Configurando o IIS 5.0 e posterior para scripts WMI ASP
Todas as configurações de autenticação são feitas através do Gerenciador de Serviços de Internet.
Ao configurar a segurança do Internet Information Server (IIS) 5.0 e do IIS 6.0 para scripts WMI ASP, considere os seguintes problemas:
-
Você pode configurar no nível do servidor, diretório ou arquivo.
-
Você pode definir a autenticação como Anônimo, Windows Integrado ou ambos.
-
Você pode definir o ASP para executar em processo (baixa proteção) ou fora do processo usando Dllhost.exe (proteção média ou alta).
Nível de autenticação
Para maior segurança, você pode configurar a autenticação no nível de diretório ou arquivo.
Se a autenticação for definida no nível do servidor, todos os diretórios e arquivos subsequentes aderirão à autenticação do servidor, a menos que explicitamente alterados no nível do diretório ou do arquivo. Você pode criar uma estrutura de diretórios para conter todos os scripts ASP WMI onde páginas HTML e ASPs específicos para WMI podem ser configurados independentemente do resto do servidor. Execute o procedimento a seguir para alterar o nível de autenticação de um servidor, diretório ou arquivo.
Para definir a autenticação em qualquer nível
No Painel de Controlo, faça duplo clique em Ferramentas Administrativase, em seguida, faça duplo clique no complemento IIS.
Localize o ícone de página ASP e, em seguida, abra as propriedades para o nível a definir, que pode ser servidor, diretório ou arquivo.
Observação
As configurações de autenticação estão localizadas na aba Segurança de Diretório ou Segurança de Arquivos da folha de Propriedades .
Configuração de autenticação
Para scripts WMI ASP, a combinação de autenticação anônima desativada (desmarcada) e autenticação integrada do Windows ativada (marcada) oferece maior oportunidade de definir a segurança. Para usar as configurações de autenticação NT LAN Manager (NTLM), Passport ou Digest IIS, você deve ativar os privilégios de habilitação remota, porque o usuário é tratado como uma identidade de rede e conectado remotamente. A configuração de habilitação remota não é necessária para autenticação anônima e básica. No entanto, o sistema é muito menos seguro quando você está usando autenticação anônima e básica.
Se a autenticação anônima for usada com ou sem autenticação integrada do Windows, a abordagem mais segura é usar um logon que exija que o usuário insira um nome de usuário e senha. O logon padrão é a identidade do IIS, mas um logon pode ser criado usando permissões específicas adequadas para os scripts ASP WMI que podem ser usados como a conta para as conexões anônimas ou convidadas.
Se escolher um identificador de início de sessão que não seja uma identidade do IIS, desmarque a caixa de verificação Permitir que o IIS controle a palavra-passe e introduza a palavra-passe correta. Isso força todas as conexões anônimas ou convidadas a usar o identificador de logon. Ao criar um logon separado da identidade do IIS, os privilégios de uma conta que acessa o WMI podem ser controlados sem afetar os outros diretórios ou arquivos no servidor IIS, a menos que a autenticação seja definida no nível do servidor.
Execute o procedimento a seguir para definir os requisitos de autenticação para a página ASP usando o snap-in do IIS no Painel de Controle.
Para aceder à configuração de conta
No Painel de Controle, clique duas vezes no ícone Ferramentas Administrativas, abra o snap-in do IIS, localize sua página ASP e abra as propriedades do nível a ser definido, que pode ser servidor, diretório ou arquivo.
As configurações de autenticação podem ser encontradas na guia de Segurança de Diretório ou de Segurança de Arquivo da folha de Propriedades do.
Na área Autenticação anônima, clique em Editar.
Se um identificador de logon diferente da identidade do IIS estiver selecionado, desmarque a caixa de seleção Permitir que o IIS controle a senhae digite a senha correta. Isso força todas as conexões anônimas ou convidadas a usar o identificador de logon.
Usando um logon diferente da identidade do IIS, os privilégios da conta que acessa o WMI podem ser controlados sem afetar os outros diretórios ou arquivos no servidor IIS, a menos que a autenticação seja definida no nível do servidor.
A configuração anterior permite que o servidor IIS use a autenticação anônima em algumas áreas e o Windows integrado ou a autenticação mista em outras.
Proteção
A última consideração ao configurar o servidor IIS é qual proteção usar ao executar um aplicativo ASP.
Você pode definir um ASP para executar o seguinte:
Em processo para o IIS (baixa proteção).
Externo ao IIS com Dllhost.exe como agrupado ou fora de processo (proteção média agrupada).
Alojamamento autónomo externo ao processo (alta proteção).
Observação
Para obter o melhor equilíbrio entre segurança e desempenho, use o host em pool.