Τρόπος πρόσβασης σε αρχεία του δικτύου από τις εφαρμογές των υπηρεσιών IIS

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 207671 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο παρέχει πληροφορίες σχετικά με προβλήματα που αφορούν την πρόσβαση σε αρχεία σε έναν υπολογιστή διαφορετικό από το διακομιστή Internet Information Server (IIS) από μια επέκταση Internet Server API (ISAPI), σελίδα ενεργών σελίδων διακομιστή (ASP) ή εφαρμογή Common Gateway Interface (CGI). Αυτό το άρθρο παραθέτει μερικά από τα θέματα που εμπλέκονται και ορισμένες μέθοδοι για να πραγματοποιήσετε αυτή την εργασία.

Αν και αυτό το άρθρο είναι γραμμένο κυρίως στο περιβάλλον της πρόσβασης σε αρχεία στα κοινόχρηστα στοιχεία δικτύου, τα ίδια θέματα εφαρμόζονται σε καθώς και συνδέσεις διοχέτευσης με όνομα. Επώνυμες διοχετεύσεις χρησιμοποιούνται συχνά για τις συνδέσεις του SQL Server και για κλήση απομακρυσμένης διαδικασίας (RPC) και επικοινωνίες Component Object Model (COM). Ειδικότερα, εάν συνδέεστε με ένα διακομιστή SQL Server μέσω του δικτύου που έχει ρυθμιστεί για χρήση ενσωματωμένης ασφάλειας του Microsoft Windows NT, δεν μπορεί να συνδεθεί εξαιτίας των ζητημάτων που περιγράφονται σε αυτό το άρθρο. RPC και COM ενδέχεται επίσης να χρησιμοποιήσετε άλλους μηχανισμούς επικοινωνίας που έχουν παρόμοια δικτύου συνδυασμούς ελέγχου ταυτότητας. Επομένως, τα θέματα σε αυτό το άρθρο, να εφαρμόσετε σε μια μεγάλη ποικιλία μηχανισμών επικοινωνίας δικτύου που μπορεί να χρησιμοποιηθεί από τις εφαρμογές των υπηρεσιών IIS.


Τύποι ελέγχου ταυτότητας και απομίμησης

Όταν μια αίτηση HTTP των υπηρεσιών IIS, οι υπηρεσίες IIS πραγματοποιεί απομίμηση, έτσι ώστε η πρόσβαση σε πόρους για το χειρισμό της αίτησης περιορίζεται κατάλληλα. Το περιβάλλον ασφαλείας απομίμησης εξαρτάται από το είδος του ελέγχου ταυτότητας που εκτελούνται για την αίτηση. Τα πέντε διαφορετικούς τύπους ελέγχου ταυτότητας που είναι διαθέσιμη από τις υπηρεσίες IIS 4.0 είναι:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Τύποι διακριτικών

Δεν επιτρέπεται η πρόσβαση σε πόρους δικτύου είναι εξαρτάται από το είδος του διακριτικού απομίμησης κάτω από την οποία γίνεται επεξεργασία της αίτησης.
  • Δίκτυο διακριτικά "NOT" επιτρέπεται η πρόσβαση σε πόρους δικτύου. (Δίκτυο διακριτικά ονομάζονται αυτό επειδή αυτός ο τύπος διακριτικού παραδοσιακά δημιουργείται από ένα διακομιστή όταν ένας χρήστης πιστοποιηθεί μέσω του δικτύου. Για να επιτρέψετε στο διακομιστή για να χρησιμοποιήσετε ένα δίκτυο διακριτικό να ενεργούν ως ένας υπολογιστής-πελάτης δικτύου και να αποκτήσετε πρόσβαση σε έναν άλλο διακομιστή ονομάζεται "Ανάθεση" και θεωρείται ένα κενό ασφαλείας είναι δυνατό.)
  • Αλληλεπιδραστική διακριτικά παραδοσιακά χρησιμοποιούνται κατά τον έλεγχο ταυτότητας σε έναν τοπικό χρήστη στον υπολογιστή. Αλληλεπιδραστική διακριτικά επιτρέπεται η πρόσβαση σε πόρους του δικτύου.
  • Διακριτικά δέσμης έχουν σχεδιαστεί για να παρέχει ένα περιβάλλον ασφαλείας στο οποίο εκτελείτε μαζικές εργασίες. Μαζική διακριτικά έχουν πρόσβαση στο δίκτυο.
Οι υπηρεσίες IIS έχουν την έννοια των μιαςΚαταργήστε την επιλογή του κειμένουlogon.Καταργήστε την επιλογή του κειμένουσύνδεση ονομάζεται αυτό εξαιτίας του το γεγονός ότι οι υπηρεσίες IIS έχουν πρόσβαση και το όνομα χρήστη και τον κωδικό πρόσβασης σε απλό κείμενο. Μπορείτε να ελέγξετε αν έναΚαταργήστε την επιλογή του κειμένουσύνδεσης δημιουργεί ένα διακριτικό δικτύου, ένα διακριτικό αλληλεπίδρασης ή ένα διακριτικό δέσμης, ορίζοντας τοLogonMethodη ιδιότητα της μετα-βάσης. Από προεπιλογή, το στοιχείοΚαταργήστε την επιλογή του κειμένουΟι συνδέσεις λαμβάνει ένα διακριτικό αλληλεπίδρασης και έχουν πρόσβαση σε πόρους του δικτύου. Για ναLogonMethodμπορεί να ρυθμιστεί στο διακομιστή, την τοποθεσία, τον εικονικό κατάλογο, τον κατάλογο ή το επίπεδο του αρχείου.

Η ανώνυμη πρόσβαση μιμείται τον λογαριασμό που έχει ρυθμιστεί ως ανώνυμος χρήστης για την αίτηση. Από προεπιλογή, οι υπηρεσίες IIS έχουν ένα λογαριασμό ανώνυμου χρήστη που ονομάζεται IUSR_ <machinename>που είναι απομίμηση του κατά την επεξεργασία μιας αίτησης χωρίς έλεγχο ταυτότητας. Από προεπιλογή οι υπηρεσίες IIS 4.0 έχει ρυθμιζόμενες δυνατότητα που ονομάζεται "Ενεργοποίηση αυτόματης Password συγχρονισμού" που χρησιμοποιεί ένα sub-authority ασφαλείας για τη δημιουργία του διακριτικού. Κωδικοί που δημιουργούνται με αυτόν τον τρόπο οι κωδικοί δικτύου τα οποία έχουν "NOT" πρόσβαση σε άλλους υπολογιστές στο δίκτυο. If you disable Automatic Password Synchronization, IIS creates the token in the same manner as the </machinename>Καταργήστε την επιλογή του κειμένουlogon mentioned earlier. Automatic Password Synchronization is only available for accounts that are located on the same computer as IIS. Therefore, if you change your anonymous account to a domain account, you cannot use Automatic Password Synchronization and you receive aΚαταργήστε την επιλογή του κειμένουlogon. The exception is if you install IIS on your Primary Domain Controller. In this case, the domain accounts are on the local computer. The anonymous account and the Automatic Password Synchronization option can be configured at the server, the site, the virtual directory, the directory, or the file level.

You must have the correct type of token as the first step in accessing a resource on the network. You must also impersonate an account that has access to the resource across the network. By default, the IUSR_<machinename> account that IIS creates for anonymous requests exists only on the local computer. Even if you disable Automatic Password Synchronization so that you can get an Interactive token that can access network resources, the IUSR_<machinename> account typically does not have access to most network resources because this is an account that is unrecognized on other computers. If you want to access network resources with anonymous requests, you must replace the default account with an account in a domain on your network that can be recognized by all computers. If you install IIS on a Domain Controller, the IUSR_<machinename> account is a domain account and must be recognized by other computers on the network without taking additional action. </machinename></machinename></machinename>


Problem avoidance

Following are ways to avoid problems when you access network resources from your IIS application:
  • Keep files on the local computer.
  • Some network communication methods do not require a security check. An example is using Windows sockets.
  • You can provide direct access to the network resources of the computer by configuring a virtual directory to be:
    "A share located on another computer."
    All access to the computer that shares the network resources is performed in the context of the person specified under theConnect As..παράθυρο διαλόγου. This occurs no matter what kind of authentication is configured for the virtual directory. By using this option, all files on the network share are available from browsers that access the IIS computer.
  • Use basic authentication or anonymous authentication without Automatic Password Synchronization.

    By default, the impersonation that Internet Information Server does for basic authentication provides a token that can access network resources (unlike Windows NT Challenge/Response, which provides a token that cannot access network resources). For anonymous authentication, the token can only access a network resource if Automatic Password Synchronization is disabled. By default, Automatic Password Synchronization is enabled when Internet Information Server is first installed. In such a default configuration, the anonymous user token cannot access network resources.
    259353Must enter password manually after you toggle password sync
  • Configure the anonymous account as a domain account.

    This permits anonymous requests from potential access to resources across the network. To prevent all anonymous requests from having network access, you must only make the anonymous account a domain account on the virtual directories that specifically require access.
  • Configure the anonymous account with the same username and password on the computer that is sharing the network resources and then disable Automatic Password Synchronization.

    If you do this you must make sure that the passwords match exactly. This approach must only be used when the "Configure the anonymous account as a domain account" mentioned earlier is not an option for some reason.
  • NullSessionShares and NullSessionPipes can be used to allow access to a specific network share or to a named pipe when your request is handled with a network token.

    If you have a network token and you try to establish a connection to a network resource, the operating system tries to establish a connection as a non-authenticated connection (referred to as a "NULL Session"). This registry setting must be made on the computer that is sharing the network resource, not on the IIS computer. If you try to access a NullSessionShare or NullSessionPipe with a non-network token, typical Microsoft Windows authentication is used and access to the resource is based on the account user rights of the impersonated user.
  • You can potentially perform your own impersonation to create a Thread token that does have network access.

    Για ναLogonUserfunction and theImpersonateLoggedOnUserλειτουργία μπορεί να χρησιμοποιηθεί για την απομίμηση έναν διαφορετικό λογαριασμό. Αυτό προϋποθέτει ότι έχετε το Απαλοιφή κειμένου ονόματος χρήστη και κωδικού πρόσβασης από έναν άλλο λογαριασμό που είναι διαθέσιμες στον κώδικά σας.LogonUserαπαιτεί επίσης ότι ο λογαριασμός που καλείLogonUserέχει το δικαίωμα "Ενεργεί ως τμήμα του λειτουργικού συστήματος" στη Διαχείριση χρηστών. Από προεπιλογή, οι περισσότεροι χρήστες που μιμείται τις υπηρεσίες IIS, ενώ χειρίζεται μια αίτηση HTTP δεν έχουν αυτό το δικαίωμα χρήστη. Ωστόσο, για "Σε εφαρμογές διαδικασίας" υπάρχουν πολλοί τρόποι για να προκαλέσει το τρέχον περιβάλλον ασφαλείας, για να αλλάξετε το λογαριασμό LocalSystem, ο οποίος διαθέτει τις πιστοποιήσεις διαχειριστή "Πράξη ως τμήμα του λειτουργικού συστήματος". Για αρχεία DLL ISAPI που εκτελείται εντός διεργασίας, ο καλύτερος τρόπος για να αλλάξετε το περιβάλλον ασφαλείας που έχει δημιουργήσει ο IIS στο λογαριασμό τοπικού συστήματος είναι να καλέσετε τοRevertToSelfFunction. Εάν εκτελείτε την εφαρμογή IIS "Out of Process", αυτός ο μηχανισμός δεν λειτουργεί από προεπιλογή επειδή η διαδικασία εκτελείται το IWAM_ <machinename>λογαριασμού και όχι στο λογαριασμό τοπικού συστήματος. Από προεπιλογή, το <machinename>"NOT" έχει το "Πράξη ως τμήμα του λειτουργικού συστήματος" διαχείρισης διαπιστευτηρίων.</machinename> IWAM_</machinename>
  • Προσθέστε το στοιχείο που καλείται από τη σελίδα ASP σε πακέτο διακομιστή Microsoft Transaction Server (MTS) ή μια εφαρμογή διακομιστή COM + και στη συνέχεια καθορίστε έναν συγκεκριμένο χρήστη, ως την ταυτότητα του πακέτου.

    ΣΗΜΕΙΩΣΗΤο στοιχείο εκτελείται σε ένα αρχείο .exe ξεχωριστό που βρίσκεται έξω από τις υπηρεσίες IIS.
  • Με έλεγχο ταυτότητας βασική/απλού κειμένου, συνιστάται να κρυπτογραφήσετε τα δεδομένα με χρήση του SSL είναι εξαιρετικά εύκολο να αποκτήσετε πιστοποιήσεις από ένα ίχνος δικτύου.Για περισσότερες πληροφορίες σχετικά με τον τρόπο εγκατάστασης του SSL, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    228991Πώς να δημιουργείτε και να εγκαταστήσετε ένα πιστοποιητικό SSL στο Internet Information Server 4.0
ΣΗΜΕΙΩΣΗΜην ξεχάσετε ότι μπορείτε να αποτρέψετε την πρόσβαση στο δίκτυο για ανώνυμες αιτήσεις όπου συγχρονισμό κωδικού πρόσβασης είναι απενεργοποιημένη και αιτήσεις υποβάλλονται σε έλεγχο ταυτότητας με χρήση βασικού ελέγχου ταυτότητας)Καταργήστε την επιλογή του κειμένουΟι συνδέσεις) αν ορίσετε τοLogonMethodη ιδιότητα μετα-βάσης σε "2" (δηλώνοντας ότι χρησιμοποιείται μια σύνδεση δικτύου για να δημιουργήσετε το διακριτικό μίμησης). Με αυτήν τη ρύθμιση, ο μόνος τρόπος για να αποφύγετε τον περιορισμό του διακριτικού δικτύου αιτήσεις είναι σύνδεση με NullSessionShares ή NullSessionPipes.

Μην χρησιμοποιείτε γράμματα μονάδας δίσκου αντιστοιχισμένο σε κοινόχρηστα στοιχεία δικτύου. Όχι μόνο υπάρχουν μόνο 26 γράμματα πιθανών προγραμμάτων οδήγησης για να επιλέξετε από, αλλά αν επιχειρήσετε να χρησιμοποιήσετε ένα γράμμα μονάδας δίσκου που αντιστοιχίζεται σε περιβάλλον ασφαλείας διαφορετικό, μπορεί να παρουσιαστούν προβλήματα. Αντίθετα, πρέπει πάντοτε να χρησιμοποιείτε ονόματα Universal Naming Convention (UNC) για να αποκτήσετε πρόσβαση σε πόρους. Η μορφή πρέπει να είναι παρόμοια με τα ακόλουθα:
\\MyServer\filesharename\directoryname\filename
Για περισσότερες πληροφορίες σχετικά με τη χρήση UNC, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
280383Συστάσεις ασφαλείας των υπηρεσιών IIS, όταν χρησιμοποιείτε ένα κοινόχρηστο στοιχείο UNC
Οι πληροφορίες αυτού του άρθρου ισχύουν μόνο για Internet Information Server 4.0. Στον Internet Information Server 5.0 (που περιλαμβάνεται στα Windows 2000), υπάρχουν σημαντικές αλλαγές σε νέους τύπους ελέγχου ταυτότητας και τις δυνατότητες. Although most of the concepts in this article still apply to IIS 5.0, the details on the kinds of impersonation tokens that are generated with certain authentication schemes in this article apply strictly to IIS 4.0.

319067How to run applications not in the context of the system account
If you cannot determine what kind of logon is occurring on your IIS server to handle requests, you can turn on auditing for Logons and Logoffs. Ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικStartΚάντε κλικρυθμίσειςΚάντε κλικΟ πίνακας ελέγχουΚάντε κλικΕργαλεία διαχείρισης, και στη συνέχεια κάντε κλικ στο κουμπίΤοπική πολιτική ασφαλείας.
  2. After you open Local Security Policy, in the left Tree View pane, clickΡυθμίσεις ασφαλείας (Security Settings)Κάντε κλικΤοπικές πολιτικές (Local Policies), και στη συνέχεια κάντε κλικ στο κουμπίAudit Policy.
  3. Διπλό κλικAudit Logon Eventκαι, στη συνέχεια, κάντε κλικ στο κουμπίSuccess and Failure. Event Log entries are added under the Security log. You can determine the kind of logon by looking at the event details under the Logon Type:
2=Interactive
3=Network
4=Batch
5=Service

Αναφορές

For more information about network security, click the following article numbers to view the articles in the Microsoft Knowledge Base:
124184Service running as system account fails accessing network
180362Services and redirected drives
319067How to run applications not in the context of the system account
280383IIS Security recommendations when you use a UNC share
259353Must enter password manually after you toggle password sync

Ιδιότητες

Αναγν. άρθρου: 207671 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Internet Information Server 3.0
Λέξεις-κλειδιά: 
kbhowtomaster kbhttp kbmt KB207671 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:207671

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com