IIS ve guvenlik hakkında

Windows 2003 üzerine IIS kurmayı düşünüyorum, anonymous kullandırmayacagım çeşitli amaclar icin guvenlikle ilgili oneriye ihtiyacım var bilgi eksikliğim de tabi, guvenligede ilgi duymaya basladım cok iyi ogrenmeliyim Cevaplarsanız cok sevinirim, kısaca NTLM, Kerberos, evet  gibi cevaplarda yeterli olcaktır, hocalarıma zaman kaybettirmiyeyim.

IIS in authentication ınını  ayarlamak istiyorum SSL kullanmayacagım. Şirket içindeki clientlar Lan IP si ile dışındakiler ise adsl modemden yonlendirmeyle ulasacak, hem domain uyesi hem workgroup calısan clientlar var, şirketler icice oldugu icin, bu yuzden cesitli senaryolar dusundum ve ogrenmek istiyorum

Şunları sormak istiyorum:

1..IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece  Integrated Authentication secilirse ,   Lan dan IIS servera ulasmak isteyen clientlar icin Kerberos ile authenticate edilecek (yanlıssam duzeltiniz lütfen) peki LAN dısından domainle alakası olmayan PC ler webserıma a internet uzerinden ulasmak isterken Internet Explorer kullanırlarsa bunları DC mi yoksa  IIS in kendisi local accountlarıyla authenticate etmeye kalkar? Kerberos mu NTLM mi kullanılır internet uzerinden?

2.IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece Basic authentication seciliyse, bir prompt cıkacak, kullanıcı adı sifre sorulacak, burada girilecek kullanıcı adı ve sifre  DC de varsa Basic authentication geregi DC den user icin clear text authentication mı alınacak? Aslında bununla sunu da sormak istiyorum, DC de userlar AD icinde Kerberos ve NTLM hash i ile tutulabiliyor, clear text olarak da tutuluyorlar mı?

3.IIS domain uyesiyse sadece Basic veya sadece Integrated Auth. secili oldugu durumlarda webservara ulasmak isteyen kullanıcının kullanıcı adı ve sifresi hem DC de hem de IIS in localinde tanımlıysa , DC denmi authenticate olunur, IIS in localinden mi?Kerberos mu NTLM mi kullanılır?

4.IIS server domainde ise Integrated Authentication kullanılıyorsa,

  a. LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de bir usera karsılık  geliyorsa o zaman Kerberos ilemi authenticate olurlar,  clientlar workgroup oldukları icin DC onları NTLM ilemi authenticate eder, yoksa IIS in kendi içinde local account mu olusturmak gerekir(IIS mi authenticate eder)

  b.LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de tanımlı degilse , IIS de local olarak tanımlıysa authentication metodu ne olur?

 5.IIS server ve  diger tüm pc ler workgroup calısyorsa ve Integrated Authentication secilirse  hem LAN icindeki hem LAN dısındaki PC ler icin NTLM kullanılacak ((yanlıssam duzeltiniz lütfen), eger Lan icinde bir domain uyesi pc website a ulasmak isterse domaine logon oldugu kullanıcı adı ve şifre IIS server da local olarak tanımlıysa IIS tarafından NTLM authentication a mı tabi olacaktır.