確保 Internet Information Services 6.0 的安全性

  • 發行項

更新日期: 2006 年 10 月 26 日

本頁內容

簡介
開始之前
減少網頁伺服器的攻擊點
設定帳戶
設定檔案和目錄的安全性
確保網站和虛擬目錄的安全
設定網頁伺服器的「安全通訊端層」(Secure Sockets Layer, SSL)
相關資訊

簡介

網頁伺服器是各種不同類型安全性攻擊經常利用的目標。部份攻擊十分嚴重,會對企業的資產、生產力及客戶關係造成嚴重的損害;而天下所有攻擊都一樣,都會造成不便及阻礙。網頁伺服器的安全性是企業能否成功的重要關鍵。

本文件將說明,如何開始採取步驟,以確保在 Microsoft® Windows Server(TM) 2003, Standard Edition 作業系統上,執行 Internet Information Services (IIS) 6.0 的網頁伺服器安全無虞。首先,本節將告訴您部份最常影響網頁伺服器安全性的威脅。本文件緊接著提供預先設計的指導方針,告訴您如何提升網頁伺服器的安全性,以對抗這類攻擊。

IIS 6.0 藉由對下列舊版 IIS 進行下列變更,採取更為主動的立場來對抗惡意使用者和攻擊者:

  • 依預設,當您安裝 Windows Server 2003, Standard Edition 時,不會一併安裝 IIS 6.0。

  • 當您首次安裝 IIS 6.0 時,您的網頁伺服器僅能提供或顯示靜態網頁 (HTML),因此降低了提供動態或可執行內容時所造成的風險。

  • 「World Wide Web Publishing 服務 (WWW 服務)」是首次安裝 IIS 6.0 時,唯一根據預設啟用的服務。您可以依需要隨時啟用特定的服務。

  • 依預設,首次安裝 IIS 6.0 時,ASP 和 ASP.NET 為停用狀態。

至於額外防護方面,IIS 6.0 中所有預設的安全性組態設定,均符合甚至超出「IIS 鎖定工具」所做的安全性組態設定。「IIS 鎖定工具」於舊版 IIS 上執行,是專為減少網頁伺服器的攻擊點所設計,它藉由停用不必要的功能來達到此目的。如需有關「IIS 鎖定工具」的詳細資訊,請參閱 Microsoft 下載中心網站上,「資訊安全指導套件」(中文) 中的「Internet Information Services 5.0 及 5.1 的安全性」(英文),網址是 https://www.microsoft.com/taiwan/windowsserver2003/techinfo/overview/iis.mspx。

由於 IIS 6.0 中的預設設定會停用 Web 服務常用的多項功能,因此本文件將告訴您,如何設定您網頁伺服器的額外功能,同時降低您的伺服器對潛在攻擊者暴露的程度。

本文件提供下列指導方針,讓您提升網頁伺服器的安全性:

  • 減少網頁伺服器的攻擊點,或您的伺服器對潛在攻擊者暴露的程度。

  • 設定使用者和群組帳戶供匿名存取。

  • 確保檔案和目錄的安全性,避免未經授權的存取。

  • 確保網站和虛擬目錄的安全性,避免未經授權的存取。

  • 設定網頁伺服器上的「安全通訊端層」(Secure Sockets Layer, SSL)。

重要   本文件中包含的所有逐步指示,均是以按一下 [開始] 按鈕時所顯示的預設功能表為基礎。若您已經修改過 [開始] 功能表,整個步驟可能稍有不同。

在您完成本文件中的程序之後,您的網頁伺服器便能夠提供 .asp 網頁格式的動態內容,而且它仍將擁有相當安全的防護,可避免有時會威脅網際網路伺服器的下列各種類型攻擊:

  • 設定資料攻擊會蒐集您網站的相關資訊;您可藉由封鎖不必要的連接埠,以及停用不必要的通訊協定來減少這類攻擊。

  • 拒絕服務攻擊會讓網頁伺服器的要求溢流;您可套用安全性補充程式和軟體更新,減少這類攻擊的機會。

  • 未具備正確權限的使用者進行未經授權的存取;您只要設定 Web 和 NTFS 權限即可阻止這類存取。

  • 在您的網頁伺服器上任意執行惡意程式碼;您只要防止存取系統工具和命令,即可將此行為減至最少。

  • 提升權限會讓惡意使用者使用具備高權限的帳戶執行程式;您只要使用最低權限的服務和使用者帳戶,即可將此行為減至最少。

  • 病毒、蠕蟲和特洛依木馬造成的損害;您可藉由停用不必要的功能、使用最低權限的帳戶,以及經常套用最新的安全性補充程式,讓這類情形受到控制。

附註   由於確保網頁伺服器的安全性是一項複雜而持續不斷的程序,因此無法保證完整的安全性。

本文件的目的

本文件提供的介紹性資訊,可協助您踏出第一步,設定更安全的網頁伺服器。不過,為盡可能確保您網頁伺服器的安全性,您必須了解伺服器上所執行應用程式的操作方式。本文件不包含應用程式專屬的安全性設定相關資訊。

回到頁首

開始之前

本節將告訴您,本文件中所述網頁伺服器的系統必要條件和特徵。

系統需求

本文件中做為範例的網頁伺服器系統需求如下:

網頁伺服器的特徵

本文件中做為範例的網頁伺服器特徵如下:

  • 網頁伺服器是以工作者處理序隔離模式執行 IIS 6.0。

  • 網頁伺服器主控一個使用到網際網路的網站。

  • 網頁伺服器位於防火牆後方,僅允許 HTTP 連接埠 80 和 HTTPS 連接埠 443 上的流量。

  • 網頁伺服器是一種專用的網頁伺服器。本伺服器只作為網頁伺服器,不作其他用途,如檔案伺服器、列印伺服器,或是執行 Microsoft SQL Server 的資料庫伺服器。

  • 允許匿名存取網站。

  • 網頁伺服器提供 HTML 和 ASP 網頁。

  • Microsoft 的 FrontPage 2002 Server Extensions 並不在網頁伺服器上設定。

  • 網頁伺服器上的應用程式不需要資料庫連線能力。

  • 網頁伺服器不支援 FTP (檔案上傳和下載)、SMTP (電子郵件) 或 NNTP (新聞群組) 通訊協定。

  • 網頁伺服器不使用 Internet Security and Acceleration (ISA) Server。

  • 系統管理員必須於本機上登入,才能管理網頁伺服器。

回到頁首

減少網頁伺服器的攻擊點

從減少網頁伺服器的攻擊點,或降低伺服器對潛在攻擊者暴露的程度,開始進行確保網頁伺服器安全性的程序。例如,僅啟用讓網頁伺服器正確操作時所需的元件、服務和連接埠。

停用 SMB 和 NetBIOS

主機列舉攻擊會掃描網路,以判斷潛在目標的 IP 位址。為減少對於您網頁伺服器上使用到網際網路的連接埠,所進行的主機列舉攻擊的成功率,請停用「傳輸控制通訊協定 (TCP)」以外的所有網路通訊協定。網頁伺服器使用到網際網路的網路介面卡上不需要「伺服器訊息區 (SMB)」或 NetBIOS。

本節提供下列工作的逐步指示,可協助您減少網頁伺服器的攻擊點:

  • 停用使用到網際網路連線的 SMB

  • 停用 NetBIOS over TCP/IP

附註   當您停用 SMB 和 NetBIOS,伺服器就無法做為檔案伺服器或列印伺服器運作,亦無法進行網路瀏覽,而您也無法從遠端管理網頁伺服器。如果您的伺服器是專用的網頁伺服器,需要系統管理員在本機上登入才能使用,則這些限制應該不會影響伺服器的運作。

SMB 使用下列連接埠:

  • TCP 連接埠 139

  • TCP 和 UDP 連接埠 445 (SMB 直接主機)

NetBIOS 使用下列連接埠:

  • TCP 及使用者資料包通訊協定 (UDP) 連接埠 137 (NetBIOS 名稱服務)

  • TCP 及 UDP 連接埠 138 (NetBIOS 資料包服務)

  • TCP 及 UDP 連接埠 139 (NetBIOS 工作階段服務)

僅停用 NetBIOS 將無法避免 SMB 通訊,因為標準的 NetBIOS 連接埠無法使用時,SMB 會使用 TCP 連接埠 445 (亦稱為「SMB 直接主機」)。您必須個別停用 NetBIOS 和 SMB。

需求

若要完成這些工作,您需要下列項目:

  • 認證。您必須以網頁伺服器上 Administrators 群組成員的身分登入。

  • 工具。 我的電腦、系統工具和裝置管理員。

若要停用使用到網際網路連線的 SMB

  1. 按一下 [開始],再按 [控制台],然後按兩下 [網路連線]

  2. 以滑鼠右鍵按一下您使用到網際網路的連線,再按 [內容]

  3. 取消勾選 [Client for Microsoft Networks] 核取方塊。

  4. 取消勾選 [File and Printer Sharing for Microsoft Networks] 核取方塊,再按一下 [確定]

停用 TCP/IP 上的 NetBIOS

  1. 按一下 [開始],再以滑鼠右鍵按 [我的電腦],然後按 [管理]

  2. 按兩下 [系統工具],然後選取 [裝置管理員]

  3. 以滑鼠右鍵按一下 [裝置管理員],再按 [檢視],然後按 [顯示隱藏裝置]

  4. 按兩下 [非隨插即用驅動程式]

  5. 以滑鼠右鍵按一下 [NetBIOS over TCP/IP],再按 [停用] (請見下列螢幕擷取畫面),然後按 [是]

    SIIS601.GIF

    附註   本文件中的螢幕擷取畫面顯示測試環境,其中的資訊可能與您畫面上顯示的資訊有所不同。

之前的程序會停用 TCP 連接埠 445 和 UDP 連接埠 445 上的 SMB 直接主機接聽程式。它也會停用 Nbt.sys 驅動程式,並要求您重新啟動電腦。

驗證新的設定值

請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。

若要確認已停用 SMB

  1. 依序按一下 [開始]、[設定],再按 [網路和撥號連線]。

  2. 以滑鼠右鍵按一下您使用到網際網路的連線,再按 [內容]

  3. 確認已同時取消勾選 [Client for Microsoft Networks][File and Printer Sharing for Microsoft Networks] 核取方塊,再按一下 [確定]

若要確認已停用 NetBIOS

  1. 按一下 [開始],再以滑鼠右鍵按 [我的電腦],然後按 [管理]

  2. 按兩下 [系統工具],然後選取 [裝置管理員]

  3. 以滑鼠右鍵按一下 [裝置管理員],再按 [檢視],然後按 [顯示隱藏裝置]

  4. 按兩下 [非隨插即用驅動程式],然後在 [NetBIOS over TCP/IP] 上按一下滑鼠右鍵。現在 [啟用] 選項已出現在快顯功能表,表示 TCP/IP 上的 NetBIOS 目前已停用。

  5. 按一下 [確定] 關閉 [裝置管理員]。

僅選取必要的 IIS 元件和服務

IIS 6.0 包括子元件和 WWW 服務以外的服務,例如 FTP 服務和 SMTP 服務。為降低遭受專門以特定服務或子元件做為目標進行攻擊的風險,Microsoft 建議您僅選取網站和 Web 應用程式正確執行所需的服務和子元件。

下表顯示為本文件中作為範例之網頁伺服器上的 IIS 子元件和服務所建議的「新增或移除程式」設定。

表  1 IIS 子元件和服務的建議設定值

子元件或服務 預設設定 網頁伺服器設定
幕後智慧型傳送服務 (Background Intelligent Transfer Service,BITS) 伺服器延伸 停用 無變更
Common Files 啟用 無變更
FTP 服務 停用 無變更
FrontPage 2002 Server Extensions 停用 無變更
Internet Information Services Manager 啟用 無變更
網際網路列印 停用 無變更
NNTP 服務 停用 無變更
SMTP 服務 啟用 停用
World Wide Web 服務 啟用 無變更
幕後智慧型傳送服務 (Background Intelligent Transfer Service,BITS) 伺服器延伸 停用 無變更
##### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。新增或移除程式。 **若要設定 IIS 元件和服務** 1. 依序按一下 **\[開始\]**、**\[控制台\]**,再按 **\[新增或移除程式\]**。 2. 按一下 **\[新增/移除 Windows 元件\]**。 3. 在 **\[Windows 元件精靈\]** 畫面上的 **\[元件\]** 下,按一下 **\[應用程式伺服器\]**,再按 **\[詳細資料\]**。 4. 按一下 **\[Internet Information Services (IIS)\]**,再按 **\[詳細資料\]**。 5. 參考之前的表格,然後勾選或清除適當的 IIS 元件和服務核取方塊,即可選取或取消選取該元件或服務。 6. 依照螢幕上的指示執行,完成 \[Windows 元件精靈\]。 ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已選取 IIS 元件和服務** 1. 按一下 **\[開始\]**,再按 **\[控制台\]**,然後按 **\[系統管理工具\]**。 2. **Internet Information Services (IIS) 管理員**現在會出現在系統管理工具的功能表上。 #### 僅啟用必要的網頁服務延伸模組 提供動態內容的網頁伺服器需要網頁服務延伸模組。每種動態內容的類型都與特定的網頁服務延伸模組相對應。基於安全性理由,IIS 6.0 可讓您啟用和停用個別的網頁服務延伸模組,如此可僅啟用您的內容所需的延伸模組。 **注意**   請勿啟用所有的網頁服務延伸模組。雖然這樣做,能確保達到與現有網站和應用程式最佳的相容性,但您網頁伺服器的攻擊點也同樣會大幅增加。您可能需要個別測試您的網站和應用程式,以確定僅啟用了必要的網頁服務延伸模組。 假設網頁伺服器設定為提供 Default.asp 檔案做為預設網頁。即使已設定預設網頁,您仍必須啟用動態伺服器網頁服務延伸模組,才能檢視 .asp 網頁。 ##### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。Internet Information Services (IIS) 管理員 (iis.msc)。 **若要啟用動態伺服器網頁服務延伸模組** 1. 依序按一下 **\[開始\]**、**\[控制台\]** 和 **\[系統管理工具\]**,然後按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 按兩下 \[本機電腦\],再按 **\[網頁服務延伸模組\]**。 3. 按一下 **\[動態伺服器網頁\]**,再按 **\[允許\]** (請見下列螢幕擷取畫面)。 ![SIIS602.GIF](images/Cc875829.SIIS602(zh-tw,TechNet.10).gif) ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要驗證已啟用動態伺服器網頁服務延伸模組** 1. 開啟文字編輯器,鍵入 **ASP Test Page**,然後以 **Default.asp** 名稱將檔案儲存到 C:\\inetpub\\wwwroot 目錄中。 2. 在 Internet Explorer 的 **\[位址\]** 方塊中,鍵入下列 URL: https://localhost 然後按一下 ENTER。\[ASP Test Page\] 這幾個字應該會出現在瀏覽器上。 3. 刪除以下的檔案:C:\\inetpub\\wwwroot\\**Default.asp**。 [](#mainsection)[回到頁首](#mainsection) ### 設定帳戶 Microsoft 建議您移除不使用的帳戶,因為攻擊者可能會發現這些帳戶,並利用它們存取您伺服器上的資料和 Web 應用程式。永遠要求強性密碼—弱性密碼會增加暴力攻擊或字典攻擊的成功率,因為攻擊者會嘗試猜測密碼。使用具備最低權限的帳戶。否則,攻擊者可能會藉由具備高層級權限的帳戶,存取未經授權的資源。 這一節提供下列作業的逐步指示: - 停用不使用的帳戶 - 使用應用程式集區隔離應用程式 #### 停用不使用的帳戶 攻擊者可以利用未使用的帳戶及其權限來存取伺服器。您應定期稽核伺服器上的本機帳戶,並停用任何未使用的帳戶。在生產伺服器上停用帳戶之前,請先在測試伺服器上停用它們,以確定停用帳戶不會對應用程式的運作造成不良影響。如果停用帳戶未在測試伺服器上造成任何問題,則可在您的生產伺服器上停用此帳戶。 **附註**   如果您選擇刪除不使用的帳戶,而非停用它,請注意,您無法恢復已刪除的帳戶,而且無法刪除 Administrator 帳戶和 Guest 帳戶。同時,請確定先在測試伺服器上刪除該帳戶,然後再於您的生產伺服器上將它刪除。 這一節提供下列程序的逐步指示: - 停用 Guest 帳戶 - 重新命名 Administrator 帳戶 - 重新命名 IUSR\_ComputerName 帳戶 ##### 停用 Guest 帳戶 Guest 帳戶是以匿名方式連線至網頁伺服器時所使用的帳戶。Windows Server 2000 預設安裝過程中,Guest 帳戶為停用狀態。若要禁止以匿名方式連線至您的伺服器,請確定 Guest 帳戶持續為停用狀態。 ###### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。電腦管理 **若要停用 Guest 帳戶** 1. 按一下 **\[開始\]**,再以滑鼠右鍵按 **\[我的電腦\]**,然後按 **\[管理\]**。 2. 按兩下 **\[本機使用者和群組\]**,再按 **\[使用者\]** 資料夾。Guest 帳戶應顯示為附帶紅色 X 的圖示,以表示為停用狀態 (請見下列螢幕擷取畫面)。 如果未停用 Guest 帳戶,請繼續執行步驟 3 以停用它。 ![SIIS603](images/Cc875829.SIIS603(zh-tw,TechNet.10).gif) 3. 以滑鼠右鍵按一下 **\[Guest\]** 帳戶,再按 **\[內容\]**。 4. 在 **\[一般\]** 索引標籤上,勾選 **\[帳戶已停用\]** 核取方塊,再按一下 **\[確定\]**。 Guest 帳戶會顯示為附帶紅色 X 的圖示。 ##### 重新命名 Administrator 帳戶 預設的本機 Administrator 帳戶為惡意使用者的目標,因為此帳戶在這部電腦上具備較高的權限。若要改善安全性,請重新命名預設的 Administrator 帳戶,然後指派強性密碼。 ###### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦。 **若要重新命名 Administrator 帳戶並指派強性密碼** 1. 按一下 **\[開始\]**,再以滑鼠右鍵按 **\[我的電腦\]**,然後按 **\[管理\]**。 2. 按兩下 **\[本機使用者和群組\]**,再按 **\[使用者\]** 資料夾。 3. 以滑鼠右鍵按一下 **\[Administrator\]** 帳戶,再按 **\[重新命名\]**。 4. 在方塊中鍵入一個名稱,然後按下 ENTER。 5. 在「桌面」上按下 CTRL+ALT+DEL,再按 **\[變更密碼\]**。 6. 在 **\[使用者名稱\]** 方塊中鍵入 Administrator 帳戶的新名稱。 7. 在 **\[舊密碼\]** 方塊中鍵入目前的密碼,然後在 **\[新密碼\]** 方塊中鍵入新密碼,並於 **\[確認新密碼\]** 方塊中再次鍵入新密碼,然後按一下 **\[確定\]**。 **注意**   除非您忘記密碼而且沒有密碼重設磁片,否則請勿使用快顯功能表上的 \[設定密碼\] 功能表項目變更密碼。使用此方法變更系統管理員密碼,可能會造成此密碼保護的資料永久遺失。 ##### 重新命名 IUSR 帳戶 預設的匿名網際網路使用者帳戶 IUSR\_*<ComputerName>*, 會於安裝 IIS 期間所建立。*<ComputerName>* 的值是在安裝 IIS 時,您伺服器的 NetBIOS 名稱。為這個帳戶重新命名,可以減少暴力攻擊的成功機率。 ###### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦。 **若要重新命名 IUSR 帳戶** 1. 按一下 **\[開始\]**,再以滑鼠右鍵按 **\[我的電腦\]**,然後按 **\[管理\]**。 2. 按兩下 **\[本機使用者和群組\]**,再按 **\[使用者\]** 資料夾。 3. 以滑鼠右鍵按一下 **\[IUSR\_<ComputerName>\]** 帳戶,再按 **\[重新命名\]**。 4. 鍵入新的帳戶名稱,再按下 ENTER。 **若要在 IIS Metabase 中變更 IUSR 帳戶的值** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下本機電腦,再按 **\[內容\]**。 3. 勾選 **\[啟用直接 Metabase 編輯\]** 核取方塊,再按一下 **\[確定\]**。 4. 瀏覽至 **\[MetaBase.xml\]** 檔案位置。這個檔案依預設是位於 C:\\Windows\\system32\\inetsrv。 5. 以滑鼠右鍵按一下 **\[MetaBase.xml\]** 檔案,再按 **\[編輯\]**。 6. 搜尋 **\[AnonymousUserName\]** 內容,並鍵入 IUSR 帳戶的新名稱。 7. 在 **\[檔案\]** 功能表上,按一下 **\[結束\]**,再按 **\[是\]**。 ###### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已停用某個帳戶** 1. 按下 CTRL+ALT+DEL,再按 **\[登出\]** 以登出網頁伺服器。 2. 在 **\[登入 Windows\]** 對話方塊中,鍵入停用帳戶名稱,於 **\[使用者名稱\]** 方塊中,鍵入停用帳戶密碼,然後按一下 **\[確定\]**。 這時會顯示以下訊息。 **您的帳戶已停用。請連絡您的系統管理員。** **若要確認已重新命名某個帳戶** 1. 按下 CTRL+ALT+DEL,再按 **\[登出\]** 以登出網頁伺服器。 2. 在 **\[登入 Windows\]** 對話方塊中,鍵入重新命名帳戶之前的名稱,於 **\[使用者名稱\]** 方塊中,鍵入重新命名帳戶的密碼,然後按一下 **\[確定\]**。 這時會顯示以下訊息。 **系統無法讓您登入。請確定您的「使用者名稱」及「網域」無誤,然後再輸入密碼。密碼必須使用正確的大小寫。** 3. 按一下 **\[確定\]**,然後在 **\[使用者名稱\]** 方塊中,鍵入重新命名帳戶的新名稱。 4. 鍵入重新命名帳戶的密碼,然後按一下 **\[確定\]**。 現在您應該可以使用重新命名的帳戶登入電腦。 #### 使用應用程式集區隔離應用程式 您可以使用 IIS 6.0,將應用程式隔離到應用程式集區中。應用程式集區是包含一個或多個 URL 的群組,由一個或一組工作處理序提供服務。使用應用程式集區有助於提升您網頁伺服器的可靠性和安全性,因為每一支應用程式均彼此獨立運作。 Windows 作業系統上的每一個執行處理序均具備一個處理序身分識別,用來決定處理序在電腦上存取資源的方式。每一個應用程式集區亦具備一個處理序身分識別,而這個身分是具備您應用程式所需最低權限的帳戶。此處理序身分可允許以匿名方式存取您的網站或應用程式。 ##### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦。 **若要建立應用程式集區** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 按兩下本機電腦,然後以滑鼠右鍵按一下 **\[應用程式集區\]**,再按 **\[新增\]**,然後按 **\[應用程式集區\]**。 3. 在 **\[應用程式集區識別碼\]** 方塊中,鍵入應用程式集區的新識別碼 (以下螢幕捕捉畫面範例所使用的識別碼是 ContosoAppPool)。 ![SIIS604.GIF](images/Cc875829.SIIS604(zh-tw,TechNet.10).gif) 4. 在 **\[應用程式集區設定\]** 下,選取 **\[為新增應用程式集區使用預設設定值\]**,再按一下 **\[確定\]**。 **若要指派網站或應用程式給應用程式集區** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下您要指派給應用程式集區的網站或應用程式,再按 **\[內容\]**。 3. 根據您選取的應用程式類型而定,依序按一下 **\[主目錄\]**、**\[虛擬目錄\]** 或 **\[目錄\]** 索引標籤。 4. 若您要為應用程式集區指定目錄或虛擬目錄,請驗證 **\[應用程式名稱\]** 方塊中所包含的網站或應用程式名稱是正確的。 -或者- 如果 **\[應用程式名稱\]** 方塊中沒有名稱,請按一下 **\[建立\]**,然後鍵入網站或應用程式的名稱。 5. 在 **\[應用程式集區\]** 清單方塊中,選取您要指派網站或應用程式的應用程式集區名稱 (請見下列螢幕擷取畫面),再按一下 **\[確定\]**。 ![SIIS605.GIF](images/Cc875829.SIIS605(zh-tw,TechNet.10).gif) ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已建立應用程式集區** 1. 使用 Administrator 帳戶登入網頁伺服器。 2. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 3. 按兩下本機電腦,再按兩下 **\[應用程式集區\]**,然後確認您建立的應用程式集區是否出現在 **\[應用程式集區\]**\] 節點下。 4. 以滑鼠右鍵按一下您建立的應用程式集區,再按一下 **\[內容\]**。 5. 按一下 **\[識別身分\]** 索引標籤,確認應用程式集區的識別身分已設定為預先定義且名為「網路服務」的安全性帳戶,再按 **\[確定\]**。 **若要確認已將網站或應用程式指派給特定的應用程式集區** 1. 使用 Administrator 帳戶登入網頁伺服器。 2. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 3. 按兩下本機電腦,再按兩下 **\[網站\]**,然後以滑鼠右鍵按一下您要確認應用程式集區設定的網站,再按 **\[內容\]**。 4. 根據您選取的應用程式類型而定,依序按一下 **\[主目錄\]**、**\[虛擬目錄\]** 或 **\[目錄\]** 索引標籤。 5. 在 **\[應用程式集區\]** 清單方塊中,確認已列出您要指派網站的應用程式集區名稱,再按一下 **\[取消\]**。 [](#mainsection)[回到頁首](#mainsection) ### 設定檔案和目錄的安全性 使用嚴格的存取控制,有助於保護敏感的檔案和目錄。在大多數情況下,允許存取特定帳戶會比拒絕存取特定帳戶更有效。儘可能在目錄層級設定存取權限。檔案加入資料夾時,會沿用資料夾的權限,因此您無須採取進一步的動作。 本節提供下列工作的逐步指示,以協助您設定檔案和目錄的安全性: - 重新放置 IIS 記錄檔並設定權限 - 設定 IIS Metabase 權限 - 停用 FileSystemObject 元件 #### 重新放置 IIS 記錄檔並設定權限 為提升 IIS 記錄檔的安全性,您應重新將這些檔案放置到已格式化為使用 NTFS 檔案系統的非系統磁碟機上。這個位置應該與您網站內容的位置相同。您可以變動這些檔案的位置,以避免特定攻擊類型洩漏記錄檔的內容。記錄檔應妥善加以保護,以針對可能對伺服器發動之攻擊提供稽核記錄。將記錄檔置於非系統的磁碟上,也有助於改善伺服器效能。 ##### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦和 Internet Information Services (IIS) 管理員 (Iis.msc)。 **若要將 IIS 記錄檔的位置移到非系統的磁碟分割** 1. 按一下 **\[開始\]**,以滑鼠右鍵按一下 **\[我的電腦\]**,再按 **\[檔案總管\]**。 2. 瀏覽到您要重新放置 IIS 記錄檔的位置。 3. 以滑鼠右鍵按一下您要重新放置 IIS 記錄檔的目錄上一層,再按 **\[新增\]**,然後按 **\[資料夾\]**。 4. 鍵入資料夾的名稱,例如,ContosoIISLogs,然後按下 ENTER。 5. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 6. 以滑鼠右鍵按一下網站,再按 **\[內容\]**。 7. 按一下 **\[網站\]** 索引標籤,再按 **\[啟用記錄\]** 框架中的 **\[內容\]**。 8. 在 **\[一般內容\]** 索引標籤上按一下 **\[瀏覽\]**,然後瀏覽到您剛剛建立用來儲存 IIS 記錄檔的資料夾。 9. 按三次 **\[確定\]**。 **附註**   如果原始位置 Windows\\System32\\Logfiles 中已有 IIS 記錄檔,則必須手動將這些檔案移到新的位置。IIS 不會自行移動這些檔案。 **若要設定 IIS 記錄檔上的 ACL** 1. 按一下 **\[開始\]**,以滑鼠右鍵按一下 **\[我的電腦\]**,再按 **\[檔案總管\]**。 2. 瀏覽到記錄檔所在的資料夾。 3. 以滑鼠右鍵按一下資料夾,再按 **\[內容\]**,然後按 **\[安全性\]** 索引標籤。 4. 在上方的窗格中,按一下 **\[Administrators\]**,並確定下方窗格中的權限已設定為 **\[完整控制\]**。 5. 在上方的窗格中,按一下 **\[System\]**,並確定下方窗格中的權限已設定為 **\[完整控制\]**,再按 **\[確定\]**。 ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已移動記錄檔且已設定權限** 1. 依序按一下 **\[開始\]**、**\[搜尋\]**,再按 **\[檔案或資料夾\]**。 2. 在 **\[搜尋名稱如下的檔案或資料夾\]** 方塊,鍵入部份或完整的檔案名稱—例如 LogFiles—於 **\[查詢\]** 方塊,選取想要搜尋的位置,然後按一下 **\[立即搜尋\]**。 這項搜尋會顯示記錄檔的新位置。 3. 按下 CTRL+ALT+DEL,再按 **\[登出\]**。 4. 使用未具備存取記錄檔權限的帳戶登入網頁伺服器。 5. 按一下 **\[開始\]**,再以滑鼠右鍵按一下 **\[我的電腦\]**,然後按 **\[檔案總管\]**,再瀏覽到 LogFiles 目錄。 6. 以滑鼠右鍵按一下 LogFiles 目錄,再按 **\[開啟\]**\]。這時會顯示以下訊息。 **拒絕存取**。 #### 設定 IIS Metabase 權限 IIS Metabase 是 XML 檔案,其中包含大部份的 IIS 組態資訊。 ##### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦和 MetaBase.xml 檔案。 **若要限制存取 MetaBase.xml 檔案** 1. 按一下 **\[開始\]**,以滑鼠右鍵按一下 **\[我的電腦\]**,再按 **\[檔案總管\]**。 2. 瀏覽到 **\[Windows\\System32\\Inetsrv\\MetaBase.xml\]** 檔案,然後以滑鼠右鍵按一下此檔案,再按 **\[內容\]**。 3. 按一下 **\[安全性\]** 索引標籤,確認只有 Administrators 群組和 LocalSystem 帳戶具備 Metabase 的「完整控制」存取權,並移除所有其他檔案的權限,再按 **\[確定\]**。 ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已限制存取 MetaBase.xml 檔案** 1. 按下 CTRL+ALT+DEL,再按 **\[登出\]**。 2. 使用未具備存取 **\[MetaBase.xml\]** 檔案權限的帳戶,登入網頁伺服器。 3. 按一下 **\[開始\]**,再以滑鼠右键按一下 **\[我的電腦\]**,接著按 **\[檔案總管\]**,然後瀏覽到 **\[MetaBase.xml\]** 的位置。 4. 以滑鼠右鍵按一下 **\[MetaBase.xml\]** 檔案,再按 **\[開啟\]**。這時會顯示以下訊息。 **拒絕存取**。 #### 停用 FileSystemObject 元件 ASP、Windows Script Host 和其他命令碼應用程式,均使用 FileSystemObject (FSO) 元件建立、刪除、取得相關資訊,以及操作磁碟機、資料夾和檔案。若考慮停用 FSO 元件,請注意這個動作也會移除 Ditionary 物件。同時,請確認沒有其他程式需要此元件。 ##### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。命令提示字元。 **若要停用 FileSystemObject 元件** 1. 按一下 **\[開始\]**,再按 **\[執行\]**,接著在 **\[開啟\]** 方塊中鍵入 **cmd**,然後按 **\[確定\]**。 2. 鍵入 **cd c:\\Windows\\system32** 並按一下 ENTER,變更至 C:\\Windows\\system32 目錄。 3. 在命令提示字元中,鍵入 **regsvr32 scrrun.dll /u**,然後按下 ENTER。這時會顯示以下訊息。 **DllUnregisterServer in scrrun.dll succeeded. (scrrun.dll 中的 DllUnregisterServer 成功。)** 4. 按一下 **\[確定\]**。 5. 出現命令提示字元時,請鍵入 **exit**,然後按下 ENTER,即可關閉命令提示字元視窗。 [](#mainsection)[回到頁首](#mainsection) ### 確保網站和虛擬目錄的安全 將 Web 根目錄和虛擬目錄重新放置到非系統的磁碟分割中,有助於保護它們不受目錄周遊的攻擊。這些攻擊可讓攻擊者執行作業系統的程式和工具。由於橫越磁碟機攻擊是不可能發生的事,因此將網站內容重新放置到另一部磁碟機上,便能提供額外的防護來對抗這些攻擊。 本節提供下列工作的逐步指示,以協助您保護網站和虛擬目錄的安全性: - 將您的網站內容移到非系統磁碟機上 - 設定網站權限 #### 將您的網站內容移到非系統磁碟機上 請勿使用預設的 \\Inetpub\\Wwwroot 目錄做為您網站內容的位置。例如,如果您的作業系統安裝在 C:磁碟機,請考慮將您的網站及內容目錄移到 D:磁碟機上,以便降低目錄橫越攻擊的相關風險,不讓攻擊者成功嘗試瀏覽網頁伺服器的目錄結構。務必確認所有虛擬目錄均指向新的磁碟機。 ##### 需求 若要完成此工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。Internet Information Services (IIS) 管理員 (Iis.msc) 和命令提示字元。 **若要將您的網站內容移到非系統磁碟機上** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下內含您要移動其內容的網站,再按 **\[停止\]**。 3. 按一下 **\[開始\]**,再按 **\[執行\]**,接著在 **\[開啟\]** 方塊中鍵入 **cmd**,然後按 **\[確定\]**。 4. 出現命令提示字元時,請鍵入下列命令: **xcopy c:\\inetpub\\wwwroot\\*<SiteName> <Drive>*:\\wwwroot\\SiteName /s /i /o** 其中 - *<SiteName>* 是您的網站名稱。 - *<Drive>* 是新磁碟機的磁碟機代號 (例如,D)。 5. 返回 \[Internet Information Services (IIS) 管理員\] 嵌入式管理單元,以滑鼠右鍵按一下網站,然後按 **\[內容\]**。 6. 依據您所選取的應用程式類型,按一下 **\[主目錄\]**、**\[虛擬目錄\]** 或 **\[目錄\]** 索引標籤,接著在 **\[本機路徑\]** 方塊中鍵入新的目錄位置,然後按 **\[確定\]**。 -或者- 瀏覽至您剛才貼上所複製檔案的新位置,然後按一下 **\[確定\]**。 7. 以滑鼠右鍵按一下網站,再按 **\[啟動\]**。 ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認網站內容已移到非系統磁碟機上** 1. 依序按一下 **\[開始\]**、**\[搜尋\]**,再按 **\[檔案或資料夾\]**。 2. 在 **\[搜尋名稱如下的檔案或資料夾\]** 方塊,鍵入部份或完整的檔案名稱,於 **\[查詢\]** 方塊,選取想要搜尋的位置,然後按一下 **\[立即搜尋\]**。 搜尋結果會列出您移動 (在新的位置以及原始位置) 的檔案清單。 **若要從系統磁碟機刪除您的網站內容** - 瀏覽到 C:\\Inetpub\\Wwwroot\\SiteName 目錄,然後刪除您已移到非系統磁碟機上的檔案。 **若要確認已從系統磁碟機刪除網站內容** 1. 依序按一下 **\[開始\]**、**\[搜尋\]**,再按 **\[檔案或資料夾\]**。 2. 在 **\[搜尋名稱如下的檔案或資料夾\]** 方塊,鍵入部份或完整的檔案名稱,於 **\[查詢\]** 方塊,選取想要搜尋的位置,然後按一下 **\[立即搜尋\]**。 搜尋結果只會列出您移動 (在新位置) 的檔案。 #### 設定網站權限 您可以針對特定網站、目錄和檔案,設定您網頁伺服器的存取權限。這些權限會套用到所有使用者,無論他們的特定存取權限為何。 ##### 設定檔案系統目錄上的權限 IIS 6.0 倚賴 NTFS 權限的協助,來保護個別的檔案和目錄,以避免未經授權的存取。不同的是,網站權限會套用到嘗試存取網站的任何人,而使用 NTFS 權限可讓您定義哪些使用者可存取網站內容,以及允許這些使用者操作該內容的方式。為提升安全性,請同時使用網站權限和 NTFS 權限。 存取控制清單 (ACL) 指示哪些使用者或群組,具備存取或修改特殊檔案的權限。除了在每個檔案上設定 ACL,請為各檔案類型建立新目錄,在每個目錄上設定 ACL,並允許檔案繼承其所在目錄的權限。 ###### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。我的電腦和 Internet Information Services (IIS) 管理員 (iis.msc)。 **若要將網站內容移到其他資料夾** 1. 按一下 **\[開始\]**,以滑鼠右鍵按一下 **\[我的電腦\]**,再按 **\[檔案總管\]**。 2. 瀏覽到包含網站內容的資料夾,然後按一下網站內容的最上層資料夾。 3. 在 **\[檔案\]** 功能表上,按一下 **\[開新檔案\]**,再按 **\[資料夾\]**,即可在網站的內容目錄中建立新的資料夾。 4. 指定資料夾的名稱,然後按下 ENTER。 5. 按下 CTRL,然後選取您要保護的每一個網頁。 6. 以滑鼠右鍵按一下網頁,再按 **\[複製\]**。 7. 以滑鼠右鍵按一下新資料夾,再按 **\[貼上\]**。 **附註**   如果您已建立這些網頁的連結,則必須更新連結以反映網站內容的新位置。 **若要設定網站內容的權限** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下 \[網站\] 資料夾、網站、目錄、虛擬目錄,或您要設定的檔案,再按 **\[內容\]**。 3. 根據您要授予或拒絕的存取權類型而定,勾選或清除下列所有核取方塊 (如果有的話): - **命令檔來源存取權**。使用者可存取來源檔。如果選取 **\[讀取\]**,則可讀取來源;如果選取 **\[寫入\]**,則可寫入來源。「命令碼來源存取」包括命令的來源碼。如果未選取 **\[讀取\]** 或 **\[寫入\]**,則無法使用此選項。 - **讀取 (預設為已選取)**。使用者可檢視目錄或檔案的內容及內容。 - **寫入**。使用者可變更內容以及目錄或檔案的內容。 - **目錄瀏覽**。使用者可檢視檔案清單和集合。 - **記錄查閱**。每次拜訪網站會建立記錄檔。 - **索引此資源**。允許「索引服務」索引此資源。如此可讓使用者在資源上進行搜尋。 4. 在 **\[執行權限\]** 清單方塊中,選取執行命令碼的適當層級: - **無**。不在伺服器上執行命令碼或可執行檔 (例如,檔案類型為 .exe 的檔案)。 - **僅命令碼**。僅在伺服器上執行命令碼。 - **命令碼和可執行檔**。可在伺服器上同時執行命令碼和可執行檔。 5. 按一下 **\[確定\]**。如果目錄的子節點具備不同設定的網站權限,則會出現 **\[繼承覆寫\]** 方塊。 6. 如果出現 **\[繼承覆寫\]** 方塊,在您要套用目錄之 Web 權限的 **\[子節點\]** 清單上,選取子節點。 -或者- 按一下 **\[全選\]** 以設定內容,將 Web 權限套用到所有的子節點。 7. 如果您看到一個以上的 **\[繼承覆寫\]** 方塊,請從 **\[子節點\]** 清單選取子節點,或按一下 **\[全選\]**,再按 **\[確定\]**,將此內容的 Web 權限套用到子節點。 如果目錄具備您已變更的網站權限,且所屬的子節點亦針對特殊選項設定了網站權限,則子節點中的權限將覆寫您為目錄設定的權限。如果您希望將目錄層級的網站權限套用到子節點,則必須在 **\[繼承覆寫\]** 方塊中選取這些子節點。 ###### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認已拒絕網站內容目錄的寫入存取權** 1. 按下 CTRL+ALT+DEL,再按 **\[登出\]**。 2. 使用具備實體或虛擬目錄上的「讀取」和「執行」權限的帳戶,登入網頁伺服器。 3. 按一下 **\[開始\]**、以滑鼠右鍵按一下 **\[我的電腦\]**,再按 **\[檔案總管\]**,然後瀏覽到您要複製到實體或虛擬目錄的檔案位置。 4. 以滑鼠右鍵按一下檔案,然後按 **\[複製\]**。 5. 瀏覽到實體或虛擬目錄的位置,然後以滑鼠右鍵按一下該目錄。快顯功能表上不會提供 **\[貼上\]** 選項,這表示您未具備「寫入」目錄的權限。 [](#mainsection)[回到頁首](#mainsection) ### 設定網頁伺服器的「安全通訊端層」(Secure Sockets Layer, SSL) 在您的網頁伺服器上設定「安全通訊端層」(Secure Sockets Layer, SSL) 安全性功能,以確認內容的完整性、使用者的識別身分,以及加密網路傳輸。如果您計劃在網站上接受信用卡交易,通常會需要 SSL。SSL 安全性倚賴伺服器憑證,可讓使用者在傳送私人資訊 (例如信用卡號碼) 之前,先驗證您的網站。每一個網站只能擁有一個伺服器憑證。 #### 取得和安裝伺服器憑證 憑證是由稱為「憑證授權單位 (CA)」的非 Microsoft 組織所發出。伺服器憑證通常與您的網頁伺服器相關聯,尤其是您有設定 SSL 的網站。您必須提出憑證要求,將要求寄至 CA,並在收到 CA 寄回的憑證後進行安裝。 憑證仰賴一對加密金鑰 (一個公開金鑰和一個私密金鑰) 來強迫執行安全性。當您產生伺服器憑證的要求時,實際上是產生了私密金鑰。您從 CA 收到的伺服器憑證則包含公開金鑰。 ##### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。「Internet Information Services (IIS) 管理員」(iis.msc) 和「Web 伺服器憑證精靈」。 **若要產生伺服器憑證的要求** 1. 按一下 **\[開始\]**,再以滑鼠右鍵按一下 **\[我的電腦\]**,然後按 **\[管理\]**。 2. 按兩下 **\[服務及應用程式\]** 區,再按兩下 **\[Internet Information Services\]**。 3. 以滑鼠右鍵按一下您要安裝伺服器憑證的網站,再按 **\[內容\]**。 4. 按一下 **\[目錄安全設定\]** 索引標籤。在 **\[安全通訊\]** 區中,按一下 **\[伺服器憑證\]** 啟動「Web 伺服器憑證精靈」,再按 **\[下一步\]**。 5. 按一下 **\[建立新憑證\]**,再按 **\[下一步\]**。 6. 按一下 **\[準備要求,但於稍後傳送\]**,再按 **\[下一步\]**。 7. 在 **\[名稱\]** 方塊中,鍵入易記的名稱。(預設名稱為您要產生憑證要求的網站名稱,例如 https://www.contoso.com)。 8. 指定位元長度,然後按一下 **\[下一步\]**。 加密金鑰的位元長度,決定加密強度。大部份非 Microsoft CA 均較希望您選擇最小的 1024 位元。 9. 在 **\[組織\]** 區中,鍵入您的企業組織和企業組織單位資訊。確定此資訊正確無誤,且 \[組織\] 欄位中未包含逗號,再按 **\[下一步\]**。 10. 在 **\[您站台的公用名稱\]** 區段中,鍵入包含網域名稱的主機電腦名稱,再按 **\[下一步\]**。 11. 鍵入您的地理位置資訊,再按 **\[下一步\]**。 12. 將檔案儲存為 .txt 檔。(預設的檔案名稱和位置是 **C:\\certreq.txt**。)以下範例顯示憑證要求檔的外觀。 ``` -----BEGIN NEW CERTIFICATE REQUEST----- MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMB A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQ gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMt JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAV GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaA AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8Adg AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7 MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOF TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAA MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbC Jb9/2RM= -----END NEW CERTIFICATE REQUEST----- ``` 13. 確認您的要求詳細資料,按一下 **\[下一步\]**,再按 **\[完成\]**。 **若要送出伺服器憑證的要求** 1. 請聯繫您的 CA,以了解送出要求的需求。 2. 將您在之前程序中建立的 .txt 檔內容,複製成 CA 所需的要求格式。 3. 將要求傳送到您的 CA。 收到 CA 寄出的憑證時,可立即將憑證安裝到您的網頁伺服器上。 **若要安裝伺服器憑證** 1. 將憑證 (.cer) 檔案複製到 C:\\Windows\\System32\\CertLog 資料夾。 2. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 3. 以滑鼠右鍵按一下您要安裝伺服器憑證的網站,再按 **\[內容\]**。 4. 按一下 **\[目錄安全設定\]** 索引標籤。在 **\[安全通訊\]** 區中,按一下 **\[伺服器憑證\]** 啟動「Web 伺服器憑證精靈」,再按 **\[下一步\]**。 5. 按一下 **\[處理擱置要求及安裝憑證\]**,再按 **\[下一步\]**。 6. 瀏覽到 CA 寄給您的憑證。按兩次 **\[下一步\]**,再按 **\[完成\]**。 ##### 驗證新的設定值 請完成下列程序,以確認適當的安全性設定已套用至您的本機電腦。 **若要確認網頁伺服器上已安裝憑證** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下擁有您所檢視憑證的網站,再按 **\[內容\]**。 3. 在 **\[目錄安全設定\]** 索引標籤上的 **\[安全通訊\]** 區域中,按一下 **\[檢視憑證\]** 以檢閱憑證,再按兩次 **\[確定\]**。 #### 強迫執行和啟用您網頁伺服器上的 SSL 連線 在您安裝伺服器憑證之後,必須在網頁伺服器上強迫執行 SSL 連線。接著,您必須啟用 SSL 連線。 **附註**   在您要求 SSL 連線至您的網頁伺服器之後,所有連接至伺服器的連結都需要更新,以使用 https 而非 http。 ##### 需求 若要完成這些工作,您需要下列項目: - **認證**。您必須以網頁伺服器上 Administrators 群組成員的身分登入。 - **工具**。Internet Information Services (IIS) 管理員 (iis.msc)。 **若要強迫執行 SSL 連線** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下您要強迫執行 SSL 連線的網站,再按 **\[內容\]**。 3. 按一下 **\[目錄安全設定\]** 索引標籤。在 **\[安全通訊\]**\] 區中,按一下 **\[編輯\]**。 4. 按一下 **\[必須使用安全通道 (SSL)\]**,選擇加密強度,然後按 **\[確定\]**。 **附註**   如果您指定 128 位元加密,則使用 40 位元或 56 位元強度瀏覽的用戶端電腦便無法與您的網站進行通訊,除非將瀏覽器升級為支援 128 位元加密的版本。 **若要啟用您網頁伺服器上的 SSL 連線** 1. 依序按一下 **\[開始\]**、**\[控制台\]**、**\[系統管理工具\]**,再按兩下 **\[Internet Information Services (IIS) 管理員\]**。 2. 以滑鼠右鍵按一下您要啟用 SSL 連線的網站,再按 **\[內容\]**。 3. 按一下 **\[網站\]** 索引標籤。在 **\[網站識別\]**\] 區中,確認 **\[SSL 連接埠\]** 方塊的數值為 **443**。 4. 按一下 **\[進階\]**。通常會出現兩個方塊,且 **\[在這個網站使用多重識別碼\]** 方塊中已列出網站的 IP 位址和連接埠。如果尚未列出連接埠 443,請在 **\[在這個網站使用多重 SSL 識別碼\]** 欄位中,按一下 **\[新增\]**。選取伺服器的 IP 位址,在 **\[SSL 連接埠\]** 方塊中鍵入數值 **443**,再按一下 **\[確定\]**。 ##### 驗證新的設定值 請完成下列程序,以確認您的網頁伺服器上已套用適當的安全性設定。 **若要確認您網頁伺服器上的 SSL 連線** 1. 開啟您的瀏覽器,然後嘗試使用標準的 https:// 通訊協定連線至您的網頁伺服器。例如,在 **\[位址\]** 方塊中,鍵入 **https://localhost** 並按下 ENTER。 如果已強迫執行 SSL,則會出現下列錯誤訊息: **The page must be viewed over a secure channel.The page you are trying to access is secured with Secure Sockets Layer (SSL).** (此網頁必須透過安全性通道檢視。您嘗試存取的網頁經過 SSL 安全性加密。) 2. 鍵入 **https://localhost** 並按下 ENTER,再次嘗試連線至您要檢視的網頁。 這樣通常會顯示您網頁伺服器的預設網頁。 [](#mainsection)[回到頁首](#mainsection) ### 相關資訊 如需關於確保 IIS 6.0 安全性的詳細資訊,請參閱下列連結: - "Microsoft Windows Server 2003 網站上的 [《Security Enhancements in Internet Information Services 6.0 (英文)》](https://www.microsoft.com/windowsserver2003/techinfo/overview/iisenhance.mspx),網址是 www.microsoft.com/windowsserver2003/techinfo/overview/iisenhance.mspx。 - "Microsoft TechNet 網站上的「[《Configuring Application Isolation on Windows Server 2003 and Internet Information Services (IIS) 6.0 (英文)》](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/appisoa.mspx)」,網址為 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/ webapp/iis/appisoa.mspx。 - Microsoft [Internet Information Services Webcasts](https://www.microsoft.com/windowsserver2003/iis/support/webcasts.mspx) 網頁上的 TechNet Webcast《Effectively Using IIS 6.0 Security (英文)》,網址是 www.microsoft.com/windowsserver2003/iis/support/webcasts.mspx。 如需關於 IIS 6.0 的詳細資訊,請參閱下列連結: - Microsoft 下載中心所提供的 [《Internet Information Services (IIS) 6.0 Resource Kit (英文)》](https://www.microsoft.com/download/details.aspx?familyid=80a1b6e6-829e-49b7-8c02-333d9c148e69&displaylang=en),網址是 www.microsoft.com/downloads/details.aspx?familyid=80a1b6e6-829e-49b7-8c02-333d9c148e69&displaylang=en。 - "Microsoft Windows Server 2003 網站上的「[《Internet Information Services (IIS) 6.0 技術概觀 (中文)》](https://www.microsoft.com/taiwan/windowsserver2003/techinfo/overview/iis.mspx)」,網址是 https://www.microsoft.com/taiwan/windowsserver2003/techinfo/overview/iis.mspx。 **下載** [取得 \[Internet Information Services 6.0 的安全性\]](https://go.microsoft.com/fwlink/?linkid=70393) (英文) [](#mainsection)[回到頁首](#mainsection)