設定 WMI ASP 腳本的 IIS 5.0 和更新版本
所有驗證設定都是透過 Internet Services Manager 進行。
設定 Internet Information Server (IIS) 5.0 和 WMI ASP 腳本的 IIS 6.0 安全性時,請考慮下列問題:
-
您可以在伺服器、目錄或檔案層級進行設定。
-
您可以將驗證設定為匿名、整合式 Windows 或兩者。
-
您可以使用Dllhost.exe (中或高保護) ,將 ASP 設定為執行進程內 (低保護) 或跨進程。
驗證等級
若要增加安全性,您可以在目錄或檔案層級設定驗證。
如果在伺服器層級設定驗證,除非在目錄或檔案層級明確改變,否則所有後續的目錄和檔案都會遵守伺服器驗證。 您可以建立目錄結構來包含所有 WMI ASP 腳本,其中 WMI 特有的 HTML 頁面和 ASP 可以獨立于伺服器的其餘部分進行設定。 執行下列程式來變更伺服器、目錄或檔案的驗證層級。
在任何層級設定驗證
在 主控台中,按兩下 [系統管理工具],然後按兩下 IIS 嵌入式管理單元。
找出 ASP 頁面圖示,然後開啟要設定之層級的屬性,可以是伺服器、目錄或檔案。
注意
驗證設定位於[屬性] 工作表的[目錄安全性] 或 [檔案安全性] 索引標籤上。
驗證設定
針對 WMI ASP 腳本,匿名驗證的組合已關閉 (未核取的) ,而整合式Windows 驗證已開啟 (檢查) 提供更大的機會來設定安全性。 若要使用 NT LAN Manager (NTLM) 、Passport 或摘要 IIS 驗證設定,您必須開啟遠端啟用許可權,因為使用者被視為網路身分識別並遠端記錄。 匿名和基本驗證不需要遠端啟用設定。 不過,當您使用匿名和基本驗證時,系統較不安全。
如果匿名驗證搭配或不使用整合式Windows 驗證,最安全的方法是使用需要使用者輸入使用者名稱和密碼的登入。 預設登入是 IIS 身分識別,但可以使用適用于 WMI ASP 腳本的特定許可權來建立登入,而 WMI ASP 腳本可用來作為匿名或來賓連線的帳戶。
如果您選擇不是 IIS 身分識別的登入識別碼,請清除 [ 允許 IIS 控制密碼 ] 核取方塊,然後輸入正確的密碼。 這會強制所有匿名或來賓連線使用登入識別碼。 藉由建立與 IIS 身分識別分開的登入,可以控制存取 WMI 的帳戶許可權,而不會影響 IIS 伺服器上的其他目錄或檔案,除非在伺服器層級設定驗證。
執行下列程式,以使用 主控台 中的 IIS 嵌入式管理單元來設定 ASP 頁面的驗證需求。
若要取得帳戶設定
在 主控台中,按兩下 [系統管理工具]圖示、開啟 IIS 嵌入式管理單元、找出您的 ASP 頁面,然後開啟要設定的層級屬性,可以是伺服器、目錄或檔案。
您可以在[屬性] 工作表的 [目錄安全性] 或 [檔案安全性] 索引標籤上找到驗證設定。
在 [匿名驗證] 區域中,按一下 [ 編輯]。
如果已選取 IIS 身分識別以外的登入識別碼,請清除 [ 允許 IIS 控制密碼] 核取方塊,然後輸入正確的密碼。 這會強制所有匿名或來賓連線使用登入識別碼。
使用不同于 IIS 身分識別的登入,可以控制存取 WMI 的帳戶許可權,而不會影響 IIS 伺服器上的其他目錄或檔案,除非驗證是在伺服器層級設定。
先前的設定可讓 IIS 伺服器在某些區域中使用匿名驗證,以及其他區域中的整合式 Windows 或混合驗證。
保護
設定 IIS 伺服器時的最後一個考慮是在執行 ASP 時要使用的保護。
您可以將 ASP 設定為執行下列專案:
IIS 的處理中 (低保護) 。
Dllhost.exe為集區或跨進程 (集區中保護) 的 IIS 外部。
跨進程自我裝載 (高保護) 。
注意
為了達到安全性和效能的最佳平衡,請使用集區主機。