今天由于项目的需要,编写了一个WebService的服务,主要的内容,就是根据传入的信息,和需要的处理流程,最后返回一个字符串结构,其实之前这部分内容在普通的exe的程序中都已经实现过了,所以很简单的就是将那部分代码之接通过单元引用来使用起来,不过就这里面出现了问题。
原始代码的内容:由于原始代码为了做身份验证,同时为了每次进入时方便用户填写,将用户登陆时的信息填写到注册表中(也许你会问这部分代码可以省略,但是由于走的是rpc通信,这部分代码又是比较老的代码,所以不想修改类结构,直接使用,所以需要在调用哪个代码之前,现需要login一次才可以)
一直以来都觉得iis这种webservice的服务权限应该是管理员的权限(可能和本地的service混淆了吧),结果访问注册表的使用返回状态为5(调用的是api来实现注册表操作的,如果正确的话返回值应该是0),所以上网找了一下,应该是和权限有关或者是64位的关系,后来写了相应的测试程序,确定应该是权限问题导致的,的确,这种webservice的服务的安全性是比较低的,如果有人通过这种服务来干一些事情的话,会影响整个系统的安全,所以微软将iis服务的权限设置的较低也是情理之中呀!
另外:如果想要更改这种权限的话也是可以的
用户控制的安全性
(1)匿名用户
安装IIS后产生的匿名用户IUSR_Computername(密码随机产生),其匿名访问给Web服务器带来潜在的安全性问题,应对其权限加以控制。如无匿名访问需要,可取消Web的匿名服务。具体方法:
①启动ISM(Internet Server Manager);
②启动WWW服务属性页;
③取消其匿名访问服务。
(2)一般用户
通过使用数字与字母(包括大小写)结合的口令,提高修改密码的频率,封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。
登录认证的安全性
IIS服务器提供对用户三种形式的身份认证。
匿名访问:不需要与用户之间进行交互,允许任何人匿名访问站点,在这三种身份认证中的安全性是最低的。
基本(Basic)验证:在此方式下用户输入的用户名和口令以明文方式在网络上传输,没有任何加密,非法用户可以通过网上监听来拦截数据包,并从中获取用户名及密码,安全性能一般。
Windows NT请求/响应方式:浏览器通过加密方式与IIS服务器进行交流,有效地防止了窃听者,是安全性比较高的认证形式。这种方式的缺点是只有IE3.0及以上版本才支持。