Secure Web Studio 部署

本文重点介绍部署 Web Studio 时可能会影响系统安全的配置区域。

注意：

为了确保用户的 Web 浏览器与 Web Studio 之间的通信安全，请参阅在 Web Studio 和 Director 上启用 TLS。

配置 IIS 设置

作为安全性最佳做法，请使用受限的 IIS 配置来配置 Web Studio：

1. 限制请求筛选：

   • 如果使用 Director 安装 Web Studio，IIS 将自动配置以下筛选规则。

   • 如果将 Web Studio 作为独立组件安装，请按如下所示手动配置 IIS：

     • 仅允许使用以下文件扩展名：

       .、.aspx、.css、.eot、.html、 .ico、.js、.png、.svc、.svg、.jpg、.gif、.json、.woff、.woff2、.ttf

       有关详细信息，请参阅此 Microsoft 文章。

     • 仅允许使用以下 HTTP 动词：

       GET、POST、HEAD

       有关详细信息，请参阅此 Microsoft 文章。

2. 删除不需要的处理程序映射。

   Web Studio 只需要 StaticFile 处理程序映射。 请删除所有其他映射。 有关详细信息，请参阅此 Microsoft 文章。

3. 删除未使用的 ISAPI 过滤器。

   Web Studio 不需要任何 ISAPI 过滤器。 可以将其全部删除。 有关详细信息，请参阅此 Microsoft 文章。

   注意：

   ASP.NET 需要 ISAPI Windows 功能。

4. 从 C:\inetpub\wwwroot 中删除以下默认 IIS 登录页面文件：

   • iisstart.htm
   • welcome.png

5. 确保 .NET 信任级别保持设置为完全信任。 此设置在安装过程中自动配置，并且是 Web Studio 正常运行所必需的。 请勿对其进行更改。

删除未使用的应用程序池权限

在安装过程中，将向 Web Studio 应用程序池授予以下用户权限：

• 作为服务登录
• 调整进程的内存配额
• 生成安全审核
• 替换进程级令牌

这些权限是 IIS 应用程序池的标准。 Web Studio 不使用这些权限，您可以将其删除。

隔离 Web Studio 部署

可以在与 Web Studio 相同的 Web 域（域名和端口）中部署任何 Web 应用程序。 但是，这些 Web 应用程序中的任何安全风险都可能会降低 Web Studio 部署的安全性。 如果需要更高程度的安全隔离，我们建议您将 Web Studio 部署在与任何其他第三方应用程序不同的 Web 域中。