Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Все параметры проверки подлинности выполняются с помощью диспетчера служб Интернета.
При настройке безопасности IIS 5.0 и IIS 6.0 для сценариев ASP WMI рассмотрите следующие проблемы:
-
Можно настроить на уровне сервера, каталога или файла.
-
Вы можете настроить проверку подлинности на анонимную, интегрированную Windows или на оба метода одновременно.
-
Asp можно настроить для запуска в процессе (низкая защита) или вне процесса с помощью Dllhost.exe (средняя или высокая защита).
Уровень проверки подлинности
Для дополнительной безопасности можно настроить проверку подлинности на уровне каталога или файла.
Если проверка подлинности задана на уровне сервера, все последующие каталоги и файлы соответствуют проверке подлинности сервера, если явно не изменены на уровне каталога или файла. Вы можете создать структуру каталогов, чтобы содержать все скрипты ASP WMI, в которых HTML-страницы и ASPs, относящиеся к WMI, можно настроить независимо от остальной части сервера. Выполните следующую процедуру, чтобы изменить уровень проверки подлинности сервера, каталога или файла.
Настройка аутентификации на любом уровне
На Панели управления дважды щелкните Администрирование, а затем дважды щелкните оснастка IIS.
Найдите значок страницы ASP и откройте свойства для заданного уровня, который может быть сервером, каталогом или файлом.
Заметка
Параметры проверки подлинности находятся на вкладке безопасности каталога или на вкладке безопасности файлов в листе свойств .
Параметр проверки подлинности
Для сценариев ASP WMI сочетание отключенной анонимной проверки подлинности и включенной встроенной проверки подлинности Windows предоставляет больше возможностей для настройки безопасности. Чтобы использовать параметры проверки подлинности NT LAN Manager (NTLM), Passport или Digest IIS, необходимо включить права удаленного включения, так как пользователь обрабатывается как сетевое удостоверение и регистрируется удаленно. Параметр удаленного включения не требуется для анонимной и базовой проверки подлинности. Однако система гораздо менее безопасна при использовании анонимной и базовой проверки подлинности.
Если анонимная проверка подлинности используется с встроенной проверкой подлинности Windows или без нее, наиболее безопасным подходом является использование входа, требующего ввода имени пользователя и пароля. Вход по умолчанию — это удостоверение IIS, но вход можно создать с помощью определенных разрешений, подходящих для скриптов WMI ASP, которые можно использовать в качестве учетной записи анонимных или гостевых подключений.
Если выбрать идентификатор входа, который не является удостоверением IIS, снимите флажок Разрешить IIS управлять паролем и введите правильный пароль. Это заставляет все анонимные или гостевые подключения использовать идентификатор входа. Создавая вход отдельно от удостоверения IIS, права доступа к учетной записи wMI можно контролировать, не затрагивая другие каталоги или файлы на сервере IIS, если проверка подлинности не задана на уровне сервера.
Выполните следующую процедуру, чтобы задать требования проверки подлинности для страницы ASP с помощью оснастки IIS на панели управления.
Чтобы добраться до параметра учетной записи
На панели управления дважды щелкните значок Административные инструменты, откройте оснастку IIS, найдите страницу ASP и откройте свойства уровня, который может быть сервером, каталогом или файлом.
Параметры проверки подлинности можно найти на вкладке "Безопасность каталога" или на вкладке "Безопасность файлов" на листе свойств .
В разделе анонимной проверки подлинности кликните Изменить.
Если выбран идентификатор входа, отличный от удостоверения IIS, снимите флажок Разрешить IIS управлять паролем, и затем введите правильный пароль. Это заставляет все анонимные или гостевые подключения использовать идентификатор входа.
Используя логин, отличный от идентификатора IIS, вы можете контролировать права доступа учетной записи, обращающейся к WMI, не затрагивая другие каталоги или файлы на сервере IIS, если только аутентификация не настроена на уровне сервера.
Предыдущая конфигурация позволяет серверу IIS использовать анонимную проверку подлинности в некоторых областях, а также встроенную проверку подлинности Windows или смешанной проверки подлинности в других областях.
Защита
Последнее внимание при настройке сервера IIS — это защита, используемая при выполнении ASP.
Чтобы запустить ASP, можно выполнить следующее:
Процесс передачи в IIS (с низким уровнем защиты).
Внешний по отношению к IIS с Dllhost.exe как в пуле, так и вне процесса (средний уровень защиты пула).
Внепроцессный самостоятельный хостинг (высокая защита).
Заметка
Для достижения наилучшего баланса между безопасностью и производительностью используйте общий хост.