IIS 5.0新功能

【 tulaoshi.com - ASP 】

  Windows 2000的IIS(Internet Information Services) 5.0提供甚麼樣的新功能呢？

IIS 5.0新功能如下：

l 安全性上：包括摘要式驗證、整合的Windows驗證、SGC (Server-Gated Cryptography ) 、Microsoft Certificate Services 2.0、集區處理程序之程式保護等。

l 管理上：包括IIS重新啟動、站台CPU使用時間的限制、CPU資源使用記錄、使用終端機服務遠端管理IIS、自訂錯誤訊息等。

l Internet標準上：包括WebDAV(Web Distributed Authoring and Versioning)、FTP重新啟動、HTTP壓縮等。

l Active Server Pages：包括新的轉向方法(Server.Transfer與Server.Execute方法)、新的錯誤處理功能(Server.GetLastError方法)、無指令.asp的執行速度增快、可安裝元件的效能調升、Scriptlet支援、使用cookie取得瀏覽器資訊、自動增減執行緒(executing threads)、SRC伺服器端包含功能、Script Encoder編碼保護等。


IIS 5.0於安全性上新增那些功能呢？
IIS 5.0於安全性上所新增加的功能，包括摘要式驗證、整合的Windows驗證、SGC (Server-Gated Cryptography ) 、Microsoft Certificate Services 2.0、集區處理程序之程式保護等，簡介如下：
摘要式驗證

使用者登入IIS時，若採用IIS 4.0所提供的基本驗證方式，於輸入使用者名稱和密碼來建立連線時，會將使用者的名稱及密碼以未加密的格式透過網路傳輸，使用網路監視工具即可以於網路傳輸中攔截和破解使用者名稱及密碼。
IIS 5.0新提供 [摘要式驗證] 方式，於使用者登入IIS時輸入使用者名稱和密碼來建立連線時，透過網路傳送「雜湊值」而非密碼。
[摘要式驗證] 方式可以跨越proxy伺服器或其他防火牆。
[摘要式驗證] 方式，於伺服器和用戶端的瀏覽器方面都有一些限制：
l 伺服器方面：只有在具有Windows 2000的網域主控站的網域，才能使用 [摘要式驗證] 方式。
l 用戶端的瀏覽器方面：由於 [摘要式驗證] 方式採用新的HTTP 1.1功能，目前唯有IE 5.0的瀏覽器才能使用 [摘要式驗證] 方式。
整合的Windows驗證

於使用者登入IIS時不須輸入使用者名稱和密碼即可建立連線整合的Windows驗證，即以前「Windows NT挑戰與回應」驗證(或稱為NTLM)，加上新的Kerberos v5驗證通訊協定(Kerberos v5 Authentication Protocol)方式。

使用整合的Windows驗證時，用戶端的瀏覽器會透過一種加密機制來驗證密碼，由於使用者名稱和密碼不會透過網路傳送，因此整合的Windows驗證是安全的驗證形式。

[整合的Windows驗證] 方式於伺服器和用戶端的瀏覽器方面都有一些限制：

l 伺服器方面：不可以跨越proxy伺服器或其他防火牆。

l 用戶端的瀏覽器方面：唯有IE 2.0 以後的版本才支援整合的Windows 驗證方式。

因此 [整合的Windows驗證] 最適合用於intranet環境。

SGC (Server-Gated Cryptography )

美國外銷法律(Export Law)規定美國和加拿大以外地區只能使用40位元長度做為加解密之用。因此，美國和加拿大地區之SSL(Secure Sockets Layer)雖然可以使用128位元，但是以外地區之SSL只能使用40位元。

SGC (Server-Gated Cryptography )是SSL的延伸，使用128位元，限於使用於銀行或其他經核准的應用上。SGC就是可以使用於美國和加拿大地區以外地區之128位元SSL。

為了保護於網際網路上傳輸的財務資料之安全，網路銀行(Internet Banking)之應用建議採用128位元加解密方式。

使用SGC需要向CA(憑證授權單位)要求核發特殊的SGC憑證，目前只有VeriSign核發SGC憑證。

IIS伺服器方面，IIS 5.0支援128位元的SGC，IIS 3.0/4.0也支援SGC但須另外安裝SGC Add-on並修改機碼。詳細資料可連線到www.microsoft.com/security/tech/sgc。

用戶端的瀏覽器方面，IE 4.0/5.0支援128位元的SGC。

Microsoft Certificate Services 2.0

使用Microsoft 2000的Microsoft Certificate Services 2.0可以自己扮演CA(憑證授權單位)，自己可以發行伺服器憑證、用戶端憑證。

CA所發行憑證，用於數位簽章、SSL安全傳輸、TLS傳輸層安全、S/MIME保護郵件等。

Microsoft Certificate Services並未包含於標準的Windows 2000安裝當中，須再加裝。

使用Microsoft 2000 Microsoft Certificate Services 2.0的憑證功能，須先將憑證、憑證授權單位新增至MMC。

集區處理程序之程式保護

為了避免一個不穩定的應用程式影響到整個IIS的運作，IIS 4.0可以將一個應用程式放在與其他程序完全隔絕的獨立程序中執行。
IIS 5.0，則多一個選擇，可以將所有應用程式一起於共用的集區處理程