一、为什么使用URL授权
IIS网站为用户工作提供便利,但它的安全性一直是管理员最关心的话题。众所周知,IIS服务器组件存在一些漏洞,很多“不法之徒”利用这些漏洞对网站进行攻击。虽然及时安装IIS补丁可以修复这些漏洞,但新的漏洞又会不断出现。很多管理员采用取消匿名访问权限方式来控制访问网站的用户范围,但此方式还是存在一定的安全隐患。为了增强IIS的安全性,在Windows Server 2003系统中提供URL授权功能,它可以通过授权管理器对浏览网站的用户进行严格的控制。如要想让某个用户账户能访问启用了URL授权功能的虚拟目录,首先这个用户账号必须是Windows Server 2003系统合法的账号。此外,还要将该账号添加到授权管理器的角色分配项中。
二、配置URL授权功能
IIS6默认情况下并没有启用URL授权功能,必须结合授权管理器进行手工配置才能实现。下面笔者将一步步介绍如何实现。
1.禁用匿名访问
在Windows Server 2003系统中,IIS6默认是允许用户匿名访问的,要想使用URL授权功能,首先必须禁用匿名访问。点击“开始→运行”,在运行对话框中输入“%systemroot% \System32\InetSrv\IIS.msc”命令(其中“%systemroot%”表示操作系统所在目录)。回车后弹出“Internet信息服务(IIS)管理器”窗口,然后依次展开“本地计算机→网站→默认网站”。下面笔者以默认网站的Online虚拟目录为例,介绍如何配置URL授权功能。
右键点击“Online文件夹”选项,在弹出的菜单中选择“属性”,在弹出的Online属性对话框中,切换到“虚拟目录”标签页,点击“创建”按钮。在“目录安全性”标签页的身份验证和访问控制栏中点击“编辑”按钮,在弹出的身份验证方法对话框中,取消“启用匿名访问”前的钩选,确保“集成Windows身份验证”选项被选中(如图1),然后两次点击“确定”按钮。
2.配置通配符应用程序映射
禁用了匿名访问功能后,我们就正式开始进行配置。首先要为URL授权功能配置通配符应用程序映射。在Online属性对话框的虚拟目录标签页中,点击“配置”按钮,弹出“应用程序”对话框,点击“通配符应用程序映射”栏中的“插入”按钮(如图2),在“添加/编辑应用程序扩展名映射”对话框中点击“浏览”按钮,进入到“%systemroot% \System32\InetSrv”目录,找到urlauth.dll文件后,点击“打开”按钮,最后点击“确定”按钮。
XML文件”单选项,在“存储名称”栏中输入“C:\MyStore.xml”后,点击“确定”按钮。
接着在授权管理器窗口中,右键点击MyStore.xml项。在弹出单中选择“新建应用程序”,在名称栏中输入“IIS6 URL授权”后,点击“确定”按钮。然后在授权管理器窗口中,依次展开“IIS6 URL授权→定义”,右键点击“操作定义”,在弹出的菜单中选择“新建操作定义”。然后在“名称”栏中输入“AccessURL”,在操作号码栏中输入“1”,最后点击“确定”按钮。
5.配置作用域
接着要为新建的应用程序IIS6 URL授权配置作用域。右键点击“IIS6 URL授权”选项,在弹出菜单中选择“新建作用域”,在名称栏中输入“WebApp”后,点击“确定”按钮。接着依次展开“IIS6 URL授权→定义”,右键点击“角色定义”选项,在弹出菜单中选择“新建角色定义”。下面在角色定义中创建作用域,在名称栏中输入“Viewer”后,点击“确定”按钮。然后点击“角色定义”选项,在右侧框体中右键点击Viewer选项,弹出快捷菜单,选择“属性”选项,切换到“定义”标签页,点击“添加”按钮后,切换到“操作”标签页,在操作定义列表框中选中“AccessURL”选项后,连续两次点击“确定”按钮。
然后依次展开“IIS6 URL授权→ WebApp”,右键点击“角色分配”选项,在弹出的菜单中选中“分配角色”。在添加角色对话框中选中“Viewer”选项后,点击“确定”按钮。接着在右侧框体中右键点击“Viewer”选项,选择“分配Windows用户和组”选项,弹出选择用户或组对话框(如图5),在“输入对象名称来选择”栏中输入访问网站页面需要的用户账号,然后点击“确定”按钮。
6.配置读取器角色
默认情况下,IIS6是以Network Service账号身份运行的。下面就对读取器使用的账号进行配置。右键单击“MyStore.xml”项,在弹出的菜单中选择“属性”,切换到“安全”标签页,在“授权管理器用户角色”下来列表中选中“读取器”,接着点击“添加”按钮,在“输入对象名称来选择”栏中输入“Network Service”账号,接着两次点击“确定”按钮。
7.配置IIS Metabase文件
完成了以上配置过程后,URL授权功能依然还没启用,还需要修改IIS Metabase文件参数才行。下面我们就使用vbs脚本对IIS Metabase文件进行修改。进入到“C:\ Inetpub\AdminScripts”目录下,新建一个名为“SetUrlAuth.vbs”的脚本文件。打开此文件后,将以下内容复制到脚本文件中,最后要保存文件。
脚本内容如下:
'SetUrlAuth.vbs 内容
Set objArgs= WScript.Arguments
If objArgs.count < 4 then
wscript.echo "Usage: SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable
[ImpersonationLevel]"
wscript.echo ""
wscript.echo "Example:"
wscript.echo " SetUrlAuth w3svc/1/root/MyApp MyApp
msxml://d:\inetpub\wwwroot\AzStore.xml True 1"
wscript.echo ""
wscript.echo "Run with 'cscript' command in cmd.exe to avoid msgboxes"
Else
wscript.echo objargs(0)
DIM iis
set iis = GetObject("IIS://localhost/" & objArgs(0))
iis.AzScopeName = objArgs(1)
iis.AzStoreName = objArgs(2)
iis.AzEnable = objArgs(3)
If objArgs.count > 4 then
iis.AzImpersonationLevel = objArgs(4)
End if
iis.SetInfo
End if
接着点击“开始→运行”,在运行对话框中输入“Cmd.exe”命令,弹出命令提示符窗口。切换到“C:\ Inetpub\AdminScripts”目录下,运行“Cscript SetUrlAuth.vbs W3svc\1\Root\WebApp WebApp msxml://C:\MyStore.xml true 1”命令,完成Metabase文件参数修改。
这样就启用了URL授权功能。只有在授权管理器的Viewer角色中指定的用户账号,才能访问你网站Online虚拟目录的页面。
一、为什么使用URL授权
IIS网站为用户工作提供便利,但它的安全性一直是管理员最关心的话题。众所周知,IIS服务器组件存在一些漏洞,很多“不法之徒”利用这些漏洞对网站进行攻击。虽然及时安装IIS补丁可以修复这些漏洞,但新的漏洞又会不断出现。很多管理员采用取消匿名访问权限方式来控制访问网站的用户范围,但此方式还是存在一定的安全隐患。为了增强IIS的安全性,在Windows Server 2003系统中提供URL授权功能,它可以通过授权管理器对浏览网站的用户进行严格的控制。如要想让某个用户账户能访问启用了URL授权功能的虚拟目录,首先这个用户账号必须是Windows Server 2003系统合法的账号。此外,还要将该账号添加到授权管理器的角色分配项中。
二、配置URL授权功能
IIS6默认情况下并没有启用URL授权功能,必须结合授权管理器进行手工配置才能实现。下面笔者将一步步介绍如何实现。
1.禁用匿名访问
在Windows Server 2003系统中,IIS6默认是允许用户匿名访问的,要想使用URL授权功能,首先必须禁用匿名访问。点击“开始→运行”,在运行对话框中输入“%systemroot% \System32\InetSrv\IIS.msc”命令(其中“%systemroot%”表示操作系统所在目录)。回车后弹出“Internet信息服务(IIS)管理器”窗口,然后依次展开“本地计算机→网站→默认网站”。下面笔者以默认网站的Online虚拟目录为例,介绍如何配置URL授权功能。
右键点击“Online文件夹”选项,在弹出的菜单中选择“属性”,在弹出的Online属性对话框中,切换到“虚拟目录”标签页,点击“创建”按钮。在“目录安全性”标签页的身份验证和访问控制栏中点击“编辑”按钮,在弹出的身份验证方法对话框中,取消“启用匿名访问”前的钩选,确保“集成Windows身份验证”选项被选中(如图1),然后两次点击“确定”按钮。
2.配置通配符应用程序映射
禁用了匿名访问功能后,我们就正式开始进行配置。首先要为URL授权功能配置通配符应用程序映射。在Online属性对话框的虚拟目录标签页中,点击“配置”按钮,弹出“应用程序”对话框,点击“通配符应用程序映射”栏中的“插入”按钮(如图2),在“添加/编辑应用程序扩展名映射”对话框中点击“浏览”按钮,进入到“%systemroot% \System32\InetSrv”目录,找到urlauth.dll文件后,点击“打开”按钮,最后点击“确定”按钮。
XML文件”单选项,在“存储名称”栏中输入“C:\MyStore.xml”后,点击“确定”按钮。
接着在授权管理器窗口中,右键点击MyStore.xml项。在弹出单中选择“新建应用程序”,在名称栏中输入“IIS6 URL授权”后,点击“确定”按钮。然后在授权管理器窗口中,依次展开“IIS6 URL授权→定义”,右键点击“操作定义”,在弹出的菜单中选择“新建操作定义”。然后在“名称”栏中输入“AccessURL”,在操作号码栏中输入“1”,最后点击“确定”按钮。
5.配置作用域
接着要为新建的应用程序IIS6 URL授权配置作用域。右键点击“IIS6 URL授权”选项,在弹出菜单中选择“新建作用域”,在名称栏中输入“WebApp”后,点击“确定”按钮。接着依次展开“IIS6 URL授权→定义”,右键点击“角色定义”选项,在弹出菜单中选择“新建角色定义”。下面在角色定义中创建作用域,在名称栏中输入“Viewer”后,点击“确定”按钮。然后点击“角色定义”选项,在右侧框体中右键点击Viewer选项,弹出快捷菜单,选择“属性”选项,切换到“定义”标签页,点击“添加”按钮后,切换到“操作”标签页,在操作定义列表框中选中“AccessURL”选项后,连续两次点击“确定”按钮。
然后依次展开“IIS6 URL授权→ WebApp”,右键点击“角色分配”选项,在弹出的菜单中选中“分配角色”。在添加角色对话框中选中“Viewer”选项后,点击“确定”按钮。接着在右侧框体中右键点击“Viewer”选项,选择“分配Windows用户和组”选项,弹出选择用户或组对话框(如图5),在“输入对象名称来选择”栏中输入访问网站页面需要的用户账号,然后点击“确定”按钮。
6.配置读取器角色
默认情况下,IIS6是以Network Service账号身份运行的。下面就对读取器使用的账号进行配置。右键单击“MyStore.xml”项,在弹出的菜单中选择“属性”,切换到“安全”标签页,在“授权管理器用户角色”下来列表中选中“读取器”,接着点击“添加”按钮,在“输入对象名称来选择”栏中输入“Network Service”账号,接着两次点击“确定”按钮。
7.配置IIS Metabase文件
完成了以上配置过程后,URL授权功能依然还没启用,还需要修改IIS Metabase文件参数才行。下面我们就使用vbs脚本对IIS Metabase文件进行修改。进入到“C:\ Inetpub\AdminScripts”目录下,新建一个名为“SetUrlAuth.vbs”的脚本文件。打开此文件后,将以下内容复制到脚本文件中,最后要保存文件。
脚本内容如下:
'SetUrlAuth.vbs 内容
Set objArgs= WScript.Arguments
If objArgs.count < 4 then
wscript.echo "Usage: SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable
[ImpersonationLevel]"
wscript.echo ""
wscript.echo "Example:"
wscript.echo " SetUrlAuth w3svc/1/root/MyApp MyApp
msxml://d:\inetpub\wwwroot\AzStore.xml True 1"
wscript.echo ""
wscript.echo "Run with 'cscript' command in cmd.exe to avoid msgboxes"
Else
wscript.echo objargs(0)
DIM iis
set iis = GetObject("IIS://localhost/" & objArgs(0))
iis.AzScopeName = objArgs(1)
iis.AzStoreName = objArgs(2)
iis.AzEnable = objArgs(3)
If objArgs.count > 4 then
iis.AzImpersonationLevel = objArgs(4)
End if
iis.SetInfo
End if
接着点击“开始→运行”,在运行对话框中输入“Cmd.exe”命令,弹出命令提示符窗口。切换到“C:\ Inetpub\AdminScripts”目录下,运行“Cscript SetUrlAuth.vbs W3svc\1\Root\WebApp WebApp msxml://C:\MyStore.xml true 1”命令,完成Metabase文件参数修改。
这样就启用了URL授权功能。只有在授权管理器的Viewer角色中指定的用户账号,才能访问你网站Online虚拟目录的页面。