25-07-2024, 06:57
Wenn ich daran denke, Webanwendungen auf IIS abzusichern, ist das Erste, was mir in den Sinn kommt, die Verwendung von Windows-Authentifizierung. Es ist einfach umzusetzen, und es kann eine solide Sicherheitsschicht zu deinen Web-Apps hinzufügen. Lass mich dich also durch den Prozess führen, wie ich die Windows-Authentifizierung für eine Website auf IIS aktivieren und konfigurieren würde.
Zuerst, wenn du das noch nicht getan hast, musst du IIS auf deinem Server installieren. Ich gehe davon aus, dass du das schon geregelt hast, da du ein IT-Profi bist. Sobald IIS läuft, möchtest du sicherstellen, dass das Feature für Windows-Authentifizierung installiert ist. Um dies zu überprüfen, kannst du den Server-Manager öffnen. Öffne ihn, suche auf der linken Seite nach deinem Server und klicke darauf. Auf der rechten Seite findest du das Menü "Verwalten" und dann "Rollen und Features hinzufügen".
Gehe durch den Assistenten und klicke immer wieder auf "Weiter", bis du zum Abschnitt "Serverrollen" gelangst. Hier möchtest du die Kategorie "Webserver (IIS)" erweitern. Darunter erkunde "Webserver" und dann "Sicherheit". Stelle sicher, dass "Windows-Authentifizierung" aktiviert ist. Wenn du es nicht aktiviert gefunden hast, aktiviere es und schließe die Installation ab, indem du durch den Rest des Assistenten klickst.
Sobald dieses Feature installiert ist, ist es Zeit, es für deine Website einzurichten. Öffne den IIS-Manager, wo du die meisten deiner Konfigurationen vornehmen wirst. Im linken Bereich findest du deine Website. Wenn du viele Websites aufgelistet hast, nimm dir einen Moment Zeit, um ruhig durchzuatmen, du wirst sie finden. Wenn du auf deine Website klickst, wird im zentralen Bereich eine Reihe von Optionen angezeigt. Du solltest eine Option mit der Bezeichnung "Authentifizierung" sehen. Klicke darauf, um die für deine Website aktivierten Authentifizierungsmethoden anzuzeigen.
In diesem Abschnitt siehst du verschiedene Authentifizierungsmethoden, die dir zur Verfügung stehen. Du möchtest die anonyme Authentifizierung deaktivieren, falls sie aktiviert ist. Klicke einfach mit der rechten Maustaste darauf und wähle "Deaktivieren". Dieser Schritt stellt sicher, dass Benutzer die Website nicht ohne die richtigen Anmeldeinformationen erreichen können.
Als nächstes möchtest du Windows-Authentifizierung in der Liste finden. Wenn sie aus irgendeinem Grund nicht angezeigt wird, musst du möglicherweise die Installation noch einmal überprüfen und sicherstellen, dass sie erfolgreich abgeschlossen wurde. Sobald du sie gefunden hast, klicke mit der rechten Maustaste auf die Windows-Authentifizierung und klicke auf "Aktivieren". Das ist deine Haupt-Hürde erledigt.
Jetzt wird es etwas komplizierter, und ich kann fühle, dass die Nerven ein wenig angespannt sind. Um sicherzustellen, dass alles reibungslos funktioniert, musst du einige Einstellungen im Bereich Anbieter überprüfen. Klicke erneut auf Windows-Authentifizierung im Authentifizierungsfenster und im rechten Bereich unter "Aktionen" solltest du etwas namens "Anbieter" sehen. Klicke darauf.
Du wirst eine Liste von Anbietern sehen. Idealerweise solltest du sicherstellen, dass Negotiate ganz oben in der Liste steht, mit NTLM darunter. Diese Konfiguration ermöglicht deinem Netzwerk, die Authentifizierungsmethode auszuwählen, die das höchste Sicherheitsniveau unterstützt. Wenn Negotiate nicht an erster Stelle steht, kannst du die Schaltflächen auf der rechten Seite verwenden, um die Reihenfolge anzupassen.
Nachdem du das getan hast, nimm dir einen Moment Zeit, um die web.config-Datei deiner Website zu überprüfen. Diese Datei ist entscheidend, da sie viele Einstellungen für deine Webanwendung kontrolliert. Wenn du eine ASP.NET-Anwendung betreibst, findest du sie normalerweise im Stammverzeichnis deines Anwendungsordners. Du möchtest sicherstellen, dass es in dieser Datei Einstellungen gibt, die die Windows-Authentifizierung durchsetzen und den anonymen Zugriff deaktivieren.
Öffne die web.config-Datei und suche den Abschnitt <system.web>. Darin solltest du einige Sicherheitseinstellungen sehen. Du kannst die folgenden Elemente hinzufügen oder ändern:
<authentication mode="Windows" />
<authorization>
<deny users="?" />
</authorization>
Dieser Abschnitt sagt IIS, dass die Windows-Authentifizierung verwendet werden soll und der Zugriff für alle anonymen Benutzer verweigert wird. Mit diesen Anpassungen orientiert sich deine Website in Richtung einer engeren Sicherheit.
Als Nächstes, wenn deine Umgebung Benutzer aus verschiedenen Domänen umfasst oder etwas Komplizierteres erfordert, musst du möglicherweise noch einige weitere Einstellungen anpassen. In einigen Fällen musst du möglicherweise die ordnungsgemäße Delegierung für Kerberos sicherstellen, wenn deine Benutzer aus verschiedenen Vertrauensstellungen oder Wälder kommen. Es scheint fortgeschritten, ist aber etwas, das du im Hinterkopf behalten solltest.
Ein weiterer Vorschlag wäre, den Anwendungspool unter einem Domänenkonto anstelle der integrierten Identität des Anwendungspools auszuführen. Du kannst dies tun, indem du mit der rechten Maustaste auf den Anwendungspool klickst, den deine Website verwendet, "Erweiterte Einstellungen" wählst und dann die "Identität" im Abschnitt "Prozessmodell" änderst. Du musst Anmeldeinformationen für ein Domänenkonto angeben, das die erforderlichen Berechtigungen zum Zugriff auf alle Ressourcen hat, die deine Anwendung benötigt.
Und vergiss nicht die Firewalleinstellungen! Es ist leicht, diesen Teil zu übersehen, aber ich habe auf die harte Tour gelernt, dass du sicherstellen möchtest, dass dein Server keine notwendigen Ports blockiert, die für Windows-Authentifizierung verwendet werden. Für IIS solltest du Port 80 für HTTP oder 443 für HTTPS offen haben, je nachdem, wofür deine Website konfiguriert ist.
Sobald du alles eingerichtet hast, ist es eine gute Idee, deine Konfiguration gründlich zu testen. Versuche, von einem Clientgerät, das Teil der Domäne ist, auf deine Website zuzugreifen. Wenn alles wie gewünscht funktioniert, solltest du sehen, dass du auf die Website zugreifen kannst, ohne nach Anmeldeinformationen gefragt zu werden. Wenn du gefragt wirst, überprüfe deine Konfigurationen erneut: Hast du die Windows-Authentifizierung aktiviert? Hast du die anonyme Authentifizierung deaktiviert?
Was die Protokolle betrifft, so vernachlässige diesen Teil nicht. IIS protokolliert jede Anfrage, und sie können unglaublich nützlich sein, um Fehler zu beheben, wenn etwas schiefgeht. Du findest die Protokolle im Verzeichnis, das in den Einstellungen deiner Website angegeben ist. Die Protokolleinträge geben normalerweise detaillierte Informationen zu den gesendeten Anfragen, einschließlich des Authentifizierungsstatus. Dies ist absolut wertvoll, falls du später auf Probleme stößt.
Um das Ganze abzurunden, solltest du in Betracht ziehen, SSL/HTTPS zu implementieren. Es ist entscheidend, dass alle über das Netzwerk gesendeten Anmeldeinformationen verschlüsselt sind. Du kannst ein SSL-Zertifikat von verschiedenen Anbietern erhalten. Nachdem du dein Zertifikat gesichert hast, möchtest du es in IIS an deine Website binden. Klicke mit der rechten Maustaste auf deine Website, wähle "Bindings bearbeiten" und füge eine HTTPS-Bindung mit dem entsprechenden SSL-Zertifikat hinzu.
All das gesagt, denke daran, dass die umfassendere Sicherung deines IIS oft kontinuierliche Aufmerksamkeit erfordert. Halte dich über Sicherheitswarnungen im Zusammenhang mit IIS oder Windows-Authentifizierung auf dem Laufenden.
Regelmäßiges Überprüfen deiner Konfigurationen und Berechtigungen kann langfristig einen riesigen Unterschied machen.
Indem du die Windows-Authentifizierung aktivierst und konfigurierst, hast du bereits einen zielgerichteten Schritt in Richtung einer sichereren Umgebung für deine IIS-Anwendungen unternommen. Experimentiere weiter damit und nimm Anpassungen vor, wenn nötig, insbesondere wenn sich die Anforderungen deiner Organisation entwickeln. Vergiss nicht, Ansätze mit deinem Team zu besprechen; manchmal kann ein zweites Paar Augen etwas hervorheben, das dir möglicherweise entgangen ist.
Wie auch immer, fühl dich frei, mich zu kontaktieren, wenn du unterwegs auf irgendwelche Probleme stößt oder wenn du mehr Fragen hast, wie du die Sicherheit deines IIS erhöhen kannst; ich bin immer hier, um zu helfen. Viel Erfolg bei der Konfiguration!
Ich hoffe, du fandest meinen Beitrag nützlich. Übrigens, hast du eine gute Lösung für die Sicherung von Windows Server? In diesem Beitrag erkläre ich, wie man Windows Server richtig sichert.
Zuerst, wenn du das noch nicht getan hast, musst du IIS auf deinem Server installieren. Ich gehe davon aus, dass du das schon geregelt hast, da du ein IT-Profi bist. Sobald IIS läuft, möchtest du sicherstellen, dass das Feature für Windows-Authentifizierung installiert ist. Um dies zu überprüfen, kannst du den Server-Manager öffnen. Öffne ihn, suche auf der linken Seite nach deinem Server und klicke darauf. Auf der rechten Seite findest du das Menü "Verwalten" und dann "Rollen und Features hinzufügen".
Gehe durch den Assistenten und klicke immer wieder auf "Weiter", bis du zum Abschnitt "Serverrollen" gelangst. Hier möchtest du die Kategorie "Webserver (IIS)" erweitern. Darunter erkunde "Webserver" und dann "Sicherheit". Stelle sicher, dass "Windows-Authentifizierung" aktiviert ist. Wenn du es nicht aktiviert gefunden hast, aktiviere es und schließe die Installation ab, indem du durch den Rest des Assistenten klickst.
Sobald dieses Feature installiert ist, ist es Zeit, es für deine Website einzurichten. Öffne den IIS-Manager, wo du die meisten deiner Konfigurationen vornehmen wirst. Im linken Bereich findest du deine Website. Wenn du viele Websites aufgelistet hast, nimm dir einen Moment Zeit, um ruhig durchzuatmen, du wirst sie finden. Wenn du auf deine Website klickst, wird im zentralen Bereich eine Reihe von Optionen angezeigt. Du solltest eine Option mit der Bezeichnung "Authentifizierung" sehen. Klicke darauf, um die für deine Website aktivierten Authentifizierungsmethoden anzuzeigen.
In diesem Abschnitt siehst du verschiedene Authentifizierungsmethoden, die dir zur Verfügung stehen. Du möchtest die anonyme Authentifizierung deaktivieren, falls sie aktiviert ist. Klicke einfach mit der rechten Maustaste darauf und wähle "Deaktivieren". Dieser Schritt stellt sicher, dass Benutzer die Website nicht ohne die richtigen Anmeldeinformationen erreichen können.
Als nächstes möchtest du Windows-Authentifizierung in der Liste finden. Wenn sie aus irgendeinem Grund nicht angezeigt wird, musst du möglicherweise die Installation noch einmal überprüfen und sicherstellen, dass sie erfolgreich abgeschlossen wurde. Sobald du sie gefunden hast, klicke mit der rechten Maustaste auf die Windows-Authentifizierung und klicke auf "Aktivieren". Das ist deine Haupt-Hürde erledigt.
Jetzt wird es etwas komplizierter, und ich kann fühle, dass die Nerven ein wenig angespannt sind. Um sicherzustellen, dass alles reibungslos funktioniert, musst du einige Einstellungen im Bereich Anbieter überprüfen. Klicke erneut auf Windows-Authentifizierung im Authentifizierungsfenster und im rechten Bereich unter "Aktionen" solltest du etwas namens "Anbieter" sehen. Klicke darauf.
Du wirst eine Liste von Anbietern sehen. Idealerweise solltest du sicherstellen, dass Negotiate ganz oben in der Liste steht, mit NTLM darunter. Diese Konfiguration ermöglicht deinem Netzwerk, die Authentifizierungsmethode auszuwählen, die das höchste Sicherheitsniveau unterstützt. Wenn Negotiate nicht an erster Stelle steht, kannst du die Schaltflächen auf der rechten Seite verwenden, um die Reihenfolge anzupassen.
Nachdem du das getan hast, nimm dir einen Moment Zeit, um die web.config-Datei deiner Website zu überprüfen. Diese Datei ist entscheidend, da sie viele Einstellungen für deine Webanwendung kontrolliert. Wenn du eine ASP.NET-Anwendung betreibst, findest du sie normalerweise im Stammverzeichnis deines Anwendungsordners. Du möchtest sicherstellen, dass es in dieser Datei Einstellungen gibt, die die Windows-Authentifizierung durchsetzen und den anonymen Zugriff deaktivieren.
Öffne die web.config-Datei und suche den Abschnitt <system.web>. Darin solltest du einige Sicherheitseinstellungen sehen. Du kannst die folgenden Elemente hinzufügen oder ändern:
<authentication mode="Windows" />
<authorization>
<deny users="?" />
</authorization>
Dieser Abschnitt sagt IIS, dass die Windows-Authentifizierung verwendet werden soll und der Zugriff für alle anonymen Benutzer verweigert wird. Mit diesen Anpassungen orientiert sich deine Website in Richtung einer engeren Sicherheit.
Als Nächstes, wenn deine Umgebung Benutzer aus verschiedenen Domänen umfasst oder etwas Komplizierteres erfordert, musst du möglicherweise noch einige weitere Einstellungen anpassen. In einigen Fällen musst du möglicherweise die ordnungsgemäße Delegierung für Kerberos sicherstellen, wenn deine Benutzer aus verschiedenen Vertrauensstellungen oder Wälder kommen. Es scheint fortgeschritten, ist aber etwas, das du im Hinterkopf behalten solltest.
Ein weiterer Vorschlag wäre, den Anwendungspool unter einem Domänenkonto anstelle der integrierten Identität des Anwendungspools auszuführen. Du kannst dies tun, indem du mit der rechten Maustaste auf den Anwendungspool klickst, den deine Website verwendet, "Erweiterte Einstellungen" wählst und dann die "Identität" im Abschnitt "Prozessmodell" änderst. Du musst Anmeldeinformationen für ein Domänenkonto angeben, das die erforderlichen Berechtigungen zum Zugriff auf alle Ressourcen hat, die deine Anwendung benötigt.
Und vergiss nicht die Firewalleinstellungen! Es ist leicht, diesen Teil zu übersehen, aber ich habe auf die harte Tour gelernt, dass du sicherstellen möchtest, dass dein Server keine notwendigen Ports blockiert, die für Windows-Authentifizierung verwendet werden. Für IIS solltest du Port 80 für HTTP oder 443 für HTTPS offen haben, je nachdem, wofür deine Website konfiguriert ist.
Sobald du alles eingerichtet hast, ist es eine gute Idee, deine Konfiguration gründlich zu testen. Versuche, von einem Clientgerät, das Teil der Domäne ist, auf deine Website zuzugreifen. Wenn alles wie gewünscht funktioniert, solltest du sehen, dass du auf die Website zugreifen kannst, ohne nach Anmeldeinformationen gefragt zu werden. Wenn du gefragt wirst, überprüfe deine Konfigurationen erneut: Hast du die Windows-Authentifizierung aktiviert? Hast du die anonyme Authentifizierung deaktiviert?
Was die Protokolle betrifft, so vernachlässige diesen Teil nicht. IIS protokolliert jede Anfrage, und sie können unglaublich nützlich sein, um Fehler zu beheben, wenn etwas schiefgeht. Du findest die Protokolle im Verzeichnis, das in den Einstellungen deiner Website angegeben ist. Die Protokolleinträge geben normalerweise detaillierte Informationen zu den gesendeten Anfragen, einschließlich des Authentifizierungsstatus. Dies ist absolut wertvoll, falls du später auf Probleme stößt.
Um das Ganze abzurunden, solltest du in Betracht ziehen, SSL/HTTPS zu implementieren. Es ist entscheidend, dass alle über das Netzwerk gesendeten Anmeldeinformationen verschlüsselt sind. Du kannst ein SSL-Zertifikat von verschiedenen Anbietern erhalten. Nachdem du dein Zertifikat gesichert hast, möchtest du es in IIS an deine Website binden. Klicke mit der rechten Maustaste auf deine Website, wähle "Bindings bearbeiten" und füge eine HTTPS-Bindung mit dem entsprechenden SSL-Zertifikat hinzu.
All das gesagt, denke daran, dass die umfassendere Sicherung deines IIS oft kontinuierliche Aufmerksamkeit erfordert. Halte dich über Sicherheitswarnungen im Zusammenhang mit IIS oder Windows-Authentifizierung auf dem Laufenden.
Regelmäßiges Überprüfen deiner Konfigurationen und Berechtigungen kann langfristig einen riesigen Unterschied machen.
Indem du die Windows-Authentifizierung aktivierst und konfigurierst, hast du bereits einen zielgerichteten Schritt in Richtung einer sichereren Umgebung für deine IIS-Anwendungen unternommen. Experimentiere weiter damit und nimm Anpassungen vor, wenn nötig, insbesondere wenn sich die Anforderungen deiner Organisation entwickeln. Vergiss nicht, Ansätze mit deinem Team zu besprechen; manchmal kann ein zweites Paar Augen etwas hervorheben, das dir möglicherweise entgangen ist.
Wie auch immer, fühl dich frei, mich zu kontaktieren, wenn du unterwegs auf irgendwelche Probleme stößt oder wenn du mehr Fragen hast, wie du die Sicherheit deines IIS erhöhen kannst; ich bin immer hier, um zu helfen. Viel Erfolg bei der Konfiguration!
Ich hoffe, du fandest meinen Beitrag nützlich. Übrigens, hast du eine gute Lösung für die Sicherung von Windows Server? In diesem Beitrag erkläre ich, wie man Windows Server richtig sichert.
