By default, when you create a new Internet Information Services (IIS) website, it’s open to everyone with anonymous access enabled — anyone can access and view the data being hosted by that site. Obviously, this is a security concern for most organizations. Indeed, I’m often asked by clients and colleagues how to lock down an IIS site so only the desired people can access it.
The answer is pretty simple: In order to secure an IIS site, all one needs to do is change the default permissions, enable Windows Authentication for user accounts, and disable Anonymous Authentication in IIS Manager. Here are the steps:
How to secure your IIS site
1.Select your site and click “Authentication”, In the screenshot below, you can see that I have many IIS sites, including one named “Default Web Site”.
2. If you have Windows Authentication installed for IIS, proceed to step 3. If you don’t have Windows Authentication integrated in IIS, add this feature from Server Manager under “Roles / Services” for IIS”EX. IIS Windows Authentication Feature of IIS.
3. Enable the Windows Authentication option for your site:
4. Reconfigure the permissions of the web site. First, we will break inheritance and then we will remove “Users” from having any access:
4.1 Right-click the site select “Edit Permissions”
4.2 Click “Advanced.”
4.3 Click “Change Permissions.”
4.4 Uncheck the box “Include inheritable permissions from this objects parent”. When prompted with a warning, select ADD. This simply copies the existing permissions back without inheritance; this is very important as to not break the website for yourself and the system at large.
4.5 Delete the permission for Users. This will disable the ability for any domain users to simply authenticate to your site to view the reports, while allowing local administrators and members of IIS_IUSRS to log in and view reports. (The set of base permissions can vary from OS to OS.) Also make sure that security principals like “Everyone” and “Authenticated Users” do not have any access.
4.6 Last, you can now use the basic “Edit” button to add Read Only access for select users and groups. In my case, I gave Read access to my reports to Frank. For basic site usage, nothing more then Read access is really needed; don’t give anyone Modify or Full Control access unless there is some special need.
Note that I did this testing on Windows 2008 and Win 7, and I did not need to bounce IIS for any of these configuration changes to start working.
How can Netwrix help?
Netwrix StealthAUDIT can help you enhance the security of your Windows infrastructure and minimize the risk of a data breach. It empowers you to:
- Identify vulnerabilities that can be used by attackers to compromise Windows systems and get to your data.
- Enforce security and operational policies through baseline configuration analysis.
- Audit and govern privileged accounts.
- Prove compliance more easily with prebuilt reports and complete system transparency.
FAQ
What is Windows Authentication in IIS?
Windows Authentication in IIS is a secure type of authentication in which user account credentials are hashed before being transmitted over the network.
Is Windows Authentication the same as Active Directory?
No. You can use Windows Authentication even if your server is not a member of an Active Directory domain.
Does IIS Windows Authentication use LDAP?
No. IIS Windows Authentication supports only the Kerberos and NTLM protocols.
Security Researcher at Netwrix and member of the Netwrix Security Research Team. Joe is an expert in Active Directory, Windows, and a wide variety of enterprise software platforms and technologies, Joe researches new security risks, complex attack techniques, and associated mitigations and detections.
Доменная авторизация позволяет выполнять сквозную авторизацию идентифицируясь под своей текущей учётной записью домена. При такой авторизации не нужно вводить логин и пароль пользователя, сквозная авторизация сама выполняет эту проверку. В этой статье мы разберём основные настройки конфигурации и веб-сервера IIS, при которых работает доменная авторизация личного кабинета и веб-клиента.
Важно! Мы не гарантируем работу доменной авторизации, если веб-сервер IIS ранее уже был настроен. Может быть так, что какие-то персональные настройки будут мешать работе доменной авторизации.
1
Убедитесь, что компьютер находится в домене и вход в систему выполнен под учётной записью домена.
2
Настройка публикации.
При публикации информационной базы на веб-сервер IIS должна быть установлен параметр «Использовать аутентификацию операционной системы». Если вы ещё не опубликовывали информационную базу на веб-сервере, то ознакомьтесь с пошаговой инструкцией.
3
Настройка IIS. Проверка подлинности Windows.
1. Перейдите в диспетчер служб «IIS», в списке сайтов найдите опубликованную ранее информационную базу.
2. Перейдите в настройки «Проверка подлинности для сайтов и приложений».
3. В открывшемся списке необходимо включить «Проверка подлинности Windows», при этом отключить все остальные проверки подлинности.
4. Если в списке доступных проверок подлинности нет проверки подлинности Windows, то необходимо перейти в «Компоненты Windows» -> Службы IIS -> Службы интернета -> Безопасность -> активировать «Проверка подлинности Windows»
4
Настройка «Управление IT-отделом 8».
1. Перейдите в настройки пользователя, для которого нужно настроить доменную авторизацию, по пути: Администрирование -> настройки пользователей и прав -> пользователи -> нужный пользователь.
2. На закладке «Главное» активируйте настройку «Аутентификация операционной системы», Выберите домен и пользователя домена.
3. Перейдите в настройки личного кабинета по пути: Администрирование -> Личный кабинет -> Закладка «Настройки» -> Закладка «Дополнительно» -> убрать галочку с настройки «Использовать собственную авторизацию». Эта настройка отключит добавленную нами форму авторизации личного кабинета.
5
Готово. Теперь доменная авторизация работает.
Если Comindware Tracker установлен как сервер IIS, вам будет необходимо настроить проверку подлинности Windows в IIS. По умолчанию в IIS 7 включен режим анонимной проверки подлинности.
Перед настройкой, убедитесь, что вы должным образом внесли изменения в файл web.config,.
Установка модуля аутентификации Windows
1. Перейдите в меню Пуск > Администрирование > Диспетчер сервера.
2. В левой части окна выберите пункт Роли.
3. Выберите пункт Веб-сервер (IIS),щелкните правой кнопкой мышки и выберите пункт Добавить службы ролей.
Добавить службы ролей
4. Установите флажок Windows — проверка подлинности и нажмите кнопку Далее. Установленный флажок означает, что модуль уже установлен.
Проверка подлинности
5. Нажмите кнопку Установить.
Включение проверки подлинности Windows
1. Откройте Диспетчер служб IIS: нажмите кнопку , в поле Поиск введите inetmgr и нажмите клавишу ВВОД.
2. В левой части окна выберите пункт Веб-сайт Comindware.
3. В разделе Функции щелкните дважды Проверка подлинности или щелкните правой кнопкой мыши Проверка подлинности и выберите пункт Открытие функции.
Проверка подлинности
4. На странице Проверка подлинности выберите пункт Windows — проверка подлинности.
5. В области Действия выберите Задействовать для использования проверки подлинности Windows.
Последние изменения: 2022-02-14
Если обмен между Mobile SMARTS и «1С: Предприятием» происходит через веб-сервис «Клеверенса», то для выполнения внешних требований безопасности необходимо подключаться к веб-серверу с авторизацией по пользователю 1С. Но в некоторых организациях для авторизации в IIS можно использовать только данные пользователя Windows. Чтобы не лишать таких пользователей Mobile SMARTS возможности работать c 1С через веб-сервер, мы добавили возможность подключаться к нему от имени пользователя Windows.
Если у вас используется доменная авторизация пользователя Windows, то авторизация при входе в «1С: Предприятие» и подключении к веб-серверу будет происходить без дополнительного запроса имени пользователя и пароля.
Настройка использования доменной авторизации Windows при подключении к веб-серверу производится в несколько этапов.
Настройка рассмотрена на примере web-сервиса, но все действия аналогичны для настройки обмена через http-сервис.
Настройка проверки подлинности веб-службы IIS в Windows
Рассмотрено на примере ОС Windows 10, для других версий Windows могут быть небольшие отличия.
-
Открыть панель управления Windows и выбрать пункт «Программы».
-
Далее выбрать «Включение или отключение компонентов Windows».
-
В открывшемся списке найти пункт «Службы IIS», затем открыть «Службы Интернета» → «Безопасность» и поставить флаг в пункте «Проверка подлинности Windows».
После этого необходимо произвести проверку работы опубликованного web-сервиса. Для этого вводим в браузере его адрес (например, http://VM-VIN10-USR-3/ut114demo/ws/CleverenceWebExtension.1cws), и если все настройки были указаны правильно, окно ввода имя пользователя и пароля не появится, а откроется следующая xml-страница.
Настройка авторизации пользователя в базе «1С:Предприятие 8»
-
В конфигураторе 1С в настройках пользователя («Администрирование» → «Пользователи» → выбрать нужного пользователя) поставьте флаг в пункте «Аутентификация операционной системы».
-
В настройках публикации на веб-сервере поставьте флаг на «Использовать аутентификацию операционной системы» и нажмите «Опубликовать».
Изменение настроек коннектора Mobile SMARTS к базе «1С:Предприятия»
Коннектор 1С используется только в случае работы сервера Mobile SMARTS и «1С: Предприятие» в режиме онлайн.
В настройках коннектора в панели управления Mobile SMARTS необходимо указать адрес веб-сервера и данные пользователя Windows, от имени которого будет происходить подключение к нему.
-
Откройте вкладку «Свойства» для коннектора «1С: Предприятия».
-
В строке «Сервер» укажите адрес ранее опубликованного веб-сервера.
-
Далее во вкладке «Прочее» укажите следующие параметры:
- Домен — имя домена или имя текущей OС Windows (например «cleverence.local» или VM-VIN10-USR-3).
- Пароль — пароль пользователя домена или текущей ОС, который вы будете использовать при подключении к опубликованному веб-сервису 1С.
- Пользователь — пользователь, от имени которого вы будете подключаться к веб-сервису и 1С.
- Тип авторизации — укажите значение «Win» (Windows).
- Тип подключения — WebConnector.
После того как был выбран тип авторизации Win, перевведите пароль для получения токена Windows!
-
Сохраните все изменения.
-
Запустите коннектор к 1С. Если запуск прошел успешно, значит все настройки были произведены правильно.
Если попытка запуска завершится неудачей, то необходимо перепроверить все указанные настройки, или воспользоватьс функцией «Диагностика и исправление проблем».
I am trying to run an asp .net website in Visual Studio 2015 that is using windows authentication in IIS7. Although I installed IIS in my PC, while trying to add «windows authentication» from
Control Panel-> Turn Windows features on or off-> Internet Information
Services -> World Wide Web Services -> Security
it seems that this feature is missing from the list.
Have a look at the picture.
What other options do I have in order to run the project via windows authentication?
Bart
9,9357 gold badges47 silver badges64 bronze badges
asked Jun 27, 2016 at 7:44
1
Windows 10 Home edition doesn’t include Windows Authentication (and a bunch of other IIS security features). However, the package with these features is sitting right there in your OS and you can manually install it.
All you need to do is open an elevated command prompt and run:
dism /online /norestart /add-package:%SystemRoot%\servicing\Packages\Microsoft-Windows-IIS-WebServer-AddOn-2-Package~31bf3856ad364e35~amd64~~10.0.16299.15.mum
- Filename above may be slightly different since it’s based on system bitness and version
Then just make your way back to:
Turn Windows features on or off > Internet Information Services > World Wide Web Services > Security
All the «pro» options under Security will be available. Simply check «Windows Authentication» and reboot.
answered Jan 10, 2018 at 22:16
coldfusedcoldfused
1,28711 silver badges9 bronze badges
9
Windows 10 Home edition does not support windows authentication in IIS. Once you upgrade to Windows 10 Pro, you will see several additional features in IIS, including windows authentication.
answered Sep 24, 2016 at 17:29
JustClarkJustClark
1571 silver badge5 bronze badges
1
Check if this feature is deployed:
At appwiz.cpl, select ‘Turn Windows Features on or off’, verify if
Internet Information Services -> World Wide Web Services -> Security -> Windows Authentication is selected.
answered Oct 10, 2017 at 16:07
RafaelRafael
96612 silver badges22 bronze badges
1
Just rightclick on IIS and click open as ‘Adminstrator’. Retry the same. It should work
answered Aug 23, 2018 at 20:56
To enable “Windows Authentication” either you need to upgrade the OS to Pro version or you can run this command to enable it.
C:\WINDOWS\system32>dism /online /norestart /add-package:%SystemRoot%\servicing\Packages\Microsoft-Windows-IIS-WebServer-AddOn-2-Package~31bf3856ad364e35~amd64~~10.0.17134.1.mum
The file name will be different based on windows updates. So please update if requires.
answered Aug 16, 2020 at 2:33