网站发布与互联网打印安全保障指南

# 网站发布与互联网打印安全保障指南 ## 1. FPSE 安装与配置 ### 1.1 FPSE 安装 FPSE 默认未安装，若在安装 IIS 6.0 时未安装并启用 FPSE，可按以下步骤操作： 1. 打开“添加/删除程序”控制面板，选择“添加/删除 Windows 组件”。 2. 在“应用程序服务器”|“Internet 信息服务”下，勾选“FrontPage 2002 服务器扩展”组件。 3. 点击“确定”退出对话框，再点击“下一步”安装并启用 FPSE。 若之前已安装 FPSE 但禁用了相关 Web 服务扩展，可打开 IIS 管理器，展开“Web 服务扩展”节点，在右侧窗格中选择允许“FrontPage 2002 服务器扩展”。 ### 1.2 URLScan 配置 若运行 URLScan，需对配置进行如下更改： 1. 编辑 urlscan.ini 文件，允许 URLScan 作为低优先级过滤器加载，使 FPSE ISAPI 过滤器能在 URLScan 之前处理传入请求。默认情况下，urlscan.ini 位于 %systemroot%\system32\inetsrv\urlscan\ 。用记事本（或类似文本编辑器）打开 urlscan.ini 文件，设置 `AllowLateScanning=1`。 2. 确保不删除 IIS 6.0 服务器标头或替换为自己的标头，否则 FrontPage 发布可能失败。在 urlscan.ini 文件中设置 `RemoveServerHeader=0` 以防止问题。 3. 可选择使用 urlscan.ini 为 FPSE 的发布文件夹提供进一步保护，在 urlscan.ini 文件的 `[DenyURLSequences]` 部分添加以下代码： ```plaintext /fpdb/ ; holds FrontPage database files /_private ; holds FrontPage private files (usually FPSE form/poll results) /_vti_pvt ; holds FrontPage configuration files /_vti_cnf ; holds FrontPage metadata files /_vti_txt ; holds FrontPage catalogs & indices (for FPSE searching) /_vti_log ; holds FrontPage authoring log files ``` 4. 进行上述更改后，必须重启 IIS 以重新加载 URLScan 过滤器的新设置。 ### 1.3 启用 FPSE 创作 要使 FrontPage 客户端（如 Microsoft FrontPage 和 Visual Studio.Net）能够在网站上进行创作，需要扩展现有网站。在扩展网站之前，可先配置 FrontPage 服务器默认设置： 1. 打开“开始”菜单“管理工具”文件夹中的“Microsoft Sharepoint 管理员网站”。 2. 点击“设置安装默认值”链接，可在此页面输入邮件设置，选择是否记录创作操作、创作是否需要 SSL 以及作者是否可以上传可执行内容（.exe 文件）。 扩展网站可通过以下方式之一进行： 1. 打开 IIS 管理器，找到要扩展的网站，右键单击并选择“所有任务”，然后选择“配置服务器扩展 2002”，这将打开 Sharepoint 管理网站，要求确认扩展。 2. 打开“开始”菜单“管理工具”文件夹中的“Microsoft Sharepoint 管理员网站”，对于未扩展的网站，有“扩展”链接；对于已扩展的网站，有“管理”链接。点击未扩展网站的“扩展”链接。 3. 在“安装”页面，输入将成为此网站管理员的 Windows 用户帐户（稍后可添加更多管理员），点击“提交”按钮扩展网站。 ### 1.4 网站管理设置 扩展后的网站在“Microsoft Sharepoint 管理员网站”主页会有两个链接，“管理”链接可配置各种网站范围的设置、配置网站的最大用户帐户数或从该网站卸载 FPSE。网站名称也是超链接，点击可进入“网站管理网站”，该主页包含以下链接和选项： - **更改匿名访问设置**：可启用或禁用网站的匿名浏览，还可提升匿名用户的权限，但不建议给予其创作或管理权限。 - **添加/删除用户帐户**：用于添加或删除为该网站定义的用户帐户。 - **管理用户帐户**：通过将用户或组分配到角色来决定其在网站内的权限，也可将 Windows 用户或组添加到 FPSE 网站。 - **管理角色**：可定义服务器上存在的角色，每个角色有一组权限，FPSE 自带一些预定义角色，也可创建新角色并添加自定义权限。 - **发送邀请**：通过三步向导向用户发送邀请电子邮件，可自动将这些用户添加到 FPSE 网站并选择其应分配的角色。 - **检查服务器运行状况**：让 FPSE 对其配置信息进行诊断检查，并验证 NTFS 权限是否安全配置，也可用于更改网站的 NTFS 权限以确保安全。 - **重新计算网站**：当网站内容的 FPSE 元数据与实际内容不同步时使用，此操作会强制 FPSE 检查所有文件夹和文件并重新计算其元数据。 - **配置版本控制**：启用后，用户可签出（和签入）文件，签出的文件不能被其他用户编辑，签出信息存储在 FPSE 创建的 \_vti_cnf 目录中。 - **创建子网站**：可将网站的不同部分指定为子网站，每个子网站可拥有自己的配置和安全信息。 ### 1.5 FPSE 虚拟主机安全保障 为保障 FPSE 虚拟主机（或扩展网站）的安全，可按以下步骤操作： 1. **确定匿名访问设置**： - 打开“网站管理主页”。 - 点击“更改匿名访问设置”链接。 - 选择是否允许匿名访问，若允许，确定匿名（未认证）用户应分配的角色，默认的“浏览器”角色允许匿名用户浏览网站，不建议将未认证用户置于具有更高权限的角色。 2. **选择认证机制**：除非允许匿名用户执行创作操作（不建议），否则用户执行创作操作时需要提供凭据。IIS 6.0 支持多种认证机制，如集成 Windows 认证（IWA）、摘要/高级摘要认证和基本认证。若选择基本认证，应使用 SSL 加密客户端和服务器之间的用户凭据传输。 3. **确定角色类型**：确定网站或子网站所需的角色类型，至少需要一个对网站有完全控制权的用户（或用户组），还可能有可浏览网站的用户和可创作内容的用户。若需要创建可创建新用户帐户但不能更改其他服务器设置的管理员，