1、Windows Server2003 IIS 6.0安全配置草 稿目 錄1.安裝IIS6.021.1安裝Internet 信息服務(wù)21.2配置匿名身份驗證22.基本 Web 站點配置33.讓IIS以最小的NTFS權(quán)限運行34.防范Wscript.Shell組件的方法45.防范Shell.Application組件的方法46.硬盤文件夾權(quán)限詳細(xì)配置47.卸載最不安全的組件58.禁用TCP/IP 上的NetBIOS69.TCP/IP上對進站連接進行控制69.1方法一 利用TCP/IP篩選69.2方法二 利用IP安全策略610.防范拒絕服務(wù)攻擊611.為IIS中的文件分類設(shè)置權(quán)限712.刪除不必要的

2、應(yīng)用程序映射713.保護日志安全813.1方法一: 修改IIS日志的存放路徑813.2方法二: 修改日志訪問權(quán)限8Windows Server2003 IIS 6.0安全配置1. 安裝IIS6.01.1 安裝Internet 信息服務(wù)Microsoft Internet 信息服務(wù) (IIS) 是與 Windows Server 2003 集成的 Web 服務(wù)。要安裝 IIS、添加可選組件或刪除可選組件，請按以下步驟操作：1. 單擊開始，指向控制面板，然后單擊“添加或刪除程序”?！疤砑踊騽h除程序”工具就會啟動。2. 單擊添加/刪除 Windows 組件。顯示“Windows 組件向?qū)А薄?. 在

3、Windows 組件 列表中，單擊Web 應(yīng)用程序服務(wù)器。4. 單擊詳細(xì)信息，然后單擊Internet 信息服務(wù) (IIS)。5. 單擊詳細(xì)信息 ，以查看 IIS 可選組件列表。6. 選擇您要安裝的可選組件。默認(rèn)情況下，下列組件是選中的：- 公用文件- FrontPage 2002 Server Extentions- Internet 信息服務(wù)管理單元- Internet 信息服務(wù)管理器- NNTP 服務(wù)- SMTP 服務(wù)- World Wide Web 服務(wù)7. 單擊“World Wide Web 服務(wù)”，然后單擊詳細(xì)信息 ，以查看 IIS 可選子組件（如 Active Server Pa

4、ges 組件和“遠程管理 (HTML) 工具”）的列表。選擇您要安裝的可選子組件。默認(rèn)情況下，下列組件是選中的：- World Wide Web 服務(wù)8. 單擊確定 ，直到返回“Windows 組件向?qū)А薄?9. 單擊下一步，然后完成“Windows 組件向?qū)А薄?.2 配置匿名身份驗證要配置匿名身份驗證，請按以下步驟操作：1. 單擊開始，指向管理工具，然后單擊Internet 信息服務(wù) (IIS)。2. 展開“* 服務(wù)器名稱”（其中服務(wù)器名稱為該服務(wù)器的名稱），右鍵單擊Web 站點，然后單擊屬性。3. 在Web 站點屬性對話框中，單擊目錄安全性選項卡。4. 在“身份驗證和訪問控制”下，單擊編

5、輯。5. 單擊“啟用匿名訪問”復(fù)選框，將其選中。備注：“用戶名”框中的用戶帳戶只用于通過Windows Guest帳戶進行匿名訪問。默認(rèn)情況下，服務(wù)器會創(chuàng)建并使用帳戶IUSR_computername。匿名用戶帳戶密碼僅在Windows中使用；匿名用戶不使用用戶名和密碼登錄。6. 在“已驗證身份的訪問”下，單擊“集成的 Windows 身份驗證”復(fù)選框，將其選中。 7. 單擊確定兩次。2. 基本 Web 站點配置1. 單擊開始，指向管理工具，然后單擊Internet 信息服務(wù) (IIS)。2. 展開“* 服務(wù)器名稱”（其中服務(wù)器名稱為該服務(wù)器的名稱），然后展開Web 站點。3. 右鍵單擊默認(rèn)W

6、eb站點，然后單擊屬性。4. 單擊Web站點選項卡。如果您已為計算機分配了多個IP地址，則請在IP地址框中單擊您要指定給此Web站點的IP地址。5. 單擊性能選項卡。使用Web站點屬性-性能對話框可設(shè)置影響內(nèi)存、帶寬使用和Web連接數(shù)量的屬性。通過配置某個特定站點上的網(wǎng)絡(luò)帶寬，您可以更好地控制該站點的通信量。例如，通過在低優(yōu)先級的 Web 站點上限制帶寬，您可以放寬對他站點的訪問量的限制。同樣，當(dāng)您指定到某個 Web 站點的連接數(shù)量時，您就可以為其他站點釋放資源。設(shè)置是站點專用的，應(yīng)根據(jù)網(wǎng)絡(luò)通信量和使用變化情況進行調(diào)整。 - 單擊“限制可用于此 Web 站點的帶寬”復(fù)選框，將其選中，可配置 I

7、IS 將網(wǎng)絡(luò)帶寬調(diào)節(jié)到選定的最大帶寬量，以千字節(jié)每秒 (KB/S) 為單位。- 單擊Web 服務(wù)連接 復(fù)選框，將其選中，可選擇特定數(shù)目或者不限定數(shù)目的 Web 服務(wù)連接。限制連接可使計算機資源能夠用于其他進程。備注：每個瀏覽 Web 站點的客戶機通常都使用大約三個連接。6. 單擊主目錄 選項卡。- 如果您想使用存儲在本地計算機上的Web內(nèi)容，則單擊“此計算機上的目錄”然后在本地路徑 框中鍵入您想要的路徑。例如，默認(rèn)路徑為 C:Inetpubwwwroot。3. 讓IIS以最小的NTFS權(quán)限運行依次做下面的工作: a. 選取整個硬盤：system：完全控制 administrator：完全控制

8、(允許將來自父系的可繼承性權(quán)限傳播給對象) b. program filescommon files： everyone：讀取及運行，列出文件目錄，讀取(允許將來自父系的可繼承性權(quán)限傳播給對象) c. inetpubwwwroot：iusr_machinename：讀取及運行，列出文件目錄，讀取(允許將來自父系的可繼承性權(quán)限傳播給對象) d. windowssystem32：選擇除inetsrv和centsrv以外的所有目錄，去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。e. windows：選擇除了downloaded、program files、help、iis tempora

9、ry compressed files、offline web pages、system32、tasks、temp、web以外的所有目錄去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。f. windows：everyone：讀取及運行，列出文件目錄，讀取(允許將來自父系的可繼承性權(quán)限傳播給對象) g. windowstemp：（允許訪問數(shù)據(jù)庫并顯示在asp頁面上）everyone：修改(允許將來自父系的可繼承性權(quán)限傳播給對象) 再單獨對cmd.exe、net.exe、net1.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe 、

10、regedit.exe、at.exe、attrib.exe、format.exe設(shè)置為只允許administrators組訪問，這樣就可以防范通過Serv-U的本地提升權(quán)限漏洞來運行這些關(guān)鍵的程序了，再刪除cacls.exe這個程序，防止有人通過命令行來修改權(quán)限還比較有威脅的組件就是Shell.Application和Wscript.Shell這兩個組件了，Shell.Application可以對文件進行一些操作，還可以執(zhí)行程序，但不能帶參數(shù)，而Wscript.Shell可以操作注冊表和執(zhí)行DOS命令。4. 防范Wscript.Shell組件的方法可以通過修改注冊表，將此組件改名。 HKEY_

11、CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件。同時也要將clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值也可以將其刪除，來防止此類木馬的危害。5. 防范Shell.Application組件的方法可以通過修改注冊表，將此組

12、件改名。 HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名為其它的名字，如：改為Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件。也要將clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值也可以將其刪除，來防止此類木馬的危害。6. 硬盤文件夾權(quán)限

13、詳細(xì)配置在服務(wù)器上打開資源管理器，用鼠標(biāo)右鍵點擊各個硬盤分區(qū)或卷的盤符，在彈出菜單中選擇“屬性”，選擇“安全”選項卡，此時就可以看到有哪些帳號可以訪問這個分區(qū)（卷）及訪問權(quán)限。默認(rèn)安裝后，出現(xiàn)的是“Everyone”具有完全控制的權(quán)限。點“添加”，將“Administrators”、“Backup Operators”、“Power Users”、“Users”等幾個組添加進去，并給予“完全控制”或相應(yīng)的權(quán)限，注意，不要給“Guests”組、“IUSR_機器名”這幾個帳號任何權(quán)限。然后將“Everyone”組從列表中刪除，這樣，就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了，而 ASP 執(zhí)行時，是以

14、“IUSR_機器名”的身份訪問硬盤的，這里沒給該用戶帳號權(quán)限，ASP 也就不能讀寫硬盤上的文件了。下面要做的就是給每個虛擬主機用戶設(shè)置一個單獨的用戶帳號，然后再給每個帳號分配一個允許其完全控制的目錄。打開“計算機管理”“本地用戶和組”“用戶”，在右欄中點擊鼠標(biāo)右鍵，在彈出的菜單中選擇“新用戶”。在彈出的“新用戶”對話框中根據(jù)實際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認(rèn)密碼”，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機的用戶建立一個匿名訪問 Internet 信息服務(wù)的內(nèi)置帳號“IUSR_VHOST1”，即：所有

15、客戶端使用 / 訪問此虛擬主機時，都是以這個身份來訪問的。輸入完成后點“創(chuàng)建”即可?？梢愿鶕?jù)實際需要，創(chuàng)建多個用戶，創(chuàng)建完畢后點“關(guān)閉”。現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了，在列表中雙擊該帳號，以便進一步進行設(shè)置。在彈出的“IUSR_VHOST1”（即剛才創(chuàng)建的新帳號）屬性對話框中點“隸屬于”選項卡： 剛建立的帳號默認(rèn)是屬于“Users”組，選中該組，點“刪除”。此時再點“添加”，在彈出的“選擇 組”對話框中找到“Guests”，點“添加”，此組就會出現(xiàn)在下方的文本框中，然后點“確定”。打開“Internet 信息服務(wù)”，開始對虛擬主機進行設(shè)置，本

16、例中的以對“第一虛擬主機”設(shè)置為例進行說明，右擊該主機名，在彈出的菜單中選擇“屬性”：彈出一個“第一虛擬主機 屬性”的對話框，從對話框中可以看到該虛擬主機用戶的使用的是“F:VHOST1”這個文件夾：暫時先不管剛才的“第一虛擬主機 屬性”對話框，切換到“資源管理器”，找到“F:VHOST1”這個文件夾，右擊，選“屬性”“安全”選項卡，此時可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制（視不同情況顯示的內(nèi)容不完全一樣），首先將最將下的“允許將來自父系的可繼承權(quán)限傳播給該對象”前面的對號去掉，此時會彈出 “安全”警告，點“刪除”。此時安全選項卡中的所有組和用戶都將被清空（如果沒有清空

17、，請使用“刪除”將其清空），然后點“添加”按鈕。 將“Administrator”及在前面所創(chuàng)建的新帳號“IUSR_VHOST1”添加進來，將給予完全控制的權(quán)限，還可以根據(jù)實際需要添加其他組或用戶，但一定不要將“Guests”組、“IUSR_機器名”這些匿名訪問的帳號添加上去！再切換到前面打開的“第一虛擬主機屬性”的對話框，打開“目錄安全性”選項卡，點匿名訪問和驗證控制的“編輯”，在彈出的“驗證方法”對方框，點“編輯”。彈出了“匿名用戶帳號”，默認(rèn)的就是“IUSR_機器名”，點“瀏覽”，在“選擇 用戶”對話框中找到前面創(chuàng)建的新帳號“IUSR_VHOST1”，雙擊。此時匿名用戶名就改過來了，在密

18、碼框中輸入前面創(chuàng)建時，為該帳號設(shè)置的密碼，再確定一遍密碼。經(jīng)此設(shè)置后，“第一虛擬主機”的用戶，使用 ASP 的 FileSystemObject 組件也只能訪問自己的目錄：F:VHOST1 下的內(nèi)容，當(dāng)試圖訪問其他內(nèi)容時，會出現(xiàn)諸如“沒有權(quán)限”、“硬盤未準(zhǔn)備好”、“500 服務(wù)器內(nèi)部錯誤”等出錯提示了。另：如果該用戶需要讀取硬盤的分區(qū)容量及硬盤的序列號，那這樣的設(shè)置將使其無法讀取。如果要允許其讀取這些和整個分區(qū)有關(guān)的內(nèi)容，請右鍵點擊該硬盤的分區(qū)（卷），選擇“屬性”“安全”，將這個用戶的帳號添加到列表中，并至少給予“讀取”權(quán)限。由于該卷下的子目錄都已經(jīng)設(shè)置為“禁止將來自父系的可繼承權(quán)限傳播給該對

19、象”，所以不會影響下面的子目錄的權(quán)限設(shè)置。7. 卸載最不安全的組件如果你不想使用上面的修改不安全組件的方法，那最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件regsvr32/u C:windowsSystem32wshom.ocxdel C: windows System32wshom.ocxregsvr32/u C: windows system32shell32.dlldel C: windows system32shell32.dll然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了

20、?？赡軙崾緹o法刪除文件，不用管它，重啟一下服務(wù)器，你會發(fā)現(xiàn)這三個都提示“安全”了。8. 禁用TCP/IP 上的NetBIOSNetBIOS是許多安全缺陷的源泉，所以我們需要禁用它。鼠標(biāo)右擊桌面上“網(wǎng)絡(luò)鄰居”“屬性” “本地連接”“屬性”，打開“本地連接屬性”對話框。選擇“Internet協(xié)議(TCP/IP)”“屬性”“高級”“WINS”，選中“禁用TCP/IP上的NetBIOS”一項即可解除TCP/IP上的NetBIOS9. TCP/IP上對進站連接進行控制9.1 方法一 利用TCP/IP篩選鼠標(biāo)右擊桌面上“網(wǎng)絡(luò)鄰居”“屬性”“本地連接”“屬性”，打開“本地連接屬性”對話框。選擇“Inter

21、net協(xié)議(TCP/IP)”“屬性”“高級”“選項”， 在列表中單擊選中“TCP/IP篩選”選項。單擊“屬性”按鈕，選擇“只允許”，再單擊“添加”按鈕，如圖，只填入80端口即可。9.2 方法二 利用IP安全策略IPSec Policy Filters（IP安全策略過濾器）彌補了傳統(tǒng)TCP/IP設(shè)計上的“隨意信任”重大安全漏洞，可以實現(xiàn)更仔細(xì)更精確的TCP/IP安全。它是一個基于通訊分析的策略，將通訊內(nèi)容與設(shè)定好的規(guī)則進行比較以判斷通訊是否與預(yù)期相吻合，然后據(jù)此允許或拒絕通訊的傳輸。我們同樣可以設(shè)置只允許80端口的數(shù)據(jù)通過，其它端口來的數(shù)據(jù)一律攔截。10. 防范拒絕服務(wù)攻擊DDoS攻擊現(xiàn)在很流行

22、，例如SYN使用巨量畸形TCP信息包向服務(wù)器發(fā)出請求，最終導(dǎo)致服務(wù)器不能正常工作。改寫注冊表信息雖然不能完全阻止這類攻擊，但是可以降低其風(fēng)險。打開注冊表：將HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2。這樣可以使TCP/IP調(diào)整SYN-ACKS的重傳，當(dāng)出現(xiàn)SYN-ATTACK跡象時，使連接對超時的響應(yīng)更快。11. 為IIS中的文件分類設(shè)置權(quán)限 除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們設(shè)置權(quán)限，以期做到雙保險。一般而言，對一個文件夾永遠也不應(yīng)同時設(shè)置寫和執(zhí)行

23、權(quán)限，以防止攻擊者向站點上傳并執(zhí)行惡意代碼。另外目錄瀏覽功能也應(yīng)禁止，預(yù)防攻擊者把站點上的文件夾瀏覽個遍最后找到漏洞。一個好的設(shè)置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如： 靜態(tài)文件文件夾：包括所有靜態(tài)文件，如HTM 或HTML，給予允許讀取、拒絕寫的權(quán)限。 ASP腳本文件夾：包含站點的所有腳本文件，如cgi、vbs、asp等等，給予允許執(zhí)行、拒絕寫和讀取的權(quán)限。 EXE等可執(zhí)行程序：包含站點上的二進制執(zhí)行文件，給予允許執(zhí)行、拒絕寫和拒絕讀取的權(quán)限。12. 刪除不必要的應(yīng)用程序映射IIS中默認(rèn)存在很多種應(yīng)用程序映射，如.htw、.ida、.idq、.asp

24、、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通過這些程序映射，IIS就能知道對于什么樣的文件該調(diào)用什么樣的動態(tài)鏈接庫文件來進行解析處理。但是，在這些程序映射中，除了.asp的這個程序映射，其它的文件在網(wǎng)站上都很少用到。而且在這些程序映射中，.htr、.idq/ida、.printer等多個程序映射都已經(jīng)被發(fā)現(xiàn)存在緩存溢出問題，入侵者可以利用這些程序映射中存在的緩存溢出獲得系統(tǒng)的權(quán)限。即使已經(jīng)安裝了系統(tǒng)最新的補丁程序，仍然沒法保證安全。所以我們需要將這些不需要的程序映射刪除。在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬

25、性”，在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，點擊“配置”按鈕，彈出“應(yīng)用程序配置”對話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時，必須安裝最新的系統(tǒng)修補程序以解決程序映射存在的問題，并且選中相應(yīng)的程序映射，再點擊“編輯”按鈕，在“添加/編輯應(yīng)用程序擴展名映射”對話框中勾選“檢查文件是否存在”選項，如圖。這樣當(dāng)客戶請求這類文件時，IIS會先檢查文件是否存在，文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。13. 保護日志安全日志是系統(tǒng)安全策略的一個重要壞節(jié)，IIS帶有日志功能，能記錄所有的用戶請求。確保日志的安全能有效提高系統(tǒng)整體安全性。13.1 方法一: 修改

26、IIS日志的存放路徑IIS的日志默認(rèn)保存在一個眾所周知的位置（%WinDir%System32LogFil-es），這對Web日志的安全很不利。所以我們最好修改一下其存放路徑。在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“Web站點”頁面中，在選中“啟用日志記錄”的情況下，點擊旁邊的“屬性”按鈕，在“常規(guī)屬性”頁面，點擊“瀏覽”按鈕或者直接在輸入框中輸入日志存放路徑即可，如圖。13.2 方法二: 修改日志訪問權(quán)限日志是為管理員了解系統(tǒng)安全狀況而設(shè)計的，其他用戶沒有必要訪問，應(yīng)將日志保存在NTFS分區(qū)上，設(shè)置為只有管理員才能訪問。當(dāng)然，如果條件許可，還可

27、單獨設(shè)置一個分區(qū)用于保存系統(tǒng)日志，分區(qū)格式是NTFS，這樣除了便于管理外，也避免了日志與系統(tǒng)保存在同一分區(qū)給系統(tǒng)帶來的安全威脅。如果IIS日志保存在系統(tǒng)分區(qū)中，入侵者使用軟件讓IIS產(chǎn)生大量的日志，可能會導(dǎo)致日志填滿硬盤空間，整個Windows系統(tǒng)將因為缺乏足夠可用的硬盤空間而崩潰，為日志設(shè)置單獨的分區(qū)則可以避免這種情況的出現(xiàn)。IIS6.0服務(wù)器無法訪問解決方案總結(jié)有些人在用IIS6架網(wǎng)站的時候遇到不少問題，而這些問題有些在過去的IIS5里面就遇到過，有些是新出來的，經(jīng)過多次試驗，結(jié)合以前的排錯經(jīng)驗，做出了這個總結(jié)，希望能給大家?guī)蜕厦Γ簡栴}1：未啟用父路徑癥狀舉例：Server.MapPath

28、()錯誤ASP0175:不允許的Path字符/0709/dqyllhsub/news/OpenDatabase.asp，行4在MapPath的Path參數(shù)中不允許字符.。原因分析：許多Web頁面里要用到諸如./格式的語句（即回到上一層的頁面，也就是父路徑），而IIS6.0出于安全考慮，這一選項默認(rèn)是關(guān)閉的。解決方法：在IIS中屬性-主目錄-配置-選項中。把”啟用父路徑“前面打上勾。確認(rèn)刷新。問題2：ASP的Web擴展配置不當(dāng)（同樣適用于ASP.NET、CGI）癥狀舉例：HTTP錯誤404-文件或目錄未找到。原因分析：在IIS6.0中新增了web程序擴展這一選項，你可以在其中對ASP、ASP.N

29、ET、CGI、IDC等程序進行允許或禁止，默認(rèn)情況下ASP等程序是禁止的。解決方法：在IIS中的Web服務(wù)擴展中選中ActiveServerPages，點擊“允許”。問題3：身份認(rèn)證配置不當(dāng)癥狀舉例：HTTP錯誤401.2-未經(jīng)授權(quán)：訪問由于服務(wù)器配置被拒絕。原因分析：IIS支持以下幾種Web身份驗證方法：匿名身份驗證IIS創(chuàng)建IUSR_計算機名稱帳戶（其中計算機名稱是正在運行IIS的服務(wù)器的名稱），用來在匿名用戶請求Web內(nèi)容時對他們進行身份驗證。此帳戶授予用戶本地登錄權(quán)限。你可以將匿名用戶訪問重置為使用任何有效的Windows帳戶?；旧矸蒡炞C使用基本身份驗證可限制對NTFS格式Web服務(wù)

30、器上的文件的訪問。使用基本身份驗證，用戶必須輸入憑據(jù)，而且訪問是基于用戶ID的。用戶ID和密碼都以明文形式在網(wǎng)絡(luò)間進行發(fā)送。Windows集成身份驗證Windows集成身份驗證比基本身份驗證安全，而且在用戶具有Windows域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成的Windows身份驗證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果嘗試失敗，就會提示該用戶輸入用戶名和密碼。如果你使用集成的Windows身份驗證，則用戶的密碼將不傳送到服務(wù)器。如果該用戶作為域用戶登錄到本地計算機，則他在訪問此域中的網(wǎng)絡(luò)計算機時不必再次進行身份驗證。摘要身份驗證摘要身份驗證克服了基本身份驗證的許多缺

31、點。在使用摘要身份驗證時，密碼不是以明文形式發(fā)送的。另外，你可以通過代理服務(wù)器使用摘要身份驗證。摘要身份驗證使用一種挑戰(zhàn)/響應(yīng)機制（集成Windows身份驗證使用的機制），其中的密碼是以加密形式發(fā)送的。.NETPassport身份驗證Microsoft.NETPassport是一項用戶身份驗證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了.NETPassport的Web站點和服務(wù)時更加安全。啟用了.NETPassport的站點會依靠.NETPassport中央服務(wù)器來對用戶進行身份驗證。但是，該中心服務(wù)器不會授權(quán)或拒絕特定用戶訪問各個啟用了.NETPassport的站點。解決方法：根據(jù)需要配置不同的身份認(rèn)證（一般為匿名身份認(rèn)證，這是大多數(shù)站點使用的認(rèn)證方法）。認(rèn)證選項在IIS的屬性-安全性-身份驗證和訪問控制下配置。問題4：IP限制配置不當(dāng)癥狀舉例：HTTP錯誤403.6-禁止訪問：客戶端的IP地址被拒絕。原因分析：IIS提供了IP限制的機制，你可以通過配置來限制某些IP不能訪問站點，或者限制僅僅只有某些IP可以訪問站點，而如果客戶端在被你阻止的IP范圍內(nèi)，或