保护 Web Studio 部署安全

本文重点介绍部署 Web Studio 时可能影响系统安全的配置区域。

注意：

为了保护用户 Web 浏览器与 Web Studio 之间的通信安全，请参阅 在 Web Studio 和 Director 上启用 TLS。

配置 IIS 设置

作为安全最佳实践，请使用受限的 IIS 配置来配置 Web Studio：

1. 限制请求筛选：

   • 如果您将 Web Studio 与 Director 一起安装，IIS 会自动配置以下筛选规则。

   • 如果您将 Web Studio 作为独立组件安装，请手动配置 IIS，如下所示：

     • 仅允许使用以下文件扩展名：

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       有关详细信息，请参阅 这篇 Microsoft 文章。

     • 仅允许以下 HTTP 谓词：

       GET, POST, HEAD

       有关详细信息，请参阅 这篇 Microsoft 文章。

2. 移除不需要的处理程序映射。

   Web Studio 仅需要 StaticFile 处理程序映射。移除所有其他映射。有关详细信息，请参阅 这篇 Microsoft 文章。

3. 移除未使用的 ISAPI 筛选器。

   Web Studio 不需要任何 ISAPI 筛选器。您可以移除所有这些筛选器。有关详细信息，请参阅 这篇 Microsoft 文章。

   注意：

   ASP.NET requires the ISAPI Windows feature.

4. 从 C:\inetpub\wwwroot 中删除以下默认 IIS 登录页面文件：

   • iisstart.htm
   • welcome.png

5. 确保 .NET Trust Level 保持设置为 Full Trust。此设置在安装过程中自动配置，是 Web Studio 正常运行所必需的。请勿更改此设置。

移除未使用的应用程序池权限

在安装过程中，Web Studio 应用程序池被授予以下用户权限：

• 作为服务登录
• 调整进程的内存配额
• 生成安全审核
• 替换进程级别令牌

这些权限是 IIS 应用程序池的标准权限。Web Studio 不使用它们，您可以将其删除。

隔离 Web Studio 部署环境

您可以在与 Web Studio 相同的 Web 域（域名和端口）中部署任何 Web 应用程序。但是，这些 Web 应用程序中的任何安全风险都可能降低 Web Studio 部署的安全性。如果需要更高程度的安全隔离，我们建议您将 Web Studio 部署在与任何其他第三方应用程序不同的 Web 域中。