随着商业交易扩大了客户数量和供应商范围,更新用户访问控制来确保企业文件夹、文件和web文档中机密数据依然遵照‘锁和钥匙’是很明智的做法。好在可以很容易的在Internet信息服务器(IIS)里创建规则,来指明或限制哪些信息可以访问。让我们来看看如何配置IIS Web服务器权限,以提供适当和安全的访问控制,使它不仅满足终端用户,而且还确保更好的数据安全性。
IIS Web服务器权限控制对Web上虚拟目录的访问,适用于所有用户。要实现具体数据的访问控制,得从配置IIS目录安全功能开始。开始配置,打开Internet信息服务管理控制台,然后输入网站的属性对话框或你想控制的子文件夹。进入以后,找到目录选项卡。在目录选项卡这里,您可以设定用户是否可以浏览目录,是否可以查看/修改文件和访问文件的源代码。在这个对话框中,你应该也找到一个目录安全性选项卡。在这个标签这里,你可以配置你的Web服务器如何验证用户身份。重要的是需要注意,因为你处理的是IIS Web服务器的权限,新设置将适用于所有用户,而不管他们拥有什么特定的NT文件系统(NTFS)访问权限。
所以我们下一步就是为Web文件配置NTFS权限。NTFS权限控制对服务器上的物理目录访问,只适用于特定的用户组。通过为单个文件或目录创建一个自由访问控制列表(DACL),您可以定义哪些用户可以访问哪些内容,对这些内容进行哪些操作。要创建一个DACL,选择一个特定的Windows用户帐户或组,并指定其访问权限。要更改目录或者文件的NTFS权限,打开我的电脑,选择你需要保护的目录或文件,并打开其属性表。
然后在安全属性页,选择你想改变的账户、用户或组的访问类型。要授予访问权限,选择“允许”,要拒绝访问选择“拒绝”。这将帮助您更好的控制对您的web内容的访问,因为对于同时设置了NTFS权限的内容,在验证用户的NTFS权限前,IIS会首先检查用户是否有必要的web权限来访问他们请求的资源。如果用户没有web权限,他们将收到一个“403禁止访问”的消息。如果用户没有正确的NTFS权限,他们将收到一个“401拒绝访问”消息。
如果您的客户和供应商将访问的内容特别的敏感,考虑安装一个Web服务器证书以保证您的Web服务器的安全套接字层(SSL)功能。这迫使用户建立一个加密的连接,以便连接到特定的目录或文件。还有一个最后的办法,也可以将客户证书映射到Web服务器上的Windows用户帐户。这种做法,在提供强大的验证和访问控制的同时,管理也更复杂,但是如果您的网站需要在对受限制内容授权访问前进行用户身份认证的话,这也是值得的。
