При установке Система Windows Vista™ службы IIS 7.0 автоматически не устанавливаются. Выберите, устанавливать ли службы IIS 7.0. Это — предосторожность, чтобы защитить ваш компьютер от попыток взлома и атак из интернета.

После установки служб IIS 7.0 в целях дополнительной защиты веб-сервер будет обслуживать только статическое содержимое. Чтобы обеспечить еще большую безопасность веб-сервера, необходимо использовать хотя бы один из представленных ниже способов защиты.

Проверка подлинности

Проверка подлинности определяет, кто имеет право доступа к ресурсам на данном веб-сервере. Службы IIS 7.0 поддерживают следующие методы проверки подлинности, основанные на запросе:

• анонимная проверка подлинности (включена по умолчанию);
• обычная проверка подлинности;
• дайджест-проверка подлинности;
• проверка подлинности Windows (включена по умолчанию).

Службы IIS 7.0 поддерживают также проверку подлинности с помощью форм, метод проверки подлинности имени входа путем перенаправления и проверку подлинности службы каталогов Active Directory, которая требует соответствия сертификата клиента учетной записи пользователя Active Directory.

Новая встроенная группа Windows под названием IIS_IUSRS замещает локальную группу IIS_WPG. А новая встроенная учетная запись Windows под названием IUSRS замещает локальную анонимную учетную запись IUSR_MachineName, взятую из IIS 6.0. Однако учетная запись IUSR_MachineName продолжает использоваться для протокола FTP.

Авторизация

Авторизация определяет, к каким ресурсам на веб-сервере имеет доступ определенный пользователь. С помощью IIS 7.0 можно настроить правила авторизации URL-адреса, которые разрешают или запрещают определенным компьютерам, группам компьютеров или доменам доступ к узлам, приложениям, каталогам или файлам, находящимся на сервере.

Сертификаты сервера

Сертификаты сервера предназначены для предоставления пользователю гарантий в том, что он находится на верном веб-узле до того, как он начнет передавать личные сведения, например номер кредитной карты. Кроме того, сертификаты могут идентифицировать пользователя на сервере. С помощью сопоставления сертификатов IIS можно сопоставить сертификаты клиента одному или нескольким пользователям. Альтернативным способом сопоставления сертификатов клиента является применение сопоставления сертификата службы каталогов Active Directory.

Ограничения ISAPI и CGI

Если не были установлены ограничения расширений модулей, на веб-сервере сможет запускаться такое динамическое содержимое, как приложение или сценарий. Например, чтобы веб-сервер обслуживал только статическое содержимое, необходимо предотвратить запуск определенных типов файлов на сервере.

Фильтрация запросов

Если необходимо ограничить типы запросов HTTP, которые будет обрабатывать веб-сервер, следует настроить службы IIS 7.0 на оценку соответствия определенному критерию каждого входящего запроса. Ранее данная настройка требовала загрузки такого средства безопасности, как UrlScan версии 2.5. Однако IIS 7.0 упрощает процесс фильтрации, потому что включает в себя возможности UrlScan версии 2.5.

Роли .NET

С помощью IIS 7.0 можно организовать пользователей .NET в группы, называемые ролями .NET. Роли позволяют выполнять операции, связанные с безопасностью, например одновременную авторизацию сразу для нескольких пользователей.

Настройки протокола SSL

Протокол SSL помогает защитить соединение между веб-сервером и клиентом. Протокол SSL используется тогда, когда на веб-сервер приходят конфиденциальные сведения от пользователей. IIS 7.0 поддерживает 40- и 128-битный протокол SSL, что позволяет игнорировать, принимать или требовать сертификаты клиента на основе веб-узла.

Уровни доверия .NET

Настройка уровней доверия .NET служб IIS 7.0 помогает защищать папки и файлы от несанкционированного доступа приложений, которые запущены на веб-сервере.

Пользователи .NET

Using IIS 7.0, you can define user identities to be associated with an application. Только заданные таким образом идентификаторы пользователей смогут иметь доступ к приложению.