Защита паролем IIS каталога

Question

Я ищу способ защитить паролем каталог в IIS. Я знаю, что стандартный ответ на это - создать учетную запись пользователя Windows для этого каталога, а затем дать этому пользователю разрешения на чтение в каталоге ... но меня беспокоит то, что, создавая пользователя Windows, не даст ли это ему разрешения на такие вещи, как вход в систему на компьютере (удаленный рабочий стол), FTP-сервер на сервер и все другие виды вещей? I.E есть ли способ создать такого ограниченного пользователя, что единственное, что он может сделать, это просто просмотреть веб-страницу в этом защищенном паролем каталоге?

Answer 1

Это стандартный ответ по причине ... Это лучший способ сделать это. Учетная запись пользователя ограничена по умолчанию и не имеет разрешения на удаленный доступ, если вы явно не установите ее, поэтому не беспокойтесь об этом. Кроме того, любой FTP-сервис должен работать изолированно, и поэтому учетная запись не будет входить в систему. Если все, что вы хотите сделать, это защитить каталог, то просто убедитесь, что он доступен только для чтения и анонимный доступ отключен.

Кроме того, создание учетной записи пользователя также имеет другие преимущества, такие как возможность отслеживания событий для учетной записи в журнале событий и возможность выбора надежного безопасного пароля.

Другим способом было бы защитить страницу с помощью простого сценария входа в систему cgi (например, perl, php, asp и т. Д.), И если у вас есть только одна учетная запись для добавления, это будет тривиально.

Answer 2

Вы можете включить базовую аутентификацию для этого каталога, установив имя пользователя и пароль.

Answer 3

Если вы не хотите использовать учетную запись Windows, вы можете разработать или приобрести ISAPI-фильтр для загрузки поверх IIS для защиты паролем определенных каталогов.

Answer 4

Прежде всего, вы имеете полный контроль над созданным пользователем. Вы можете легко отказать в удаленном входе в систему (по умолчанию он запрещен, но не доверяйте мне и проверяйте документацию).

Во-вторых, «защита паролем» - неправильный подход, потому что система встроена для контроля доступа - используйте это, она проверена и надежна.

И для основного вопроса: я думаю, что вы можете попытаться ограничить права пользователей до уровня, когда они могут входить только локально и видеть только один каталог. Но нет никакого способа запретить им иметь права на чтение для папки Windows (например), так как эта папка необходима для загрузки ОС и входа в систему.

Answer 5

Нет, вы можете ограничить пользователя от возможности делать другие варианты. Когда вы создаете пользователя на панели «Администрирование пользователей», вы можете установить несколько параметров. Один не разрешает удаленный вход. Я немного запутался в том, как работает служба ftp в Windows, но я уверен, что она также может быть ограничена. Ключ должен быть уверен, что он не будет добавлен ни в одну группу, у которой есть доступ, который вы не хотите, чтобы этот пользователь имел.