WindowsIIS6安全保护贴—URL授权全攻略

Windows操作系统的IIS是最常用的Web服务器之一。IIS功能强大、简单易用，但也容易受到恶意攻击。它的安全性一直是大家讨论的焦点。为了增强Web服务器的安全性，Windows Server 2003操作系统的IIS6增加了许多安全防范措施，“URL授权”就是其中之一。这个功能可以让IIS6更加安全稳定的工作。本文将介绍一些关于URL授权的知识。

第一，为什么要使用URL授权？

IIS为用户工作提供了便利，但其安全性一直是管理员最关心的话题。众所周知，IIS服务器组件存在一些漏洞，很多“不法分子”利用这些漏洞攻击网站。虽然及时安装IIS补丁可以修复这些漏洞，但是新的漏洞还会不断出现。很多管理员采用取消匿名访问权限的方法来控制访问网站的用户范围，但是这种方法还是存在一定的安全隐患。为了增强IIS的安全性，Windows Server 2003系统中提供了URL授权功能，可以严格控制通过授权管理器浏览网站的用户。如果希望用户帐户在启用URL授权的情况下访问虚拟目录，该用户帐户必须是Windows Server 2003的合法帐户。另外，账号应该添加到授权管理器的角色分配项中。

第二，配置URL授权功能

6 IIS6默认不启用URL授权功能，必须结合授权管理器手动配置。笔者将一步步介绍如何实现。

1.禁用匿名访问

在Windows Server 2003系统中，IIS6默认允许用户匿名访问。要使用URL授权功能，必须首先禁用匿名访问。点击“开始→运行”，在运行对话框中输入命令“%systemroot% \ system32 \ inetsrv \ IIS . MSC”(其中“% systemroot %”表示操作系统所在的目录)。进入后会弹出“互联网信息服务(IIS)管理器”窗口，然后依次展开“本地计算机→网站→默认网站”。笔者以默认网站的在线虚拟目录为例，介绍如何配置URL授权功能。

右键单击联机文件夹选项，并从弹出菜单中选择属性。在弹出的在线属性对话框中，切换到虚拟目录选项卡并单击创建按钮。在“目录安全性”选项卡的“认证和访问控制”栏中，单击“编辑”按钮。在弹出的身份验证方法对话框中，取消选中“启用匿名访问”前的框，确保选中“集成Windows身份验证”选项(如图1)，然后点击两次“确定”按钮。

2.配置通配符应用程序映射

禁用匿名访问功能后，我们将正式开始配置。首先，为URL授权功能配置通配符应用程序映射。在“联机属性”对话框的“虚拟目录”选项卡中，单击“配置”按钮打开“应用程序”对话框，在“通配符应用程序映射”列中单击“插入”按钮(如图2所示)，在“添加/编辑应用程序扩展映射”对话框中单击“浏览”按钮，输入%systemroot% \System32\InetSrv。

3.添加WEB服务扩展

接下来，我们将为IIS6中的URL授权添加一个Web服务扩展。在Internet信息服务(IIS)管理器窗口中，依次展开“本地计算机→网站→ Web服务扩展”，点击右侧WEB服务扩展框中的“添加新的WEB服务扩展”链接，弹出新的WEB服务扩展对话框(如图3所示)。在“扩展名”栏中输入“URL授权”，然后点击“添加”按钮，在添加对话框中点击“浏览”，在“%systemroot%\System32\ InetSrv”目录中找到urlauth.dll文件，打开后点击“确定”按钮。然后，在新建WEB服务扩展对话框中选择“将扩展状态设置为允许”选项，最后点击“确定”按钮。

4.创建新的授权存储。

要启用URL授权功能，它必须与用于管理访问IIS网站的用户帐户的授权管理器结合使用。因此，应该对其进行管理和配置。首先，为它创建一个文件来存储授权信息。在运行对话框中输入“Azman.msc”命令，回车弹出授权管理器窗口。右键单击授权管理器选项，在弹出菜单中选择选项，然后在选项对话框中选择开发人员模式后单击确定。接下来，我们将创建一个新的授权存储文件，右键单击授权管理器选项，选择新的授权存储选项，将弹出授权存储对话框(如图4所示)。选择XML文件选项，在存储名称列中输入“C:\MyStore.xml ”,然后单击确定。

然后，在授权管理器窗口中，右键单击MyStore.xml项。在弹出菜单中选择“新建应用”，在名称栏中输入“IIS6 URL授权”，然后点击“确定”按钮。然后，在授权管理器窗口中，展开IIS6 URL授权→定义，右键单击操作定义，并从弹出菜单中选择新建操作定义。然后在“名称”栏输入“AccessURL”，在操作号栏输入“1”，最后点击“确定”按钮
5。配置范围

接下来，为新创建的应用程序IIS6 URL授权配置范围。右键“IIS6 URL授权”选项，在弹出菜单中选择“新建作用域”，在名称栏中输入“WebApp”，然后点击“确定”按钮。然后，展开IIS6 URL授权→定义，右键单击角色定义选项，并从弹出菜单中选择新建角色定义。在以下角色定义中创建一个范围，在名称字段中输入“查看者”，然后单击“确定”。然后点击角色定义选项，右键点击右框中的查看器选项弹出快捷菜单，选择属性选项，切换到定义选项卡，点击添加按钮，切换到操作选项卡，在操作定义列表框中选择AccessURL选项，连续点击两次确定按钮。

然后，展开IIS6 URL授权→ WebApp，右键单击角色分配选项，在弹出菜单中选择分配角色。在“添加角色”对话框中选择“查看者”选项后，单击“确定”按钮。然后右键单击右框中的“查看器”选项，选择“分配Windows用户和组”选项，弹出选择用户或组的对话框(如图5所示)。在“输入要选择的对象名称”列中输入访问网站页面所需的用户帐户，然后单击“确定”按钮。

6.配置读者角色

默认情况下，IIS6作为网络服务帐户运行。在这里，配置阅读器使用的帐户。右键单击MyStore.xml项，在弹出菜单中选择Properties，切换到Security选项卡，在授权管理器的用户角色列表中选择Reader，点击Add，在“输入要选择的对象名”一栏中输入网络服务的账号，然后点击OK两次。

7.配置IIS元数据库文件

完成上述配置过程后，URL授权功能仍未启用，需要修改IIS元数据库文件参数。让我们使用vbs脚本来修改IIS元数据库文件。转到“C:\ Inetpub\AdminScripts”目录，创建一个名为“SetUrlAuth.vbs”的新脚本文件。打开此文件后，将以下内容复制到脚本文件中，最后保存文件。

脚本内容如下:

seturlaut . VBS content
setobjargs = wscript . arguments
if objArgs . count < 4 then
wscript . echo "用法:seturlaut vdir path AzScopeName AzStoreName aze enable
[impersonation level]"
wscript . echo " "
wscript . echo "示例:"
wscript . echo " seturlaut w3svc/1/root/MyAppAzScopeName = objArgs(1)
IIS。AzStoreName = objArgs(2)
IIS。AzEnable = objArgs(3)
如果objArgs.count > 4，则
iis。AzImpersonationLevel = objArgs(4)
End if
IIS。SetInfo
End if

然后点击“开始→运行”，在运行对话框中输入“Cmd.exe”命令，会弹出命令提示窗口。切换到“C:\ Inetpub\AdminScripts”目录，运行命令“cscript seturluth . vbw3svc \ 1 \ root \ web app web app MSXML://C:\ my store . xmltrue 1”完成对元数据库文件参数的修改。

这将启用URL授权功能。只有在授权管理器的查看者角色中指定的用户帐户才能访问您网站的在线虚拟目录的页面。