Jarosław Kuchta Internetowe Usługi Informacyjne
Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS WAS (Web Administration Services) zarządzanie konfiguracją i procesami działającymi w trybie użytkownika procedury obsługi aplikacji/procesy robocze aplikacje działające w trybie użytkownika IIS Admin Service serwer FTP serwer SMTP serwer NNTP metabaza IIS Internetowe Usługi Informacyjne 2
Bezpieczeństwo IIS Podział funkcjonalności między cztery procesy Możliwość blokowania funkcjonalności IIS Domyślny start w trybie ograniczonym (ASP włączane ręcznie) Konto usługi IIS ma niskie przywileje Niezależne procesy robocze dla aplikacji i witryn WWW Izolacja użytkowników FTP Poprawiona implementacja SSL Wbudowana obsługa Kerberosa Zabezpieczenie dostępu do kodu oddzielenie kodu użytkownika od kodu jądra Obsługa zaufanych podsystemów i tożsamości (Passport, LiveID) Internetowe Usługi Informacyjne 3
Skalowalność IIS Poprawa wydajności; zmniejszenie zapotrzebowania na zasoby i skrócenie czasu odpowiedzi Obsługa platformy 64-bitowej Zwiększenie liczby witryn (>10tys.) Poprawa obsługi zdalnej serwera Internetowe Usługi Informacyjne 4
Zarządzanie IIS Odświeżanie serwera WWW bez zatrzymywania usługi dla użytkowników Metabaza IIS oparta na XML pozwala na edycję online Eksport i import konfiguracji witryn i aplikacji Rozszerzona obsługa skryptów WMI (Windows Management Interface) Zarządzanie IIS z wiersza poleceń i skryptów Internetowe Usługi Informacyjne 5
Instalacja IIS w WS 2008 (1) Internetowe Usługi Informacyjne 6
Instalacja IIS w WS 2008 (2) Internetowe Usługi Informacyjne 7
Instalacja IIS w WS 2008 (3) Internetowe Usługi Informacyjne 8
IIS Management Console Internetowe Usługi Informacyjne 9
Grupy ustawień Uwierzytelnianie Kompresja Dokument domyślny Przeglądanie katalogu Strony błędów Mapowanie obsługi Nagłówki odpowiedzi HTTP Dziennik żądań Typy MIME Moduły Buforowanie wyjścia Certyfikaty serwera Procesy robocze Internetowe Usługi Informacyjne 10
Uwierzytelnianie anonimowe Internetowe Usługi Informacyjne 11
Ustawienia kompresji Internetowe Usługi Informacyjne 12
Dokument domyślny Internetowe Usługi Informacyjne 13
Przeglądanie katalogu Internetowe Usługi Informacyjne 14
Strony błędów Internetowe Usługi Informacyjne 15
Mapowanie obsługi Internetowe Usługi Informacyjne 16
Nagłówki odpowiedzi HTTP Internetowe Usługi Informacyjne 17
Dziennik żądań Internetowe Usługi Informacyjne 18
Typy MIME Internetowe Usługi Informacyjne 19
Moduły Internetowe Usługi Informacyjne 20
Buforowanie wyjścia Internetowe Usługi Informacyjne 21
Zasady buforowania Internetowe Usługi Informacyjne 22
Certyfikaty serwera import certyfikatu Internetowe Usługi Informacyjne 23
Certyfikaty serwera wysłanie żądania Internetowe Usługi Informacyjne 24
Certyfikaty serwera rejestracja certyfikatu Internetowe Usługi Informacyjne 25
Certyfikaty serwera tworzenie własnego certyfikatu Internetowe Usługi Informacyjne 26
Przeglądanie procesów roboczych Internetowe Usługi Informacyjne 27
Pule aplikacji Internetowe Usługi Informacyjne 28
Domyślna witryna WWW Internetowe Usługi Informacyjne 29
Ustawienia witryny WWW Internetowe Usługi Informacyjne 30
Ustawienia SSL Internetowe Usługi Informacyjne 31
Eksploracja zawartości witryny Internetowe Usługi Informacyjne 32
Edycja uprawnień do witryny Internetowe Usługi Informacyjne 33
Przypisanie IP i portów do witryny Internetowe Usługi Informacyjne 34
Ustawienie ścieżki witryny Internetowe Usługi Informacyjne 35
Zarządzanie aplikacjami witryny Internetowe Usługi Informacyjne 36
Zarządzanie katalogami wirtualnymi Internetowe Usługi Informacyjne 37
Katalogi wirtualne Fizyczna lokalizacja C:\Inetpub\wwwroot Alias katalog macierzysty (brak) Ścieżka adresu URL http://sprzedaz \\Server2\SalesData\ProdCustomers Klienci http://sprzedaz/klienci C:\Inetpub\wwwroot\Wycena Brak http://sprzedaz/wycena C:\Inetpub\wwwroot\StanZamowienia Brak http://sprzedaz/stanzamowienia D:\Mktng\PR PR http://sprzedaz/pr Internetowe Usługi Informacyjne 38
Limity połączeń Internetowe Usługi Informacyjne 39
Ustawienia zaawansowane Internetowe Usługi Informacyjne 40
Usługi doinstalowywane Nieanonimowe uwierzytelnianie Reguły uwierzytelniania Przekierowywanie HTTP Ograniczenia IP i domen Kompresja zawartości dynamicznej (vs. statycznej) Zarządzanie dziennikiem (logging) Śledzenie aplikacji Serwer aplikacji ASP.NET Serwer FTP Internetowe Usługi Informacyjne 41
Sposoby uwierzytelnienia anonimowe użytkownicy nie podają tożsamości; wszyscy klienci mają dostęp do witryny podstawowe (Basic) użytkownicy podają login i hasło, stosowane jest słabe szyfrowanie; do zastosowania tylko przy bezpiecznych połączeniach zintegrowane uwierzytelnianie systemu Windows użytkownicy podają skrót (hash) hasła, stosowany NTLM lub Kerberos; do zastosowania w sieci Intranet uwierzytelnianie szyfrowane dla serwerów domeny systemu Windows (Digest) użytkownicy podają skrót (hash) hasła, stosowane jest szyfrowanie, kontroler domeny potwierdza poprawność skrótu; wymaga przeglądarki obsługującej protokół HTTP 1.1 po stronie klienta uwierzytelnianie przez certyfikaty klienta Active Directory AD zapewnia mapowanie użytkowników na certyfikaty klienta; umożliwia automatyczne uwierzytelnianie Internetowe Usługi Informacyjne 42
Reguły uwierzytelniania Internetowe Usługi Informacyjne 43
Ograniczenia IP Internetowe Usługi Informacyjne 44
Przekierowanie HTTP Internetowe Usługi Informacyjne 45
Aplikacje ASP Statyczna strona HTML Przetwarzanie pliku ASP Internetowe Usługi Informacyjne 46
Ustawienia aplikacji ASP.NET Internetowe Usługi Informacyjne 47
Obszary opcji Kompilacja.NET Globalizacja.NET Profile.NET Role.NET Poziomy zaufania.net Użytkownicy.NET Ustawienia aplikacji Łańcuchy połączeń Klucz maszyny Strony i formanty (kontrolki) Dostawcy Stan sesji SMTP e-mail Internetowe Usługi Informacyjne 48
Opcje kompilacji.net Internetowe Usługi Informacyjne 49
Opcje globalizacji.net Internetowe Usługi Informacyjne 50
Profile.NET Internetowe Usługi Informacyjne 51
Role.NET Internetowe Usługi Informacyjne 52
Poziomy zaufania.net Internetowe Usługi Informacyjne 53
Użytkownicy.NET Internetowe Usługi Informacyjne 54
Ustawienia aplikacji Internetowe Usługi Informacyjne 55
Łańcuchy połączeń Internetowe Usługi Informacyjne 56
Klucz maszyny Internetowe Usługi Informacyjne 57
Opcje stron i kontrolek Internetowe Usługi Informacyjne 58
Dostawcy Internetowe Usługi Informacyjne 59
Stan sesji Internetowe Usługi Informacyjne 60
SMTP e-mail Internetowe Usługi Informacyjne 61
Zarządzanie witrynami FTP Internetowe Usługi Informacyjne 62
Właściwości witryny FTP Internetowe Usługi Informacyjne 63
Anonimowe uwierzytelnianie FTP Internetowe Usługi Informacyjne 64
Komunikaty FTP Internetowe Usługi Informacyjne 65
Katalog domowy FTP Internetowe Usługi Informacyjne 66
Przekierowanie witryny FTP Internetowe Usługi Informacyjne 67
Bezpieczeństwo katalogu (ograniczenie dostępu) Internetowe Usługi Informacyjne 68
Dobre praktyki dot. bezpieczeństwa (1/2) Utworzyć kopię zapasową konfiguracji serwera Korzystać z aktualizacji automatycznych Ograniczyć dostęp dla użytkownika IUSR_nazwa-komputera do plików cmd.exe, wscript.exe, cscript.exe, ftp.exe i command.com Zmienić nazwę konta Administrator na inną i zabezpieczyć mocnym hasłem. Wyłączyć konto gościa Włączyć logi dla witryny i okresowo przeglądać w poszukiwaniu błędów. Serwis who.is może dostarczyć informacji o intruzach. Wyłączyć nieużywane usługi Korzystać z narzędzi szyfrujących FTP (np. IPSec) Wyłączyć usługę indeksowania zasobów Internetowe Usługi Informacyjne 69
Dobre praktyki dot. bezpieczeństwa (2/2) Zmienić standardową lokalizację witryny na inną Zmienić standardową lokalizację witryny Windows (podczas instalacji) Usunąć rozszerzenia programów FrontPage i InterDev Usunąć mapowania nieużywanych aplikacji (np..cer,.cdx,.asa,.htr,.idc,.shtml,.shtm,.printer,.asp,.pl) Wyłączyć opcję przeglądania katalogów Usunąć katalog Scripts lub zmień jego nazwę Usunąć katalogi dla rozszerzeń FrontPage (_vti_cnf, _vti_script) Sprawdzić i ew. usunąć prawa do zapisu do katalogu macierzystego witryny Nie włączać uwierzytelniania podstawowego dla serwerów WWW i FTP Internetowe Usługi Informacyjne 70