为了增强安全性,默认情况下 Windows Server® 2008 上未安装 IIS 7。 当您安装 IIS 7 时,会将您的 Web 服务器配置为只提供静态内容。 这包括 HTML 和图像文件。
下面的列表描述了 IIS 7 中的新增安全功能,并简要介绍了它们的优点:
-
名为 IIS_IUSRS 的新 Windows 内置组代替了本地 IIS_WPG 组。 名为 IUSR 的新增 Windows 内置帐户代替了 IIS 6.0 中的本地 IUSR_MachineName 匿名帐户。 但是,IUSR_MachineName 帐户将继续用于 FTP。 这些更改结合在一起,提供了四个优点。
-
无需禁用 IIS 匿名帐户即可使用自定义匿名帐户。
-
通过使用通用安全标识符 (SID),跨多个 Web 服务器维护一致的访问控制列表 (ACL)。
-
通过确保本地匿名帐户不会成为域帐户,改进了 DCPROMO 过程。
-
不再需要管理密码。
-
可以将 IP 限制列表配置为拒绝单台计算机、一组计算机、域或所有 IP 地址和未列出的项访问内容。 这除了提供 IIS 6.0 授予/拒绝支持外,还为 IP 限制规则的继承和合并提供支持。
-
UrlScan 2.5 安全工具的功能并入到了 IIS 7 中。 这样,就不再需要下载单独的工具。
-
IIS 7 支持在本机代码中实现 URL 授权。 为了保持一致,这一更改为现有 ASP.NET 托管代码实现的所有功能提供支持。
请使用以下任务在 IIS 7 中配置安全功能:
在 IIS 7 中配置身份验证
配置 IPv4 地址和域名规则 (IIS 7)
在 IIS 7 中配置 URL 授权规则
在 IIS 7 中配置服务器证书
在 IIS 7 中配置 ISAPI 和 CGI 限制
在 IIS 7 中配置安全套接字层
配置请求筛选器 (IIS 7)
配置共享的配置 (IIS 7)