キャッシング - どのように、高い安全性をIIS Webサーバーを使用して

今日の一般的なWebサーバーの1つとしてIISは、（インターネットインフォメーションサーバー）の一部を無視することが重要となっているIISの設定、どのようにIISのセキュリティメカニズムは、高セキュリティのWebサーバーの確立を強化するための強力なインターネットおよびイントラネットサービスを提供しています。
�g�b�v�y�[�W
。
まず、Windows NTベースのセキュリティメカニズム
Windows NT環境のIIS上で実行されているオペレーティングシステムとして、その安全性に基づいてWindows NTのセキュリティ上に構築する必要があります。
1。アプリケーションNTFSファイルシステム
NTFSでは、ファイルやディレクトリを管理することができます（ファイルアロケーションテーブル）のみを共有レベルのセキュリティを提供することができるファイルシステムがFATは、NTFSを使用してWindows NTシステムをインストールすることをお勧めします。
2。共有のアクセス許可の変更
。

ドメインユーザーマネージャは、パスワード推測数を制限することができるが、しかし、彼らはよくすることができる違法ユーザーとドメインユーザーマネージャを介して管理者アカウントのパスワードを攻撃する機会を提起することができるシステム管理者アカウントへのアクセスを持っていない管理者に名前の変更は、一種のための良い方法を考慮。次のように設定は：
（1）"ドメインユーザーマネージャ"を起動します。

（3）を変更する"名前の変更"の下にある"ユーザ"メニューを起動します。。
4。 TCP / IPのNetBIOSの廃止の
管理者が管理するインターネット上の他のサーバーのIPアドレスとの間で画像のNetBIOS名を作成することにより、駅をターゲットにすることができますは、権限のないユーザーにもチャンスを見つけることができます。リモート管理が不要な場合は、バインディング（バインディングのオプションは、キャンセルのNetBIOSとTCP / IPネットワークのプロパティを介して）すぐに廃止すべきである。
第二に、IISのセキュリティメカニズムを設定する


IISをインストールした後、Webサーバーだけでなく、巨大な潜在的なリスクをIISの各匿名ユーザーへのアクセスを提供するアクセスするためのドメインユーザーグループに適用されるDomain Usersグループに追加され、IUSR_コンピュータ名の匿名アカウントを生成したコンピュータ上にインストールされます。と、ドメインコントローラ上で、特にプライマリドメインコントローラにIISをインストールするには、可能な限り避けるために、リソースのドメイン全体のセキュリティを巻き込む可能性があります。
（2）システムパーティションにインストールされている回避するために
システムパーティション上のIISに配置し、システムファイルおよびIISは、システムパーティションに不正アクセス、権限のないユーザーが簡単に直面する。

（1）匿名ユーザーを
IISの匿名ユーザーIUSR_ <コンピュータ名を（ランダムに生成されたパスワード）は、Webサーバーへの匿名アクセスをインストール後に生じた、彼らの能力を制御するために、セキュリティ上の潜在的な問題となっている。Webをキャンセルへの匿名アクセスが必要なく、匿名のサービスがある場合。具体的な方法：
①スタートのISM（インターネットサーバーマネージャ）;

。
（2）一般ユーザー
番号とパスワードを使用して結合文字（大文字と小文字を含む）、使用することにより周波数を向上させるためにパスワードを変更するには、封鎖は、一般的な管理へのログインの試行およびその他のユーザーアカウントの生存のアカウントに失敗しました。
3。ログイン認証のセキュリティ
。
匿名アクセス：ユーザーは三のID内の任意のサイトへの匿名アクセスを許可の間の相互作用の最小セキュリティです。
基本的には（基本）認証：このモードでは、ユーザーがユーザー名とパスワードをすべて暗号化されずにネットワーク経由で送信プレーンテキストで入力すると、権限のないユーザーは、パケットを傍受して、取得するユーザー名とパスワード、セキュリティ、一般的なパフォーマンスJiantingオンラインにすることができます。
Windows NTチャレンジ/レスポンスをモード：ブラウザと効果的なコミュニケーションに盗聴を防ぐために暗号化して、IISサーバーは、比較的安全性の高い認証形式です。この方法の欠点は、上記のみをサポートし、その唯一のIE3.0です。
4。アクセス制御
。
①スタート"ドメインユーザーマネージャ";
"監査"オプションの下に②スタート"ルール"メニュー;
③は、"監査ルール"を設定する。
。さらには、WWWサービスのNTFSファイルシステムのファイルアクセス権を提供することにも読み取りアクセスを提供し、ユーザが読めるようにまたはディレクトリのWWW内のファイルをダウンロードすることができます。パーミッションを実行するには、WWWのディレクトリは、ユーザーはプログラムやスクリプトを実行することができます。設定方法：
①スタートのISM（インターネットサーバーマネージャ）;
②[スタート] Webプロパティページには、"ディレクトリ"タブを選択します。
③選択のWWWディレクトリ;
。

IISができるようにしたり、サービス要求から送信された特定のIPアドレスを拒否するには、選択的に特定のユーザーは、サービスノードにアクセスできるように設定することができます、あなたのWebサーバーにアクセスするユーザのネットワーク全体に加えて、指定されたIPアドレスをブロックするように設定することができます。固有の設定：
（1）スタートのISM（インターネットサーバーマネージャ）;

（3）が制御設定のIPアドレスを指定する。
6。ポートセキュリティの実装
IISサービスは、WWWサイト、それがであるかどうかは、FTPサイト、またはNNTP、SMTPサービスは、独自のモニタを使用しているし、ブラウザを要求通常、ポート番号が使用されるTCPポート番号を（ポスト）、表示されます：WWWのは80、FTPは、21ですSMTPは25日、あなたは、IISサーバーのセキュリティを向上させるためにポート番号を変更することができます。あなたは、ポートの設定を変更する場合にのみアクセスできるユーザーのポート番号を知っているが、ユーザーが指定した新しいポート番号にアクセスする必要がある。
7.IPフォワードセキュリティ
。
（1）"ネットワークのプロパティ"起動し、"プロトコル"タブを選択します。
（2）TCP / IPのプロパティで"ルーティング"が削除されます。。
8.SSLセキュリティ
。
HTTP層とTCP層でのSSL（Secure Sockets Layer）を、情報の伝送のセキュリティを確保するためにサーバー間のユーザーおよび暗号化通信を作成する。SSLは、すべてのユーザーがデータを暗号化する公開鍵にアクセスすることができますに基づいて公開鍵と秘密鍵で働いているデータは、対応する秘密鍵で復号化する必要があります。SSLセキュリティメカニズムを使用する場合、最初のクライアントとサーバーは、その公開鍵にサーバのデジタル証明書への接続を確立し、クライアントに沿って送られると、クライアントは、ランダムに近いサーバから受信した公開鍵を使用して、セッション鍵を生成するセッションの暗号化キーは、および、ネットワークサーバーに送信されるセッション鍵をアップロードする秘密鍵を使用してサーバー側のセッション鍵が復号化できるだけで、クライアントとサーバーはセキュリティで保護されたチャネルを確立するようにのみ。次のように特定の手順は次のとおりです：
（1）ISMを起動し、Webサイトのプロパティページを開きます。


（4）文書やファイルのための鍵管理の要求で鍵を生成する。
（5）は証明書の認証の許可を申請する。
（6）サーバーに証明書をインストールするにはキーマネージャを介して;
。
SSLセキュリティ機構が設立された、唯一のSSLは、通信するためにSSLを使用してWebサイトを許可し、Resource LocatorのURLを使用して、次のように入力httpsを顧客を許可：ください。http:// / /ではなく、。
実装のSSLセキュリティメカニズムは、専用のWebディレクトリの高感度の使用のための提案を検討する計画で、システムパフォーマンスが低下するサーバーのCPUの追加負担を増やすには、オーバーヘッドが増加します。また、SSLクライアントが使用しようとして、3.0以上を使用するとIE。