Iis предоставление и запрет доступа для компьютеров


Содержание

Защита файлов (ограничения доступа к IP-адресу) в IIS7

У меня есть веб-служба, содержащая 2 asmx файла (public.asmx и private.asmx). В IIS6 я могу перейти к свойствам private.asmx, а затем со вкладки «Безопасность файлов» запретить доступ всех компьютеров, кроме IP-адреса для localhost.

В IIS7 мне кажется, что я могу сделать это только для всей папки. Что мне не хватает?

Забавный — я нашел этот вопрос, потому что у меня такая же проблема, но я думаю, что решение выглядит следующим образом:

  • В IIS7 перейдите в каталог, содержащий ваши файлы public.asmx и private.asmx.
  • Заголовок вверху отобразит текущий каталог, например «WebService Home». Нажмите кнопку «Просмотр содержимого» внизу.
  • Щелкните правой кнопкой мыши файл public.asmx и выберите «Переключиться на представление функций».
  • Заголовок должен быть «public.asmx Home», чтобы подтвердить, что вы управляете одним файлом.
  • Добавьте свои IP-ограничения. В этом случае, я думаю, что вы хотите разрешить запись для 127.0.0.1 и выберите «Изменить настройки параметров» в меню «Действие», чтобы запретить доступ к неуказанным клиентам.
  • Еще раз нажмите на свою папку (например, WebService) и снова переключитесь на Content View, чтобы повторить эти шаги на private.asmx.

Я сам изучаю веревки IIS7, но надеюсь, что это ответит на ваш вопрос.

Нашел этот вопрос через Google и искал, как это сделать через файл .config, но не смог найти этот ответ здесь. С тех пор я отслеживал информацию:

Обновление: Обратите внимание, что роль должна быть добавлена ​​для включения этой безопасности. См. Статью ipSecurity , приведенную выше.

Iis предоставление и запрет доступа для компьютеров

Назначение: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

В службах IIS 7 все IP-адреса, компьютеры и домены по умолчанию имеют доступ к сайту. Для улучшения безопасности можно ограничить доступ к сайту путем создания запрещающего правила для всех IP-адресов, для определенного IP-адреса, для диапазона IP-адресов или для определенного домена. Например, если имеется сайт на сервере интрасети, подключенном к Интернету, можно предоставить доступ только пользователям, находящимся в интрасети, и явным образом запретить доступ пользователей из сети Интернет.

Примечание
Ограничения IP-адресов применяются только к адресам IPv4.

Предварительные требования

Сведения об уровнях, на которых можно выполнить эту процедуру, а также о модулях, обработчиках и разрешениях, требуемых для выполнения этой процедуры, см. в разделе Требования к функциям правил адресов IPv4 и имен доменов (IIS 7).

Исключения из требований

Чтобы запретить доступ на основе IP-адреса или имени домена

Эту процедуру можно выполнить с помощью пользовательского интерфейса, запустив команды Appcmd.exe в окне командной строки, путем прямого изменения файлов конфигурации или посредством написания сценариев WMI.

Пользовательский интерфейс

Чтобы использовать пользовательский интерфейс

Откройте Диспетчер IIS и перейдите на уровень, которым нужно управлять. Сведения об открытии Диспетчер IIS см. в разделе Открытие диспетчера IIS (IIS 7). Сведения об изменении местоположения с помощью пользовательского интерфейса см. в разделе Перемещение в диспетчере IIS (IIS 7).

В представлении Просмотр возможностей дважды щелкните пункт Ограничения IPv4-адресов и имен домена.

На панели Действия нажмите кнопку Добавить запрещающий элемент.

В диалоговом окне Добавить запрещающее правило ограничения выберите параметры Конкретный IPv4-адрес, Диапазон IPv4-адресов или Имя домена, добавьте IPv4-адрес, диапазон, маску подсети или имя домена и нажмите кнопку ОК.

Примечание
Чтобы добавить имена доменов, необходимо сначала разрешить ограничение имен доменов, нажимая кнопку Изменить параметры на панели Действия, а затем устанавливая флажок Включить ограничения для имен домена в диалоговом окне Изменение настроек ограничений по IP-адресу и имени домена.

Командная строка

Чтобы создать запрещающее правило для ограничения IPv4-адреса и домена, используйте следующий синтаксис:

appcmd set config /section:ipsecurity /+»[ipaddress=’ строка ‘,allowed=’false’,subnetMask=’ строка ‘,domainName=’ строка ‘]»

Переменная ipaddress строка задает один адрес IPv4. Переменная subnetMask строка является маской подсети. Чтобы задать адресное пространство для этого правила, используйте маску подсети вместе с адресом IPv4. Переменная domain name строка является именем домена. Как правило, в одном правиле следует использовать или IP-адрес, или имя домена, а не оба этих параметра.

Например, чтобы создать запрещающее правило для IPv4-адреса 10.0.0.1, введите приведенную ниже команду и нажмите клавишу ВВОД:

appcmd set config /section:ipsecurity /+»[ipaddress=’10.0.0.1′,allowed=’false’]»


Дополнительные сведения о команде Appcmd.exe см. в разделе Appcmd.exe (IIS 7).

Настройка конфигурации

Процедура, приведенная в этом разделе, влияет на следующие элементы конфигурации:

Дополнительные сведения о конфигурации IIS 7 см. на странице IIS 7.0: схема настроек IIS (возможно, на английском языке) на веб-сайте MSDN.

Чтобы выполнить эту процедуру, используйте следующие классы, методы или свойства WMI:

    Класс IPSecuritySection

Свойство IPSecuritySection.IpSecurity

Метод IPSecuritySection.Add

Свойство IPAddressFilterElement.Allowed

Метод IPSecuritySection.Remove

Примечание
Чтобы удалить экземпляр этого объекта, используйте системный метод Delete_ объекта, наследуемый от WMI. Дополнительные сведения о Delete_ см. на странице SWbemObject.Delete_ (возможно, на английском языке) на веб-сайте MSDN.

Дополнительные сведения о WMI и службах IIS см. в разделе Инструментарий управления Windows (WMI) в IIS 7. Дополнительные сведения о классах, методах и свойствах, связанных с этой процедурой, см. на странице Справочные сведения по поставщику IIS WMI (возможно, на английском языке) на веб-сайте MSDN.

Iis предоставление и запрет доступа для компьютеров

А теперь по-русски.

Жители интернета, наверно, не раз сталкивались со словом «СПАМ» и теми проблемами, которые оно сулит. С ним можно мириться до какой-то поры, но когда 99% комментариев это спам, это уже начинает злить.

И так, исходные данные:

  • Сервер Microsoft Windows Server 2003
  • Веб часть на IIS (Internet Information Service) 6.0
  • Сайты разнородные, в основном WordPress, форумы на PHPBB.

Нужен комплексный подход, без дополнительных модулей (в Apache это легко правится при помощи файлов htaccess), нам приходит на помощь кординальное решение, это — блокировка IP и их диапазонов.

Итак: Пуск (Start) — Программы (Programs) — Администрирование (Administrative Tools) — Диспетчер службы IIS (Internet Information Services)

Выбираем веб-узел, к которому необходимо закрыть доступ с конкретного IP или его диапазона, жмем правой клавишей по нему (вызываем контекстное меню), выбираем Свойства (Properties).

Выбираем закладку Безопасность каталога (Directory Security). Жмем Изменить… (Edit) в разделе Ограничение IP-адресов и имен доменов (IP Address and Domain Name Restrictions).

В открывшемся окне можно добавить IP фильтр как на один адрес, на диапазон, так и запретить всем доступ, кроме некоторых.

В идеале, политика ограничения доступа должна начать действовать уже после нажатия на клавишу OK , но бывают случаи когда придется перезапустить веб-узел, а может и сам сервер. После этого, пользователю с IP, подпадающем в политику запрета, будет выдаваться стандартная страница сервера, с текстом, что-то вроде « Запрещен доступ » .

Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012

В веб-сервере IIS 7 и более ранних версий присутствовала встроенная функциональность, позволявшая администраторам разрешать или запрещать доступ для конкретного IP-адреса или пула адресов. При блокировке IP-адреса, любой HTTP-клиент, использовавший его, получал сообщение об ошибке с кодом “403.6 Forbidden”.

С помощью данной функции администраторы могут управлять доступом к своему серверу и реагировать на подозрительную активность в сети.


В новой версии веб-сервера IIS 8.0 компания Microsoft расширила описываемую функциональность, добавив несколько новых возможностей:

  • Динамическую фильтрацию IP-адресов, которая позволяет администраторам настраивать сервер таким образом, чтобы блокировать доступ для IP-адресов, количество запросов с которых превышает заданный порог.
  • Теперь функции фильтрации IP-адресов позволяют администраторам настраивать поведение веб-сервера при блокировке IP-адреса, таким образом, чтобы соединение разрывалось, вместо отправки клиенту ошибки HTTP 403.6.
  • Появилась новая функция фильтрации — режим прокси, который позволяет блокировать IP-адреса не только на основе IP клиента, который виден IIS, но и на основе значений x-forwarded в HTTP-заголовке.

Чтобы воспользоваться этими функциями необходим сервер под управлением Windows Server 2012 с установленным IIS 8.0.

Необходимо активировать дополнительные роли:

Настройка блокировки на основе HTTP-запросов

IIS 8.0 можно настроить так, чтобы он блокировал доступ к сайту на основе количества запросов, отправленных конкретным HTTP-клиентом за определенный промежуток времени, или на основе числа одновременных подключений, установленных клиентом.

Для настройки запрета на основе числа HTTP-запросов, необходимо зайти диспетчер служб IIS (с правами администратора), затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели выбрать пункт «Изменить динамические параметры ограничения»:

В появившемся диалоговом окне нужно поставить галочки в пунктах «Запретить IP_адрес с учетом количества параллельных запросов» и «Запрет IP-адреса по количеству запросов за период времени»:

После этого нужно нажать «ОК».

Настройка IIS для запрета доступа с IP-адреса

В IIS 7 и более ранних версий веб-сервер возвращал ошибку “403.6 Forbidden” клиенту, которому был запрещен доступ по IP. В IIS 8.0 адмнистраторы могут настраивать запрет на доступ разными способами.

Для этого нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно выбрать «Запрещено» в пункте «Запретить тип действия»:

Настройка режима прокси

При фильтрации по IP-адресам возникает проблема, которая заключается в том, что многие клиенты обращаются к веб-серверу через различные межсетевые экраны, балансировщики нагрузки и прокси-серверы — в таком случае IIS увидит лишь IP-адрес ближайшего к нему такого узла, за которым могут скрываться как благонадежные клиенты, так и те, которых стоит заблокировать. В IIS 8.0 администраторы могут настроить веб-сервер таким образом, чтобы он в дополнение к IP-адресу анализировал HTTP-заголовк x-forwarded-for, чтобы понимать, какой запрос нужно заблокировать, а какой нет. Эта функция называется режимом прокси.

Для того, чтобы настроить этот режим, нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно поставить галочку напротив пункта «Разрешить режим прокси-сервера», а затем нажать «ОК»:

Служба WWW

Вкладка Documents (Документы)

В окне Web Site Properties (Свойства веб-узла) имеется еще одна вкладка – Documents (Документы) (см. рис. 2.10). В ней настраиваются стандартные страницы веб-сайта, а также нижний колонтитул, размещаемый на каждой странице.

Enable Default Content Page (Включить страницу с содержимым по умолчанию)

Эта опция указывает страницу по умолчанию, которая отображается в том случае, если в строке адреса URL запроса не указано имя документа. Например, при вводе клиентом адреса http://www.microsoft.com веб-сервер IIS проверяет наличие документа по умолчанию. При включенной опции этот документ отображается. Такой подход не требует от клиента указания имени документа для каждого посещаемого сайта. Если документ по умолчанию не определен, и клиент не указал имя документа, то дальнейшее развитие событий зависит от того, включен или выключен просмотр каталогов.

  • Просмотр каталогов включен. Сервер отправляет список содержимого каталога.
  • Просмотр каталогов отключен. Сервер отправляет сообщение об ошибке: «Просмотр содержимого данного виртуального каталога запрещен».
Добавление и удаление страниц с содержимым по умолчанию


IIS производит поиск имен заданных страниц, если в запросе не определена конкретная страница. Имя файла должно полностью соответствовать имени страницы, поэтому не забудьте указать расширение, причем сделайте это правильно ( Default.htm не то же самое, что Default.html ). Для добавления в список имени файла нажмите на кнопку Add (Добавить) и введите имя страницы. Для удаления имени файла из списка выделите его и нажмите на кнопку Remove (Удалить). Подтверждение на удаление не запрашивается.

Установка порядка страниц по умолчанию

При поиске страницы по умолчанию IIS проверяет список в порядке, установленном в данном окне. IIS использует первую страницу, имя которой соответствует критерию поиска. Для изменения порядка элементов списка выделите имя страницы и с помощью кнопок Move Up (Вверх) и Move Down (Вниз) переместите ее в нужное место.

Enable Document Footer (Включить нижний колонтитул документа)

Отметьте эту опцию для включения нижнего колонтитула документа. Нижний колонтитул представляет собой документ HTML, отображаемый внизу каждой страницы. Он используется, если на всех страницах сайта нужно разместить некоторую информацию, например, об авторских правах, не вводя код (или файл) в каждую страницу. Документ HTML содержит только конкретный код для отображения без открывающего тега . Используются теги, форматирующие текст нижнего колонтитула. К сожалению, нижние колонтитулы можно разместить только на страницах со статическим содержимым (HTML).

После включения данной опции нажмите на кнопку Browse (Обзор) для выбора документа, используемого в качестве нижнего колонтитула. Код в документе должен быть HTML-совместимым (не должен содержать сценарии), при этом не обязательно использовать файл с расширением .HTM .

Вкладка Directory Security (Безопасность каталога)

Вкладка Directory Security (Безопасность каталога) (см. рис. 2.11) служит для настройки параметров безопасности сайта: настройки аутентификации клиентов IIS, указания клиентов, которые могут подключаться к серверу, установки защиты соединения между клиентом и сервером.

Изменение параметров аутентификации и контроля доступа

В этой секции выбирается тип аутентификации сайта для обеспечения его безопасности. Не забывайте о взаимодействии между защитой NTFS и мерами безопасности IIS, об их воздействии на пользователей, проходящих процедуру аутентификации на веб-странице. Для изменения параметра Authentication and Access Control (Аутентификация и контроль доступа) нажмите на кнопку Edit (Изменить). Откроется диалоговое окно Authentication Methods (Методы аутентификации) (см. рис. 2.12).

Опция Enable Anonymous Access (Включить анонимный доступ). При включении опции пользователи подключаются к веб-странице без ввода аутентификационных данных. В контексте безопасности используется учетная запись Guest (Гость) – гостевая учетная запись интернета. Она создается при установке IIS и ей присваивается имя IUSR_ . Опция позволяет настроить меры безопасности для всех анонимных пользователей, посещающих сайт с помощью этой учетной записи. Можно отказаться от гостевой учетной записи интернета, а вместо нее использовать другую учетную запись (локальную или расположенную на доверенном домене).

Совет. Любая учетная запись, используемая для доступа к веб-страницам, должна иметь разрешение на доступ к файлам на уровне NTFS. Более подробная информация об установке этих разрешений приведена в «Безопасность» .

Для выбора учетной записи анонимного доступа выполните следующие действия.

  1. Введите имя учетной записи в диалоговом окне Authentication Methods (Методы аутентификации). Для учетной записи домена используйте формат имени имя_домена\имя_пользователя .
  2. Для поиска нужного имени нажмите на кнопку Browse (Обзор). Появится стандартное окно выбора объекта Windows 2003.
  3. В этом окне выберите имя учетной записи пользователя и ее место расположения. Поиск можно произвести нажатием на кнопку Advanced (Дополнительно).
  4. После выбора учетной записи нажмите на кнопку OK.
  5. Введите пароль учетной записи в текстовом поле Password (Пароль). После нажатия на кнопку OK появится окно подтверждения пароля.

При указании имени пользователя и пароля IIS не проверяет правильность этой информации. Если данные введены неправильно, IIS будет работать с отключенным анонимным доступом к сайту. Обнаружить это довольно сложно, так как Internet Explorer автоматически будет использовать другие методы аутентификации, например, входные данные зарегистрированного в системе пользователя. Как администратор вы получите доступ к ресурсам, а вот как пользователь-гость – нет. Выяснить аутентифицируемого в данный момент пользователя можно при помощи файла журнала сайта, в котором фиксируется этот процесс. При использовании учетной записи, не имеющей доступа к указанному ресурсу, появится окно для ввода аутентификационных данных.

Аутентифицированный доступ. Секция Authenticated Access окна Authentication Methods (Методы аутентификации) отображает типы аутентификации, включенные на сайте. Если гостевая учетная запись IIS не имеет доступа к ресурсу, IIS проверяет доступные типы аутентификации.

    Интегрированная аутентификация Windows. Наиболее безопасный способ аутентификации, прекрасно подходит для любых версий браузера Internet Explorer в отсутствие HTTP-proxy. Он встраивается во все браузеры IE, начиная с версии 2.0. Браузеры типа Netscape не поддерживают данный метод аутентификации. Интегрированная аутентификация Windows использует на сервере принцип NT запрос/ответ или протокол Kerberos. При поддержке клиентом и сервером Kerberos и в случае доступности доверенного центра распространения ключей Key Distribution Center ( KDC ) используется протокол Kerberos; в противном случае – принцип NT запрос/ответ.

Аналитическая аутентификация для серверов доменов Windows. Аналитическая аутентификация доступна при использовании учетных записей Active Directory. Данный метод, хотя и связан с некоторыми опасностями, все же более безопасен, чем базовая аутентификация. Наряду с Active Directory требуется также наличие протокола HTTP 1.1, поэтому аналитическая аутентификация работает только с новыми версиями браузеров, поддерживающими этот протокол. Нужно также, чтобы контроллер домена содержал открытую копию каждого пароля для проверки паролей на наличие случайной информации, отправляемой клиентом. В этом и заключается угроза безопасности. Сохранение паролей в открытом виде на диске представляет собой очевидный риск, поэтому убедитесь, что контроллер домена надежно защищен от вторжений, в противном случае злоумышленник может выяснить необходимые ему пароли. Преимуществом аналитической аутентификации является то, что пароль не передается через сеть в открытом виде, как в базовой аутентификации.

Аналитическая аутентификация представляет собой простой хэш и поэтому работает через сетевые экраны и прокси-серверы. Она доступна и для каталогов Web-based Distributed Authoring and Versioning ( WebDAV ). Поскольку для аналитической аутентификации нужен домен, при ее выборе становится доступным поле Realm (Область). Если аналитическая (или базовая) аутентификация не включена, поле Realm (Область) недоступно. В этом поле указывается база данных учетных записей пользователей, используемая при аутентификации. Введите в поле имя области с клавиатуры или с помощью кнопки Select (Выбор) выберите нужное имя из списка областей.

Ограничение доступа по IP-адресу или имени домена

IIS позволяет ограничить доступ к сайту пользователей без указания имени пользователя и пароля. С помощью ограничения по IP-адресам указывается конкретная группа пользователей, которой предоставляется или запрещается доступ к сайту. Это используется в следующих случаях.

  • Необходимо обеспечить доступ к сайту определенной группе пользователей.
  • Известны все IP-адреса пользователей, которым предоставляется доступ.

  • Нужно запретить другим пользователям доступ к сайту.
  • Нет необходимости в аутентификации как в средстве контроля доступа, либо нужно использовать еще одно ограничение.

Если вы решили ограничить доступ по IP-адресам, то эти ограничения необходимо настроить. Нажмите на кнопку Edit (Изменить) в области IP Address And Domain Name Restrictions (Ограничения по IP-адресу и доменному имени) во вкладке Directory Security (Безопасность каталога). После нажатия на кнопку Edit (Изменить) откроется диалоговое окно IP Address And Domain Name Restrictions (Ограничения по IP-адресу и доменному имени) (см. рис. 2.13). Необходимо выбрать способ установки ограничения: запретить доступ всем пользователям, кроме отдельных конкретных лиц, либо разрешить доступ всем и наложить запрет на доступ к сайту определенным пользователям. При выборе опции Granted Access (Открыть доступ) подход к ограничению будет лояльным; при выборе опции Denied Access (Запретить доступ) претворится в жизнь принцип «запретить доступ всем, за некоторым исключением».

Изменение ограничений по IP-адресу. Для добавления в список IP-адреса нажмите на кнопку Add (Добавить). Появится окно Grant Access (Предоставить доступ) или Deny Access (Запретить доступ) в зависимости от того, какая опция выбрана.

Выбор предоставления или запрета доступа является глобальным решением. Нельзя отказать в доступе некоторым IP-адресам и разрешить доступ другим. Здесь нужно действовать по принципу «все или ничего». Выберите необходимый тип доступа.

  • Один компьютер. Позволяет ввести IP-адрес в список доступа. Таким способом можно последовательно указать несколько компьютеров. Если IP-адрес компьютера неизвестен, нажмите на кнопку DNS Lookup (Поиск по DNS) для определения IP-адреса по имени.
  • Группа компьютеров. Позволяет ввести идентификатор сети и маску подсети для добавления компьютеров в список. С помощью масок подсети переменной длины можно довольно точно определить IP-адреса в списке.
  • Доменное имя. Позволяет ввести имя домена для запрета с него доступа к сайту. Будьте внимательны при использовании этой опции, так как при ее работе выполняется обратный поиск по отношению к каждому клиенту, подключающемуся к серверу, и выяснение того, не является ли он членом запретного домена. Это отрицательно сказывается на производительности и вызывает задержки при аутентификации клиентов. Операции обратного поиска, как правило, требуют большого количества времени для выполнения.

После выбора и настройки типа доступа нажмите на OK, чтобы соответствующая запись появилась в списке.

Для удаления выделите запись и нажмите на кнопку Remove (Удалить). Для изменения выделите запись и нажмите на кнопку Edit (Изменить).

Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012

В веб-сервере IIS 7 и более ранних версий присутствовала встроенная функциональность, позволявшая администраторам разрешать или запрещать доступ для конкретного IP-адреса или пула адресов. При блокировке IP-адреса, любой HTTP-клиент, использовавший его, получал сообщение об ошибке с кодом “403.6 Forbidden”.

С помощью данной функции администраторы могут управлять доступом к своему серверу и реагировать на подозрительную активность в сети.

В новой версии веб-сервера IIS 8.0 компания Microsoft расширила описываемую функциональность, добавив несколько новых возможностей:

Виртуальный сервер на базе Windows

  • Лицензия включена в стоимость
  • Тестирование 3-5 дней
  • Безлимитный трафик
  • Динамическую фильтрацию IP-адресов, которая позволяет администраторам настраивать сервер таким образом, чтобы блокировать доступ для IP-адресов, количество запросов с которых превышает заданный порог.
  • Теперь функции фильтрации IP-адресов позволяют администраторам настраивать поведение веб-сервера при блокировке IP-адреса, таким образом, чтобы соединение разрывалось, вместо отправки клиенту ошибки HTTP 403.6.
  • Появилась новая функция фильтрации — режим прокси, который позволяет блокировать IP-адреса не только на основе IP клиента, который виден IIS, но и на основе значений x-forwarded в HTTP-заголовке.

Чтобы воспользоваться этими функциями необходим сервер под управлением Windows Server 2012 с установленным IIS 8.0.

Необходимо активировать дополнительные роли:

Настройка блокировки на основе HTTP-запросов


IIS 8.0 можно настроить так, чтобы он блокировал доступ к сайту на основе количества запросов, отправленных конкретным HTTP-клиентом за определенный промежуток времени, или на основе числа одновременных подключений, установленных клиентом.

Для настройки запрета на основе числа HTTP-запросов, необходимо зайти диспетчер служб IIS (с правами администратора), затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели выбрать пункт «Изменить динамические параметры ограничения»:

В появившемся диалоговом окне нужно поставить галочки в пунктах «Запретить IP_адрес с учетом количества параллельных запросов» и «Запрет IP-адреса по количеству запросов за период времени»:

После этого нужно нажать «ОК».

Настройка IIS для запрета доступа с IP-адреса

В IIS 7 и более ранних версий веб-сервер возвращал ошибку “403.6 Forbidden” клиенту, которому был запрещен доступ по IP. В IIS 8.0 адмнистраторы могут настраивать запрет на доступ разными способами.

Для этого нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно выбрать «Запрещено» в пункте «Запретить тип действия»:

Настройка режима прокси

При фильтрации по IP-адресам возникает проблема, которая заключается в том, что многие клиенты обращаются к веб-серверу через различные межсетевые экраны, балансировщики нагрузки и прокси-серверы — в таком случае IIS увидит лишь IP-адрес ближайшего к нему такого узла, за которым могут скрываться как благонадежные клиенты, так и те, которых стоит заблокировать. В IIS 8.0 администраторы могут настроить веб-сервер таким образом, чтобы он в дополнение к IP-адресу анализировал HTTP-заголовк x-forwarded-for, чтобы понимать, какой запрос нужно заблокировать, а какой нет. Эта функция называется режимом прокси.

Для того, чтобы настроить этот режим, нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно поставить галочку напротив пункта «Разрешить режим прокси-сервера», а затем нажать «ОК»:

Доступ к файлам в хостинге с IIS

  • Группа: Пользователи
  • Сообщений: 2 133

С IIS не работал ни разу в жизни, до недавнего времени даже не знал основ этой программы.
Но так уж случилось, что нужно произвести некоторую настройку на сайте под управлением этой твари.

Необходимо запретить доступ к определённым файлам из браузера, но так, чтобы скрипты PHP, исполняющиеся на сервере, имели к ним доступ(к некоторым на чтение, к некоторым на чтение/запись).

Известно, что PHP на сервере запущен как CGI-приложение.

Т.е. необходим некий аналог

CODE
deny from all
  • рядовой пользователь
  • Группа: Пользователи
  • Сообщений: 898

QUOTE (A-Maverick @ 03 сентября 2008, 10:16)
Необходимо запретить доступ к определённым файлам из браузера, но так, чтобы скрипты PHP, исполняющиеся на сервере, имели к ним доступ(к некоторым на чтение, к некоторым на чтение/запись).

Сообщение отредактировал nickp: 03.09.2008 — 11:17

  • Квантовый релятивист
  • Группа: Пользователи
  • Сообщений: 2 133
QUOTE (nickp @ 03 сентября 2008, 11:09)
как вариант, назначить права на файлы на уровне NTFS

А как это сделать?
В распоряжении имеется лишь контрольная панель и доступ по фтп. И первая, по-моему, ещё и глючит.

Кстати, ещё подскажите, как сменить индексовый файл?
(опять же, аналог у .htaccess

CODE
DirectoryIndex «index.php»

Сообщение отредактировал A-Maverick: 03.09.2008 — 11:31

  • рядовой пользователь
  • Группа: Пользователи
  • Сообщений: 898

через контрольную панель не в курсе, а через средства администрирования IIS так:
открыть свойства web-узла — Документы — добавить index.php

по поводу разграничения доступа — не нашел в настрйоках IIS какимх-бы то ни было параметрво для этого, кроме как давать права на вирутальыне каталоги (полные или только чтение) и разрешать/запрещать зщапуск скриптов или приложений.

Как разрешить / запретить пользователям вход на компьютеры в домене AD

По умолчанию при создании пользователя в AD он автоматически добавляется в группу Domain Users. Группа Domain Users в свою очередь по умолчанию добавляется в локальную группу Users на компьютере при добавлении его в домен AD. Это означает что любой пользователь домена может войти на любой компьютер в сети. В этой статье мы рассмотрим основные способы ограничения возможности входа пользователей на компьютеры домена.

Разрешаем вход только на определенные компьютеры в свойствах пользователя AD

В небольших доменах вы можете в свойствах каждого пользователя в AD ограничить возможность входа под его учетной на компьютеры домена. Например, вы хотите, чтобы конкретный пользователь мог входить только на свой компьютер. Для этого:

  1. Запустите оснастку ADUC (Active Directory Users and Computers), выполнив команду dsa.msc.
  2. С помощью поиска найдите учетную запись пользователя, которому нужно разрешить вход только на определённые компьютеры и откройте его свойства.
  3. Перейдите на вкладку Account и нажмите кнопку Log On To.
  4. Как вы видите, пользователю разрешено входить на все компьютеры (The user can log on to: All computer). Чтобы разрешить пользователю доступ на определенные компьютеры, выберите опцию The following computers и добавьте в список имена компьютеров, но которые ему разрешено логиниться.

Изменяем атрибут LogonWorkstations с помощью PowerShell

Вручную ограничивать вход пользователей на компьютеры домена довольно утомительно. С помощью PowerShell можно автоматизировать это действия. Список компьютеров, на которые разрешено входить пользователю хранится в атрибуте пользователя в AD – LogonWorkstations. Например, наша задача разрешить определенному пользователю входить только на компьютеры, чьи имена содержатся в текстовом файле computers.csv


Скрипт может выглядеть так (сначала загружаем модуль AD для Powershell):

Import-Module ActiveDirectory
$ADusername = ‘aapetrov’
$complist = Import-Csv -Path «C:\PS\computers.csv» | ForEach-Object <$_.NetBIOSName>
$comparray = $complist -join «,»
Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
Clear-Variable comparray

С помощью следующей команды можно вывести список компьютеров, на которые разрешено входить пользователю можно с помощью командлета Get-ADUser.

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

Либо можно посмотреть список компьютеров в консоли ADUC.

Чтобы добавить в список новый компьютер, воспользуйтесь такой командой:

$Wks = (Get-ADUser dvivannikov -Properties LogonWorkstations).LogonWorkstations
$Wks += «,newpc»
Set-ADUser aapetrov -LogonWorkstations $Wks

Ограничиваем вход на компьютеры с помощью GPO

В больших доменах использовать свойство пользователя LogonWorkstations для ограничения доступ пользователей к компьютерам нецелесообразно из-за ограничений и недостаточной гибкости. Как правило, чтобы запретить пользователям входить на некоторые ПК? используют групповые политики.

Можно ограничить список пользователей в локальной группе Users с помощью политики Restricted Groups (Windows Settings -> Security Settings), но мы рассмотрим другой вариант.

Есть две групповые политики, которые находятся в разделе Computer Configuration -> Policies -> Security Settings -> Local Policies -> User Rights Assignment (Конфигурация пользователя -> Политики -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя):

  • Deny log on locally (Запретить локальный вход) – позволяет запретить локальный вход на компьютеры для определенных пользователей или групп;
  • Allow log on locally (Локальный вход в систему) – содержит список пользователей и групп, которым разрешено входить на компьютер локально.

Например, чтобы запретить пользователям определенной группы входить на компьютеры в некой OU, вы можете создать отдельную группу пользователей, добавить ее в политику Deny log on locally и назначить ее на OU с компьютерами, доступ к которым вы хотите ограничить.

В больших доменах можно использовать комбинацию этих политик. Например, вы хотите запретить пользователям входить на компьютеры других OU.

Для этого в каждой OU нужно создать группу безопасности, куда нужно включить всех пользователей OU.

Import-module ActiveDirectory
$rootOU = “OU= Users,OU=MSK,DC=winitpro,DC=ru”
$group = “corp\msk-users”
Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object

Затем нужно включить политику Allow log on locally, добавить в нее эту группу (+ различные администраторские группы: Domain Admins, администраторы рабочих станций и прочее) и назначить политику на OU с компьютерами. Таким образом вы разрешите только пользователям конкретного OU входить на компьютеры.

При попытке входа пользователя, которому не разрешен локальный вход, появится окно с предупреждением:

Несколько важных моментов касательно данных политик:

    Не стоит применять данные политики, для ограничения доступа к серверам и тем более к контроллерам домена.

Запрет доступа к базам данных при использовании IIS

Не совсем уверен, как это выразить, поэтому я просто предоставлю как можно больше информации.

У меня есть приложение asp.net, которое использует SELECT в таблице базы данных. Строка подключения — это что-то вроде:

«Источник данных = данные \ Источник; начальный каталог = DataStore; Integrated Security = True»

Это работает, когда я использую приложение локально. Выполняется запрос, информация извлекается, все подливы.

Проблема в том, что я пытаюсь опубликовать свой сайт с помощью iis. После его публикации я получаю следующую ошибку при попытке выполнить запрос:

Разрешение SELECT было отклонено на объекте «объект», базе данных «DataStore», схеме «dbo».

Я немного здесь, и я не знаком с IIS или безопасностью. Любая помощь приветствуется, и я постараюсь ответить на любые вопросы, которые могут возникнуть как можно быстрее.

Настройка IIS¶

В версии 8.3.0 способ связки с IIS (всех версий старше 5.1) претерпел разительные изменения. Теперь вместо соединения IIS IPI.Manager на основе FastCGI используется наш собственный ISAPI модуль. Это позволило сделать настройку намного проще, саму работу IPI.Manager гибче и стабильнее.


Версии IIS выходили вместе с разными версиями Windows по следующей схеме:

Версия IIS Версии Windows Поддержка IPI.Manager
IIS 5.1 Windows XP 32bit не поддерживается
IIS 6.0 Windows XP 64bit Windows Server 2003 (32/64bit) поддерживается
IIS 7.0 Windows Vista 32/64bit Windows Server 2008 (32/64bit) поддерживается
IIS 7.5 Windows 7 32/64bit Windows Server 2008 R2 (32/64bit) поддерживается

Таким образом IPI.Manager может работать в паре с IIS всех версий, начиная с IIS 6.0.

Для работы IPI.Manager под Windows XP 32bit можно использовать либо встроенный веб-сервер, либо Apache 2.

Описание¶

Здесь и дальше употребляются следующие псевдо-термины:

: папка с профилем, который Вы должны были создать ранее (например, C:ipimy_profile).

: аккаунт, под которым будет запускаться Windows-служба IPI.Manager.

: аккаунт, под которым будет запускаться пул приложения IPI.Manager в IIS

Принцип связи с IIS следующий: с одной стороны запускается сервис с IPI.Manager, который слушает соединения на каком-либо порту (на любом =)). Информация о созданном сервисе (включая порт) сохраняется в

/share/settings.yaml и используется как для запуска сервиса, так и для соединения к нему модуля ISAPI. Затем с другой стороны в IIS вставляется модуль ipimanager_isapi.dll и docroot сайта ставится в

/share/htdocs . Наш ISAPI модуль смотрит на docroot и ищет

/share/settings.yaml . Когда находит — видит, что сервис IPI.Manager запущен на порту NNNN и пытается соединится с ним.

Таким образом, краткий порядок действий для настройки таков (ниже эти шаги будут расписаны более подробно):

  1. Настроить права доступа к файлам
  2. Настроить и запустить сервис IPI.Manager
  3. (опционально) Создать новый сайт в IIS
  4. Установить docroot сайта в IIS на

/share/htdocs

  • Добавить в IIS модуль ipimanager_isapi.dll
  • Настройка прав доступа к файлам¶

    В дальнейшем у вас будет запускаться два процесса — один будет сервисом Windows, другой будет запускать IIS при создании пула приложения IPI.Manager. По умолчанию IIS запускает приложения от имени NETWORK_SERVICE, а сервис Windows запускает от имени System Logon Account. Если вы не особо заботитесь о безопасности — Вас это волновать не должно, но лучше создать отдельного пользователя, скажем, IPI.Manager User и прописать его в обоих местах.

    В любом случае права на доступ к файлам должны быть следующими:

    Пользователь, под которым запускается сервис:

    чтение и запись в папку профиля (

    только чтение в папку с системными файлами IPI.Manager ( C:\Program Files\IPI\IPI.Manager\ )

    Пользователь, под которым IIS создаёт пул приложений

    только чтение в папку профиля (

    только чтение в папку с системными файлами IPI.Manager ( C:\Program Files\IPI\IPI.Manager\ )

    Если же у вас всё запускаться планируется под 1 пользователем — значит он должен иметь права на чтение и запись в папку профиля и только чтение в папку C:\Program Files\IPI\IPI.Manager\

    В случае, если отдельного пользователя не создавать, это означает что пользователю NETWORK_SERVICE нужно дать права на чтение и в папку C:\Program Files\IPI\IPI.Manager\ и в папку

    Настройка и запуск сервиса IPI.Manager¶

    Нужно перейти в папку профиля в консоли ( cmd.exe ) и выполнить:

    Порт можно выбрать любой. Но как правило, это порты выше 10000-го и те, которые не заняты ничем другим. Консоль после этого можно закрыть — сервис будет работать самостоятельно.

    Сервис будет создан со следующими параметрами:

    пользователь: локальный системный аккаунт

    запуск: автоматический (при старте Windows)

    действия при исключениях: ничего не делать

    С умолчательными параметрами всё будет работать тоже, но для тонкой и правильной настройки любой уважающий себя администратор захочет ещё кое-что изменить. Это все изменяемо стандартными средствами Windows. Для изменения нужно открыть свойства сервиса (My computer (Мой компьютер)-> Правый клик -> Manage (Управление) -> Services and Applications -> Services). Там в списке сервисов найти IPI.Manager Command runfcgi -> правый клик -> Properties (свойства).

    Во-первых целесообразно изменить действия операционной системе при сбое сервиса. Во всех случаях — перезапуск:

    Во-вторых хорошо бы запускать сервис не от имени системного пользователя, а от имени какого-либо другого. Мы советуем создать специального пользователя.

    После любых изменений сервис нужно перезапускать. Это можно делать как средствами Windows (либо в диалоговом окне свойств, либо через sc.exe ), либо средствами комманды ipi-admin :

    Установка IIS7¶

    Если IIS ещё не установлен, его нужно установить. Для этого достаточно добавить роль веб-сервера с нужными параметрами.

    Далее обязательно нужно выбрать сервис ISAPI Extensions:

    Добавление модуля ipimanager_isapi.dll¶

    У вас уже должен быть установлен пакет IIS для Windows!

    IIS 6¶

    • Windows XP 64bit
    • Windows Server 2003 32/64bit

    Откройте менеджер настроек IIS (Пуск -> Выполнить -> inetmgr).

    Создайте новый веб-сайт:

    Описание — любое (лучше всего использовать имя будущего домена, например ipimanager.mycompany.ru). Домашнюю папку укажите как

    \share\htdocs . Если установить неправильно — впоследствии вам будет об этом сообщено. Естественно, в виде ошибки =).

    Затем создайте новый пул приложений. Назовите его IPI.Manager App Pool.

    Вы можете так же изменить учётную запись пула (по-умолчанию это будет NETWORK_SERVICE, то есть процесс IPI.Manager ISAPI будет запускаться от имени этого пользователя). При этом нужно обязательно добавить эту учётную запись в группу IIS_WPG, иначе ничего работать не будет. Если всё сделаете правильно, и процесс ipimanager_service.exe и w3wp.exe (это процесс IIS) будут запущены от имени одного пользователя:

    Затем откройте свойства сайта. На вкладке Home Directory сначала удалите приложение, а затем создайте заново (кликнуть на Remove, затем на Create). В качестве пула приложений для только чт созданного приложения выберите созданный вами ранее пул IPI.Manager App Pool. Название приложения укажите как IPI.Manager ISAPI Handler. Нажмите Применить и потом зайдите в настройки приложения (кнопка Configuration там же, рядом).

    В блоке Wildcard application maps нажмите Insert. В появившемся диалоговом окне выберите файл C:Program FilesIPIIPI.Manageripimanager_isapi.dll. Уберите галочку Verify that file exists и попрбуйте сохранить. Если диалоговое окно недовольно скажет, что имена файлов с пробелами нужно обрамлять кавычками — сделайте это (т.е. получится что-то вроде «C:\Program Files\IPI\IPI.Manager\ipimanager_isapi.dll» ). Сохраните всё.

    В старых версиях IPI.Manager использовался хендлер fcgiext.dll. Если он есть в списке Wildcard application maps, нужно его оттуда удалить.

    Затем в диалоговом окне управления IIS (Пуск -> Выполнить -> inetmgr) кликните правой кнопкой по Web Service Extensions и выберите Add new Web service extension. . В появившемся окне задайте любое имя расширению (например, IPI.Manager ISAPI Handler), в качестве требуемых файлов добавьте C:\Program Files\IPI\IPI.Manager\ipimanager_isapi.dll и статус расширения выберите как Allowed (Разрешённое).

    Теперь не забудьте запустить сам веб-сайт

    После этого можете попробовать открыть сайт в браузере (для начала, http://localhost/). По идее всё будет работать сразу же.

    Возможные ошибки будут такими же как и для IIS7 / IIS7.5, о них смотрите в разделе ниже.

    IIS7 / IIS7.5¶

    • Windows Vista 32/64bit
    • Windows Server 2008 32/64bit
    • Windows 7 32/64bit
    • Windows Server 2008 R2 32/64bit

    Откройте менеджер настроек IIS (Пуск -> Выполнить -> inetmgr).

    Создайте новый веб-сайт:

    Название сайта — любое. Application pool — тот, который вы создали ранее. Удобнее всего использовать название будущего домена (например, manager.mycompany.ru). Домашнюю папку укажите как

    \share\htdocs . Если установить неправильно — впоследствии вам будет об этом сообщено. Естественно, в виде ошибки =). Выключите галочку Start web site immidiately.

    Зайдите в список пулов приложений, там будет только что созданный пул специально для нового сайта. Откройте его базовые опции и выключите ASP.NET

    Откройте расширенные опции и разрешите запуск 32-битных приложений

    Откройте Handler Mappings

    Добавьте Wildcard script map

    В старых версиях IPI.Manager использовался хендлер fcgiext.dll . Если он есть в списке Handler Mappings, нужно его оттуда удалить.

    На вопрос — создавать ли исключение для ISAPI/CGI, ответье Yes (Да):

    Теперь откройте ISAPI/CGI Restrictions

    Илон Маск рекомендует:  Запуск внешнего приложения и ожидание его завершения
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL