执行的标准

    IIS 中许多安全功能执行 Internet 通讯标准。这些标准有助于应用程序和信息的一致与跨平台使用。Microsoft 承诺配合 Internet 与计算机委员会，一起协助构建良好的标准，同时自己执行这些标准。以下是IIS 6.0执行的一些标准：

    Secure Sockets Layer (SSL 3.0) 是一个基于公钥的安全协议，该协议是由安全通道 (Schannel) 安全提供程序实施的。SSL 安全协议在 Internet 浏览器和服务器的验证、信息的完整性和机密性中广泛使用。

    基本身份验证是 HTTP 1.0 规范的一部分（它以 Base64 编码格式通过网络发送密码）。大多数浏览器都支持此规范。

    摘要式身份验证通过网络将身份验证信息作为“哈希”发送并且与代理服务器兼容。

    PKCS #7 描述加密数据的格式，如安全地包含信息的数字签名和数字信封。所有这些都包含在 IIS 的验证特性中。

    PKCS #10 描述提交到证书颁发机构的证书申请的格式。

设置安全性

    在配置 Web 服务器安全之前，请首先确定保护网站和 FTP 站点所需的安全级别。例如，如果需要创建一个允许特定用户访问个人信息（如财务和健康记录）的网站，那么就需要一个坚固的安全配置。此配置应该可以可靠地验证指定的用户并仅限于这些用户进行访问。

    大多数的 Web 服务器安全依赖于 Windows 安全配置。如果没有正确地配置 Windows 安全功能，就不可能保护我们的 Web 服务器。主要执行的任务如下：

    • 配置 Windows 管理员帐户。
    • 创建并管理用户帐户。
    • 创建并管理组。
    • 定义 Windows 安全策略。