超级会员免费看
IIS 7.0 安全认证与授权全解析
1. 安全基础与日志审计
在服务器安全方面,日志审计是一项重要的工作。多次登录失败后成功登录的情况可能表明攻击者已获取了密码,因此需要对登录日志进行审计。
在高安全环境中,建议对事件日志进行存档,而不是让旧事件按需被覆盖。攻击者可能会生成大量虚假事件来填满日志,以掩盖之前可能的违规事件。虽然 Windows Server 2008 将安全和系统日志的默认大小增加到了 20 MB,降低了此类情况未被发现的风险,但仍需加以考虑,因为自动化工具能在短时间内生成大量虚假事件。
管理员在启用或限制 IIS 7.0 服务器功能时,应熟悉以下基本配置步骤:
- IP 地址和域名限制
- MIME 类型扩展
- 请求过滤规则
- ISAPI 扩展和 CGI 应用程序限制
- 为审计和流量分析目的配置日志
2. 认证与授权概念
认证和授权是 IIS 安全中较为复杂的操作,二者常被混淆,但实际上是不同的概念。
认证是向远程服务(如 IIS)识别并证明身份的过程。客户端或用户通常提供标识符(如 Windows 用户名),然后通过某种方式证明身份,如所知信息(密码)、所拥有物品(安全令牌)或自身特征(生物识别)。双因素或多因素认证系统结合了这些概念,需要多个认证信息来证明最终用户的身份。
授权发生在认证之后,是用户请求执行操作(如查看文件),系统根据文件或资源的访问控制列表(ACL)验证该操作的过程。ACL 由一组访问控制条目(ACE)组成,定义了哪些用户可以或不可以执行某些操作。大多数操作系统允许定义允许 ACE 和拒绝 ACE,默
订阅专栏 解锁全文
扫一扫
5
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
