Sdílet prostřednictvím

Konfigurace služby IIS 5.0 a novější pro skriptování rozhraní WMI ASP

  • Článek

Všechna nastavení ověřování se provádí prostřednictvím Správce internetových služeb.

Při konfiguraci zabezpečení serveru IIS (Internet Information Server) 5.0 a IIS 6.0 pro skripty WMI ASP zvažte následující problémy:

  • úroveň ověřování

    Můžete nakonfigurovat na úrovni serveru, adresáře nebo souboru.

  • nastavení ověřování

    Ověřování můžete nastavit na anonymní, integrovaný systém Windows nebo obojí.

  • ochrana

    Asp můžete nastavit tak, aby běžel v procesu (nízká ochrana) nebo mimo proces, a to pomocí Dllhost.exe (střední nebo vysoká ochrana).

Úroveň ověřování

Pro vyšší zabezpečení můžete nakonfigurovat ověřování na úrovni adresáře nebo souboru.

Pokud je ověřování nastaveno na úrovni serveru, všechny následné adresáře a soubory dodržují ověřování serveru, pokud nejsou explicitně změněny na úrovni adresáře nebo souboru. Můžete vytvořit adresářovou strukturu, která bude obsahovat všechny skripty WMI ASP, ve kterých lze konfigurovat stránky HTML a ASPs specifické pro rozhraní WMI nezávisle na zbytku serveru. Pokud chcete změnit úroveň ověřování serveru, adresáře nebo souboru, proveďte následující postup.

Nastavení ověřování na libovolné úrovni

  1. V Ovládacích panelech poklikejte na Nástroje pro správua potom poklikejte na modul snap-in IIS.

  2. Vyhledejte ikonu stránky ASP a otevřete vlastnosti pro nastavení úrovně, což může být server, adresář nebo soubor.

    Poznámka

    Nastavení ověřování se nachází na kartě zabezpečení adresáře nebo na kartě zabezpečení souborů na kartě Vlastnosti.

     

Nastavení ověřování

U skriptů ASP rozhraní WMI kombinace vypnutého (nezaškrtnutého) anonymního ověřování a zapnutého (zaškrtnutého) integrovaného ověřování systému Windows umožňuje lepší nastavení zabezpečení. Chcete-li použít NT LAN Manager (NTLM), Passport nebo Digest pro nastavení ověřování IIS, musíte zapnout oprávnění pro vzdálené povolení, protože uživatel je považován za síťovou identitu a je přihlašován vzdáleně. Nastavení vzdáleného povolení není vyžadováno pro anonymní a základní ověřování. Systém je však mnohem méně zabezpečený, pokud používáte anonymní a základní ověřování.

Pokud se používá anonymní ověřování s integrovaným ověřováním systému Windows nebo bez nich, nejbezpečnější je použít přihlášení, které vyžaduje, aby uživatel zadal uživatelské jméno a heslo. Výchozí přihlášení je identita služby IIS, ale přihlášení lze vytvořit pomocí konkrétních oprávnění, která jsou vhodná pro skripty WMI ASP, které lze použít jako účet pro anonymní připojení nebo připojení hostů.

Pokud zvolíte přihlašovací identifikátor, který není identitou služby IIS, zrušte zaškrtnutí políčka Povolit službě IIS řídit heslo a zadejte správné heslo. Tím se vynutí, aby všechna anonymní připojení nebo připojení hostů používala přihlašovací identifikátor. Vytvořením přihlášení odděleného od identity služby IIS je možné řídit oprávnění účtu, který přistupuje k rozhraní WMI, aniž by to ovlivnilo ostatní adresáře nebo soubory na serveru služby IIS – pokud není ověřování nastaveno na úrovni serveru.

Pomocí modulu snap-in IIS v Ovládacích panelech nastavte požadavky na ověřování pro stránku ASP.

, abyste se dostali k nastavení účtu

  1. V Ovládacích panelech poklikejte na ikonu Nástroje pro správu, otevřete modul snap-in IIS, vyhledejte svou stránku ASP a otevřete vlastnosti úrovně k nastavení, kterou může být server, adresář nebo soubor.

    Nastavení ověřování najdete na kartě Zabezpečení adresáře nebo na kartě Zabezpečení souboru na listu Vlastnosti.

  2. V oblasti anonymního ověřování klikněte na Upravit.

  3. Pokud je vybraný jiný přihlašovací identifikátor než identita služby IIS, zrušte zaškrtnutí políčka Povolit službě IIS řídithesla a zadejte správné heslo. Tím se vynutí, aby všechna anonymní připojení nebo připojení hostů používala přihlašovací identifikátor.

Pomocí přihlášení, které se liší od identity služby IIS, je možné řídit oprávnění účtu, který přistupuje k rozhraní WMI, aniž by to mělo vliv na ostatní adresáře nebo soubory na serveru služby IIS – pokud není ověřování nastaveno na úrovni serveru.

Předchozí konfigurace umožňuje serveru IIS používat anonymní ověřování v některých oblastech a integrované windows nebo smíšené ověřování v jiných.

Ochrana

Posledním aspektem při konfiguraci serveru IIS je ochrana, která se má použít při provádění ASP.

Asp můžete nastavit tak, aby spustil následující:

  • Zpracování do IIS (nízká ochrana).

  • Externí služba IIS s Dllhost.exe ve fondu nebo mimo proces (ochrana ve fondu se středními daty).

  • Samostatně hostovaný mimo proces (vysoká ochrana)

Poznámka

Pro zajištění nejlepší rovnováhy mezi zabezpečením a výkonem použijte sdíleného hostitele.