.0

?MicrosoftOfficeWebServer:5.0_Pub?X-Powered-By:ASP.NET

?Date:Mon,12Nov200707:29:40GMT

第8页 8/6/20181:16PM ?2015谷安天下版权所有

?基本身份验证

?若网站启用了基本身份验证，访问站点时，会要求用户输入密码！在网站后台等目录常用?使用此身份验证，需先将匿名身份验证禁用！

第9页 8/6/20181:16PM ?2015谷安天下版权所有

?基本身份验证?先禁用匿名身份验证，然后再启用基本身份验证，我们可以然后在点右边的编辑！?默认域：可以添加域账户，或将其留空。将依据此域对登录到您的站点时未提供域的用户进行身份验证。?领域：随便输入，将被显示到登录界面上.

第10页 8/6/20181:16PM ?2015谷安天下版权所有

?基本身份验证

首页访问正常无需账户密码

打开后台地址，需要输入本地用户组账户

第11页 8/6/20181:16PM ?2015谷安天下版权所有

摘要式身份验证?摘要式身份验证如基本身份验证一样需要输入账户密码，但是比基本身份认证更安全，

?基本身份验证在网络上传输不加密的Base64编码的密码，而摘要式身份验证用户密码使用MD5加密！

?使用摘要式身份验证必须具备下面三个条件：?浏览器支持HTTP1.1IE5以上都支持?IIS服务器必须是Windows域控制器成员服务器或者域控制器

?用户登录招