重新命名IUSR帐号
问:重新命名IUSR帐号将导致何种后果?
答: IUSR帐号通常称作“Web匿名用户”帐号或“Internet来宾”帐号。IUSR帐号是一种常用的简写形式,该帐号的实际格式为IUSR_,其中, 是安装IIS时所使用的Netbios服务器名称。正如您可能已知道的那样,当IIS服务器启用匿名身份验证方式,且该服务器上存在针对特定访问请求类 型具备适当NTFS权限的IUSR帐号时,系统将自动对其加以应用。
由于此帐号的名称是众所周知的,因此,为加大网络黑客在服务器上猜测用户名称和口令的难度,建议您在那些对安全性需要较为严格的环境中对IUSR帐号名称进行修改。对于需要具备高度安全性的服务器而言,这是一项很良好的建议,然而,有几种注意事项您必须时刻牢记。
当 修改匿名用户帐号名称时,您必须同时在Internet Information Services管理器和针对本地电脑的用户和组中对其进行修改(假设针对匿名用户使用本地帐号)。假如您在用户和组中删除IUSR帐号或对其名称进行 修改,但未在Internet服务管理器中分配新的匿名用户帐号,那么,IUSR帐号将会在下次重新启动系统时自动重建。我经常简单的禁用当前IUSR帐 号并创建一个新的帐号,之后在Internet服务管理器中针对匿名访问分配新建帐号。假如您正在使用IIS Lockdown工具的话,请将新建用户帐号配置为Web匿名用户本地组中的成员。
当您针对匿名用户创建新的用户名称和口令时,请一定确保使 用一个难以破解的口令。Windows 2000操作系统中的匿名用户帐号是个随机生成的由14个字母和数字所组成的字符串。通常情况下,按照人的一般习惯,事后创建的口令在保密效率上要远远 低于匿名用户最初所使用的口令,因此,您一定要确保创建一个不易破解的口令。
只要心中牢记这些注意事项,在修改帐号的过程中就不会节外生枝,最后,请一定不要忘记在Internet Information Services管理器中指定新的匿名用户帐号。
查看以往的专栏文章:2001年12月:“如何确保IUSR帐号安全性。”
利用FrontPage Server Extensions管理您的NTFS权限
问:我们在自己的 IIS 4和IIS 5服务器上装载了FrontPage Server Extensions 2000。我们发现,一旦载入FrontPage Server Extensions 2000,服务器上的NTFS权限便会遭到修改。新的权限中将包含对网络和交互组的使用。您能否解释一下这些组的作用连同FrontPage Server Extensions如何管理NTFS权限?
答:当您在Web服务器上安装FrontPage Server Extensions(FPSE)时,需要确定允许FPSE自动管理相关权限,还是希望手工管理相关权限。缺省情况下,FPSE将自动对其所处Web站点 的权限进行管理。假如需要的话,您能够禁用这种自动管理方式,为此,您只需在Internet Information Services管理器中的服务器图标上右键单击鼠标,选择“Server Extensions”选项卡,并选定“手工管理权限”复选框。请注意,这是个服务器级选项,他无法针对各个站点采取不同的配置。在此,我强烈建议您从 允许FPSE自动管理权限或手工管理权限这两种方式中选择其一,而不要尝试同时使用这两种方式。
位于网址http: //officeupdate.microsoft.com/frontpage/wpp/serk/上的FPSE 2000资源工具包提供了关于由FPSE所分配并维护的相关权限的周详信息。这些权限中包含您在问题中所提到的针对网络和交互组的使用情况。
网 络组是一种自动进行维护的本地组,他由任何包含某种网络登录类型的用户所组成。网络组中的成员通常通过网络进行登录。交互组同样是一种自动进行维护的本地 组,他由任何包含某种本地登录类型的用户所组成。本地组包含在电脑控制台上进行登录的用户连同通过基本身份验证功能实现身份验证的用户。
从多种身份验证方法中进行选择
问:IIS 5允许您针对Web站点选择多种不同的身份验证方法。当您同时选择匿名身份验证、基本身份验证和集成化Windows身份验证方法时,请问IIS将如何选择针对特定用户的身份验证机制?
答: 针对这一问题的背景情况比较复杂,但其能够通过几条规则来加以总结。这些规则同时适用于IIS 4和IIS 5。有关身份验证方法的第一条不变规则是“假如可能的话,您将首先以匿名用户的身份通过验证。”从资源角度考虑,这种方式只需要在服务器上启用匿名身份验 证方式--即确保匿名用户拥有访问请求资源的权限。针对这条规则的唯一例外情况是,用户已以匿名用户以外的其他用户身份通过验证,且系统支持除匿名验证 方式以外的其他身份验证方式。
假设您已选择了多种身份验证方法,且用户无法凭借匿名用户身份通过验证,那么,如何确定所需采用的身份验证方 法呢?答案是IIS将向客户端提供一份身份验证方法列表,由客户端自行选择何种方法最为安全可靠。当您同时选择基本身份验证和集成化Windows身份验 证(或IIS 4中的Windows NT 质询/响应身份验证方法)时,由于无法执行集成化Windows身份验证,Netscape将选择基本身份验证方法。相反,对于Internet Explorer来说,假如提供同样的选项,他将选择集成化Windows身份验证方法。在IIS 5服务器上,IIS和IE将进一步确定是否支持Kerberos,假如支持的话,最终将选择使用Kerberos身份验证方法。对于包括IIS 4在内的其他情况,将使用Windows NT 质询/响应身份验证方法。 [SplitPage]
重新命名IIS Server将会导致何种后果?
问:作为对11月份所提问题的延续:“请问对IUSR帐号进行重命名将会产生何种后果?”,我希望了解重命名服务器时针对IIS服务器所产生的后果。
答: 服务器名称是在Windows 2000安装过程中分配的,此名称能够在安装完成后进行修改。从技术上讲,服务器名称、电脑名称和主机名称这三种术语均可用于描述电脑的 Betbios名称。您能够在命令行窗口中使用“hostname”命令来确定当前服务器名称。
在Microsoft网络中,此名称用于通过 WINS、DNS(在Windows 2000中)或使用Netbios名称表查找方式将服务器名称解析为IP地址。IIS并不使用这种服务器名称,因此,您能够任意对其进行修改。然而,这并 不意味着其他应用程式或应用程式中所包含的COM对象均单独于服务器名称。举例来说,假如运行IIS 4的服务器上安装了Site Server 3,那么,系统便不支持您修改服务器名称。当您在运行IIS 4的服务器上修改服务器名称时,需要完成一些必要的内部管理工作,如需获取有关这些工作的周详描述信息,请参阅http: //support.microsoft.com/default.aspx?scid=kb;EN-US;234142&sd=tech。相比 之下,IIS 5的处理方式则截然不同,我经常对运行IIS 5的Windows 2000服务器进行服务器名称修改操作,且从未碰到过任何异常现象;但是,尽管如此,我还是建议您不要轻易执行这项操作。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
