確保 Internet Information Services 6.0 的安全

  • 發行項

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13

本頁內容

簡介
開始之前
減少網頁伺服器的攻擊點
設定帳戶
設定檔案和目錄的安全性
確保網站和虛擬目錄的安全
設定網頁伺服器的 Secure Sockets Layer
相關資訊

簡介

網頁伺服器是各種不同類型安全性攻擊經常利用的目標。部分攻擊十分嚴重,會對企業的資產、生產力及客戶關係造成嚴重的損害;而天下所有攻擊都一樣,都會造成不便及阻礙。網頁伺服器的安全是企業能否成功的重要關鍵。

本文件將說明,如何開始採取步驟,以確保 Microsoft® Windows Server™ 2003 標準版作業系統上,執行 Internet Information Services (IIS) 6.0 的網頁伺服器安全無虞。首先,本節將告訴您部分最常影響網頁伺服器安全的威脅。本文件緊接著提供預先設計的指導方針,告訴您如何提升網頁伺服器的安全,以對抗這類攻擊。

IIS 6.0 藉由對下列舊版 IIS 進行下列變更,採取更為主動的立場來對抗惡意使用者和攻擊者:

  • 根據預設值,當您安裝 Windows Server 2003 標準版時,不會一併安裝 IIS 6.0。

  • 當您首次安裝 IIS 6.0 時,您的網頁伺服器僅能提供或顯示靜態網頁 (HTML),因此降低了提供動態或可執行內容時所造成的風險。

  • 「World Wide Web Publishing 服務 (WWW 服務)」是首次安裝 IIS 6.0 時,唯一根據預設啟用的服務。您可以依需要隨時啟用特定的服務。

  • 根據預設,首次安裝 IIS 6.0 時,ASP 和 ASP.NET 為停用狀態。

  • 至於額外防護方面,IIS 6.0 中所有預設的安全性組態設定,均符合甚至超出「IIS 鎖定工具」所做的安全性組態設定。「IIS 鎖定工具」於舊版 IIS 上執行,是專為減少網頁伺服器的攻擊點所設計,它藉由停用不必要的功能來達到此目的。如需關於「IIS 鎖定工具」的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Securing Internet Information Services 5.0 and 5>。

由於 IIS 6.0 中的預設設定會停用網頁服務常用的多項功能,因此本文件將告訴您,如何設定您網頁伺服器的額外功能,同時降低您的伺服器對潛在攻擊者暴露的程度。

本文件提供下列指導方針,讓您提升網頁伺服器的安全性:

  • 減少網頁伺服器的攻擊點,或您的伺服器對潛在攻擊者暴露的程度

  • 設定使用者和群組帳戶供匿名存取

  • 確保檔案和目錄的安全,避免未經授權的存取

  • 確保網站和虛擬目錄的安全,避免未經授權的存取

  • 設定網頁伺服器上的 Secure Sockets Layer (SSL)

**重要:**本文件中包含的所有逐步指示,均藉由使用您安裝作業系統時,根據預設出現的「開始」功能表所發展。如果您已修改「開始」功能表,則這些步驟可能稍有不同。

在您完成本文件中的程序之後,您的網頁伺服器便能夠提供 .asp 網頁格式的動態內容,而且它仍將擁有相當安全的防護,可避免有時會威脅網際網路伺服器的下列各種類型攻擊:

  • 設定資料攻擊會蒐集您網站的相關資訊;您可藉由封鎖不必要的連接埠,以及停用不必要的通訊協定來減少這類攻擊。

  • 拒絕服務攻擊會讓網頁伺服器的要求溢流;您可套用安全性補充程式和軟體更新,減少這類攻擊的機會。

  • 未具備正確權限的使用者進行未經授權的存取;您只要設定網路和 NTFS 權限即可阻止這類存取。

  • 在您的網頁伺服器上任意執行惡意程式碼;您只要防止存取系統工具和命令,即可將此行為減至最少。

  • 提升權限會讓惡意使用者使用具備高權限的帳戶執行程式;您只要使用最低權限的服務和使用者帳戶,即可將此行為減至最少。

  • 病毒、蠕蟲和特洛依木馬造成的損害;您可藉由停用不必要的功能、使用最低權限的帳戶,以及經常套用最新的安全性補充程式,讓這類情形受到控制。

**注意:**由於確保網頁伺服器的安全是一項複雜而持續不斷的程序,因此無法保證完整的安全性。

回到頁首

開始之前

本節將告訴您,本文件中所述網頁伺服器的系統必要條件和特徵。

系統需求

本文件中做為範例的網頁伺服器系統需求如下:

  • 伺服器執行 Windows Server 2003 標準版。

  • NTFS 磁碟分割上已安裝作業系統。如需關於 NTFS 的資訊,請在 Windows Server 2003 的「說明及支援中心」中搜尋「NTFS」。

  • Windows Server 2003 所需的補充程式和更新,已全數套用到該伺服器上。如要確認您的網頁伺服器上安裝的是最新的安全性更新,請至位於 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22630 上的 Windows Update 頁面,並且讓 Windows Update 掃描您的伺服器以找出可用的更新。

  • Windows Server 2003 安全性防護措施已套用到伺服器上。

本文件提供的介紹性資訊,可協助您踏出第一步,設定更安全的網頁伺服器。不過,為盡可能確保您網頁伺服器的安全,您必須了解伺服器上所執行應用程式的操作方式。本文件不包含應用程式專屬的安全性設定相關資訊。

網頁伺服器的特徵

本文件中做為範例的網頁伺服器特徵如下:

  • 網頁伺服器是以工作者處理序隔離模式執行 IIS 6.0。

  • 網頁伺服器主控一個使用到網際網路的網站。

  • 網頁伺服器位於防火牆後方,僅允許 HTTP 連接埠 80 和 HTTPS 連接埠 443 上的流量。

  • 網頁伺服器是專用的網頁伺服器,僅做為網頁伺服器而不供其他用途使用,例如檔案伺服器、列印伺服器,或執行 Microsoft SQL Server™ 的資料庫伺服器。

  • 允許匿名存取網站。

  • 網頁伺服器提供 HTML 和 ASP 網頁。

  • 網頁伺服器上並未設定 Microsoft 的 FrontPage® 2002 Server Extensions。

  • 網頁伺服器上的應用程式不需要資料庫連線能力。

  • 網頁伺服器不支援 FTP (檔案上傳和下載)、SMTP (電子郵件) 或 NNTP (新聞群組) 通訊協定。

  • 網頁伺服器不使用 Internet Security and Acceleration Server。

  • 系統管理員必須於本機上登入,才能管理網頁伺服器。

回到頁首

減少網頁伺服器的攻擊點

從減少網頁伺服器的攻擊點,或降低伺服器對潛在攻擊者暴露的程度,開始進行確保網頁伺服器安全的程序。例如,僅啟用讓網頁伺服器正確操作時所需的元件、服務和連接埠。

停用 SMB 和 NetBIOS

主機列舉攻擊會掃描網路,以判斷潛在目標的 IP 位址。為減少對於您網頁伺服器上使用到網際網路的連接埠,所進行的主機列舉攻擊的成功率,請停用「傳輸控制通訊協定 (TCP)」以外的所有網路通訊協定。網頁伺服器使用到網際網路的網路介面卡上,不需要「伺服器訊息區 (SMB)」或 NetBIOS。

本節提供下列逐步指示,可協助您減少網頁伺服器的攻擊點:

  • 停用使用到網際網路連線的 SMB

  • 停用 NetBIOS over TCP/IP

**注意:**當您停用 SMB 和 NetBIOS,伺服器就無法做為檔案伺服器或列印伺服器運作,亦無法進行網路瀏覽,而您也無法從遠端管理網頁伺服器。如果您的伺服器是專用的網頁伺服器,需要系統管理員在本機上登入才能使用,則這些限制應該不會影響伺服器的運作。

SMB 使用下列連接埠:

  • TCP 連接埠 139

  • TCP 和 UDP 連接埠 445 (SMB 直接主機)

NetBIOS 使用下列連接埠:

  • TCP 和「使用者資料包通訊協定 (User Datagram Protocol,UDP)」連接埠 137 (NetBIOS 名稱服務)

  • TCP 和 UDP 連接埠 138 (NetBIOS 資料包服務)

  • TCP 和 UDP 連接埠 139 (NetBIOS 工作階段服務)

僅停用 NetBIOS 將無法避免 SMB 通訊,因為標準的 NetBIOS 連接埠無法使用時,SMB 會使用 TCP 連接埠 445 (亦稱為「SMB 直接主機」)。您必須個別停用 NetBIOS 和 SMB。

需求

  • **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。

  • **工具:**我的電腦、系統工具和裝置管理員。

  • 若要停用使用到網際網路連線的 SMB

    1. 依序按一下 [開始]、[設定]、[控制台],再按兩下 [網路連線]。

    2. 以滑鼠右鍵按一下您使用到網際網路的連線,再按一下 [內容]。

    3. 清除 [Client for Microsoft Networks] 核取方塊。

    4. 清除 [File and Printer Sharing for Microsoft Networks] 核取方塊,再按一下 [確定]。

  • 若要停用 NetBIOS over TCP/IP

    1. 按一下 [開始],以滑鼠右鍵按一下 [我的電腦],再按一下 [管理]。

    2. 按兩下 [系統工具],然後選取 [裝置管理員]。

    3. 以滑鼠右鍵按一下 [裝置管理員]、按一下 [檢視],再按一下 [顯示隱藏裝置]。

    4. 按兩下 [非隨插即用驅動程式]。

    5. 以滑鼠右鍵按一下 [NetBios over Tcpip]、按一下 [停用],再按一下 [是]。

**注意:**本文件中的螢幕擷取畫面顯示測試環境,其中的資訊可能與您畫面上顯示的資訊有所不同。

之前的程序會停用 TCP 連接埠 445 和 UDP 連接埠 445 上的 SMB 直接主機接聽程式。它也會停用 Nbt.sys 驅動程式,並要求您重新啟動系統。

確認新的設定

確認您的網頁伺服器上已套用適當的安全性設定。

  • 若要確認已停用 SMB

    1. 依序按一下 [開始]、[設定],再按一下 [網路和撥號連線]。

    2. 以滑鼠右鍵按一下您使用到網際網路的連線,再按一下 [內容]。

    3. 確認已清除 [Client for Microsoft Networks] 和 [File and Printer Sharing for Microsoft Networks] 核取方塊,再按一下 [確定]。

  • 若要確認已停用 NetBIOS

    1. 按一下 [開始],以滑鼠右鍵按一下 [我的電腦],再按一下 [管理]。

    2. 按兩下 [系統工具],然後選取 [裝置管理員]。

    3. 以滑鼠右鍵按一下 [裝置管理員]、按一下 [檢視],再按一下 [顯示隱藏裝置]。

    4. 按兩下 [非隨插即用驅動程式],再以滑鼠右鍵按一下 [NetBios over Tcpip]。 現在快顯功能表上會出現 [啟用] 選項,表示 [NetBIOS over TCP/IP] 目前為停用狀態。

    5. 按一下 [確定] 關閉 [裝置管理員]。

僅選取必要的 IIS 元件和服務

IIS 6.0 包括子元件和 WWW 服務以外的服務,例如 FTP 服務和 SMTP 服務。為降低遭受專門以特定服務或子元件做為目標進行攻擊的風險,建議您僅選取網站和 Web 應用程式正確執行所需的服務和子元件。

下表顯示「新增或移除程式」中的建議設定,為本文件中針對網頁伺服器上的 IIS 子元件和服務所使用的範例。

IIS 子元件和服務的建議設定

子元件或服務 預設設定 網頁伺服器設定
幕後智慧型傳送服務 (BITS) 伺服器擴充功能 停用 無變更
通用檔案 啟用 無變更
FTP 服務 停用 無變更
FrontPage 2002 Server Extensions 停用 無變更
IIS 管理員 啟用 無變更
網際網路列印 停用 無變更
NNTP 服務 停用 無變更
SMTP 服務 啟用 停用
World Wide Web 服務 啟用 無變更
##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**新增或移除程式。 - **若要設定 IIS 元件和服務** 1. 依序按一下 \[開始\]、\[控制台\],再按一下 \[新增或移除程式\]。 2. 按一下 \[新增/移除 Windows 元件\]。 3. 在 \[Windows 元件精靈\] 頁面上的 \[元件\]下,按一下 \[應用程式伺服器\],再按一下 \[詳細資料\]。 4. 按一下 \[Internet Information Services (IIS)\],再按一下 \[詳細資料\]。 5. 參考之前的表格,然後勾選或清除適當的 IIS 元件和服務核取方塊,即可選取或取消選取該元件或服務。 6. 按照精靈中的指示完成「Windows 元件精靈」。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已選取 IIS 元件和服務** - 依序按一下 \[開始\]、\[控制台\],再按一下 \[系統管理工具\]。 現在系統管理工具的功能表中,便會出現「網際網路資訊服務 (IIS) 管理員」。 #### 僅啟用必要的網頁服務延伸模組 提供動態內容的網頁伺服器需要網頁服務延伸模組。每種動態內容的類型都與特定的 Web 服務延伸模組相對應。基於安全性理由,IIS 6.0 可讓您啟用和停用個別的網頁服務延伸模組,如此可僅啟用您的內容所需的延伸模組。 **警告:**請勿啟用所有的網頁服務延伸模組。雖然這樣做,能確保達到與現有網站和應用程式的最高相容性,但您網頁伺服器的攻擊點也同樣會大幅增加。您可能需要個別測試您的網站和應用程式,以確定僅啟用了必要的網頁服務延伸模組。 假設網頁伺服器設定為提供 Default.asp 檔案做為預設網頁。即使已設定預設網頁,您仍必須啟用 ASP 網頁服務延伸模組,才能檢視 .asp 網頁。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**網際網路資訊服務 (IIS) 管理員 (Iis.msc)。 - **若要啟用 ASP 網頁服務延伸模組** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 按兩下 \[本機電腦\],再按一下 \[網頁服務延伸模組\]。 3. 按一下 \[動態伺服器網頁\],再按一下 \[允許\]。 ![](images/Dd548256.sec_IIS_6_0_02(zh-tw,TechNet.10).jpg) ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **確認已啟用 ASP 網頁服務延伸模組** 1. 開啟文字編輯器、鍵入一些文字,然後以 Default.asp 名稱將檔案儲存到 C:\\inetpub\\wwwroot 目錄中。 2. 在 Internet Explorer 的 \[網址\] 方塊中,鍵入下列 URL,然後按下 **ENTER**:**https://localhost** Default.asp 檔案會出現在瀏覽器中。 [](#mainsection)[回到頁首](#mainsection) ### 設定帳戶 建議您移除不使用的帳戶,因為攻擊者可能會發現這些帳戶,並利用它們存取您伺服器上的資料和 Web 應用程式。永遠要求強性密碼。弱性密碼會增加暴力攻擊或字典攻擊的成功率,因為攻擊者會嘗試猜測密碼。使用具備最低權限的帳戶。否則,攻擊者可能會藉由具備高層級權限的帳戶,存取未經授權的資源。 本節提供下列設定帳戶的逐步指示: - 停用不使用的帳戶 - 使用應用程式集區隔離應用程式 #### 停用不使用的帳戶 攻擊者可能利用不使用的帳戶及其權限,來存取伺服器。您應定期稽核伺服器上的本機帳戶,並停用任何未使用的帳戶。在生產伺服器上停用帳戶之前,請先在測試伺服器上停用它們,以確定停用帳戶不會對應用程式的運作造成不良影響。如果停用帳戶未在測試伺服器上造成任何問題,則可在您的生產伺服器上停用此帳戶。 **注意:**如果您選擇刪除不使用的帳戶,而非停用它,請注意,您無法恢復已刪除的帳戶,而且無法刪除 Administrator 帳戶和 Guest 帳戶。同時,請確定先在測試伺服器上刪除該帳戶,然後再於您的生產伺服器上將它刪除。 本節提供下列刪除或停用不使用帳戶的逐步指示: - 停用 Guest 帳戶 - 重新命名 Administrator 帳戶 - 重新命名 IUSR\_*ComputerName* 帳戶 ##### 停用 Guest 帳戶 Guest 帳戶是以匿名方式連線到網頁伺服器時所使用的帳戶。Windows Server 2000 預設安裝過程中,Guest 帳戶為停用狀態。若要禁止以匿名方式連線到您的伺服器,請確定 Guest 帳戶持續為停用狀態。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**電腦管理 - **若要停用 Guest 帳戶** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[管理\]。 2. 按兩下 \[本機使用者和群組\],再按一下 \[使用者\] 資料夾。Guest 帳戶應顯示為附帶紅色 *X* 的圖示,以表示為停用狀態。如果未停用 Guest 帳戶,請繼續執行步驟 3 以停用它。 ![](images/Dd548256.sec_IIS_6_0_03(zh-tw,TechNet.10).jpg) 3. 以滑鼠右鍵按一下 Guest 帳戶,再按一下 \[內容\]。 4. 在 \[一般\] 索引標籤上,勾選 \[帳戶已停用\] 核取方塊,再按一下 \[確定\]。 現在,Guest 帳戶會顯示為附帶紅色 *X* 的圖示。 ##### 重新命名 Administrator 帳戶 預設的本機 Administrator 帳戶為惡意使用者的目標,因為此帳戶在這部電腦上具備較高的權限。若要提高安全性,請將預設的 Administrators 帳戶重新命名,並另行指派更複雜的密碼。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦。 - **若要重新命名 Administrator 帳戶並指派強性密碼** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[管理\]。 2. 按兩下 \[本機使用者和群組\],再按一下 \[使用者\] 資料夾。 3. 以滑鼠右鍵按一下 Administrator 帳戶,再按一下 \[重新命名\]。 4. 在方塊中鍵入一個名稱,然後按下 **ENTER**。 5. 在桌面上按下 **CTRL+ALT+DEL**,再按一下 \[變更密碼\]。 6. 在 \[使用者名稱\] 方塊中鍵入 Administrator 帳戶的新名稱。 7. 在 \[舊密碼\] 方塊中鍵入目前的密碼,然後在 \[新密碼\] 方塊中鍵入新密碼,並於 \[確認新密碼\] 方塊中再次鍵入新密碼,然後按一下 \[確定\]。 **警告:**除非您忘記密碼而且沒有密碼重設磁片,否則請勿使用快顯功能表上的 \[設定密碼\] 功能表項目變更密碼。使用此方法變更系統管理員密碼,可能會造成此密碼保護的資料永久遺失。 ##### 重新命名 IUSR 帳戶 預設的匿名網際網路使用者帳戶 IUSR\_*ComputerName*,是在安裝 IIS 期間所建立。*ComputerName* 的值是在安裝 IIS 時,您伺服器的 NetBIOS 名稱。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦。 - **若要重新命名 IUSR 帳戶** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[管理\]。 2. 按兩下 \[本機使用者和群組\],再按一下 \[使用者\] 資料夾。 3. 以滑鼠右鍵按一下 IUSR\_ComputerName 帳戶,再按一下 \[重新命名\]。 4. 鍵入新的帳戶名稱,再按下 **ENTER**。 - **若要在 IIS Metabase 中變更 IUSR 帳戶的值** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下本機電腦,再按一下 \[內容\]。 3. 勾選 \[Enable Direct Metabase Edit\] 核取方塊,再按一下 \[確定\]。 4. 瀏覽至 MetaBase.xml 檔案的位置,預設為 C:\\Windows\\system32\\inetsrv。 5. 以滑鼠右鍵按一下 MetaBase.xml 檔案,再按一下 \[編輯\]。 6. 搜尋 **AnonymousUserName** 內容,並鍵入 IUSR 帳戶的新名稱。 7. 在 \[檔案\] 功能表上,按一下 \[結束\],再按一下 \[是\]。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已停用某個帳戶** 1. 按下 **CTRL+ALT+DEL**,再按一下 \[登出\],以登出網頁伺服器。 2. 在 \[登入 Windows\]對話方塊中的 \[使用者名稱\] 方塊中,鍵入已停用帳戶的名稱以及使用的密碼,再按一下 \[確定\]。 此時會出現下列訊息: 您的帳戶已停用。請連絡您的系統管理員。 - **若要確認已重新命名某個帳戶** 1. 按下 **CTRL+ALT+DEL**,再按一下 \[登出\] 以登出網頁伺服器。 2. 在 \[登入 Windows\]對話方塊中的 \[使用者名稱\] 方塊中,鍵入已重新命名的帳戶舊有名稱,以及已重新命名帳戶使用的密碼,再按一下 \[確定\]。 此時會出現下列訊息: 系統無法讓您登入。請確定您的使用者名稱及網域無誤,然後再輸入密碼。密碼必須使用正確的大小寫。 3. 按一下 \[確定\],然後在 \[使用者名稱\] 方塊中,鍵入已重新命名帳戶的新名稱。 4. 鍵入已重新命名帳戶使用的密碼,再按一下 \[確定\]。 您應可以利用重新命名的帳戶登入這部電腦。 #### 使用應用程式集區隔離應用程式 若使用 IIS 6.0,您就可以將應用程式隔離到應用程式集區中。所謂應用程式集區是指,由一個或一組工作者處理序,所服務的由一個或多個 URL 組成的群組。使用應用程式集區有助於提升您網頁伺服器的可靠性和安全性,因為每一支應用程式均彼此獨立運作。 Windows 作業系統上的每一個執行處理序均具備一個處理序身份識別,用來決定處理序在系統上存取資源的方式。每一個應用程式集區亦具備一個處理序身份識別,而這個身份是具備您應用程式所需最低權限的帳戶。此處理序身份可允許以匿名方式存取您的網站或應用程式。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦。 - **若要建立應用程式集區** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 按兩下本機電腦,然後以滑鼠右鍵按一下 \[應用程式集區\],按一下 \[新增\],再按一下 \[應用程式集區\]。 3. 在 \[應用程式集區識別碼\] 方塊中,鍵入應用程式集區的新識別碼 (例如 ContosoAppPool)。 ![](images/Dd548256.sec_IIS_6_0_04(zh-tw,TechNet.10).jpg) 4. 在 \[應用程式集區設定\] 下,按一下 \[為新增應用程式集區使用預設設定值\],再按一下 \[確定\]。 - **若要指派網站或應用程式給應用程式集區** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下您要指派給應用程式集區的網站或應用程式,再按一下 \[內容\]。 3. 根據您選取的應用程式類型而定,依序按一下 \[主目錄\]、\[虛擬目錄\] 或 \[目錄\] 索引標籤。 4. 如果您指派目錄或虛擬目錄給應用程式集區,請確認 \[應用程式名稱\] 方塊中包含正確的網站或應用程式名稱。 -或者- 如果 \[應用程式名稱\] 方塊中沒有任何名稱,則按一下 \[建立\],然後鍵入網站或應用程式的名稱。 5. 在 \[應用程式集區\] 清單方塊中,按一下您要指派網站或應用程式的應用程式集區名稱,再按一下 \[確定\]。 ![](images/Dd548256.sec_IIS_6_0_05(zh-tw,TechNet.10).jpg) ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已建立應用程式集區** 1. 使用 Administrator 帳戶登入網頁伺服器。 2. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 3. 按兩下本機電腦,再按兩下 \[應用程式集區\],然後確認您建立的應用程式集區是否出現在 \[應用程式集區\] 節點下。 4. 以滑鼠右鍵按一下您建立的應用程式集區,再按一下 \[內容\]。 5. 按一下 \[識別身份\] 索引標籤,確認應用程式集區的識別身份已設定為預先定義、名為「網路服務」的安全性帳戶,再按一下 \[確定\]。 - **若要確認已將網站或應用程式指派給特定的應用程式集區** 1. 使用 Administrator 帳戶登入網頁伺服器。 2. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 3. 按兩下本機電腦,再按兩下 \[網站\],然後以滑鼠右鍵按一下您要確認應用程式集區設定的網站,再按一下 \[內容\]。 4. 根據您選取的應用程式類型而定,依序按一下 \[主目錄\]、\[虛擬目錄\] 或 \[目錄\] 索引標籤。 5. 在 \[應用程式集區\] 清單方塊中,確認已列出您要指派網站的應用程式集區名稱,再按一下 \[取消\]。 [](#mainsection)[回到頁首](#mainsection) ### 設定檔案和目錄的安全性 使用嚴格的存取控制,有助於保護敏感的檔案和目錄。在大多數情況下,允許存取特定帳戶會比拒絕存取特定帳戶更有效。請儘量在目錄層級設定存取權。檔案加入資料夾時,會沿用資料夾的權限,因此您無須採取進一步的動作。 本節提供下列逐步指示,設定檔案和目錄的安全性: - 重新放置 IIS 記錄檔並設定權限 - 設定 IIS Metabase 權限 - 停用 FileSystemObject 元件 #### 重新放置 IIS 記錄檔並設定權限 為提升 IIS 記錄檔的安全性,您應重新將這些檔案放置到已格式化為使用 NTFS 檔案系統的非系統磁碟機上。這個位置應該與您網站內容的位置相同。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦和網際網路資訊服務 (IIS) 管理員 (Iis.msc)。 - **若要將 IIS 記錄檔的位置移到非系統的磁碟分割** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\]。 2. 瀏覽到您要重新放置 IIS 記錄檔的位置。 3. 以滑鼠右鍵按一下您要重新放置 IIS 記錄檔的目錄上一層,按一下 \[新增\],再按一下 \[資料夾\]。 4. 鍵入資料夾的名稱,例如,ContosoIISLogs,然後按下 **ENTER**。 5. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 6. 以滑鼠右鍵按一下網站,再按一下 \[內容\]。 7. 按一下 \[網站\] 索引標籤,再按一下 \[啟用記錄\] 框架中的 \[內容\]。 8. 在 \[一般內容\] 索引標籤上按一下 \[瀏覽\],然後瀏覽到您剛剛建立用來儲存 IIS 記錄檔的資料夾。 9. 按三次 \[確定\]。 **注意:**如果原始位置 Windows\\System32\\Logfiles 中已有 IIS 記錄檔,則必須手動將這些檔案移到新的位置。IIS 不會自行移動這些檔案。 - **若要設定 IIS 記錄檔上的 ACL** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\]。 2. 瀏覽到記錄檔所在的資料夾。 3. 以滑鼠右鍵按一下資料夾,按一下 \[內容\],再按一下 \[安全性\] 索引標籤。 4. 在上方的窗格中,按一下 \[Administrators\],並確定下方窗格中的權限已設定為 \[完全控制\]。 5. 在上方的窗格中,按一下 \[System\],並確定下方窗格中的權限已設定為 \[完全控制\],再按一下 \[確定\]。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已移動記錄檔且已設定權限** 1. 依序按一下 \[開始\]、\[搜尋\],再按一下 \[檔案或資料夾\]。 2. 在 \[搜尋名稱如下的檔案或資料夾\] 方塊中鍵入部份或完整的檔名 (例如 LogFiles),並且在 \[查詢\] 方塊中選取位置,再按一下 \[立即搜尋\]。 搜尋結果會傳回記錄檔的新位置。 3. 按下 **CTRL+ALT+DEL**,再按一下 \[登出\]。 4. 使用未具備存取記錄檔權限的帳戶登入網頁伺服器。 5. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\],然後瀏覽到 LogFiles 目錄。 6. 以滑鼠右鍵按一下 LogFiles 目錄,再按一下 \[開啟\]。 此時會出現下列訊息: - 拒絕存取。 #### 設定 IIS Metabase 權限 IIS Metabase 是 XML 檔案,其中包含大部分的 IIS 組態資訊。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦和 MetaBase.xml 檔案。 - **若要限制存取 MetaBase.xml 檔案** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\]。 2. 瀏覽到 Windows\\System32\\Inetsrv\\MetaBase.xml 檔案,然後以滑鼠右鍵按一下此檔案,再按一下 \[內容\]。 3. 按一下 \[安全性\] 索引標籤,確認只有 Administrators 群組和 LocalSystem 帳戶具備 Metabase 的「完全控制」存取權,並移除所有其他檔案的權限,再按一下 \[確定\]。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已限制存取 MetaBase.xml 檔案** 1. 按下 **CTRL+ALT+DEL**,再按一下 \[登出\]。 2. 使用未具備存取 MetaBase.xml 檔案權限的帳戶登入網頁伺服器。 3. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\],然後瀏覽到 MetaBase.xml 的位置。 4. 以滑鼠右鍵按一下 MetaBase.xml 檔案,再按一下 \[開啟\]。 此時會出現下列訊息: - 拒絕存取。 #### 停用 FileSystemObject 元件 ASP、Windows Script Host 和其他指令碼應用程式,均使用 FileSystemObject (FSO) 元件建立、刪除、取得相關資訊,以及操作磁碟機、資料夾和檔案。若考慮停用 FSO 元件,請注意這個動作也會移除 Ditionary 物件。同時,請確認沒有其他程式需要此元件。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**命令提示字元。 - **若要停用 FileSystemObject 元件** 1. 依序按一下 \[開始\]、\[執行\],然後在 \[開啟\] 方塊中鍵入 **cmd**,再按一下 \[確定\]。 2. 切換到 C:\\Windows\\system32 目錄。 3. 出現命令提示字元時,鍵入 **regsvr32 scrrun.dll /u**,再按下 **ENTER**。 此時會出現下列訊息: DllUnregisterServer in scrrun.dll succeeded (scrrun.dll 中的 DllUnregisterServer 已成功)。 4. 按一下 \[確定\]。 5. 出現命令提示字元時,鍵入 **exit** ,即可關閉命令提示字元視窗。 [](#mainsection)[回到頁首](#mainsection) ### 確保網站和虛擬目錄的安全 將 Web 根目錄和虛擬目錄重新放置到非系統的磁碟分割中,有助於保護它們不受目錄橫越的攻擊。這些攻擊可讓攻擊者執行作業系統的程式和工具。由於橫越磁碟機攻擊是不可能發生的事,因此將網站內容重新放置到另一部磁碟機上,便能提供額外的防護來對抗這些攻擊。 本節提供下列逐步指示,確保網站和目錄的安全: - 將您的網站內容移到非系統磁碟機上 - 設定網站權限 #### 將您的網站內容移到非系統磁碟機上 請勿使用預設的 \\Inetpub\\Wwwroot 目錄做為您網站內容的位置。例如,如果您將系統安裝到 C: 磁碟機上,請考慮將您的網站和內容目錄移到 D: 磁碟機上,以便降低目錄橫越攻擊的相關風險,不讓攻擊者成功嘗試瀏覽網頁伺服器的目錄結構。務必確認所有虛擬目錄均指向新的磁碟機。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**網際網路資訊服務 (IIS) 管理員 (Iis.msc) 和命令提示字元。 - **若要將您的網站內容移到非系統磁碟機上** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下內含您要移動其內容的網站,再按一下 \[停止\]。 3. 依序按一下 \[開始\]、\[執行\],然後在 \[開啟\] 方塊中鍵入 **cmd**,再按一下 \[確定\]。 4. 出現命令提示字元時,鍵入下列命令: **xcopy c:\\inetpub\\wwwroot\\***SiteName Drive***:\\wwwroot\\***SiteName* **/s /i /o** 在之前的命令中, - 以您的網站名稱取代 *SiteName*。 - 以新的磁碟機 (例如 D) 取代 *Drive*。 5. 回到 \[網際網路資訊服務 (IIS) 管理員\] 嵌入式管理單元。 6. 以滑鼠右鍵按一下網站,再按一下 \[內容\]。 7. 根據您選取的應用程式類型,按一下 \[主目錄\]、\[虛擬目錄\] 或 \[目錄\] 索引標籤,然後在 \[本機路徑\] 方塊中鍵入新目錄的位置,再按一下 \[確定\]。 -或- 瀏覽到您剛剛複製檔案的新目錄位置,再按一下 \[確定\]。 8. 以滑鼠右鍵按一下網站,再按一下 \[啟動\]。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認網站內容已移到非系統磁碟機上** 1. 依序按一下 \[開始\]、\[搜尋\],再按一下 \[檔案或資料夾\]。 2. 在 \[搜尋名稱如下的檔案或資料夾\] 方塊中鍵入部份或完整的檔名,並且在 \[查詢\] 方塊中選取位置,再按一下 \[立即搜尋\]。 搜尋結果會在新的位置以及原始位置列出您移動的檔案。 - **若要從系統磁碟機刪除您的網站內容** - 瀏覽到 C:\\Inetpub\\Wwwroot\\*SiteName* 目錄,然後刪除您已移動到非系統磁碟機上的檔案。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已從系統磁碟機刪除網站內容** 1. 依序按一下 \[開始\]、\[搜尋\],再按一下 \[檔案或資料夾\]。 2. 在 \[搜尋名稱如下的檔案或資料夾\] 方塊中鍵入部份或完整的檔名,並且在 \[查詢\] 方塊中選取位置,再按一下 \[立即搜尋\]。 搜尋結果只會在新位置列出您移動的檔案。 #### 設定網站權限 您可以針對特定網站、目錄和檔案,設定您網頁伺服器的存取權限。這些權限會套用到所有使用者,無論他們的特定存取權限為何。 ##### 設定檔案系統目錄上的權限 IIS 6.0 倚賴 NTFS 權限的協助,來保護個別的檔案和目錄,以避免未經授權的存取。不同的是,網站權限會套用到嘗試存取網站的任何人,而使用 NTFS 權限可讓您定義哪些使用者可存取網站內容,以及允許這些使用者操作該內容的方式。為提升安全性,請同時使用網站權限和 NTFS 權限。 存取控制清單 (ACL) 指示哪些使用者或群組,具備存取或修改特殊檔案的權限。但它的方式不是在每一個檔案上設定 ACL,而是針對每一種檔案類型建立新目錄、在每一個目錄上設定 ACL,然後讓檔案沿用所在目錄的權限。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**我的電腦和網際網路資訊服務 (IIS) 管理員 (Iis.msc)。 - **若要將網站內容移到其他資料夾** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\]。 2. 瀏覽到包含網站內容的資料夾,然後按一下網站內容的最上層資料夾。 3. 在 \[檔案\] 功能表上,按一下 \[開新檔案\],再按一下 \[資料夾\],即可在網站的內容目錄中建立新的資料夾。 4. 指定資料夾的名稱,然後按下 **ENTER**。 5. 按下 **CTRL**,然後選取您要保護的每一個網頁。 6. 以滑鼠右鍵按一下網頁,再按一下 \[複製\]。 7. 以滑鼠右鍵按一下新資料夾,再按一下 \[貼上\]。 **注意:**如果您已建立這些網頁的連結,則必須更新連結以反映網站內容的新位置。 - **若要設定網站內容的權限** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下 \[網站\] 資料夾、網站、目錄、虛擬目錄,或您要設定的檔案,再按一下 \[內容\]。 3. 根據您要授予或拒絕的存取權類型而定,勾選或清除下列所有核取方塊 (如果有的話): - **指令檔來源存取權。**使用者可存取來源檔案。如果選取 \[讀取\],則可讀取來源;如果選取 \[寫入\],則可寫入來源。\[指令檔來源存取權\] 包括指令檔的來源程式碼。如果未選取 \[讀取\] 或 \[寫入\],則無法使用此選項。 - **讀取** (預設為已選取)。使用者可檢視目錄或檔案的內容及內容。 - **寫入。**使用者可變更內容以及目錄或檔案的內容。 - **目錄瀏覽。**使用者可檢是檔案清單和集合。 - **記錄造訪。**針對每一次網站的造訪建立記錄項目。 - **索引此資源。**允許「索引服務」索引此資源。如此可讓使用者在資源上進行搜尋。 4. 在 \[執行權限\] 清單方塊中,選取執行指令碼的適當層級: - **無。**不在伺服器上執行指令碼或可執行檔 (例如,檔案類型為 .exe 的檔案)。 - **僅指令碼。**僅在伺服器上執行指令碼。 - **指令碼和可執行檔。**可在伺服器上同時執行指令碼和可執行檔。 5. 按一下 \[確定\]。如果目錄的子節點具備不同設定的網站權限,則會出現 \[繼承覆寫\] 方塊。 6. 如果出現 \[繼承覆寫\] 方塊,請在您要套用目錄 Web 權限的 \[子節點\] 清單中選取子節點。 -或- 按一下 \[全選\] 設定內容,以將 Web 權限套用到所有子節點。 7. 如果您看到一個以上的 \[繼承覆寫\] 方塊,請從 \[子節點\] 清單選取子節點,或按一下 \[全選\],再按一下 \[確定\],將此內容的 Web 權限套用到子節點。 如果目錄具備您已變更的網站權限,且所屬的子節點亦針對特殊選項設定了網站權限,則子節點中的權限將覆寫您為目錄設定的權限。如果您希望將目錄層級的網站權限套用到子節點,則必須在 \[繼承覆寫\] 方塊中選取這些子節點。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認已拒絕網站內容目錄的寫入存取權** 1. 按下 **CTRL+ALT+DEL**,再按一下 \[登出\]。 2. 使用具備實體或虛擬目錄上的「讀取」和「執行」權限的帳戶登入網頁伺服器。 3. 按一下 \[開始\]、以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[檔案總管\],然後瀏覽到您要複製到實體或虛擬目錄的檔案位置。 4. 以滑鼠右鍵按一下檔案,再按一下 \[複製\]。 5. 瀏覽到實體或虛擬目錄的位置,然後以滑鼠右鍵按一下該目錄。快顯功能表上不會提供 \[貼上\] 選項,這表示您未具備「寫入」目錄的權限。 [](#mainsection)[回到頁首](#mainsection) ### 設定網頁伺服器的 Secure Sockets Layer 在您的網頁伺服器上設定 Secure Sockets Layer (SSL) 安全性功能,以確認內容的完整性、使用者的識別身份,以及加密網路傳輸。SSL 安全性倚賴伺服器憑證,可讓使用者在傳送私人資訊 (例如信用卡號碼) 之前,先驗證您的網站。每一個網站只能擁有一個伺服器憑證。 #### 取得和安裝伺服器憑證 憑證是由稱為「憑證授權單位 (CA)」的非 Microsoft 組織所發出。伺服器憑證通常與您的網頁伺服器相關,尤其是您設定了 SSL 的網站。您必須產生憑證要求、傳送要求到 CA,然後在收到 CA 寄出的憑證之後安裝它。 憑證仰賴一對加密金鑰 (一個公開金鑰和一個私密金鑰) 來強迫執行安全性。當您產生伺服器憑證的要求時,實際上是產生了私密金鑰。您從 CA 收到的伺服器憑證則包含公開金鑰。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**網際網路資訊服務 (IIS) 管理員 (Iis.msc) 和 Web 伺服器憑證精靈。 - **若要產生伺服器憑證的要求** 1. 按一下 \[開始\],以滑鼠右鍵按一下 \[我的電腦\],再按一下 \[管理\]。 2. 按兩下 \[服務及應用程式\] 區段,再按兩下 \[Internet Information Services\]。 3. 以滑鼠右鍵按一下您要安裝伺服器憑證的網站,再按一下 \[內容\]。 4. 按一下 \[目錄安全設定\] 索引標籤。在 \[安全通訊\] 區段中,按一下 \[伺服器憑證\] 啟動「Web 伺服器憑證精靈」,再按一下 \[下一步\]。 5. 按一下 \[建立新憑證\],再按一下 \[下一步\]。 6. 按一下 \[準備要求,但於稍後傳送\],再按一下 \[下一步\]。 7. 在 \[名稱\] 方塊中,鍵入易記的名稱。(預設名稱為您要產生憑證要求的網站名稱,例如 https://www.contoso.com)。 8. 指定位元長度,再按一下 \[下一步\]。 加密金鑰的位元長度決定加密的強度。大部分非 Microsoft CA 均較希望您選擇最小的 1024 位元。 9. 在 \[組織\] 區段中,鍵入您的組織和組織單位資訊。確定此資訊正確無誤,且 \[組織\] 欄位中未包含逗號,再按一下 \[下一步\]。 10. 在 \[您站台的公用名稱\] 區段中,鍵入包含網域名稱的主機電腦名稱,再按一下 \[下一步\]。 11. 鍵入您的地理資訊,再按一下 \[下一步\]。 12. 將檔案儲存為 .txt 檔。(預設檔名和位置為 C:\\certreq.txt。) 下列範例顯示憑證要求檔案的外觀。 ``` -----BEGIN NEW CERTIFICATE REQUEST----- MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8 MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj Jb9/2RM= -----END NEW CERTIFICATE REQUEST----- ``` 13. 確認您的要求詳細資料,按一下 \[下一步\],再按一下 \[完成\]。 - **若要送出伺服器憑證的要求** 1. 請聯繫您的 CA,以了解送出要求的需求。 2. 將您在之前程序中建立的 .txt 檔內容,複製成 CA 所需的要求格式。 3. 將要求傳送到您的 CA。 收到 CA 寄出的憑證時,可立即將憑證安裝到您的網頁伺服器上。 - **若要安裝伺服器憑證** 1. 將憑證 (.cer) 檔案複製到 C:\\Windows\\System32\\CertLog 資料夾。 2. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 3. 以滑鼠右鍵按一下您要安裝伺服器憑證的網站,再按一下 \[內容\]。 4. 按一下 \[目錄安全設定\] 索引標籤。在 \[安全通訊\] 區段中,按一下 \[伺服器憑證\] 啟動「Web 伺服器憑證精靈」,再按一下 \[下一步\]。 5. 按一下 \[處理擱置要求及安裝憑證\],再按一下 \[下一步\]。 6. 瀏覽到 CA 寄給您的憑證。按兩次 \[下一步\],再按一下 \[完成\]。 ##### 確認新的設定 確認您的本機電腦上已套用適當的安全性設定。 - **若要確認網頁伺服器上已安裝憑證** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按一下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下擁有您所檢視憑證的網站,再按一下 \[內容\]。 3. 在 \[目錄安全設定\] 索引標籤上的 \[安全通訊\] 區域中,按一下 \[檢視憑證\] 檢閱憑證,再按兩次 \[確定\]。 #### 強迫執行和啟用您網頁伺服器上的 SSL 連線 在您安裝伺服器憑證之後,必須在網頁伺服器上強迫執行 SSL 連線。接著,您必須啟用 SSL 連線。 ##### 需求 - **認證:**您必須以網頁伺服器上 Administrators 群組成員的身份登入。 - **工具:**網際網路資訊服務 (IIS) 管理員 (Iis.msc)。 - **若要強迫執行 SSL 連線** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下您要強迫執行 SSL 連線的網站,再按一下 \[內容\]。 3. 按一下 \[目錄安全設定\] 索引標籤。在 \[安全通訊\] 區段中,按一下 \[編輯\]。 4. 按一下 \[必須使用安全通道 (SSL)\], 選擇加密強度,再按一下 \[確定\]。 **注意:**如果您指定 128 位元加密,則使用 40 位元或 56 位元強度瀏覽的用戶端電腦便無法與您的網站進行通訊,除非將瀏覽器升級為支援 128 位元加密的版本。 - **若要啟用您網頁伺服器上的 SSL 連線** 1. 依序按一下 \[開始\]、\[控制台\]、\[系統管理工具\],再按兩下 \[網際網路資訊服務 (IIS) 管理員\]。 2. 以滑鼠右鍵按一下您要啟用 SSL 連線的網站,再按一下 \[內容\]。 3. 按一下 \[網站\] 索引標籤。在 \[網站識別\] 區段中,確認 \[SSL 連接埠\] 方塊的數值為 443。 4. 按一下 \[進階\]。通常會出現兩個方塊,且 \[在這個網站使用多重識別碼\] 方塊中已列出網站的 IP 位址和連接埠。如果尚未列出連接埠 443,請在 \[在這個網站使用多重 SSL 識別碼\] 欄位中,按一下 \[新增\]。選取伺服器的 IP 位址,在 \[SSL 連接埠\] 方塊中鍵入數值 **443**,再按一下 \[確定\]。 ##### 確認新的設定 確認您的網頁伺服器上已套用適當的安全性設定。 - **若要確認您網頁伺服器上的 SSL 連線** 1. 開啟您的瀏覽器,然後嘗試使用標準的 https:// 通訊協定連線到您的網頁伺服器。例如,在 \[位址\] 方塊中,鍵入下列字串:**https://localhost** 如果已強迫執行 SSL,則會出現下列錯誤訊息: The page must be viewed over a secure channel.The page you are trying to access is secured with Secure Sockets Layer (SSL). (此網頁必須透過安全通道檢視。您嘗試存取的網頁經過 SSL 安全加密。) 2. 請再次嘗試鍵入下列字串,以連線到您要查看的網頁:**https://localhost** 通常,這樣會出現您網頁伺服器的預設網頁。 [](#mainsection)[回到頁首](#mainsection) ### 相關資訊 如需關於確保 IIS 6.0 安全的詳細資訊,請參閱下列連結: - Microsoft 網站上的《[Security Enhancements in Internet Information Services 6.0 (英文)](https://go.microsoft.com/fwlink/?linkid=22800)》,網址為 [https://go.microsoft.com/fwlink/?LinkId=22800](https://go.microsoft.com/fwlink/?linkid=22800)。 - TechNet 網站上的《[Configuring Application Isolation on Windows Server 2003 and Internet Information Services (IIS) 6.0 (英文)](https://go.microsoft.com/fwlink/?linkid=2280)》,網址為 [https://go.microsoft.com/fwlink/?LinkId=2280](https://go.microsoft.com/fwlink/?linkid=2280)。 - Microsoft Events and Webcasts 網站上的《[TechNet Webcast: Securing Internet Information Services (IIS) (英文)](https://go.microsoft.com/fwlink/?linkid=22802)》,網址為 [https://go.microsoft.com/fwlink/?LinkId=22802](https://go.microsoft.com/fwlink/?linkid=22802)。 如需關於 IIS 6.0 的詳細資訊,請參閱下列連結: - Microsoft Download Center 上的《[Internet Information Services (IIS) 6.0 Resource Kit](https://go.microsoft.com/fwlink/?linkid=22803)》,網址為 [https://go.microsoft.com/fwlink/?LinkId=22803](https://go.microsoft.com/fwlink/?linkid=22803)。 - TechNet 網站上的 [Internet Information Services (英文)](https://go.microsoft.com/fwlink/?linkid=22804) 技術頁面,網址為 [https://go.microsoft.com/fwlink/?LinkId=22804](https://go.microsoft.com/fwlink/?linkid=22804)。 - Microsoft 網站上的《[Technical Overview of Internet Information Services (IIS) 6.0 (英文)](https://go.microsoft.com/fwlink/?linkid=22805)》,網址為 [https://go.microsoft.com/fwlink/?LinkId=22805](https://go.microsoft.com/fwlink/?linkid=22805)。 [](#mainsection)[回到頁首](#mainsection)