Iis — управление безопасностью webdav

Prerequisites for Installing and Configuring WebDAV on IIS

The following items are required to complete the procedures in this article:

• IIS 7.0 or later must be installed on your server, and the following must be configured:

  • The Default Web Site that is created by the IIS 7.0 installation must still exist.

  • The Internet Information Services Manager must be installed.

  • At least one authentication method must be installed.

    Note

    If you choose to use Basic Authentication with the WebDAV redirector, you must connect to your server using HTTPS.

• The WebDAV Redirector must be installed for Windows Server 2008, Windows Server 2008 R2, or Windows Server 2012. (The WebDAV Redirector is already installed on Windows Vista, Windows 7, and Windows 8.) To install the WebDAV Redirector, use Server Manager to install the Desktop Experience feature.

Включение компонент веб-сервера

По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2016/2018, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.

1.1. Windows 10

Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел «Программы и компоненты» («Programs and Features») в панели управления (Control panel). Сделать можно это несколькими способами:

• Нажать сочетание клавиш Win + R и в открывшемся окне ввести «appwiz.cpl» и нажать ОК.

• Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).

В окне «Программы и компоненты» («Programs and Features») нажмите на кнопку «Включение и отключение компонентов Windows» («Turn Windows features on or off»).

Когда откроется окно «Компоненты Windows» («Windows features») в нем необходимо будет проставить флажки для следующих элементов:

• Службы IIS

  • Службы интернета

    • Компоненты разработки приложений

      • Расширение ISAPI

      • Фильтры ISAPI

  • Средства управления веб-сайтом

    Консоль управления IIS

После этого нажимайте на кнопку «OK» и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту «2. Публикация информационной базы».

1.2 Windows Server 2012 R2, 2016 и 2019

Настройка компонент для Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).

Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).

В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).

В этом окне нажмите два раза «Далее» («Next») пока мастер не переключится на страницу ролей сервера (Server Roles).

Во вкладке роли сервера (Server Roles) установите флажок «Web Server IIS». Так как эта роль зависит от другой роли ( IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки «Добавить компоненты» (Add Features) в открывшемся окне. После чего нажимаем кнопку «Далее» («Next») пока мастер не дойдет до вкладки «Роль веб-сервера IIS» («Web Server Role IIS»). На этой вкладке нажимайте кнопку «Далее» («Next») и попадете на вкладку «Службу ролей» («Role Services»). Во вкладке нужно найти пункт «Application Development» и выбрать в нем с помощью флажков пункты «ISAPI Extensions» и «ISAPI Filters». Как только закончите с установкой флажков нажимайте «Далее» («Next») и «Установить» («Install»).

На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.

Параметры поведения кэша пользовательского режима

В этом разделе описываются параметры, влияющие на поведение кэширования в ИИСÂ 10,0. Кэш пользовательского режима реализуется как модуль, который прослушивает события глобального кэширования, создаваемые интегрированным конвейером. Чтобы полностью отключить кэш пользовательского режима, удалите модуль Филекачемодуле (cachfile.dll) из списка установленных модулей в applicationHost.config разделе конфигурации System. глобалмодулес или.

System .ING Server/Caching

attribute	Описание	По умолчанию
Активировано	Отключает кэш IIS пользовательского режима при установке значения false. Если коэффициент попадания в кэш очень мал, можно полностью отключить кэш, чтобы избежать издержек, связанных с путем к коду кэша. Отключение кэша пользовательского режима не отключает кэш режима ядра.	Верно
енаблекернелкаче	Отключает кэш режима ядра при установке значения false.	Верно
макскачесизе	Ограничивает размер кэша пользовательского режима IIS указанным размером в мегабайтах. Службы IIS настраивают значение по умолчанию в зависимости от доступной памяти. Тщательно выбирайте значение в зависимости от размера набора часто используемых файлов по сравнению с объемом ОЗУ или адресным пространством процесса IIS.
максреспонсесизе	Кэширует файлы вплоть до указанного размера. Фактическое значение зависит от числа и размера самого большого файла в наборе данных, а также от объема доступной оперативной памяти. Кэширование больших и часто запрашиваемых файлов может снизить загрузку ЦП, доступ к диску и связанные с ними задержки.	262144

WebDAV on a Windows Server 2016

WebDAV is a protocol mainly used by Windows to share folders over the Internet. The folder shared on the server can be mounted on clients as a network drive. So it is possible to use remoter resources without additional programs or similar. In contrast to FTP, files can be opened, edited and processed directly from the WebDAV directory. It is similar to a folder shared with SAMBA in the local network.

This article shows you step-by-step how to share a folder using WebDAV and then connect it from a Windows client.

Prepare Server

A fully installed and configured IIS is a prerequisite for the use of WebDAV. The installation of IIS 10 on Windows Server 2016 is shown in this article.

If IIS is installed and ready for use, you can start the installation of WebDAV.

Install WebDAV

Similar to IIS, WebDAV is installed using Server Manager. Open the Server Manager (as explained in the IIS article) to select “Add Roles and Features”. Afterwards, the wizard can be clicked until “Server Roles” appears. There, under Web Server (IIS), select “Web Server” and then click on WebDAV Publishing.

Windows Authentication is also required. This can be found under Web Server IIS -> Web Server -> Security -> Windows Authentication. Then click Next. The point features are skipped. Then the summary is shown again. Click on Install.

When the installation is complete, WebDAV is installed. However, to use WebDAV, some settings are still required.

Set up WebDAV

Next, open the IIS Manager to create a Virtual Directory. To do this, navigate to Default Web Site (or your site) in the left menu, and then click View Virtual Directory on the left side of the menu. By clicking on Add Virtual Directory (also in the left menu) you can now add a new directory. This will later be the directory to be shared via WebDav. The alias that is given here is later part of the URL. In this example, the corresponding address would be

Then click on the directory you just created and select WebDAV Authoring Rules.

In the right-hand menu you can select Add Authoring Rule. Here you have to define the type of content that can be viewed by whom. For example, UserGroup “employees” can only see “.docx” files, or group “guest” can only see “.jpg and .png” files. The permissions are also important here. You specify whether the user can only view or use the file. If the selection is made, you can confirm with OK.

The authentication method must then be selected and activated. To do this, click on the directory on the left of the menu and then select Authentication. Right-click “Windows Authentication”.

You can then click on the Default Web Site (or the site of your choice) on the left side of the menu to select WebDAV Authoring Rules. On the right, WebDAV must be activated by clicking Enable WebDAV.

You must then click again on Default Web Site (or any other website) on the left side. The IIS service can then be restarted by clicking Restart.

WebDAV is now ready. Depending on the configuration, the port 80 / TCP may have to be released in the firewall.

Integrate WebDAV on client

To create the created folder now on the client, the Explorer must be opened. Click on Map network drive at the top.

Then the path to the corresponding folder must be entered. The following syntax applies:

It is important that WebDAV is case-sensitive. The folder name must be entered exactly as it is stored in IIS.

If the client already has access data for the server but the WebDAV folder is used for other data, a checkmark must be made for “Connect using different credentials”. If no access data is stored at all, the next step is prompted to enter it.

The folder can now be reached under the selected drive letter (in the example “Z:”).

Summary

The setup of WebDAV directories is done quickly and offers the possibility to make folders accessible from outside. However, as always when it is possible to reach services from the Internet, there is a certain security risk. Therefore it is recommended to encrypt all services with an SSL certificate and use only encrypted protocols. How a WebDAV server is converted to https shows you in our article Convert WebDAV server to https  (German only).

Zurück zur Tutorial ÜbersichtBack to Tutorial Overview

Enabling WebDAV Publishing by Using IIS Manager

The WebDAV extension module makes it easy to add WebDAV publishing to existing sites by providing you with a wizard that walks you through all of the required steps.

Note

The following procedure is performed using IIS 8.5 on Windows Server 2012 R2

Step 1: Enabling WebDAV and Adding an Authoring Rule

In this first step, we add WebDAV publishing to the Default Web site, and add the required settings to allow the local administrator account to edit the content.

1. In IIS Manager, in the Connections pane, expand the Sites node in the tree, then click the Default Web Site.

2. As shown in the image below, double-click the WebDAV Authoring Rules feature.

3. When the WebDAV Authoring Rules page is displayed, click the Enable WebDAV task in the Actions page.

4. Once WebDAV has been enabled, click the Add Authoring Rule task in the Actions pane.

5. When the Add Authoring Rule dialog appears:

   1. Click All content to specify that the rule applies to all content types.

   2. Choose Specified users and type «administrator» for the user name.

   3. Select Read, Source, and Write for the permissions.

   4. When you have completed these items, click OK.

Summary for enabling WebDAV authoring and adding an authoring rule

Task completed. You have enabled WebDAV authoring on an existing Web site.

To recap the items that you completed in this step, we added WebDAV publishing to the Default Web Site by:

• Enabling WebDAV for the Web site.
• Adding an Authoring Rule for the local administrator account for Read, Source, and Write access.

Note

As mentioned earlier, your default request filtering settings may block several file types from WebDAV authoring. If you do not modify your request filtering settings, you may see various errors when you try to publish files that are blocked. For example, if you attempt to upload or download a web.config file you will see errors in your WebDAV client. For more information about configuring your request filtering settings, see the How to Configure WebDAV with Request Filtering walkthrough.

Step 2: Logging in to Your WebDAV Site

In Step 1 above, you enabled WebDAV publishing for your Default Web Site and added an authoring rule for the local administrator account for Read, Source, and Write access to your Web site’s content. In this step, you log in using your administrator account.

Ensuring that you have authorization and authentication configured

1. In IIS Manager, in the Connections pane, expand the Sites node in the tree, then click the Default Web Site.

2. Double-click the Authentication feature.

3. When the Authentication feature opens, make sure that Windows Authentication is enabled. If it is not enabled, select Windows Authentication, and click Enable in the Action menu.

   Note

   You can use Basic Authentication with WebDAV, but the WebDAV redirector will only use Basic authentication with SSL connections.

4. In IIS Manager, click the Default Web Site under the Sites node in the tree.

5. Double-click the Authorization Rules feature.

6. When the Authorization feature opens, make sure that an Allow rule is defined that includes the administrator account. (For example, the default rule for IIS allowing access to All Users will include the administrator account.)

Logging in to your WebDAV site using your administrator account

Logging into your WebDAV site requires the WebDAV Redirector. The WebDAV Redirector is used to publish content to an existing Web site that has the WebDAV module installed. You must use Server Manager to install the Desktop Experience feature before you can use the WebDAV redirector. For more information, see Using the WebDAV Redirector.

1. On your WebDAV server, open a command prompt session.

2. Type the following command to connect to your WebDAV server:

You now have a drive mapped to your WebDAV-enabled web site using the local administrator account, and based on the authorization rule that we added in Step 1, you have Read, Write, and Source access to the content folder.

• You verified that your Web site had sufficient authentication and authorization settings.
• You logged in to your WebDAV site as the local administrator.

Configuration

The element is configurable per-URI in the ApplicationHost.config file. Settings can be stored globally, at the site level, or per folder. The element cannot be delegated, so any elements in Web.config files are ignored.

Attributes

Attribute	Description
	Optional flags attribute.Specifies the access settings for the authoring rule. These values combined with a logical OR operation, so «None, Read» = «Read.»Note: access allows a WebDAV client to request the contents of a script-mapped file, such as an ASP.NET or PHP file, as opposed to the processed output of the file. Value Description No authoring is allowed.The numeric value is . Read access is allowed.The numeric value is . Write access is allowed.The numeric value is . Access to source code is allowed.The numeric value is . The default value is .
	Optional string attribute.Specifies the file name or the file name extension for which the authoring rule applies. For example, «*.aspx», «*.php», etc. In addition, the following special identifiers have been defined. Value Description Specifies that the rule will apply to all content. There is no default value.
	Optional string attribute.Specifies roles or groups for an authorization rule. Multiple roles can be added in a comma-separated list.There is no default value.
	Optional string attribute.Specifies users for an authorization rule. Multiple users can be added in a comma-separated list. In addition, the following special identifiers have been defined. Value Description Specifies that the rule will apply to all users. Specifies that the rule will apply to anonymous users. There is no default value.

Configuration Sample

The following example lists a sample element for the Default Web Site. This example clears any existing authoring rules, adds a single rule for the administrators group, enables WebDAV authoring, specifies that hidden files are allowed, enables WebDAV locks and specifies the lock provider, and enables WebDAV properties and specifies the default XML namespace for property mapping.

Установка

Шаги:

• Нажмите кнопку Пуск и выберите Панель управления.
• На панели управления выберите Программы, а затем Включение и отключение компонентов Windows.
• В диалоговом окне «Компоненты Windows» нажмите Службы IIS, а затем кнопку ОК.

Конфигурирование

Настройка веб-узла по умолчанию:
При установке IIS настроен для использования в качестве веб-узла по умолчанию; тем не менее может потребоваться изменить некоторые настройки. Чтобы изменить основные параметры для веб-узла и имитировать действия, которые требуются для настройки Apache в первый раз с помощью файла конфигурации:

1. Войдите в систему на компьютере веб-сервера с правами администратора.
2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
4. Щелкните правой кнопкой мыши веб-узел, который необходимо настроить, на левой панели и выберите команду Свойства.
5. Перейдите на вкладку веб-узел .
6. В поле Описание введите описание веб-узла.
7. Введите адрес Internet Protocol (IP) для веб-узла или оставьте значение по умолчанию все (не назначено) .
8. Измените порт протокола управления передачей (TCP), соответствующим образом.
9. Перейдите на вкладку Домашний каталог.
10. Чтобы использовать папку на локальном компьютере, выберите каталог на данном компьютере и нажмите кнопку Обзор, чтобы найти папку, которую требуется использовать.
11. Чтобы использовать папку, общий ресурс с другого компьютера в сети, выберите параметр Общая папка другого компьютера и затем введите путь или нажмите кнопку Обзор, чтобы выбрать общую папку.
12. Нажмите кнопку Чтение предоставить доступ на чтение к папке (обязательно).
13. Нажмите кнопку ОК, чтобы принять свойства веб-сайта.

Создание нового веб-узла:

Чтобы создать новый веб-узел на сервере Apache, необходимо настроить виртуальный узел и настроить отдельные параметры для узла. Если используются службы IIS, можно создать новый веб-узел путем перевода следующих терминов в эквивалентные термины IIS:

Apache термин	Термин IIS
Корень документа	Каталог домашней страницы веб-узла IIS
Имя_сервера	Заголовок узла IIS
Прослушивание	IIS IP-адрес и TCP-порт

Чтобы создать новый веб-узел в IIS, выполните следующие действия:

1. Войдите в систему на компьютере веб-сервера с правами администратора.
2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
4. Щелкните Действие, выберите пункт Создать и выберите веб-узел.
5. После запуска мастера создания веб-узла, нажмите кнопку Далее.
6. Введите описание веб-узла. Это описание используется для идентификации веб-узла в диспетчере служб Интернета только для внутренних целей.
7. Выберите IP-адрес для веб-узла. Если выбрать все (без значения), веб-узел будет доступен для всех интерфейсов и всех настроенных IP-адресов.
8. Введите номер порта TCP, чтобы опубликовать на нем сайт.
9. Введите имя заголовка узла (реальные имя, которое используется для доступа к этому узлу).
10. Нажмите кнопку Далее.
11. Введите путь к папке, которая содержит документы веб-узла, или нажмите кнопку Обзор, выберите папку и нажмите кнопку Далее.
12. Укажите права доступа для веб-узла и нажмите кнопку Далее.
13. Нажмите кнопку Готово.

Задание веб-разрешений

Ниже приведены несколько рекомендуемых способов настройки веб-разрешений в зависимости от предназначения публикуемого материала.

• Разрешены чтение, запись и обзор каталогов   Такая конфигурация разрешений позволяет клиентам просматривать список ресурсов, изменять ресурсы (за исключением тех, которые не имеют разрешения на запись), публиковать свои собственные ресурсы и выполнять операции с файлами.
• Запись разрешена, чтение и обзор каталогов запрещены   Если нужно позволить клиентам опубликовывать в каталоге конфиденциальные сведения, и в то же время запретить остальным пользователям просматривать опубликованные материалы, установите разрешение на запись, но не устанавливайте разрешения на чтение и просмотр каталогов. Эта конфигурация прекрасно подходит для случаев, когда клиенты участвуют в тайном голосовании или заполняют опросные анкеты.
• Чтение и запись разрешены, обзор каталогов запрещен   Эту конфигурацию можно использовать, если в качестве средства безопасности служат трудные для подбора и угадывания имена файлов. Однако следует иметь в виду, что такая защита не очень надежна, так как взломщик может рано или поздно подобрать или угадать имя файла.
• Индексация каталога включена   Если нужно разрешить клиентам выполнять поиск в каталогах, включите службу индексирования.

Дополнительные сведения о веб-разрешениях см. в разделе Задание разрешений для веб-сервера.

Режим совместимости конфигурации 1С

Приветствую, коллеги! В этой статье будет сделан обзор функции совместимости конфигурации 1С с другими версиями конфигураций 1С, а также рассмотрено, как выбрать и настроить режим совместимости конфигурации с версией 1С 8.3.
Во-первых, разберём главное понятие в этой статье: режим совместимости в конфигурации – это устройство, благодаря которому выводится номер версии системы, под которую станет открыто приложение 1С:Предприятие. Данный режим существует на платформе 1С начиная с версий 8.2 и 8.3 (платформа версии 1С:Предприятие 8.3 совместима с платформой версии 1С:Предприятие 8.2).

Безопасность

IIS 4 и IIS 5 были затронуты уязвимостью безопасности CA-2001-13, которая привела к печально известной атаке Code Red ; однако в версиях 6.0 и 7.0 не сообщалось о проблемах с этой конкретной уязвимостью. В IIS 6.0 Microsoft решила изменить поведение предустановленных обработчиков ISAPI , многие из которых были виновниками уязвимостей 4.0 и 5.0, тем самым уменьшив поверхность атаки IIS. Кроме того, в IIS 6.0 добавлена ​​функция, называемая «Расширения веб-служб», которая не позволяет IIS запускать любую программу без явного разрешения администратора.

По умолчанию IIS 5.1 и более ранние версии запускают веб-сайты в одном процессе, выполняющем контекст системной учетной записи, учетной записи Windows с правами администратора. В версии 6.0 все процессы обработки запросов выполняются в контексте учетной записи сетевой службы, которая имеет значительно меньше привилегий, поэтому, если в какой-либо функции или в пользовательском коде обнаружится уязвимость, она не обязательно поставит под угрозу всю систему с учетом изолированной среды. выполняются рабочие процессы. IIS 6.0 также содержал новый стек HTTP ядра ( ) с более строгим анализатором HTTP-запросов и кешем ответов как для статического, так и для динамического содержимого.

Согласно Secunia , по состоянию на июнь 2011 года в IIS 7 было в общей сложности шесть устраненных уязвимостей, в то время как в IIS 6 было в общей сложности одиннадцать уязвимостей, из которых одна все еще не исправлена. Неустановленное уведомление по безопасности имеет рейтинг серьезности 2 из 5.

В июне 2007 года исследование Google 80 миллионов доменов пришло к выводу, что, хотя в то время доля рынка IIS составляла 23%, на серверах IIS размещалось 49% мирового вредоносного ПО, столько же, сколько на серверах Apache , доля рынка которых составляла 66%. В исследовании также наблюдалось географическое расположение этих «грязных» серверов и было высказано предположение, что причиной этого могло быть использование нелицензионных копий Windows, которые не могли получать обновления безопасности от Microsoft. В сообщении в блоге от 28 апреля 2009 г. Microsoft отметила, что предоставляет обновления безопасности для всех без подлинной проверки.

В 2013 раскрытии массового наблюдения сделало его более широко известно , что IIS особенно плохо в поддержании совершенной секретности вперед (PFS), особенно при использовании в сочетании с Internet Explorer. Обладание одним из долговременных асимметричных секретных ключей, используемых для установления сеанса HTTPS, не должно упростить получение краткосрочного сеансового ключа для последующей расшифровки разговора даже в более позднее время. Обмен ключами Диффи-Хеллмана (DHE) и обмен ключами Диффи-Хеллмана с эллиптической кривой (ECDHE) в 2013 году были единственными известными, обладающими этим свойством. Только 30% сеансов браузера Firefox, Opera и Chromium используют его и почти 0% сеансов Apple Safari и Microsoft Internet Explorer.