企業(yè)如何設(shè)置web服務(wù)器權(quán)限來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制

越來(lái)越多的企業(yè)都面臨著越來(lái)越多的商業(yè)交易，企業(yè)擴(kuò)大了客戶(hù)數(shù)量和供應(yīng)商范圍的同時(shí)，也在不斷更新用戶(hù)訪(fǎng)問(wèn)控制來(lái)確保企業(yè)文件夾、文件和web文檔中機(jī)密數(shù)據(jù)依然遵照‘鎖和鑰匙’是很明智的做法。好在可以很容易的在Internet信息服務(wù)器(IIS)里創(chuàng)建規(guī)則，來(lái)指明或限制哪些信息可以訪(fǎng)問(wèn)。讓我們來(lái)看看如何配置IIS Web服務(wù)器權(quán)限，以提供適當(dāng)和安全的訪(fǎng)問(wèn)控制，使它不僅滿(mǎn)足終端用戶(hù)，而且還確保更好的數(shù)據(jù)安全性。

IIS Web服務(wù)器權(quán)限控制對(duì)Web上虛擬目錄的訪(fǎng)問(wèn)，適用于所有用戶(hù)。要實(shí)現(xiàn)具體數(shù)據(jù)的訪(fǎng)問(wèn)控制，得從配置IIS目錄安全功能開(kāi)始。開(kāi)始配置，打開(kāi)Internet信息服務(wù)管理控制臺(tái)，然后輸入網(wǎng)站的屬性對(duì)話(huà)框或你想控制的子文件夾。進(jìn)入以后，找到目錄選項(xiàng)卡。在目錄選項(xiàng)卡這里，您可以設(shè)定用戶(hù)是否可以瀏覽目錄，是否可以查看/修改文件和訪(fǎng)問(wèn)文件的源代碼。在這個(gè)對(duì)話(huà)框中，你應(yīng)該也找到一個(gè)目錄安全性選項(xiàng)卡。在這個(gè)標(biāo)簽這里，你可以配置你的Web服務(wù)器如何驗(yàn)證用戶(hù)身份。重要的是需要注意，因?yàn)槟闾幚淼氖?/SPAN>IIS Web服務(wù)器的權(quán)限，新設(shè)置將適用于所有用戶(hù)，而不管他們擁有什么特定的NT文件系統(tǒng)(NTFS)訪(fǎng)問(wèn)權(quán)限。

所以我們下一步就是為Web文件配置NTFS權(quán)限。NTFS權(quán)限控制對(duì)服務(wù)器上的物理目錄訪(fǎng)問(wèn)，只適用于特定的用戶(hù)組。通過(guò)為單個(gè)文件或目錄創(chuàng)建一個(gè)自由訪(fǎng)問(wèn)控制列表(DACL)，您可以定義哪些用戶(hù)可以訪(fǎng)問(wèn)哪些內(nèi)容，對(duì)這些內(nèi)容進(jìn)行哪些操作。要?jiǎng)?chuàng)建一個(gè)DACL，選擇一個(gè)特定的Windows用戶(hù)帳戶(hù)或組，并指定其訪(fǎng)問(wèn)權(quán)限。要更改目錄或者文件的NTFS權(quán)限，打開(kāi)我的電腦，選擇你需要保護(hù)的目錄或文件，并打開(kāi)其屬性表。

然后在安全屬性頁(yè)，選擇你想改變的賬戶(hù)、用戶(hù)或組的訪(fǎng)問(wèn)類(lèi)型。要授予訪(fǎng)問(wèn)權(quán)限，選擇“允許”，要拒絕訪(fǎng)問(wèn)選擇“拒絕”。這將幫助您更好的控制對(duì)您的web內(nèi)容的訪(fǎng)問(wèn)，因?yàn)閷?duì)于同時(shí)設(shè)置了NTFS權(quán)限的內(nèi)容，在驗(yàn)證用戶(hù)的NTFS權(quán)限前，IIS會(huì)首先檢查用戶(hù)是否有必要的web權(quán)限來(lái)訪(fǎng)問(wèn)他們請(qǐng)求的資源。如果用戶(hù)沒(méi)有web權(quán)限，他們將收到一個(gè)“403禁止訪(fǎng)問(wèn)”的消息。如果用戶(hù)沒(méi)有正確的NTFS權(quán)限，他們將收到一個(gè)“401拒絕訪(fǎng)問(wèn)”消息。

如果您的客戶(hù)和供應(yīng)商將訪(fǎng)問(wèn)的內(nèi)容特別的敏感，考慮安裝一個(gè)Web服務(wù)器證書(shū)以保證您的Web服務(wù)器的安全套接字層(SSL)功能。這迫使用戶(hù)建立一個(gè)加密的連接，以便連接到特定的目錄或文件。還有一個(gè)最后的辦法，也可以將客戶(hù)證書(shū)映射到Web服務(wù)器上的Windows用戶(hù)帳戶(hù)。這種做法，在提供強(qiáng)大的驗(yàn)證和訪(fǎng)問(wèn)控制的同時(shí)，管理也更復(fù)雜，但是如果您的網(wǎng)站需要在對(duì)受限制內(nèi)容授權(quán)訪(fǎng)問(wèn)前進(jìn)行用戶(hù)身份認(rèn)證的話(huà)，這也是值得的。

信息化發(fā)展是提高商業(yè)效率，同時(shí)要降低信息化風(fēng)險(xiǎn)必須做好本身安全。IIS本身存在很多漏洞，在此提醒管理員朋友！