確保 Internet Information Services 5.0 及 5.1 的安全

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
減少您網頁伺服器的攻擊點
帳戶設定
確保檔案及目錄的安全
確保網站及虛擬目錄的安全
在您的網頁伺服器設定安全通訊端階層 (SSL)
相關資訊

簡介

網頁伺服器是各種不同類型安全性攻擊經常利用的目標。部分攻擊十分嚴重,會對企業的資產、生產力及客戶關係造成嚴重的損害;而天下所有攻擊都一樣,都會造成不便及阻礙。網頁伺服器的安全是企業能否成功的重要關鍵。

本文件將說明,如何著手確保 Microsoft® Windows® 2000 Server、Standard Edition 作業系統上執行 Internet Information Services (IIS) 5.0,或者在 Microsoft® Windows® XP 作業系統上執行 Internet Information Services 5.1 的網頁伺服器安全無虞。。首先,本節將說明部分最常影響網頁伺服器安全的威脅。本文件緊接著提供預先設計的指導方針,告訴您如何提升網頁伺服器的安全,以對抗這類攻擊。

這份文件提供下列指南,協助您增加網頁伺服器的安全性:

  • 降低網頁伺服器暴露於潛在攻擊者的攻擊點或範圍

  • 針對存取您網站的使用者或群組,設定帳戶及權限

  • 拒絕未授權的使用者存取,讓 IIS Metabase 及記錄檔更安全

  • 在您的網頁伺服器設定安全通訊端階層 (Secure Sockets Layer,SSL)

    重要: 這份文件所有的逐步指示,均以使用「開始」功能表作為開始,這個功能表預設會在您安裝的作業系統中出現。如您已經修改了「開始」功能表,這些步驟可能有些微不同。

完成這份文件的步驟後,能保護您的網頁伺服器不被下列針對直接使用到網際網路的伺服器的攻擊類型威脅:

  • 蒐集網站資訊的設定資料攻擊。封鎖不必要的連接埠以及停用不必要的協定可減少這類攻擊。

  • 使網頁伺服器的要求溢流的拒絕服務攻擊。套用安全性補充程式及軟體更新可減少這類攻擊。

  • 使用者未經正確授權的存取。設定網頁及 NTFS 權限,能減少這類攻擊。

  • 網頁伺服器被任意執行惡意程式碼。防止存取系統工具及命令,能減少這類攻擊。

  • 讓惡意使用者用高權限帳戶執行程式的權限提升攻擊。使用最低權限服務及使用者帳戶,可減少這類攻擊。

  • 病毒、蠕蟲、特洛伊木馬程式的傷害。停用不必要的功能、使用最低權限帳戶、迅速使用最新安全性補充程式,能減少這類攻擊。

注意:由於網站安全維護是複雜、持續進行的過程,因此無法保證完全安全。

開始之前

本節說明系統需求,並描述本文件使用的範例網頁伺服器特徵。

系統需求

本文件使用的範例網頁伺服器,系統需求如下:

  • 作業系統需安裝於 NTFS 磁碟分割。如需 NTFS 的相關資訊,請至 Windows server 2003 說明及支援中心搜尋「NTFS」。

  • Windows 2000 Server 或 Windows XP 必要的補充程式及更新,已套用到伺服器。

  • 這個伺服器需在安裝 Service Pack 4 的 Windows 2000 Server,或安裝 Service Pack 1 的 Windows XP 下執行。

    重要:若電腦尚未安裝 Service Pack 1 或 Service Pack 4,或是您不知道是否已安裝,您可到 Microsoft 網站 http://go.microsoft.com/fwlink/?LinkID=22630Windows Update 網頁,讓 Windows Update 掃瞄您的電腦,提供有用的更新。若顯示 Service Pack 1 或 Service Pack 4 為可用的更新,請在執行本文件下列程序前,安裝所有必要的 Service Pack。

本文件所提供的訊息,可協助您開始設定更安全的網頁伺服器。然而,為了讓您的網頁伺服器儘可能安全,您需要瞭解應用程式在伺服器上的行為。本文件不包含如何設定特定應用程式的安全性。

網頁伺服器特徵

本文件的範例網頁伺服器具有下列特徵:

  • 在 IIS 5.0 (Windows 2000 Server) 或 IIS 5.1 (Windows XP) 下執行。

  • 主控使用到網際網路的網站。

  • 是專用伺服器。

  • 具備防火牆,只允許 HTTP 連接埠 80 及 HTTPS 連接埠 443 的傳輸。

  • 允許匿名存取網站。

  • 提供 HTML 及 ASP 網頁。

  • 不支援 FTP (上傳及下載檔案)、SMTP (電子郵件),或 NNTP (新聞群組) 通訊協定。

  • 不使用 Internet Security and Acceleration Server。

  • 必須登入本機系統管理員,才能管理網頁伺服器。

除了上述要求外,範例仍有下列條件:

  • 網頁伺服器並未設定 Microsoft 的 FrontPage® 2002 Server Extensions。

  • 網頁伺服器上的應用程式不需要資料庫連線。


減少您網頁伺服器的攻擊點

開始減少您網頁伺服器的攻擊點,例如,只啟用那些使網頁伺服器得以正常運作的必要元件、服務及連接埠。

本節提供下列逐步指示,減少您網頁伺服器的攻擊點:

  • 執行 IIS 鎖定工具

  • 自訂 UrlScan 組態

執行 IIS 鎖定工具

使用 IIS 鎖定工具,您可以依網頁伺服器主機的應用程式類型,選擇特定伺服器角色,然後使用自訂範本提升該伺服器的安全性,同時停用或保護各項功能。

執行 IIS 鎖定工具,能自動化許多確保網頁伺服器安全的程序。然而,請記住沒有任何的工具可以取代適時安裝 Service Pack 及 Hotfix。

注意:建議您執行 IIS 鎖定工具前,先閱讀隨附的技術文件。

本節提供下列逐步指示,執行 IIS 鎖定工具:

  • 安裝 IIS 鎖定工具

  • 判斷網頁伺服器是否會提供動態內容

  • 判斷 IIS 鎖定工具是否已經在您的網頁伺服器執行

  • 執行 IIS 鎖定工具

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:必須安裝 IIS 鎖定工具、Internet Services Manager。

  • 安裝 IIS 鎖定工具

    1. 從 Microsoft Download Center (英文) http://go.microsoft.com/fwlink/?LinkId=22848 下載 IIS 鎖定工具

    2. 按一下 [儲存] 將檔案儲存到您硬碟的本機資料夾,例如,C:\WINNT\system32\inetsrv。

    3. 按一下 [開始],按一下 [執行],鍵入 cmd,然後再按一下 [確定]。

    4. 在命令提示字元視窗,瀏覽到您儲存 IIS 鎖定工具檔案的位置,鍵入下列命令:iislockd.exe/q /c

      這個命令會將下列檔案解壓縮:

      • IISLockd.chm。這是編譯的 IIS 鎖定工具說明檔。

      • RunLockdUnattended.doc。本檔案包含自動安裝 IIS 鎖定工具的指示。

      • UrlScan.exe 及相關檔案。這些檔案會安裝 UrlScan。上述檔案預設解壓縮至 C:\WINNT\system32\inetsrv\urlscan。如需關於 UrlScan 的更多資訊,請看本文件稍後的<自訂 UrlScan 組態>。

  • 若要判斷網頁伺服器是否會提供動態內容

    1. 在桌面上的 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後直接瀏覽到儲存網頁伺服器內容的目錄。

    2. 搜尋下列副檔名的檔案:

        

        

        

      .asp

      .ida

      .idq

      .htw

      .shtml

      .shtm

      .stm

      .idc

      .htr

      .cgi

      .dll

      .exe


      若搜尋傳回任何項目,表示您的網頁伺服器提供動態內容。例如,本章使用的範例網頁伺服器會提供 .asp 檔案,所以搜尋時會顯示所有這類副檔名的檔案。

  • 若要判斷 IIS 鎖定工具是否已經在您的網頁伺服器執行

    1. 在桌面上的 [我的電腦] 上,按一下 [檔案總管],瀏覽 C:\WINNT\system32\inetsrv 資料夾,找出 Oblt-rep.log 檔案。

    2. 瀏覽到 C:\WINNT|System32\Inetsrv\MetaBack 資料夾,找出 Oblt-once.md0 及 Oblt-mb.md0 檔案。
      如果檔案不存在,可能是您的網頁伺服器尚未執行 IIS 鎖定工具。您可以先進行下一個作業「執行 IIS 鎖定工具」。

    3. 若要再度執行 IIS 鎖定工具,請忽視之前的安裝,刪除這些檔案或移到不同的位置。

若您的網頁伺服器已經執行 IIS 鎖定工具,請跳過本節剩餘的程序,直接到「設定 UrlScan 組態」。

注意:建議您先閱覽這份文件剩下的章節,確定網頁伺服器上的 IIS 鎖定工具設定,能夠提供您需要的安全性層級。

  • 若要執行 IIS 鎖定工具

    1. 在桌面上的 [我的電腦] 上,按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽 IIS 鎖定工具檔案所在的目錄,例如,C:\WINNT\system32\inetsrv。

    2. 按兩下 IISlockd.exe,按一下 [下一步],閱讀使用者授權合約 (End User License Agreement,EULA),按一下 [I Agree],再按一下 [下一步]。

    3. 在 [Select Server Template] 頁面,按一下 [Dynamic Web Server (ASP enabled)],選取 [View template settings] 核取方塊,然後按一下 [下一步]。

      注意:這份文件的螢幕擷取畫面是顯示測試環境的資訊,因此可能與顯示在您螢幕上的資訊不同。

      IIS 鎖定精靈
    4. 在 [Internet Services] 頁面,按一下 [Remove unselected services],按一下 [確定] 回應「警告」訊息方塊,然後按一下 [下一步]。

      IIS 鎖定精靈2
    5. 在 [Script Maps] 頁面,確認 [Active Server Pages] 核取方塊未被選取,然後按一下 [下一步]。

      IIS 鎖定精靈3
    6. 在 [Additional Security] 頁面,確定所有的核取方塊都被選取,然後按一下 [下一步]。

      IIS 鎖定精靈4
    7. 在 [UrlScan] 頁面,選取 [Install UrlScan filter on the server] 核取方塊,然後按一下 [下一步]。

      IIS 鎖定精靈5
    8. 在 [Ready to Apply Settings] 頁面,檢視已選取的變更項目,然後按一下 [下一步]。

      注意:若要變更您的選擇,請按一下 [上一步] 進行必要的變更。IIS 鎖定工具依據您指定的選項,更新伺服器的設定。

    9. 在 [Applying Security Settings] 頁面,按一下 [View Report] 檢視由 IIS 鎖定工具所做的變更清單,然後按一下 [下一步]。

    10. 按一下 [完成]。

確認新的設定

確認適當的 IIS 鎖定工具安全設定,已套用到本機電腦。

  • 若要確認 IIS 鎖定工具所做的變更

    1. 在桌面上的 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽到 C:\WINNT\System32\inetsrv 目錄。

    2. 按兩下 oblt-log.log 檔案,檢視 IIS 鎖定工具所做的變更。

下表顯示 IIS 鎖定工具依您的設定所做的變更,及因鎖定這些項目而減少的弱點。

IIS 鎖定工具,為減少安全問題進行的變更

頁面

動作

減少的安全問題

Internet Services

停用 FTP、SMTP 及 NNTP 服務

任何執行中的服務,都可能是潛在的攻擊點。 這些服務特別容易遭受攻擊。

Script Maps

與 404.dll 比對,停用下列副檔名的檔案:
索引服務 (.idq、.htw、.ida)
伺服器端檔案 (.shtml、.shtm、.stm),包括
網際網路資料連接器 (.idc)。
HTR 指令碼 (.htr) 網際網路列印 (.printer)

idq、.ida:緩衝區溢位,可能允許攻擊者完全控制伺服器。
htw:使用者可能會透過瀏覽器或 HTML 相容的電子郵件用戶端,不經意地開啟惡意的連結。
shtml、.shtm、.stm:ssiinc.dll 造成的安全問題,能向瀏覽器傳回任何位於網頁伺服器上,被攻擊者指定的內容。
idc:跨網站指令碼造成的安全問題,能傳回完整的 URL 到錯誤的網頁,允許攻擊者在伺服器上執行任意程式碼。
htr:揭露 ASP 檔案的原始程式碼。
printer:提供攻擊者,目標 IIS 系統上的遠端控制台。

Additional Security

移除下列虛擬目錄:
IIS Samples
MSADC
IISHelp
Scripts
IISAdmin
網際網路列印用的 Printers 目錄,

移除 IISAdmin 網站

限制匿名存取系統工具

限制匿名使用者寫入網頁內容目錄。

新增兩個本機群組,命名為 Web Anonymous Users 及 Web Applications,並為這些群組,在重要工具及目錄的存取控制清單 (Access Control List,ACL) 上,新增「拒絕」存取控制項目 (Access Control Entry,ACE)。

在 Web Anonymous Users 上,新增預設的匿名網際網路使用者帳戶,
IUSR – ComputerName。

新增預設的 Web 應用程式識別碼,IWAM – ComputerName,到 Web Applications。

停用 Web Distributed Authoring and Versioning (WebDAV)。
安裝 UrlScan ISAPI 篩選器。

  


  • 若要確認 IIS 鎖定工具設定在網頁伺服器上有效。

    1. 在桌面上的 [我的電腦] 上,按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽 C:\WINNT\system32\inetsrv 目錄。

    2. 找出 oblt-undo.log 及 oblt-undone.log 檔案的位置。

如果記錄檔不存在,或者檔案存在但資料與時間戳記比 oblt-log.log 更舊,則 IIS 鎖定工具設定在網頁伺服器上有效。

執行 IIS 鎖定工具後,可以手動重新啟用副檔名。建議重新執行 IIS 鎖定工具,並移除原設定。

  • 若要在執行 IIS鎖定工具後,手動重新對應檔案名稱副檔名

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後選取 [網際網路服務管理員]。

    2. 在網站上按一下滑鼠右鍵,再按一下 [內容]。

    3. 按一下 [主目錄] 索引標籤,然後按一下 [設定]。

      應用程式設定
    4. 找出您想重新對應的檔案名稱副檔名位置。

    5. 按兩下檔案,把路徑從 404.dll 變更到 C:\WINNT\system32\inetsrv\檔案名稱.dll,這裡的檔案名稱為您想重新對應的副檔名。例如:idq.dll。

自訂 UrlScan 組態

UrlScan 在執行 IIS 鎖定工具時已被安裝。UrlScan 是網際網路服務應用程式發展介面 (Internet Services Application Programming Interface,ISAPI) 篩選器,以一套規則篩選、拒絕 HTTP 要求,來保護網頁伺服器不受攻擊。這些規則會套用於所有這個網頁伺服器提供的網站。只要安裝正確,不論 IIS 是否啟動,UrlScan 均會自動執行。

您可以變更 UrlScan 規則,只需編輯 UrlScan.ini 檔案。這個檔案必須位於 UrlScan.dll 所處相同目錄,而 UrlScan.dll 是使 UrlScan 運作的檔案。

本節提供下列逐步指引,自訂 UrlScan 組態:

  • 自訂 UrlScan 組態

  • 確認新的 UrlScan 設定

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦、UrlScan.ini 檔案、記事本、iisreset 命令。

  • 若要自訂 UrlScan 組態

    1. 在桌面上的 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽 C:\WINNT\system32\inetsrv\urlscan 目錄。

    2. 按兩下 UrlScan.ini 檔案,在記事本中開啟。進行變更、儲存,然後關閉檔案。

      下列表格顯示 UrlScan.ini 檔案區段。

      UrlScan.ini 檔案區段

      區段

      說明

      [Options]

      一般 UrlScan 選項。例如,目錄橫斷攻擊會利用含有多個句號 (".") 的專案路徑名稱。如果部分目錄名稱含有多個句號,則必須在 UrlScan.ini 中設定 AllowDotInPath=1。其他被 UrlScan 拒絕的字元包括逗號 (,) 及 井字號 (#)。

      [AllowVerbs] 及 [DenyVerbs]

      UrlScan 允許的動詞 (也稱為 HTTP 方法,例如 GET 及 POST)。

      [DenyHeaders]

      不允許出現在 HTTP 要求的 HTTP 標頭。若 HTTP 要求包含不被允許的標頭,則 UrlScan 會拒絕這個要求。

      [AllowExtensions] 及 [DenyExtensions]

      UrlScan 允許的檔案名稱副檔名 (例如,.exe、.dll、.cgi)

      [DenyURLSequences]

      不被允許出現在 HTTP 要求的字串。UrlScan 會拒絕,包含本節所列字串的 HTTP 要求。


    3. 開啟命令提示字元,鍵入 iisreset 以停止並重新啟動 IIS,然後接受您對 UrlScan.ini 檔案所做的變更。

確認新的設定

確認對於 UrlScan 組態適當的安全設定,已套用在您的本機電腦。

  • 若要確認 UrlScan 組態

    1. 在桌面上的 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽 C:\WINNT\system32\inetsrv\urlscan 目錄。

    2. 若要檢視變更記錄,按兩下 UrlScandate.log 檔案,在記事本中開啟。

停用不需要的通訊協定

避免使用不需要的通訊協定,可減少遭受攻擊的機會。

本節提供下列逐步指引,停用不需要的通訊協定:

  • 在使用到網際網路的連線上停用 SMB。

  • 停用 NetBIOS over TCP/IP

停用 SMB 及 NetBIOS

主機列舉攻擊會掃瞄網路,並列出可利用目標的 IP 位址。為了減少主機列舉攻擊的成功率,您網頁伺服器上使用到網際網路的連接埠,需停用所有通訊協定,只保留傳輸控制通訊協定(Transmission Control Protocol,TCP)。網頁伺服器的網路介面卡,不需要伺服器訊息區 (Server Message Block,SMB) 或 NetBIOS。

注意:一旦您停用 SMB 和 NetBIOS,伺服器就無法擔任檔案伺服器或列印伺服器,您也無法以遠端遙控的方式管理網頁伺服器。如果您的伺服器是專用伺服器,需要系統管理員由本機登入,這些限制就不會影響伺服器的作業。

SMB 使用下列連接埠:

  • TCP 連接埠 139

  • TCP 及 UDP 連接埠 445 (SMB Direct Host)

NetBIOS 使用下列連接埠:

  • TCP 和使用者資料包通訊協定 (User Datagram Protocol,UDP) 連接埠 137 (NetBIOS 名稱服務)

  • TCP 及 UDP 連接埠 138 (NetBIOS 資料包服務)

  • TCP 及 UDP 連接埠 139 (NetBIOS 工作階段服務)

只停用 NetBIOS 並不足以防止 SMB 通訊,如果標準 NetBIOS 連接埠無法使用,SMB 會使用 TCP 連接埠 445 (稱為 SMB Direct Host)。您必須分別停用 NetBIOS 及 SMB。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦、系統工具、裝置管理員。

  • 若要停用使用到網際網路連線的 SMB。

    1. 按一下 [開始],按一下 [設定],然後按一下 [網路和撥號連線]。

    2. 在使用到網際網路的連線上按一下滑鼠右鍵,然後按一下 [內容]。

    3. 清除 [Client for Microsoft Networks] 核取方塊。

    4. 清除 [File and Printer Sharing for Microsoft Networks] 核取方塊,然後按一下 [確定]。

  • 若要停用 NetBIOS over TCP/IP

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [系統工具],然後選取 [裝置管理員]。

    3. 在 [裝置管理員] 上按一下滑鼠右鍵,按一下 [檢視],再按一下 [顯示隱藏裝置]。

    4. 展開 [非隨差即用裝置]。

    5. 在 [NetBios over Tcpip] 上按一下滑鼠右鍵,按一下 [停用] 然後再按一下 [確定]。

      電腦管理

      這個程序停用 SMB 的直接裝載接聽程式,位於 TCP 連接埠 445 及 UDP 連接埠 445 上,也能停用 Nbt.sys 驅動程式,並要求重新啟動電腦。

      重新啟動系統後,可能會看見來自「服務控制管理員」的錯誤訊息。這些訊息是停用 NetBIOS 預期的結果。

確認新的設定

確認您的網頁伺服器是否使用合適的安全設定。

  • 若要確認 SMB 已停用

    1. 按一下 [開始],按一下 [設定],然後按一下 [網路和撥號連線]。

    2. 在使用到網際網路的連線上按一下滑鼠右鍵,然後按一下 [內容]。

    3. 同時確認 [Client for Microsoft Networks] 以及 [File and Printer Sharing for Microsoft Networks] 核取方塊未被核取,然後按一下 [確定]。

  • 若要確認 NetBIOS 已停用

    1. 按一下 [開始],在 [我的電腦] 按一下滑鼠右鍵,然後再按一下 [管理]。

    2. 在 [系統工具] 上按兩下,然後選取 [裝置管理員]。

    3. 在 [裝置管理員] 上按一下滑鼠右鍵,按一下 [檢視],再按一下 [顯示隱藏裝置]。

    4. 按兩下 [非隨插即用裝置],然後在 [NetBios over Tcpip] 上按一下滑鼠右鍵。

      現在 [啟用] 選項已出現在快顯功能表,表示 TCP/IP 上的 NetBIOS 目前已停用。

    5. 按一下 [確定] 關閉裝置管理員。

停用 Null 工作階段,防止匿名登入。

若要預防匿名存取,需停用 Null 工作階段。這些是兩部電腦之間未經確認或匿名的工作階段。如未停用 Null 工作階段,未經確認或匿名的攻擊者可能連線到您的伺服器。

攻擊者若建立 Null 工作階段,便可以進行多種攻擊,包括列舉技術,可以從目標電腦蒐集系統最近的資訊,以輔助未來進行攻擊。能用 Null 工作階段傳回的資訊,包括網域、信任詳細資料、共用、使用者資訊 (包括群組及使用者權限),及登錄機碼。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:本機安全性原則。

  • 若要停用 Null 工作階段

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [本機安全性原則]。

    2. 在 [安全性設定] 下,按兩下 [本機原則],然後按一下 [安全性選項]。

    3. 按兩下 [匿名使用者連線的其他限制],然後在 [本機原則設定] 下選取 [無明確匿名允許者不得存取]。

      本機安全設定
    4. 重新啟動網頁伺服器,讓變更生效。

確認新的設定

確認對於停用 Null 工作階段,適當的安全設定,已套用在您的本機電腦。

  • 若要確認 Null 工作階段已停用

    1. 在遠端電腦上,按一下 [開始],按一下 [執行] 鍵入 cmd,然後按一下 [確定]。

    2. 在命令提示字元中鍵入下列命令:net use\\ <IP address of your Web server>
      您將會收到下列訊息:

      發生系統錯誤 5 。
      拒絕存取。


帳戶設定

您應該移除不用的帳戶,防止被攻擊者發現並使用。自動要求強性密碼;弱性密碼易增加暴力攻擊、字典攻擊成功的可能性。使用執行最小權限的帳戶。否則,攻擊者可使用擁有太多權限的帳戶,存取不被授權的資源。

本節提供下列逐步指引,執行帳戶設定:

  • 停用不使用的帳戶

  • 停用 Null 工作階段,防止匿名存取

停用不使用的帳戶

不使用的帳戶可能被攻擊者用來存取伺服器。您應定期稽核伺服器上的本機帳戶,並停用任何已經不使用的帳戶。停用實際執行伺服器上的帳戶前,先停用測試伺服器上的相同帳戶,這樣可確保停用的帳戶不會負面影響應用程式的作業。如果停用這些帳戶並未在測試伺服器上造成任何問題,便可在實際執行伺服器上停用這些帳戶。

注意:如果您選擇刪除不使用的帳戶,取代停用帳戶,請注意被刪除的帳戶將無法復原,且 Administrator 帳戶及 Guest 帳戶無法被刪除。並在刪除測試伺服器上的帳戶前,確認已在實際執行伺服器上刪除它。

本節提供下列逐步指引,執行停用不使用的帳戶:

  • 停用 Guest 帳戶

  • 重新命名管理員帳戶

  • 停用 IUSR_ComputerName 帳戶

停用 Guest 帳戶

使用內建 Guest 帳戶匿名連線至伺服器。保持此帳戶停用可限制匿名連線至電腦。Windows 2000 將 Guest 帳戶預設為停用。

注意:您無法停用網域控制站上的 Guest 帳戶。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦。

  • 若要停用 Guest 帳戶

    1. 在桌面上的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [本機使用者和群組],然後按兩下 [使用者] 資料夾。一般來說,Guest 帳戶以紅色 X 圖示顯示已被停用。若 Guest 帳戶未被停用,請繼續執行步驟 3 進行停用。

      電腦管理 2
    3. 在 Guest 帳戶上按一下滑鼠右鍵,然後選取 [內容]。

    4. 按一下 [一般] 索引標籤,檢查 [帳戶已被停用],然後按一下 [確定]。
      Guest 帳戶旁現在應該已顯示紅色 X 圖示。

重新命名管理員帳戶

預設的本機 Administrator 帳戶,因為對電腦有高權限,是惡意使用的目標。重新命名預設 Administrator 帳戶並賦予強性密碼,可提升安全性。

注意:您無法重新命名網域控制站上的本機 Administrator 帳戶。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦。

  • 若要重新命名 Administrator 帳戶並賦予強性密碼。

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [本機使用者和群組],然後按兩下 [使用者] 資料夾。

    3. 在 Administrators 帳戶上按一下滑鼠右鍵,再按一下 [重新命名]。

    4. 在欄位內鍵入新名稱,然後按下 ENTER

    5. 在 Administrators 帳戶上按一下滑鼠右鍵,再按一下 [設定密碼]。

    6. 在 [新密碼] 欄位,鍵入新密碼。

    7. 在 [確認密碼] 欄位,再一次鍵入相同新密碼,然後按一下 [確定]。

重新命名 IUSR – ComputerName 帳戶

預設的匿名網際網路使用者帳戶 IUSR_ComputerName,在安裝 IIS 時建立。其中 ComputerName 是您在安裝 IIS 時,伺服器的 NetBIOS 名稱。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦。

  • 若要重新命名 IUSR 帳戶

    1. 在桌面上的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [本機使用者和群組],然後按兩下 [使用者] 資料夾。

    3. 在 IUSR_ComputerName 帳戶上按一下滑鼠右鍵,然後按一下 [重新命名]。

    4. 在編輯方塊內建入新名稱,然後在方塊外按一下。

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認帳戶已停用

    1. 按一下 CTRL+ALT+DEL 然後再按一下 [登出] 登出網頁伺服器。

    2. 在 [登入 Windows] 對話方塊中,鍵入停用帳戶名稱,在 [使用者名稱] 方塊中,鍵入停用帳戶密碼,然後按一下 [確定]。
      您將會收到下列訊息:

      您的帳戶已停用。請連絡您的系統管理員。

  • 若要確認帳戶已重新命名

    1. 按下 CTRL+ALT+DEL,然後再按一下 [登出] 登出網頁伺服器。

    2. 在 [登入 Windows] 對話方塊中,鍵入重新命名帳戶的正確名稱,在 [使用者名稱] 方塊中,鍵入重新命名帳戶的密碼,然後按一下 [確定]。
      出現下列訊息:

      系統無法讓您登入。請確定您的使用者名稱及網域無誤,然後再輸入密碼。密碼必須使用正確的大小寫。

    3. 按一下 [確定],然後在 [使用者名稱] 方塊,鍵入重新命名帳戶的新名稱。

    4. 鍵入重新命名帳戶的新密碼,然後按一下 [確定]。
      現在您應該可以使用重新命名的帳戶登入電腦。


確保檔案及目錄的安全

使用強性存取控制,保護機密檔案及目錄。多數狀況下,允許特定帳戶存取,比拒絕特定帳戶存取要有效。盡可能設定目錄的存取等級。當檔案被新增到資料夾,便繼承了資料夾的權限,所以您不需做任何動作。

本節提供下列逐步指引,執行保障檔案及目錄的安全:

  • 重新放置並設定 IIS 記錄檔的權限

  • 設定 IIS metabase 權限

重新放置並設定 IIS 記錄檔的權限

為增加 IIS 記錄檔的安全性,您應該用 NTFS 檔案系統格式化一個非系統磁碟機,並將IIS 記錄檔重新放置到上述非系統磁碟機。這個位置不能與您網站內容放置的位置相同。

本節提供下列逐步指引,包括重新放置,及設定 IIS 記錄檔的權限:

  • 將 IIS 記錄檔的位置,移到非系統的磁碟分割

  • 設定 IIS 記錄檔的 ACL

  • 確認新的設定

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦、網際網路服務管理員。

  • 若要將 IIS 記錄檔的位置,移到非系統的磁碟分割

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 瀏覽您想要重新放置 IIS 記錄檔的位置。

    3. 在您想要重新放置 IIS 記錄檔的目錄上一層,按一下滑鼠右鍵,按一下 [新增],然後按一下 [資料夾]。

    4. 為資料夾命名,例如,ContosoIISLogs,然後按下 ENTER

    5. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後選取 [網際網路服務管理員]。

    6. 在網站上按一下滑鼠右鍵,然後選取 [內容]。

    7. 按一下 [網站] 索引標籤,然後按一下在 [啟用記錄] 框架上的 [內容]。

    8. 在 [一般內容] 索引標籤,按一下 [檔案總管],然後選取您剛建立,用來儲存 IIS 記錄檔的資料夾。

    9. 按兩次 [確定]。

注意:如果您在原始位置 C:\WINNT\System32\logfiles,已經有 IIS 記錄檔,您必須手動將這些檔案移到新位置。IIS 不會為您移動這些檔案。

  • 若要設定 IIS 記錄檔的 ACL

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 瀏覽包含 IIS 記錄檔的目錄。

    3. 在資料夾上按一下滑鼠右鍵,按一下 [內容] 然後按一下 [安全性] 索引標籤。

    4. 在上方窗格,選取 [Administrators],然後確認下方窗格內的權限設為 [完全控制]。

    5. 在上方窗格,選取 [System],然後確認下方窗格內的權限設為 [完全控制]。

    6. 在上方窗格中,選取 [Everyone],按一下 [移除] 然後按一下 [確定]。

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認記錄檔已被移動並保護

    1. 按一下 [開始],按一下 [搜尋],然後按一下 [所有檔案和資料夾]。

    2. 在 [部分或完整的檔案名稱] 方塊,鍵入部分或完整的檔案名稱,在 [尋找在] 方塊,選取想要搜尋的位置,然後按一下 [立即搜尋]。
      這個搜尋會傳回記錄檔的新位置。

    3. 按一下 CTRL+ALT+DEL,然後按一下 [登出]。

    4. 使用沒有存取記錄檔權限的帳戶,登入網頁伺服器。

    5. 在 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽被保護的記錄檔所在位置。

    6. 在記錄檔上按一下滑鼠右鍵,然後按一下 [開啟]。
      一般來說,您會看到下列訊息:

      拒絕存取。

設定 IIS Metabase 權限

IIS Metabase 是二進位的檔案,包含大部分 IIS 組態的資訊。應只有 Administrators 群組的成員及 LocalSystem 帳戶,能夠具備 Metabase 的「完全控制」存取權。使用 Everyone 群組,稽核所有嘗試對 Metabase 進行的存取,是非常重要的。

本節提供下列逐步指引,設定 IIS metabase 權限:

  • 限制存取 MetaBase.bin 檔案

  • 稽核對 MetaBase.bin 檔案的存取

  • 停用 FileSystemObject 元件

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦。

  • 若要限制存取 MetaBase.bin 檔案

    1. 在桌面上的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 瀏覽 C:\WINNT\system32\inetsrv\MetaBase.bin 檔案,在檔案上按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在 [安全性] 索引標籤上,移除所有 metabase 的檔案權限,只賦予 Administrators 及 LocalSystem 具備「完全控制」權。

  • 若要稽核 MetaBase.bin 檔案的存取

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 瀏覽 C:\WINNT\system32\inetsrv\MetaBase.bin 檔案,在檔案上按一下滑鼠右鍵,然後按一下 [內容]。

    3. 按一下 [安全性] 索引標籤,按一下 [進階],按一下 [稽核] 然後按一下 [新增]。

    4. 選取 [Everyone],按一下 [新增],然後按一下 [確定]。

    5. 為下列存取類型選擇 [成功] 及 [失敗],然後按一下 [確定]。

      • 周遊資料夾/執行檔案

      • 列出資料夾/讀取資料

      • 建立檔案/寫入資料

      MetaBase.bin 的稽核項目

確認新的設定

確認稽核及限制存取 MetaBase.bin 檔案的適當安全設定,已套用到本機電腦。

  • 若要確認限制存取 MetaBase.bin 檔案

    1. 按一下 CTRL+ALT+DEL,然後按一下 [登出]。

    2. 使用沒有存取 MetaBase.bin 檔案權限的帳戶,登入網頁伺服器。

    3. 在 [我的電腦] 上按一下滑鼠右鍵,按一下 [檔案總管],然後瀏覽 MetaBase.bin 所在位置。

    4. 在 MetaBase.bin 上按一下滑鼠右鍵,然後按一下 [開啟]。
      您應該會看到下列訊息:

      拒絕存取。

停用 FileSystemObject 元件

ASP、Windows Script Host、及其他的指令碼應用程式,使用 FileSystemObject (FSO) 元件,建立、刪除、擷取資訊,並且操作磁碟機、資料夾和檔案。請考慮停用 FSO 元件,但請注意,這樣做可能會移除 Dictionary 物件。另外,您也必須確認沒有其他程式需要使用這個元件。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:命令提示字元。

  • 若要停用 FileSystemObject 元件

    1. 按一下 [開始],按一下 [執行],在 [開啟] 方塊中,鍵入 cmd,然後再按一下 [確定]。

    2. 變更到 C:\WINNT\system32 目錄。

    3. 在命令提示字元中,鍵入 regsvr32 scrrun.dll /u,然後按下 ENTER
      出現下列訊息:

      DllUnregisterServer in scrrun.dll succeeded. (scrrun.dll 中的 DllUnregisterServer 成功。)

    4. 按一下 [確定]。

    5. 在命令提示字元中,鍵入 exit 關閉命令提示字元視窗。


確保網站及虛擬目錄的安全

重新放置網頁根目錄及虛擬目錄到非系統分割,以保護不受目錄橫斷攻擊,這會允許攻擊者執行作業系統程式及工具。因為不可能周遊各磁碟,所以重新放置網站內容可提供額外的保護,對抗這類攻擊。

本節提供下列逐步指引,保障網站及虛擬目錄的安全:

  • 將您的網站移到非系統磁碟機

  • 停用上層路徑設定

  • 設定網站權限

將您的網站移到非系統磁碟機

不要用預設的 \inetpub\wwwroot 作為您網站內容的位置。例如,如果您的系統安裝在 C 磁碟機,請考慮將您的網站及內容目錄移到 D 磁碟機,降低遭受目錄橫斷攻擊的風險,防止攻擊者嘗試瀏覽網頁伺服器的目錄結構。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:網際網路服務管理員、命令提示字元。

  • 若要將您的網站移到非系統磁碟機

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [網際網路服務管理員]。

    2. 在包含您想移動的內容的網站上,按一下滑鼠右鍵,然後按一下 [停止]。

    3. 在工作列上,按一下 [開始],按一下 [執行] 鍵入cmd,然後按一下 [確定]。

    4. 在命令提示字元中鍵入下列命令:

      xcopy c:\inetpub\wwwroot\<site name>
      <drive>:\wwwroot\<site name> /s /i /o

    5. 回到「網際網路服務管理員」嵌入式管理單元。

    6. 在網站上按一下滑鼠右鍵,再按一下 [內容]。

    7. 按一下 [主目錄] 索引標籤,按一下 [檔案總管],然後瀏覽目錄的新位置,您剛剛複製檔案的地方。

    8. 在網站上按一下滑鼠右鍵,再按一下 [開始]。

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認網站內容已被移到非系統磁碟機或資料夾

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [網際網路服務管理員]。

    2. 在包含您移動的內容的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    3. 按一下 [主目錄] 索引標籤,確認 [本機路徑] 方塊包含檔案新位置,然後按一下 [確定]。

停用上層路徑設定

這個 IIS Metabase 設定防止在指令碼及應用程式呼叫時,使用上層路徑。停用上層路徑可協助防禦目錄橫斷攻擊。下列範例說明 ASP 檔案上的上層路徑:

<!--#include file="../<filename.ext>"-->

當上層路徑被停用,ASP 檔案應包含下列形式的路徑陳述:

<!--#include virtual="/<virtual path>/<filename.ext>"-->

其中 <virtual path> 是檔案在您網頁伺服器的虛擬目錄名稱。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:網際網路服務管理員。

  • 若要停用上層路徑

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [網際網路服務管理員]。

    2. 在網站的根目錄上按一下滑鼠右鍵,再按一下 [內容]。

    3. 按一下 [主目錄] 索引標籤,然後按一下 [設定]。

    4. 按一下 [應用程式選項] 索引標籤,然後清除 [啟用上層路徑] 核取方塊。

      應用程式設定

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認上層路徑已停用

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [網際網路服務管理員]。

    2. 在網站的根目錄上按一下滑鼠右鍵,再按一下 [內容]。

    3. 按一下 [主目錄] 索引標籤,然後按一下 [設定]。

    4. 按一下 [應用程式選項] 索引標籤,確認 [啟用上層路徑] 核取方塊已被清除,然後按一下 [確定]。

設定網站權限

您可以設定存取網站伺服器的權限給特定的網站、目錄及檔案。這些權限提供給所有的使用者,不論他們原先的個別存取權限為何。

設定檔案系統目錄的權限

網際網路資訊服務需要 NTFS 權限,保護個別檔案及目錄避免未授權的存取。不像網站權限是提供給所有的使用者,您可使用 NTFS 權限詳細定義可存取內容的使用者,以及允許使用者如何操作內容。

存取控制清單 (ACL),指定哪些使用者及群組,擁有存取及修改特定檔案的權限。除了在每個檔案上設定 ACL,請考慮為每種檔案類型建立新目錄,在每個目錄上設定 ACL,並允許檔案繼承 ACL 。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:我的電腦。

  • 若要複製網站內容到不同的資料夾

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 瀏覽包含您網站內容的資料夾。

    3. 選取網站內容上一層的資料夾。

    4. 在 [檔案] 功能表,按一下 [新增],然後按一下 [資料夾]。

    5. 為資料夾命名,然後按下 ENTER

    6. 按住 CTRL 選取每一個您想複製的網頁。

    7. 在這些網頁上按一下滑鼠右鍵,然後按一下 [複製]。

    8. 在新資料夾上按一下滑鼠右鍵,然後按一下 [貼上]。

      注意: 如果您有連結到這些網頁的超連結,則必須將它們更新對應到新的位置。

  • 若要設定實體目錄的權限

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [檔案總管]。

    2. 按一下內容目錄,它包含您想要保護的網頁。

    3. 在資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。

    4. 在上方窗格中移除 Everyone 群組,然後按一下 [新增]。

    5. 鍵入您想允許存取內容的使用者或群組名稱,然後按一下 [確定]。

      注意:這些使用者或群組,必須已經是網頁伺服器所在網域的一部份。若不是,在繼續之前,您必須先將它們新增。

    6. 在上方窗格中,選擇您剛剛新增的使用者或群組,在下方窗格中選取想授予的權限,然後按一下 [確定]。
      「讀取」和「執行」是滿足大多數使用者及群組需求的權限,但部分情況下您必須授予「寫入」或「完全控制」權限。

設定虛擬目錄權限

大部分使用者不需要存取您網頁伺服器的所有內容。為保護您網頁伺服器上的內容,您必須為網頁伺服器的虛擬目錄設定存取權限。

  • 若要設定虛擬目錄的權限

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後選取 [網際網路服務管理員]。

    2. 在您想設定虛擬目錄權限的網站上,按一下滑鼠右鍵,按一下 [所有工作],然後按一下 [權限精靈]。

    3. 依精靈指示步驟進行

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認已拒絕實體及虛擬目錄的寫入存取

    1. 按下 CTRL+ALT+DEL,然後按一下 [登出]。

    2. 使用在實體或虛擬目錄,具有「讀取」和「執行」權限的帳戶,登入網頁伺服器。

    3. 在桌面上的 [我的電腦] 按一下滑鼠右鍵,按一下 [檔案總管] 瀏覽您想要複製到實體或虛擬目錄的檔案位置。

    4. 在檔案上按一下滑鼠右鍵,然後按一下 [複製]。

    5. 瀏覽實體或虛擬目錄的位置,在目錄上按一下滑鼠右鍵。在快顯功能表中 [貼上] 選項應該無法使用。這表示您沒有這個目錄的「寫入」存取權。


在您的網頁伺服器設定安全通訊端階層 (SSL)

在您的網頁伺服器上設定安全通訊端階層 (SSL) 安全功能,以確認內容的完整性、使用者身份,及網路傳輸加密。SSL 安全性,需要伺服器憑證,這會允許使用者,在傳輸個人資訊到您的網站前,先進行確認,例如信用卡號。

本節提供下列逐步指引,在您的網站設定 SSL:

  • 取得並安裝伺服器憑證

  • 在您的網頁伺服器上強迫並啟用 SSL 連線

取得並安裝伺服器憑證

憑證是由 Microsoft 以外,稱為憑證授權單位 (Certification Authorities,CA) 的公司發行。伺服器憑證通常與您的網頁伺服器相關聯,尤其是您有設定SSL 的網站。您必須提出憑證要求,將要求寄至 CA,並在收到 CA 寄回的憑證後進行安裝。

憑證需要一對加密金鑰來加強安全性,包括一個公開金鑰、一個私密金鑰。當您產生伺服器憑證要求,事實上您已經產生了私密金鑰。您從 CA 收到的伺服器憑證包含公開金鑰。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:網際網路服務管理員、網頁伺服器憑證精靈。

  • 若要提出伺服器憑證要求

    1. 在桌面的 [我的電腦] 按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [服務與應用程式] 區段,然後展開 [網際網路資訊服務]。

    3. 在您想安裝伺服器憑證的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    4. 在 [目錄安全性] 索引標籤上,位於 [安全通訊] 區,按一下 [伺服器憑證] 啟動網頁伺服器憑證精靈,然後按一下 [下一步]。

    5. 選取 [建立新憑證],然後按一下 [下一步]。

    6. 選取 [準備要求,但於稍後傳送],然後按一下 [下一步]。

    7. 在 [名稱] 欄位,鍵入一個您能記住的名稱。當您產生憑證要求時,預設值為網站名稱,例如,http://www.contoso.com。

    8. 指定位元長度,然後按一下 [下一步]。
      加密金鑰的位元長度,決定加密強度。大多數非 Microsoft 的 CA 希望您選擇不小於 1024 位元。

    9. 在 [組織] 區段內,鍵入您的組織或組織單位資訊。確認資料正確無誤後,按一下 [下一步]。

    10. 在 [您站台的公用名稱] 區,鍵入包含網域的主機電腦名稱,然後按一下 [下一步]。

    11. 輸入您的地理資訊,然後按一下 [下一步]。

    12. 將檔案存成 .txt 檔。預設檔案名稱及位置為 C:\certreq.txt。
      下列範例顯示憑證要求看起來的樣子。

      -----開始新的憑證要求----- MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8 MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj Jb9/2RM=
      -----結束新的憑證要求-----

    13. 確認要求的細節正確無誤後,按一下 [下一步]。

  • 若要送出伺服器憑證要求

    1. 連絡您的 CA 確認送出要求的需求。

    2. 將您在之前程序中建立的 .txt 檔內容,複製成 CA 所需的要求格式。

    3. 傳送要求給您的 CA。

收到您的 CA 傳回的憑證,即完成在網頁伺服器上安裝憑證的準備。

  • 若要安裝伺服器憑證

    1. 複製您從 CA 收到的憑證金鑰文字,然後貼入一個 .txt 檔案中。

    2. 將檔案存成 Cert.txt。

    3. 在 [我的電腦] 上,按一下滑鼠右鍵,然後按一下 [管理]。

    4. 展開 [服務與應用程式] 區段,然後展開 [網際網路資訊服務]。

    5. 在您想安裝伺服器憑證的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    6. 在 [目錄安全性] 索引標籤上,位於 [安全通訊] 區,按一下 [伺服器憑證] 啟動「網頁伺服器憑證精靈」,然後按一下 [下一步]。

    7. 選取 [處理擱置要求及安裝憑證],然後按一下 [下一步]。

    8. 瀏覽您在步驟一儲存的文字檔,按兩次 [下一步],然後按一下 [完成]。

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認網頁伺服器已安裝憑證

    1. 按一下 [開始],按一下 [程式集],按一下 [系統管理工具],然後按一下 [網際網路服務管理員]。

    2. 在您想檢視憑證的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在 [目錄安全性] 索引標籤上,位於 [安全通訊] 區,按一下 [檢視憑證],檢視憑證,然後按兩次 [確定]。

在您的網頁伺服器啟用並強迫執行 SSL 連線

安裝伺服器憑證後,您必須在網頁伺服器上啟用 SSL 連線。然後還必須強制執行 SSL 連線。

需求

  • 認證:您必須以網頁伺服器的 Administrators 群組成員的身份登入。

  • 工具:網際網路服務管理員 MMC 嵌入式管理單元。

  • 若要在您的網頁伺服器上啟用 SSL 連線。

    1. 在 [我的電腦] 上,按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [服務與應用程式] 區段,然後展開 [網際網路資訊服務]。

    3. 在您想安裝伺服器憑證的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    4. 在 [網站] 索引標籤的 [網站定義] 區段,確認 [SSL 連接埠] 欄位,設定為數值 443,然後按一下 [進階]。
      一般情況下,您會看到兩個欄位,還有網站 IP 位址及連接埠也列在 [在這個網站使用多重識別碼] 欄位。

    5. 如果連接埠 443 尚未列在 [在這個網站使用多重識別碼] 欄位,按一下 [新增]。

    6. 選取伺服器的 IP 位址,在 [SSL 連接埠] 欄位鍵入數值 443,然後按一下 [確定]。

  • 若要強迫執行 SSL 連線

    1. 在 [我的電腦] 上,按一下滑鼠右鍵,然後按一下 [管理]。

    2. 展開 [服務與應用程式] 區段,然後展開 [網際網路資訊服務]。

    3. 在您想安裝伺服器憑證的網站上,按一下滑鼠右鍵,然後按一下 [內容]。

    4. 按一下 [目錄安全性] 索引標籤。在 [安全通訊] 區,按一下 [編輯]。

    5. 選取 [必須使用安全通道 (SSL)],選擇加密強度,然後按一下 [確定]。

      注意:如您指定 128 位元的加密強度,使用 40 或 56 位元加密強度的瀏覽者,就不能跟您的網站連線,除非他們升級加密強度。

確認新的設定

確認您的本機電腦是否使用合適的安全設定。

  • 若要確認您網頁伺服器上的 SSL 連線。

    1. 開啟瀏覽器,並嘗試使用下列標準位址 http:// 通訊協定,與您的網頁伺服器連線。例如,在 [網址] 方塊中,鍵入:http://www.contoso.com
      一般來說,如果 SSL 已經強迫連線,下列訊息將會出現:

      The page must be viewed over a secure channel.
      The page you are trying to access is secured with Secure Sockets Layer (SSL). (此網頁必須透過安全通道檢視。您嘗試存取的網頁經過 SSL 安全加密。)

    2. 請鍵入下列位址,嘗試連線到相同網頁:https://www.contoso.com
      一般而言,可以看到您網頁伺服器的預設網頁。


相關資訊

如需關於確保 IIS 5.0 及 IIS 5.1 安全的詳細資訊,請參閱下列連結:

如需關於 IIS 5.0 及 IIS 5.1 的詳細資訊,請參閱下列連結:


顯示: