摘要：绝大多数的安全事故都是人为疏忽造成的，管理员只有充分了解并设置好系统安全、IIS安全才能确保网站的安全。本文我们来分享下服务器如何进行IIS访问控制。

谈起网络安全，更多的人关注的财产损失。但是，相比网站安全来说，还有比财产损失更严重的，那就是网站的形象——企业的形象。绝大多数的安全事故都是人为疏忽造成的，管理员只有充分了解并设置好系统安全、IIS安全才能确保网站的安全。本文我们来分享下服务器如何进行IIS访问控制。

IIS访问控制

IIS访问控制权限应该只允许服务器管理员和企业的所有人更新网站的内容。应该允许公共用户查看网站，但是不能更改网站的内容。要按此方式控制对目录和文件的访问，必须使用NTFS格式的驱动器，而不能使用FAT32格式的驱动器。如果使用FAT32，用户将拥有硬盘驱动器上每个文件的访问权限。

WebDAV是HTTP1.1协议的扩展，促进了基于HTTP连接的文件和目录管理。IIS通过使用WebDAV“动作”或命令，可以将属性添加到文件和目录中以及从文件和目录读取属性。文件和目录可以远程编辑、创建、删除、移动或复制。可以通过Web服务器权限或NTFS权限配置附加的访问控制。

IIS服务器证书

IIS服务器证书给用户提供了一种确认网站身份的方法。服务器证书包含详细的标识信息，如与服务器内容相关的机构的名称，签发证书机构的名称和用于建立加密连接的“公钥”。用户可使用此类信息确定Web服务器内容的真实性以及安全HTTP连接的完整性。

使用SSL，Web服务器还有通过检查客户端证书内容验证用户的选项。典型的客户端证书包含有关用户和签发证书及“公钥”的机构的详细信息。可以使用客户端证书验证，结合SSL加密技术，实现安全性较高的方法以检验用户的身份。

IIS审核

IIS中许多安全功能执行Internet通讯标准。这些标准有助于应用程序和信息的一致与跨平台使用。Microsoft承诺配合Internet与计算机委员会，一起协助构建良好的标准，同时自己执行这些标准。

SecureSocketsLayer(SSL3.0)是一个基于公钥的安全协议，该协议是由安全通道(Schannel)安全提供程序实施的。SSL安全协议在Internet浏览器和服务器的验证、信息的完整性和机密性中广泛使用。

正如万维网联合会网站上所述，基本身份验证是HTTP1.0规范的一部分(它以Base64编码格式通过网络发送密码)。大多数浏览器都支持此规范。另外，摘要式身份验证通过网络将身份验证信息作为“哈希”发送并且与代理服务器兼容。