Web Studio 部署的安全加固

本文重点介绍在部署 Web Studio 时可能影响系统安全的配置区域。

注意：

为了保护用户 Web 浏览器和 Web Studio 之间的通信，请参阅 在 Web Studio 和 Director 上启用 TLS。

配置 IIS 设置

作为安全最佳实践，请使用受限的 IIS 配置来配置 Web Studio：

1. 限制请求筛选：

   • 如果您随 Director 安装 Web Studio，IIS 会自动配置以下筛选规则。

   • 如果您将 Web Studio 作为独立组件安装，请手动配置 IIS，如下所示：

     • 仅允许使用以下文件扩展名：

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       有关详细信息，请参阅 此 Microsoft 文章。

     • 仅允许以下 HTTP 谓词：

       GET, POST, HEAD

       有关详细信息，请参阅 此 Microsoft 文章。

2. 移除不需要的处理程序映射。

   Web Studio 仅需要 StaticFile 处理程序映射。移除所有其他映射。有关详细信息，请参阅 这篇 Microsoft 文章。

3. 移除未使用的 ISAPI 筛选器。

   Web Studio 不需要任何 ISAPI 筛选器。您可以移除所有这些筛选器。有关详细信息，请参阅 这篇 Microsoft 文章。

   注意：

   ASP.NET 的运行需要 ISAPI Windows 操作系统功能的支持。

4. 从 C:\inetpub\wwwroot 中删除以下默认 IIS 登录页面文件：

   • iisstart.htm
   • welcome.png

5. 确保 .NET 信任级别保持设置为完全信任。此设置在安装期间自动配置，并且是 Web Studio 正常运行所必需的。请勿更改此设置。

移除未使用的应用程序池权限

在安装过程中，Web Studio 应用程序池被授予以下用户权限：

• 作为服务登录
• 调整进程的内存配额
• 生成安全审核
• 替换进程级别令牌

这些权限是 IIS 应用程序池的标准配置。Web Studio 不使用它们，并且您可以将其删除。

隔离 Web Studio 的部署环境

您可以将任何 Web 应用程序与 Web Studio 部署在相同的 Web 域（域名和端口）中。但是，这些 Web 应用程序中的任何安全风险都可能降低您的 Web Studio 部署的安全性。如果需要更高程度的安全隔离，我们建议您将 Web Studio 部署在与任何其他 第三方 应用程序不同的单独 Web 域中。