Internet开发人员的验证和安全技术（8570）（转自microsoft）(二)

匿名请求

该种方式不需要从用户得到任何信息。默认情况下，当浏览器对一个页面发出web请求时， iis首先尝试不进行用户验证处理请求。要作到这一点，iis将扮演一个特定的windows nt 帐户—iusr_machinename (iusr_machinename的machinename是iis的主机计算机名)。该帐户在安装iis时创建。如果iis扮演iusr_machinename帐户时能够访问请求的资源，则该web页面将能够被匿名用户访问。

iusr_machinename帐户的密码和internet service manager（internet服务管理器）中输入的密码不匹配是匿名访问时发生的一个常见问题。当iis试图扮演iusr_machinename帐户时，它会提交在windows nt服务器的匿名登录文本框输入的密码。如果密码不正确，iis将无法使用iusr_machinename帐户。而一旦匿名访问失败，iis将会对所有用户进行验证。因为验证过程没有提示，所以站点的验证可能会失败，但原因却往往不明显。就此我已经告诉过许多遇到奇怪的安全问题的web站点管理员，因为他们的站点对每个用户进行验证，而他们却根本不知道这一点。如果你的页面访问其它诸如数据库或客户端组件（比如dlls）等资源，使用的验证类型将会有很大不同。

验证的请求

对用户身份的肯定确认是必要的。当iis无法使用iusr_machinename帐户时，iis将尝试验证并随后扮演用户以便确定该用户是否可以访问请求的资源。iis可以使用两种方法进行用户验证：盘问/响应验证和基本验证。这些方法在本文的后面进行讨论。验证的web访问通常最适合一个公司的intranet或其内部包含的，经过细致定义的工作组。不过即使这样，仍然还要考虑一些限制。

控制验证方法，以及关心的原因

iis service manager（iis服务管理器）工具是配置iis进行www、ftp和gopher服务的主要场所。不需要对www属性对话框的选项了解过多的细节，我们只需要关心几个关键项。默认情况下，密码验证选项组中选择了匿名和盘问/响应验证。第三种方法是基本验证，将在后面说明。让我们看看几种控制对你的web服务器进行访问的方式。

“允许匿名(allow anonymous)”选项框
如果选择了允许匿名（allow anonymous），iis将通过扮演匿名登录帐户（默认为iusr_machinename）尝试访问请求的资源。当iusr_machinename帐户被自动创建后，它会被分配一个随机密码，并被添加到guests组，赋予guest权限。选择或取消选择允许匿名是允许和禁止匿名访问整个web服务器的最佳方法。当取消选择允许匿名后，只有具有有效、可验证(使用基本验证或挑战/响应验证) windows nt帐户的用户能够得到服务。使用这种方式设置iis通常只适用于团体或成员性的设置，这时验证访问你的站点的所有用户很重要。
改变文件和文件夹的权限
ntfs级的权限在iis也得到支持，所以对文件和文件夹进行单独的权限设置能够在更小粒度上控制能被访问的页面。一个控制访问的常见方法如下：可被所有人查看的页面放置到一个文件夹中，而限制只能被站点管理员查看的页面放置到另一个文件夹。右键单击限制权限的文件夹，然后选择properties/securities/permissions。因为我们的目标是保证iis不能使用iusr_machinename帐户匿名访问限制权限的文件夹，所以应从访问列表中删除everyone组和iusr_machinename帐户。将文件放置于两个不同的文件夹确保使用了维护两个组的权限方式，这比一个文件接一个文件的进行权限维护要容易的多。
基于asp代码的安全

使用asp代码，你能够实现更为专门的安全功能(这比刚刚描述的功能要有趣的多)。例如，一些令人讨厌的用户会捣乱你的站点。而由于他们的ip地址可以由服务器活动日志中得到，所以你能够使用下面的代码禁止该地址访问：

<%if request.servervariables("remote_addr") = "200.200.157.4" then

response.buffer = true

response.status = ("401 unauthorized")

response.end

end if%>

在active server page内部具有许多变量可提供有关发送请求的浏览器的信息，以及有关iis自身的信息。(要得到服务器变量的详细列表，请参阅active server pages联机帮助。)例如， logon_user命令对于验证用户会返回其domain\username，对匿名用户返回空格。然后你能够使用服务器端代码检查特定用户并将他们定向到其它页面。我曾经见到过某些公司使用该技术将竞争对手拒之于他们的web站点之外。