• Acceso anónimo: Este método de autenticación está activada por defecto para el sitio Web predeterminado y el sitio FTP predeterminado. Permite el acceso anónimo a todos los usuarios anónimos para acceder al contenido de la página web. Acceso anónimo es típicamente utilizado para los sitios Web públicos que están conectados a Internet.
• Autenticación básica: Este es el más débil método de autenticación disponibles para IIS, y debe utilizarse cuando no se puede utilizar cualquier otro método de autenticación. Autenticación básica utiliza un texto claro nombre de usuario y contraseña. La autenticación básica sobre las funciones de servidores proxy, y trabaja con todos los clientes navegador. La autenticación básica está habilitada para los sitios FTP, por defecto.
• Autenticación integrada de Windows: Esta es la opción más segura que puede ser utilizada para la autenticación en IIS. La versión 5 de Kerberos se utiliza si el navegador del cliente incluye soporte para el protocolo. Autenticación NTLM cuando se utiliza el navegador del cliente no es compatible con Kerberos.
• Recopilación de autenticación sólo puede ser activado si Active Directory se utiliza. Recopilación de autenticación envía las credenciales de usuario a través de la red mediante la utilización de un cifrado hash MD5.
• . NET Passport de autenticación: En este método de autenticación,. NET pasaportes se utilizan para la autenticación y la autenticación se produce a través de un único signo en el método. Las credenciales de los usuarios tienen cuentas de pasaporte único que se almacenan en los servidores de Passport conectado a Internet. El pasaporte se gestionan los servidores de Microsoft. IIS envía el pasaporte información del usuario a los servidores de autenticación de Passport cuando un usuario intenta acceder a un sitio Web IIS.

Para configurar un método de autenticación para un sitio Web,

1. Abra el Administrador de IIS.
2. Haga clic derecho en un sitio Web en el árbol de consola, y seleccione Propiedades en el menú contextual.
3. Cuando el cuadro de diálogo Propiedades del sitio Web se abre, haga clic en la ficha Seguridad de directorios.
4. En la autenticación y control de acceso de la ficha Seguridad de directorios, haga clic en el botón Modificar.
5. Métodos de autenticación El cuadro de diálogo se abre. Puede configurar los métodos de autenticación que acaba de hacerse referencia en este cuadro de diálogo.

Permisos NTFS

Al asegurar a través de los permisos de IIS, los dos tipos de permisos que son importantes son los permisos NTFS y los permisos de la web. Permisos NTFS forma la base de Windows Server 2003 y la seguridad de IIS, y controlar si los usuarios se les permite acceder a los archivos y carpetas, y el nivel de acceso tienen los usuarios. Existen diferentes niveles de permisos NTFS en Windows Server 2003. También hay diferencias cuando se aplican los permisos NTFS en los archivos, y cuando se apliquen en las carpetas.
Los permisos NTFS de control de la entidad puede acceder a ciertas partes del sistema de disco. Puede configurar el acceso a los recursos ya sea por permitir o denegar permisos a los usos y grupos. Permisos de acceso a los recursos que se encuentran entradas de control de acceso (ACE) en una lista de control de acceso (ACL). Esto forma un componente del descriptor de seguridad de todos los recursos. Un usuario sólo puede acceder a un recurso cuando el modo de acceso de seguridad del usuario se ajusta a los identificadores de seguridad (SID) en la entradas de control de acceso (ACE) de la lista de control de acceso (ACL). La garantía de acceso de modo que el usuario tiene la DIM de la cuenta del usuario y de grupo de cuentas.
Las dos versiones de NTFS se NTFS 4.0 y NTFS 5.0. NTFS 4.0 es utilizado con Windows NT 4.0. Aunque admite NTFS 4.0 locales y remotos de control de acceso sobre archivos y carpetas, no es compatible con la mayoría de Windows 2000 y Windows Server 2003 sistema de archivos funciones. NTFS 5.0 en la otra parte apoya servicio de directorio Active Directory, la codificación, compresión, y de cuota de disco, entre otras características.

El estándar de los permisos NTFS, que puede configurar se enumeran a continuación:

• Control total: Permite que los usuarios para llevar a cabo todas las funciones de los archivos y carpetas, incluida la creación de nuevas carpetas, cambiar y borrar archivos, los datos correspondientes a los archivos, teniendo la propiedad del archivo, cambiar los atributos de los archivos y carpetas, y el cambio de permisos para el archivo .
• Modificar: Permite a los usuarios a la lista el contenido de una carpeta y leer los datos en la carpeta de archivos, añadir y borrar archivos, cambiar los archivos y las propiedades de archivos y cambiar los atributos de los archivos y carpetas.
• Leer y ejecutar: Permite a los usuarios ver los atributos de un archivo o una carpeta y ejecutar archivos (programas) que se encuentran en carpetas. Los usuarios también pueden mostrar el contenido de una carpeta, y leer los datos contenidos en la carpeta.
• Lista el contenido de la carpeta: Permite a los usuarios a la lista el contenido de una carpeta, y ver los atributos de los archivos y carpetas.
• Escribir: Permite a los usuarios crear nuevos archivos y carpetas, cambiar los atributos de un archivo o una carpeta, sobreescribir un archivo, el archivo y ver la propiedad y el permiso.
• Leer: El permiso de lectura permite a los usuarios ver un archivo y cualquier subcarpeta nombres, atributos, propiedades, la propiedad, la lista y el contenido de una carpeta.

El valor por defecto asignado los permisos NTFS en la carpeta \ wwwroot directorio (Sitio Web predeterminado) se enumeran a continuación. Para ver estos permisos,

1. Abra el Administrador de IIS
2. En el árbol de consola, haga clic derecho en el sitio Web predeterminado y haga clic en Permisos en el menú contextual.
• Administradores: Los usuarios que pertenecen al grupo de seguridad Administradores tienen control total sobre la carpeta \ wwwroot directorio. Los administradores tienen los siguientes permisos predeterminados:
• Control total, Modificar, Leer y ejecutar, Mostrar el contenido de la carpeta, escribir y leer
• Usuarios: Este grupo ha Web estándar, como miembros del grupo de usuarios, y los miembros del grupo tienen los siguientes permisos:
• Leer y ejecutar, Mostrar el contenido de la carpeta y Leer
• SISTEMA: Esta es una incorporado en el grupo (identidad), creado por el Windows Server 2003. SISTEMA tiene los siguientes permisos predeterminados:
• Control total, Modificar, Leer y ejecutar, Mostrar el contenido de la carpeta, escribir y leer
• IIS_WPG: IIS_WPG es un nuevo grupo en IIS 6. Cuentas de usuario en este grupo se usan como proceso de identidad para el trabajador procesos asociados con grupos de aplicaciones. IIS_WPG tiene los siguientes permisos predeterminados:
• Leer y ejecutar, Mostrar el contenido de la carpeta y Leer
• Internet cuenta de invitado: Este grupo se puede utilizar para permitir a los usuarios anónimos para acceder a los contenidos en los sitios web.
• El permiso Leer se establece en Denegar

Cuando un nuevo sitio Web se ha creado, los permisos predeterminados asignados a los directores de seguridad son los siguientes:

• Administradores: Control total
• Usuarios: Leer y ejecutar
• SISTEMA: Control total
• Creador propietario: permisos especiales
• Internet cuenta de invitado: No se asignan los permisos

Permisos web

Web o IIS permisos permisos de acceso de control de acceso a contenido Web en IIS sitios. La Web de los permisos que puede configurar se enumeran a continuación.

Para acceder a la web de IIS permisos,

1. Abra el Administrador de IIS.
2. Haga clic derecho en el sitio Web adecuado y seleccione Propiedades en el menú contextual.
3. Cuando el cuadro de diálogo Propiedades de la página se abra, haga clic en la ficha Directorio principal.
• Fuente script de acceso: Cuando se selecciona, los usuarios podrán acceder al código fuente de las páginas ASP, y cambiarlos cuando el permiso de escritura también está habilitado. Se recomienda que este permiso sólo en los servidores utilizados para fines de desarrollo.
• Leer: Cuando se selecciona, los usuarios pueden leer o descargar los archivos que se encuentran en el directorio.
• Escribe: Cuando se selecciona, los usuarios pueden agregar y modificar el contenido de la Web.
• Directorio de navegación: Si está activada, los usuarios están autorizados a navegar por la estructura de directorios.
• Registro de Visitas: Se puede habilitar el registro de la página web seleccionando la opción Registro de Visitas. También debe seleccionar la casilla de verificación Habilitar registro en la ficha Sitio Web cuando se selecciona la opción Registro de Visitas.
• Este índice de recursos: Cuando se selecciona, de Microsoft Windows Contenido Servicio de Index Server crea un índice de la carpeta de inicio.

Puede configurar permisos Web en los siguientes niveles de IIS:

• Para todos los sitios web: Usted puede configurar los permisos Web para todos los sitios web a través de la ficha Directorio de Sitios en la Web del nodo del cuadro de diálogo Propiedades. Todos los sitios web en el servidor de IIS se heredan estos permisos.
• Para un sitio web específico (s): Puede configurar los permisos Web para un sitio Web a través de la ficha Directorio principal de ese sitio Web cuadro de diálogo Propiedades.
• Para un determinado directorio o directorio virtual: Al configurar los permisos Web en el directorio virtual de nivel o nivel de directorio, los permisos son heredados por todos los archivos en el directorio. Puede configurar los permisos para la web un directorio específico a través de la ficha Directorio particular, de que el directorio del cuadro de diálogo Propiedades. Web se puede configurar permisos para un directorio virtual a través de la ficha Directorio virtual de ese directorio virtual del cuadro de diálogo Propiedades.
• Para un archivo específico ubicado en un directorio virtual: Usted puede configurar los permisos para la web un archivo en un directorio virtual a través de la pestaña de archivos del archivo de cuadro de diálogo Propiedades.

Cuando un usuario no puede acceder a un sitio Web,

• Compruebe que los permisos se han configurado para el directorio home.
• Si el acceso anónimo está habilitado, compruebe que no se ha especificado una contraseña.
• Comprobar si una dirección IP y nombres de dominio de las restricciones se han configurado, que puede denegar el acceso para el usuario.

Dirección IP y Restricciones de nombre de dominio

Puede restringir el acceso a la web la dirección IP sólo por el nivel que permite a los usuarios acceder a un sitio que utiliza una dirección IP de una lista predefinida de direcciones IP aprobados. De esta manera, usted puede controlar el acceso a sitios web, directorios y archivos sobre la base de las direcciones IP o nombres de dominio.

Para ello,

1. Abra el Administrador de IIS.
2. Haga clic derecho en el sitio Web en el árbol de consola, y seleccione Propiedades en el menú contextual.
3. Cuando el cuadro de diálogo Propiedades del sitio Web se abre, haga clic en la ficha Seguridad de directorios.
4. En la dirección IP y Restricciones de nombre de dominio de la ficha Seguridad de directorios, haga clic en el botón Modificar.
5. Cuando el nombre de dominio y dirección restricciones abre el cuadro de diálogo, puede especificar que todas las computadoras tienen acceso, o bien puede especificar los ordenadores que no se debe conceder la lista de acceso por su dirección IP o el nombre de dominio.
6. Haga clic en el botón Agregar para incluir particular direcciones IP de los usuarios en una lista.
7. Haga clic en Aceptar.

Aplicación de Seguridad en IIS

Seguridad de aplicaciones en IIS involucra los siguientes procesos:

• Activar o desactivar las extensiones de servicio Web (WSE): Para ejecutar aplicaciones Web dinámicas en IIS, primero tiene que utilizar el nodo Extensiones de servicio Web en el Administrador de IIS para permitir o prohibir las extensiones de servicio Web se enumeran a continuación:
• ASP
• ASP.NET
• ISAPI Extensiones
• CGI Extensiones
• Extensiones de servidor de Front Page 2000 y 2002
• Internet Data Connector
• WebDAV apoyo

Para acceder a las Extensiones de servicio Web (WSE),

1. Abra el Administrador de IIS
2. Seleccione el nodo Extensiones de servidor de la web
• Especificación de permisos de ejecución para aplicaciones. Estos permisos permiten que las aplicaciones en sitios web y directorios virtuales para ejecutar / run.
• La creación de identidades de grupo de aplicaciones: Aplicación piscina identidades se configuran para controlar la manera en que los procesos de servicio de los trabajadores de aplicaciones. Un proceso de trabajo es un proceso que desarrolló el usuario ejecuta el código de las aplicaciones Web. Un proceso de trabajo es en realidad un proceso de acogida, llamado w3wp.exe. Trabajador procesos proceso, el usuario las solicitudes recibidas de la Http.sys colas. El trabajador también devuelve los procesos de una página o página dinámica a la que solicita el cliente a través de Http.sys. Un proceso de trabajo puede recibir el siguiente:
• Aplicaciones ASP
• Aplicaciones y filtros ISAPI
• Aplicaciones CGI
• Contenido

Un grupo de aplicaciones se compone de los siguientes componentes:

• A modo de núcleo Http.sys solicitud cola
• Una sola instancia o de varias instancias de w3wp.exe - trabajador procesos.

Las mejores prácticas para la escritura de código seguro para las aplicaciones ASP o ASP.NET son:

• Páginas ASP no debe contener todo tipo con código de cuenta de administrador de nombres y contraseñas de la cuenta de administrador.
• Secure Sockets Layer (SSL) es una tecnología de codificación que puede ser usada para encriptar cookies de sesión.
• La información sensible o confidencial y los datos no deben ser almacenados en los campos de entrada ocultos en las páginas Web y en las cookies.
• Usted debe, en todo momento, verificar y validar formulario de entrada antes de que se está procesando.
• Usted no debe utilizar la información de las cabeceras de petición HTTP de código de decisión a las ramas de las aplicaciones.
• Tenga cuidado con los desbordamientos de búfer poco generado por la codificación de las normas.

Cómo activar o desactivar las extensiones de servicios Web utilizando el nodo Extensiones de servicio Web en el Administrador de IIS

1. Abra el Administrador de IIS
2. Seleccione el nodo Extensiones de servidor de la web
3. Para permitir una extensión de servicio Web, haga clic derecho en la prórroga, y seleccione Permitir.
4. Para deshabilitar una extensión de servicio Web, haga clic derecho en la prórroga, y seleccione Prohibir.

Cómo habilitar o deshabilitar las extensiones ISAPI y CGI

1. Abra el Administrador de IIS
2. Seleccione el nodo Extensiones de servidor de web.
3. Si desea permitir que todos las extensiones ISAPI y CGI para correr, tanto Permitir Permitir Desconocido extensiones ISAPI y CGI Permitir Desconocido Extensiones de opciones de la pestaña Estándar.
4. Alternativamente, usted puede cambiar a la vista ampliada. Usted puede hacer esto haciendo clic en la ficha extensión ubicada en la parte inferior del panel de detalles.
5. Especificar qué aplicaciones están permitidas.
6. El método que acabamos de describir es una mejor opción que permite a todos las extensiones ISAPI y CGI para que se ejecute en el servidor IIS.

Cómo permitir que todas las Extensiones de servicio Web para una aplicación específica

1. Abra el Administrador de IIS
2. Seleccione el nodo Extensiones de servidor de la web
3. Cambie a la vista ampliada haciendo clic en la ficha extensión ubicada en la parte inferior del panel de detalles.
4. Haga clic en Permitir todas las Extensiones de servicio Web para una aplicación específica.
5. Seleccione la aplicación de la lista.
6. Haga clic en Aceptar.

Cómo agregar una nueva extensión de servicio Web

1. Abra el Administrador de IIS
2. Seleccione el nodo Extensiones de servidor de la web
3. Cambie a la vista ampliada haciendo clic en la ficha extensión ubicada en la parte inferior del panel de detalles.
4. Haga clic en Agregar una nueva opción de extensión de servicio Web.
5. Cuando la nueva extensión de servicio Web abre el cuadro de diálogo, introduzca un nombre para la nueva web de extensión. Este es el nombre que se mostrará en el Administrador de IIS.
6. ISAPI, seleccione los archivos DLL que la nueva prórroga requiere.
7. Por CGI, elija el EXEs que exige la nueva extensión.
8. Haga clic en Aceptar

Cómo configurar permisos de ejecución para ejecutar aplicaciones

Permisos de ejecución (solicitud de permisos) se configuran en la ficha Directorio principal o en la ficha Directorio virtual que contiene la aplicación de root. Aplicación raíces puede existir en el directorio principal de un sitio, o en un directorio virtual de un sitio web.

Para configurar los permisos de ejecución,

1. Abra el Administrador de IIS
2. Vaya a la ficha Directorio principal o en la ficha Directorio virtual.
3. Permisos de ejecución el cuadro de lista desplegable contiene las siguientes opciones:
• Ninguno, sólo permite el acceso a los archivos. Ninguna selección de la opción impediría la ejecución de aplicaciones dinámicas
• Sólo secuencias de comandos, se prohíbe el funcionamiento de los ejecutables al tiempo que permite ejecutar scripts.
• Secuencias de comandos y ejecutables, scripts y ejecutables están autorizados a ejecutar.

Cómo crear grupos de aplicaciones

1. Abra el Administrador de IIS.
2. Haga clic derecho en el nodo Grupos de aplicaciones en el árbol de consola, y seleccione Nuevo y, a continuación, Grupo de aplicaciones en el menú contextual.
3. Cuando el Grupo de aplicaciones en Agregar nuevo cuadro de diálogo, introduzca un nombre para el nuevo grupo de aplicaciones.
4. Puede especificar si los parámetros por defecto se debe utilizar para la nueva piscina, o puede especificar que la configuración de una piscina existente se utilizará para el nuevo grupo de aplicaciones.
5. Haga clic en Aceptar

Cómo asignar una aplicación a un grupo de aplicaciones

1. Abra el Administrador de IIS
2. Haga clic con el botón adecuado en el nodo de árbol de consola, y haga clic en Propiedades en el menú contextual.
3. Haga clic en la ficha Directorio principal.
4. Seleccione el grupo de aplicaciones de la lista Grupo de aplicaciones.
5. Haga clic en Aceptar

Selección de un grupo de aplicaciones de identidad
Puede seleccionar entre las siguientes incorporada en cuentas de servicio de Windows Server 2003:

• Cuenta Servicio de red: La cuenta Servicio de red es el recomendado en cuenta para su uso. De hecho, es la cuenta predeterminada utilizada por IIS, ya que tiene menos privilegios, y es más flexible que la cuenta de Servicio Local y de la cuenta del sistema local. Las características de la cuenta Servicio de red son los siguientes:
• La cuenta Servicio de red no tiene contraseña.
• Se trata de un miembro del grupo Todos y el grupo Usuarios autenticados.
• La cuenta Servicio de red tiene un nombre interno de NT AUTHORITY \ NetworkService
• Servicio Local cuenta: La cuenta de Servicio Local tiene los mismos derechos y privilegios que el de la cuenta Servicio de red. Sin embargo, la cuenta de Servicio Local sólo pueden acceder a los recursos en el equipo local. Las características de la cuenta de Servicio Local son los siguientes:
• El Servicio Local cuenta no tiene contraseña.
• Se trata de un miembro del grupo Todos y el grupo Usuarios autenticados.
• La cuenta Servicio de red tiene un nombre interno de NT AUTHORITY \ LocalService
• Cuenta del sistema local: Se recomienda no seleccionar esta cuenta debido a los privilegios asociados con él. Las características de la cuenta del sistema local son los siguientes:
• La cuenta del sistema local no tiene contraseña.
• La cuenta del sistema local tiene un nombre interno de \ LocalSystem
• Procesos que se ejecutan bajo la cuenta tienen los mismos privilegios que el Administrador de control de servicios. Esta es la entidad que controla los servicios de red ejecutándose en el equipo.

Cómo configurar una identidad del grupo de aplicaciones personalizadas para aumentar la seguridad, se recomienda configurar identidades proceso personalizado para los diferentes grupos de aplicaciones que tiene. Esto evitaría una aplicación que está en peligro de comprometer todas las aplicaciones en el servidor de IIS.

Para crear una identidad del grupo de aplicaciones,

1. O bien crear una cuenta de usuario de dominio o una cuenta de usuario local
2. Añadir el nuevo usuario a la cuenta de grupo IIS_WPG, un nuevo grupo en IIS 6. Cuentas de usuario en el grupo IIS_WPG se usan como proceso de identidad para el trabajador procesos asociados con grupos de aplicaciones.
3. Abra el Administrador de IIS.
4. Haga clic derecho en la aplicación adecuada piscina, y seleccione Propiedades en el menú contextual.
5. Haga clic en la ficha Identidad.
6. Si desea seleccionar uno de los incorporados en las cuentas de servicio de Windows Server 2003, seleccione la cuenta desde la lista desplegable predefinidos. El predefinidos opción está activada por defecto.
7. Si desea seleccionar una cuenta de usuario de dominio o una cuenta de usuario local que ha creado específicamente, seleccione la opción configurable.
8. Haga clic en el botón Examinar para seleccionar la cuenta de usuario de dominio o una cuenta de usuario local como la identidad del grupo de aplicaciones.
9. Haga clic en Aceptar.

Cómo permitir que los padres caminos para una aplicación
Aunque no se recomienda generalmente para permitir que los padres caminos, puede haber ocasiones en que usted puede ser que necesite para que puedan a fin de que sus aplicaciones anteriores pueden trabajar. El Padre es una característica caminos ASP característica específica. Cuando está activada, puede utilizar las declaraciones ("..") camino ascendente para acceso a archivos. Debido a las vulnerabilidades de seguridad asociadas con los padres de caminos, está deshabilitado en IIS 6.