接上一篇:CMS中的安全性和身份驗證(中) 以下各節將詳細講述除來賓訪問之外的所有這些 MSCMS 安全設置。有關“來賓訪問”的信息,請參見“驗證用戶身份”一節。 控制對虛擬 Web 站點的訪問 MSCMS 站點上的每個虛擬站點各代表 Web 服務器的一個不同的入口點。因此,控制對這些站點的訪問對服務器安全很重要。 管理員可以為每個虛擬 Web 站點從三種不同的安全設置中選擇一種: MSCMS Authoring is allowed(允許 MSCMS 創作)。此設置授予用戶訪問和修改 Web 站點內容的權限。 MSCMS Authoring is not allowed(不允許 MSCMS 創作)。啟用此設置時站點是只讀的。這意味著通過此站點登錄的客戶端都不能修改內容。例如,在不允許 MSCMS 創作的站點上,Site Builder 是不可訪問的。 MSCMS is disabled(禁用 MSCMS)。當 MSCMS 不支持某個站點時,將不映射或者將移除虛擬目錄,因而從此站點請求的任何頁面都將被報告為“未找到”。 對於高安全性站點,管理員可能想將系統配置為只有一個服務器的一個虛擬 Web 站點支持創作功能。此虛擬 Web 服務器的地址可由防火牆或 IP 訪問隱藏,這樣任何外部用戶都不能訪問或讀取它。除提供高安全性外,此配置還可提高性能,因為 MSCMS 使用效率更高的腳本來呈現運行時 Web 頁。 MSCMS 2001 系統帳戶 使用一個系統帳戶,MSCMS 可訪問網絡上的資源,,並可在使用了 Active Directory 時連接到 Active Directory。此帳戶充當所有已驗證身份的用戶的代理,從而使管理員不必分別向每個已驗證身份的用戶授予對受保護資源的訪問權。系統帳戶必須有權枚舉或浏覽 MSCMS 中支持的組織單元、域、容器、組和用戶。 在設置系統帳戶時,請注意以下幾點: ■ 建立系統帳戶時不必使用享有特權的 Windows 用戶帳戶,使用常規域用戶帳戶即可。 ■ 如果 MSCMS 2001 中使用了 Active Directory Service 組織單元,則系統帳戶必須有權查看 ADS 樹。 ■ 如果使用 SQL 信任的身份驗證,則系統帳戶必須對 CMS 2001 使用的 Microsoft SQL Server? 數據庫有讀/寫訪問權。如果使用 SQL ■ 身份驗證,那麼 SQL 帳戶就需要有對數據庫的訪問權限,而不要求對系統帳戶擁有訪問權。 ■ 一定不要讓系統帳戶成為域管理員。系統帳戶可以是本地管理員帳戶,但建議不要采用此設置。 ■ 一定不要將 IIS 匿名帳戶設置成為系統帳戶。這樣做會授予匿名帳戶對 CMS 2001 數據庫的訪問權。 啟用系統帳戶 1.打開“服務器配置應用程序”,單擊 Security(安全)選項卡,然後單擊 Configure(配置)。 2.為系統帳戶設置 Windows NT 用戶帳戶和帳戶密碼。 3.如果您選擇使用 SQL 身份驗證,請打開“數據庫配置應用程序”(Database Configuration Application),選擇 SQL Server 7/2000,然後單擊 Next(下一步)。 4.清除 Use Trusted Connection(使用可信連接)復選框,然後提供必要的憑據。如果您在使用 SQL 集成安全機制,請將數據庫角色定義為 Public、DB_DATAREAD 和 DB_DATAWRITE。 IP 檢查和 cookie 超時 IP 檢查和 cookie 超時專門用於禁止黑客模擬已驗證身份的用戶對 Web 站點進行未經授權訪問。對計劃使用基於窗體手動登錄的管理員,這些設置特別重要,因為 cookie 超時指定標識用戶會話的會話令牌的生存期,而令牌只對通過基於窗體登錄訪問站點的用戶發出。令牌的默認生存期為 720 分或 12 小時。 啟用 IP 檢查時,將對照 HTTP 請求中的標頭的 IP 地址來檢查由 MSCMS 在用戶登錄時生成的會話令牌。在理論上,用戶在登錄到 Web 站點後,會一直使用同一 IP 地址;這樣,對於每個後續的 HTTP 請求,令牌中的 IP 地址應當匹配提交請求的用戶的 IP 地址。如果不匹配,訪問就會被拒絕。但在某些情況下,用戶可能不一直使用同一 IP 地址(例如,通過不同代理服務器傳遞其請求的用戶就是這樣);因此,明智的做法是,在實現 IP 檢查前,應先分析可能訪問 Web 站點的用戶群體。注意,IP 檢查默認情況下是啟用的;所以,如果管理員預見到 Web 站點用戶會有問題,則必須禁用它。例如,如果在已驗證身份的用戶手動登錄後不斷出現“會話超時”這一提示消息,則管理員可能需要禁用 IP 檢查。 配置 IP 檢查和 cookie 超時 1.打開 SCA,單擊 Security(安全)選項卡,然後單擊 Configure(配置)。 2.若要更改 cookie 超時值,請在 Cookie Lifetime(Cookie 生存期)框中鍵入一個新數字。 3.若要啟用 IP 檢查,請確保 Check Machine IP against Cookie(對照 Cookie 檢查計算機 IP)框中出現 Yes(是)。若要禁用 IP 檢查,請從下拉菜單中選擇 No(否)。 資源 URL 加密 資源 URL 指嵌入到 MSCMS 生成的 Web 頁中的 URL,它們作為到附件、圖片、視頻文件和其他庫項的鏈接。如果沒有適當的身份驗證憑據,用戶就不能訪問 Web 頁來查看這些資源。但訂戶有可能將 MSCMS 生成的 Web 頁中的資源 URL 傳遞給一個對該資源沒有訪問權的用戶,這個用戶於是便能夠訪問該資源的當前版本和後續版本。 為避免出現這種情況,每次都應將資源 URL 加密,然後才使它在 MSCMS 之外可用。服務器密鑰和已驗證的用戶標識將用於加密,所以對於每個已驗證身份的用戶,所生成的 URL 互不相同。如果嘗試訪問資源的人不是為其生成加密 URL 的那個人,則找不到該文件。
一個群集中所有 Web 服務器的服務器密鑰必須相同,這樣 URL 加密才能成功;否則,每次將已經路由到一個服務器的用戶會話再路由給另一不同的服務器時,都會重新對該用戶進行身份驗證。使用位於 C:\Program Files\Microsoft Content Management Server\Server\bin 中的 ManageKey.exe 可將服務器密鑰復制給群集中的所有服務器。 注意,如果有人設法檢索到一個資源的實際路徑,他或她將就可以在沒有適當授權的情況下請求該資源。資源 URL 加密於是就沒有用了。因此,最好不要啟用對 MSCMS 在文件緩存中動態生成的資源的目錄浏覽。NTF 或 IIS 安全機制將對 MSCMS 未管理的資源起作用。 必須注意的是,如果沒有采取適當的防范措施,那麼編制站點索引可能會造成一些問題。如果 Web 索引軟件執行一次經過身份驗證的爬網,就會將資源 URL 包括在搜索結果中。不過,如果爬網是由管理員執行的,則只有分配給管理員角色的帳戶能夠訪問到編制索引過程中生成的鏈接。為避免與站點索引關聯的某些問題,請執行以下操作之一: ■ 確保爬網是使用來賓訪問執行的,這樣,只有對來賓帳戶可用的 URL 才是所有用戶都能訪問到的。 ■ 如果需要經身份驗證的搜索爬網,請將資源文件存儲到文件系統上 CMS 以外,或存儲在一個使它們不會被包括在索引中的文檔庫中。 有關執行經身份驗證的搜索爬網方面的更多信息,請參見“將 Microsoft SharePoint Portal 搜索集成到 Microsoft Content Management Server 中”。 站點配置 正確部署和配置 Web 站點的不同組件是確保站點安全的第一步。圖 2 顯示了配置 Web 站點一種方法。 圖 2 MSCMS 站點配置示例 為使服務器和數據庫不中斷,圖 2 中的防火牆使可直接通過 Internet 訪問的計算機的數目減到了最少。生產站點與開發和創作環境相互分離,以便針對內部網上的入侵者提供最高程度的保護。 圖 2 還標明了為保證 MSCMS Web 環境中的數據傳輸而必須打開的防火牆端口。下面簡要列出了針對站點上各通訊量類型必須打開的端口: ■ Internet 產生的通訊量。MSCMS Site Builder 和 Internet 浏覽器處理源於 Internet 的通訊量。這兩種組件都支持使用 HTTP 或 HTTPS 連接與 MSCMS 服務器進行通訊。對於此類型的數據傳輸,端口 80 和端口 443 都必須打開。 ■ 外圍網絡產生的通訊量。此通訊發生在 MSCMS 和 SQL 數據庫之間,該數據庫存儲在防火牆後。網絡管理員應當將防火牆配置為通過默認端口 1433,或通過為 SQL Server 接收數據而配置的 TCP 端口,來轉發 IP 地址。還應當將防火牆配置為能夠轉發同一 IP 地址上的 UDP 端口 1434 的請求。SQL Server 2000 使用 UDP 端口 1434 建立與應用程序間的通訊鏈路。 ■ 內部網絡通訊量。在部署到 MSCMS 群集時,App Center 要求打開端口 4244 和 4243 以進行數據傳輸。僅支持 HTTP 連接的 MSCMS Site Deployment(MSCMS 站點部署)要求使用端口 80。對於 MSCMS Site Stager 和 MSCMS Server 之間的數據傳輸,還要求使用 HTTP 連接,因此端口 80 必須打開。 為確保 Web 站點有適當的安全保護機制,管理員還應當采取適當的防范措施,使用 IIS 鎖定工具加強 IIS 的安全性。為使 MSCMS Web 站點在實現 IIS 鎖定後能夠正常工作,站點上必須激活某些設置。有關這些設置的更多信息,請參見
