保护 Web Studio 部署的安全

本文重点介绍在部署 Web Studio 时可能会影响系统安全性的配置区域。

注意：

为保护用户 Web 浏览器和 Web Studio 之间的通信安全，请参阅在 Web Studio 和 Director 上启用 TLS。

配置 IIS 设置

作为安全最佳实践，请采用受限的 IIS 配置来配置 Web Studio：

1. 限制请求筛选：

   • 如果您随 Director 一起安装 Web Studio，IIS 会自动配置以下筛选规则。

   • 如果您将 Web Studio 作为独立组件安装，请按如下方式手动配置 IIS：

     • 只允许使用以下文件扩展名：

       ., .aspx, .css, .eot, .html, .ico, .js, .png, .svc, .svg, .jpg, .gif, .json, .woff, .woff2, .ttf

       有关详细信息，请参阅这篇 Microsoft 文章。

     • 仅允许以下 HTTP 谓词：

       GET, POST, HEAD

       有关详细信息，请参阅这篇 Microsoft 文章。

2. 移除不需要的处理程序映射。

   Web Studio 仅需要 StaticFile 处理程序映射。移除所有其他映射。有关详细信息，请参阅 这篇 Microsoft 文章。

3. 移除未使用的 ISAPI 筛选器。

   Web Studio 不需要任何 ISAPI 筛选器。您可以移除所有这些筛选器。有关详细信息，请参阅 这篇 Microsoft 文章。

   注意：

   为了使 ASP.NET 正常运行，需要启用 ISAPI Windows 功能。

4. 从 C:\inetpub\wwwroot 删除以下默认 IIS 登录页面文件：

   • iisstart.htm
   • welcome.png

5. 确保 .NET 信任级别 保持设置为 完全信任。此设置在安装期间自动配置，并且是 Web Studio 正常运行所必需的。请勿更改此设置。

移除未使用的应用程序池权限

在安装过程中，Web Studio 应用程序池被授予以下用户权限：

• 作为服务登录
• 调整进程的内存配额
• 生成安全审核
• 替换进程级别令牌

这些权限是 IIS 应用程序池的标准权限。Web Studio 不使用它们，您可以将其删除。

Isolate Web Studio deployment

您可以将任何 Web 应用程序与 Web Studio 部署在同一 Web 域（域名和端口）中。但是，这些 Web 应用程序中的任何安全风险都可能降低您的 Web Studio 部署的安全性。如果需要更高程度的安全隔离，我们建议您将 Web Studio 部署在与任何其他第三方应用程序不同的单独 Web 域中。