Konfigurowanie IIS 5.0 i późniejszych wersji do skryptów ASP w WMI
Wszystkie ustawienia uwierzytelniania są wykonywane za pośrednictwem Menedżera usług internetowych.
Podczas konfigurowania zabezpieczeń programu Internet Information Server (IIS) 5.0 i IIS 6.0 dla skryptów ASP usługi WMI należy wziąć pod uwagę następujące problemy:
-
Konfigurację można skonfigurować na poziomie serwera, katalogu lub pliku.
-
Uwierzytelnianie można ustawić na anonimowe, zintegrowane Windows lub oba jednocześnie.
-
Można ustawić ASP, aby działało w procesie (ochrona niska) lub poza procesem przy użyciu Dllhost.exe (ochrona średnia lub wysoka).
Poziom uwierzytelniania
W przypadku dodanych zabezpieczeń można skonfigurować uwierzytelnianie na poziomie katalogu lub pliku.
Jeśli uwierzytelnianie jest ustawione na poziomie serwera, wszystkie kolejne katalogi i pliki są zgodne z uwierzytelnianiem serwera, chyba że jawnie zmienione na poziomie katalogu lub pliku. Można utworzyć strukturę katalogów zawierającą wszystkie skrypty ASP usługi WMI, w których strony HTML i skrypty ASP specyficzne dla WMI można skonfigurować niezależnie od pozostałej części serwera. Wykonaj poniższą procedurę, aby zmienić poziom uwierzytelniania serwera, katalogu lub pliku.
Aby ustawić uwierzytelnianie na dowolnym poziomie
W Panelu sterowania kliknij dwukrotnie Narzędzia administracyjne, a następnie kliknij dwukrotnie przystawkę IIS.
Znajdź ikonę strony ASP, a następnie otwórz właściwości dla poziomu, który ma zostać ustawiony, który może być serwerem, katalogem lub plikiem.
Notatka
Ustawienia uwierzytelniania znajdują się na karcie Directory Security lub File Security w arkuszu Właściwości.
Ustawienie uwierzytelniania
W przypadku skryptów ASP usługi WMI kombinacja uwierzytelniania anonimowego jest wyłączona (niezaznaczone), a zintegrowane uwierzytelnianie systemu Windows włączone (zaznaczone) zapewnia większą możliwość ustawienia zabezpieczeń. Aby użyć ustawień uwierzytelniania NT LAN Manager (NTLM), Passport lub Digest IIS, należy włączyć uprawnienia do zdalnego włączania, ponieważ użytkownik jest traktowany jako tożsamość sieci i rejestrowany zdalnie. Ustawienie włączania zdalnego nie jest wymagane w przypadku uwierzytelniania anonimowego i podstawowego. Jednak system jest znacznie mniej bezpieczny w przypadku korzystania z uwierzytelniania anonimowego i podstawowego.
Jeśli uwierzytelnianie anonimowe jest używane z zintegrowanym uwierzytelnianiem systemu Windows lub bez niego, najbezpieczniejszym rozwiązaniem jest użycie logowania, które wymaga od użytkownika wprowadzenia nazwy użytkownika i hasła. Domyślne logowanie to tożsamość IIS, ale można utworzyć logowanie przy użyciu odpowiednich uprawnień dla skryptów ASP WMI, które mogą być używane jako konto dla połączeń anonimowych lub gościnnych.
Jeśli wybierzesz identyfikator logowania, który nie jest tożsamością IIS, odznacz okienko wyboru Zezwalaj IIS na kontrolowanie hasła i wprowadź poprawne hasło. Powoduje to, że wszystkie połączenia anonimowe lub połączenia gościa muszą używać identyfikatora logowania. Tworząc logowanie oddzielone od tożsamości usług IIS, uprawnienia konta, które uzyskuje dostęp do usługi WMI, mogą być kontrolowane bez wpływu na inne katalogi lub pliki na serwerze usług IIS — chyba że uwierzytelnianie jest ustawione na poziomie serwera.
Wykonaj poniższą procedurę, aby ustawić wymagania dotyczące uwierzytelniania dla strony ASP przy użyciu przystawki IIS w Panelu sterowania.
Aby przejść do ustawienia konta
W Panelu sterowania kliknij dwukrotnie ikonę Narzędzia administracyjne, otwórz przystawkę IIS, znajdź stronę ASP i otwórz właściwości poziomu do ustawienia, który może być serwerem, katalogem lub plikiem.
Ustawienia uwierzytelniania można znaleźć na karcie Directory Security lub karcie File Security w arkuszu właściwości.
W obszarze Uwierzytelnianie Anonimowe kliknij na opcję Edytuj.
Jeśli wybrano identyfikator logowania inny niż tożsamość usług IIS, wyczyść pole wyboru Zezwalaj usługom IIS na kontrolowanie hasłai wprowadź poprawne hasło. To wymusza używanie identyfikatora logowania na wszystkich połączeniach anonimowych lub gościa.
Korzystając z logowania innego niż tożsamość usług IIS, uprawnienia konta, które uzyskuje dostęp do usługi WMI, mogą być kontrolowane bez wpływu na inne katalogi lub pliki na serwerze usług IIS — chyba że uwierzytelnianie jest ustawione na poziomie serwera.
Poprzednia konfiguracja umożliwia serwerowi usług IIS używanie uwierzytelniania anonimowego w niektórych obszarach oraz zintegrowanego systemu Windows lub uwierzytelniania mieszanego w innych obszarach.
Ochrona
Ostatnią kwestią podczas konfigurowania serwera usług IIS jest ochrona, którą należy użyć podczas wykonywania ASP.
Możesz ustawić ASP, aby uruchomić następujące elementy:
W trakcie przetwarzania dla IIS (niska ochrona).
Zewnętrzne względem usług IIS z Dllhost.exe jako buforowane lub poza procesem (średnia ochrona w puli).
Samodzielny host poza procesem (wysoka ochrona).
Notatka
Aby uzyskać najlepszą równowagę pomiędzy bezpieczeństwem a wydajnością, użyj hosta współdzielonego.