我們強烈建議所有使用者升級至 Microsoft Windows Server 2008 上執行的 Microsoft 網際網路資訊服務(IIS)版本7.0。 IIS 7.0 大大增強了 Web 基礎結構的安全性。如需有關 IIS 安全性相關主題的詳細資訊,請造訪下列 Microsoft 網站:

如需有關 IIS 7.0 的詳細資訊,請造訪下列 Microsoft 網站:

本文適用於 Windows 2000。 對 Windows 2000 的支援已於 2010 年 7 月 13 日結束。是您規劃從 Windows 2000 移轉策略的起點。 如需詳細資訊,請參閱 。

摘要

本文逐步說明如何針對 Microsoft Internet Information Services (IIS)5.0 中的 Web 要求設定驗證。

Web 驗證的運作方式

Web 驗證是網頁瀏覽器與網頁伺服器之間的通訊,其中涉及少量的超文字傳輸通訊協定(HTTP)標頭和錯誤訊息。通訊流程如下:

  1. 網頁瀏覽器提出要求,例如 HTTP-取得。

  2. Web 服務器會執行驗證檢查。 如果由於需要驗證而失敗,伺服器會傳回如下所示的錯誤訊息:

    您無權查看此 pageYou 沒有許可權使用您所提供的認證來查看此目錄或頁面。

    此訊息中包含的資訊,網頁瀏覽器可以用來將要求重新提交為經過驗證的要求。

  3. 網頁瀏覽器會使用伺服器的回應來構造包含驗證資訊的新要求。

  4. Web 服務器會執行驗證檢查。 如果檢查成功,則 Web 服務器會將最初要求的資料傳送回到網頁瀏覽器。

驗證方法

注意:使用下列部分驗證方法時,您必須使用已使用 ntfs 檔案系統格式化的磁片磁碟機,因為 ntfs 格式化的磁碟機會維持最高的安全性等級。IIS 支援五個下列的 Web 驗證方法:

匿名驗證

IIS 會建立 IUSR_computername 帳戶(其中 computername 是電腦的名稱),以便在匿名使用者要求網頁內容時進行驗證。 這個帳戶為使用者提供本機登入的權利。 您可以將匿名使用者存取權重設為使用任何有效的 Windows 帳戶。注意:您可以針對不同的網站、虛擬目錄、物理目錄及檔案設定不同的匿名帳戶。如果 Windows 2000 電腦是獨立伺服器,則 IUSR_computername 帳戶是在本機伺服器上。 如果伺服器是網網域控制站,則會為網域定義 IUSR_computername 帳戶。

基本驗證

使用基本驗證,限制對 NTFS 格式網頁伺服器上檔案的存取權。 在基本驗證中,使用者必須輸入認證,且存取權是以使用者識別碼為基礎。若要使用基本驗證,請向每個使用者授予在本機登入的許可權,並讓管理更容易,將他們新增到可存取所需檔案的群組。注意:因為使用者認證是使用 Base64 編碼來編碼,但在透過網路傳輸時不會加密,所以基本驗證會視為不安全的驗證形式。

整合式 Windows 驗證

整合式 Windows 驗證比基本驗證更安全,而且在使用者擁有 Windows 網域帳戶的內部網路環境中,它也能正常運作。 在整合式 Windows 驗證中,瀏覽器會嘗試從網域登入目前使用者的認證,如果這項操作失敗,系統會提示使用者輸入使用者名稱和密碼。 如果您使用整合式 Windows 驗證,使用者的密碼就不會傳送到伺服器。 如果使用者以網域使用者身分登入本機電腦,則當使用者存取該網域中的網路電腦時,使用者就不需要再次進行驗證。注意:您無法透過 proxy 伺服器使用整合式 Windows 驗證。

摘要式驗證

[摘要式驗證] 會解決基本驗證的許多缺點。 使用摘要式驗證時,密碼不會以明文傳送。 此外,您也可以透過 proxy 伺服器使用摘要式驗證。 [摘要式驗證] 使用質詢/回應機制(這是一種整合式 Windows 驗證使用),其中密碼是以加密格式傳送的。 若要使用摘要式驗證:

  • Windows 2000 的伺服器必須位於網域中。

  • 您必須在網網域控制站上安裝 IISSuba 檔案。 在 Windows 2000 Server 安裝期間,系統會自動複製此檔案。

  • 您必須將所有使用者帳戶設定為 [儲存密碼],並啟用 [以 可逆加密 帳戶] 選項。 [啟用這個帳戶] 選項需要重設或重新輸入密碼。

注意:如果您使用的是摘要式驗證,就必須使用 Microsoft Internet Explorer 5.0 或更新版本作為網頁瀏覽器。

用戶端憑證對應

用戶端憑證對應是在憑證與使用者帳戶之間建立「對應」的方法。 在這個模型中,使用者會出示一個憑證,系統會查看對應來判斷應該登入的使用者帳戶。 您可以使用下列兩種方法的其中一種將憑證對應至 Windows 使用者帳戶:

  • 使用 Active Directory。

  • 使用 IIS 中定義的規則。

如需有關如何將用戶端憑證對應至使用者帳戶的其他資訊,請在 IIS 檔中搜尋用戶端憑證對應。 如果您已安裝 IIS,您可以在網頁瀏覽器的網址列中輸入下列 URL 來查看 IIS 檔,其中 localhost 是本機主機的名稱:

http://localhost/iisHelp/iis/misc/default.asp如需如何使用憑證的詳細資訊,請按一下下列文章編號,以查看 Microsoft 知識庫中的文章:

如何使用憑證伺服器2.0 在 Windows 2000 的 IIS 5 測試環境中設定 SSL您可以設定每個驗證方法,以控制對 IIS 伺服器上下列專案的存取權:

  • 在 IIS 伺服器上裝載的所有網頁內容。

  • 在 IIS 伺服器上託管的個別網站。

  • 個別的虛擬目錄或網站中的物理目錄。

  • 網站中的個別頁面或檔案。

如何設定 IIS 網站驗證

  1. 使用系統管理帳戶登入 Web 服務器電腦。

  2. 按一下 [ 開始],指向 [ 程式],指向 [ 管理工具],然後按一下 [ Internet 服務管理員]。[網際網路資訊服務] 管理單元隨即啟動。

  3. 在主控台樹中,按一下 [*電腦名稱稱是電腦名稱] 的 [ 電腦名稱]。

  4. 以滑鼠右鍵按一下下列其中一個專案,然後按一下 [ 屬性]:

    • 若要針對 IIS 伺服器上裝載的所有網頁內容設定驗證,請以滑鼠右鍵按一下 [ * 電腦名稱稱]。

    • 若要為個別網站設定驗證,請以滑鼠右鍵按一下您想要的網站。

    • 若要為網站上的虛擬目錄或實體目錄設定驗證,請按一下您想要的網站,然後以滑鼠右鍵按一下您想要的目錄,例如 [ _vti_pvt]。

    • 若要針對網站中的個別頁面或檔案設定驗證,請按一下您要的網站,按一下包含所需檔案或頁面的資料夾,然後以滑鼠右鍵按一下您要的檔案或頁面。

  5. 在 [ 專案名稱 屬性 ] 對話方塊中,[ 專案 名稱] 是您所選取之專案的名稱,按一下 [ 目錄安全性 ] 索引標籤。注意:如果選取的專案是個別檔案,請按一下 [檔案 安全性 ] 索引標籤。

  6. 在 [ 匿名存取及驗證控制] 底下,按一下 [ 編輯]。

  7. 按一下以選取 [ 匿名存取 ] 核取方塊,以開啟 [匿名存取]。 若要關閉匿名存取,請按一下以清除此核取方塊。注意:如果您關閉 [匿名存取],您必須設定某種形式的驗證存取權。

    1. 若要變更用來匿名存取此資源的帳戶,請按一下 [匿名存取所用的帳戶] 旁的 [編輯]。

    2. 在 [ 匿名使用者帳戶 ] 對話方塊中,按一下您要用來進行匿名存取的使用者帳戶。

    3. 如果您想要使用 Windows LogonUser () API 進行使用者驗證,請按一下以清除 [ 允許 IIS 控制密碼 ] 核取方塊。注意:只要關閉此密碼控制選項,就會強制 IIS 使用一般驗證,並在本機記錄帳戶。 如果使用者在網路電腦上存取資源(例如檔案或 Microsoft Access 資料庫)時遇到困難,您就應該關閉此選項。

    4. 按一下 [確定]。

  8. 在 [ 經過驗證的存取] 底下,按一下以選取 [ 基本驗證(以明文傳送密碼) ] 核取方塊,以開啟基本驗證。 當您收到下列訊息時,請按一下 [是]:

    您所選取的驗證選項會導致密碼以無資料加密方式在網路上傳輸。 企圖危害您的系統安全性的人,可以在驗證程式期間使用通訊協定分析程式來檢查使用者密碼。 如需有關使用者驗證的詳細資訊,請參閱線上協助。 此警告不適用於 HTTPS (或 SSL)連線。您確定要繼續嗎?

    1. 若要選取要用來驗證使用基本驗證之使用者的網域,請按一下 [ 編輯 ],然後 選取預設網域

    2. 在 [ Domain Name ] (功能變數名稱)方塊中輸入您想要的網域,然後按一下 [確定]。注意: 如果您擔心內部網路上的安全性,因為基本驗證會以明文傳送使用者名稱和密碼資訊,所以您可以使用基本驗證與安全通訊端層(SSL)搭配使用。

  9. 按一下以選取 [ Windows 網域伺服器的摘要式驗證 ] 核取方塊以使用摘要式驗證。 當您收到下列訊息時,請按一下 [是]:

    [摘要式驗證] 只適用于 Windows 2000 網域帳戶,且要求帳戶將密碼儲存為加密的明文文字。您確定要繼續嗎?注意:您必須將使用者帳戶設定為開啟 [ 使用可逆加密 帳戶] 選項的 [儲存密碼]。

  10. 按一下以選取 [ 整合 windows 驗證 ] 核取方塊,以使用集成 windows 驗證。注意:此驗證方法先前稱為「MICROSOFT Windows NT 質詢/回應」或「NT LAN MANAGER (NTLM)」。

  11. 按一下 [確定],然後在 [ 專案名稱 屬性 ] 對話方塊中,按一下 [確定]。 如果 [ 繼承覆蓋 ] 對話方塊隨即開啟:

    1. 按一下 [ 全選 ],將新的驗證設定套用到您所變更之專案內的所有檔案或資料夾。

    2. 按一下 [確定]。

  12. 停止網際網路資訊服務。

參考

如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:

如何針對 Windows 2000 中的網頁伺服器進行疑難排解

如何使用 NTFS 許可權來保護在 IIS 4.0 或5上執行的網頁

如何在 IIS 上設定 FrontPage 網站上的許可權

設定摘要式驗證以搭配網際網路資訊服務5.0 使用

Facebook LinkedIn Email

Need more help?

Want more options?

探索 社群

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。

在 Microsoft 社群中提出問題

Microsoft 技術社群

Windows 測試人員

Microsoft 365 測試人員