sitio web protegido por contraseña IIS

1

Tengo un sitio web basado en Windows IIS y para usar la contraseña para proteger el sitio web y deshabilitar el inicio de sesión anónimo en ese sitio web, la ÚNICA manera es deshabilitar el inicio de sesión anónimo en IIS y usar una cuenta de inicio de sesión de Windows como cuenta de inicio de sesión en el sitio web.

Sin embargo, esto provocará una fuga de seguridad porque no hay una conexión https, por lo que la contraseña de inicio de sesión de Windows se transporta en la red en "texto sin cifrar". Si alguien capturó la contraseña, puede usarla para iniciar sesión en el servidor. Entonces, ¿podemos usar HTTPS en este caso?

O si podemos usar https, existe otra preocupación que es que no queremos que el usuario del sitio web inicie sesión en el servidor con la misma cuenta de Windows. Solo queremos que el usuario acceda al sitio web, pero no al servidor de Windows. ¿Podemos deshabilitar a este usuario de cuenta de Windows en particular para que inicie sesión en Windows mientras le permitimos a este usuario acceder al sitio web protegido por contraseña?

    
pregunta Xianlin 14.04.2012 - 14:18
fuente

1 respuesta

3

Al realizar cualquier tipo de autenticación basada en web, siempre desea realizar la acción a través de un canal cifrado. Entonces sí. Consigue un certificado y enciéndelo. No deberías tener ningún problema.

Definir el acceso al servidor en sí mismo, cuando se utilizan cuentas de máquinas, es definitivamente factible, pero a veces puede ser complicado dependiendo de sus casos de uso exactos. Primero, asegúrese de que las cuentas de usuario no estén en los grupos Administradores ni Usuarios remotos. Esto evitará las conexiones de Terminal Services.

También querrás prohibirles que inicien sesión localmente. No tengo la experiencia necesaria en Windows para explicar cómo, desafortunadamente.

Como paso adicional, también me aseguraré de que las reglas de firewall sean apropiadamente restrictivas. Si los usuarios no pueden acceder al puerto 3389, entonces no pueden usar el Escritorio remoto incluso si tienen una cuenta.

    
respondido por el Scott Pack 14.04.2012 - 15:03
fuente

Lea otras preguntas en las etiquetas