為 WMI ASP 腳本設定 IIS 5.0 及更高版本
所有驗證設定都是透過 Internet Services Manager 進行。
設定 WMI ASP 文稿的 Internet Information Server (IIS) 5.0 和 IIS 6.0 安全性時,請考慮下列問題:
-
您可以在伺服器、目錄或檔案層級進行設定。
-
您可以將驗證設定為匿名、整合式 Windows 或兩者。
-
您可以將 ASP 設定為在進程內(低保護)或使用 Dllhost.exe 在進程外(中或高保護)執行。
驗證層級
為了增加安全性,您可以在目錄或檔案層級設定驗證。
如果在伺服器層級設定驗證,除非在目錄或檔案層級明確改變,否則所有後續目錄和檔案都會遵守伺服器驗證。 您可以建立目錄結構來包含所有 WMI ASP 腳本,其中 WMI 特定的 HTML 頁面和 ASP 可以獨立於伺服器的其餘部分進行設定。 執行下列程式來變更伺服器、目錄或檔案的驗證層級。
若要在任何層級設定驗證
在 [控制面板] 中,按兩下 [系統管理工具] ,然後按兩下 IIS 嵌入式管理單元。
找出 ASP 頁面圖示,然後開啟要設定之層級的屬性,可以是伺服器、目錄或檔案。
注意
驗證設定位於 [屬性]工作表的 [目錄安全性] 或 [檔案 安全性] 索引標籤上。
驗證設定
針對 WMI ASP 腳本,將匿名驗證關閉(未選中)並啟用整合式 Windows 驗證(已選中)可以提供更大的安全性設置機會。 若要使用NT LAN Manager (NTLM)、Passport 或摘要式 IIS 驗證設定,您必須開啟遠端啟用許可權,因為使用者會被視為網路身分識別並遠程記錄。 匿名和基本身份驗證不需要遠端啟用設定。 不過,當您使用匿名和基本身份驗證時,系統較不安全。
如果使用匿名驗證搭配或不使用整合式 Windows 驗證,最安全的方法是使用需要使用者輸入使用者名稱和密碼的登入。 默認登入是 IIS 身分識別,但可以使用適用於 WMI ASP 腳本的特定許可權來建立登入,而 WMI ASP 腳本可用來作為匿名或來賓連線的帳戶。
如果您選擇不是 IIS 身分識別的登入識別碼,請清除 [允許 IIS 控制密碼] 複選框,然後輸入正確的密碼。 這會強制所有匿名或來賓連線使用登入識別碼。 藉由建立與 IIS 身分識別不同的登入,可以控制存取 WMI 的帳戶許可權,而不會影響 IIS 伺服器上的其他目錄或檔案,除非在伺服器層級設定驗證。
執行下列程式,以使用 [控制面板] 中的 IIS 嵌入式管理單元,設定 ASP 頁面的驗證需求。
若要進入帳戶設定
在 [控制面板] 中,按兩下 [系統管理工具] 圖示、開啟 IIS 嵌入式管理單元、找出 ASP 頁面,然後開啟要設定的層級屬性,可以是伺服器、目錄或檔案。
您可以在 [屬性] 工作表的 [目錄安全性] 頁籤或 [檔案安全性] 頁籤上找到驗證設定。
在 [匿名驗證] 區域中,按一下 [編輯] 。
如果已選取 IIS 身分識別以外的登入識別碼,請清除 [允許 IIS 控制密碼] 複選框,然後輸入正確的密碼。 這會強制所有匿名或來賓連線使用登入識別碼。
藉由使用與 IIS 身分識別不同的登入,可以控制存取 WMI 的帳戶許可權,而不會影響 IIS 伺服器上的其他目錄或檔案,除非在伺服器層級設定驗證。
先前的設定可讓 IIS 伺服器在某些區域中使用匿名驗證,以及整合式 Windows 或其他區域中的混合驗證。
保護
設定 IIS 伺服器時的最後一個考慮是在執行 ASP 時要使用的保護。
您可以設定 ASP 來執行下列動作:
進程到 IIS (低保護)。
IIS 外部,Dllhost.exe 為集區或跨進程(集區中型保護)。
獨立進程自主代管(高強度保護)。
注意
為了獲得最佳安全性和效能平衡,請使用集區主機。