Cómo obtener acceso a archivos de red desde las aplicaciones de IIS

Seleccione idioma Seleccione idioma
Id. de artículo: 207671 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo proporciona información acerca de problemas con el acceso a archivos en un equipo distinto del servidor de Information Server (IIS) de extensión de Internet Server API (ISAPI), página Active Server (ASP) o aplicación CGI (Common Gateway Interface). Este artículo enumeran algunos de los problemas implicados y algunos métodos posibles para realizar este trabajo.

Aunque este artículo está escrito principalmente en el contexto del acceso a archivos en recursos compartidos de red, los mismos conceptos se aplican a conexiones de canalización con nombre así. Las canalizaciones se utilizan frecuentemente para las conexiones de SQL Server y también para llamada a procedimiento remoto (RPC) y las comunicaciones de modelo de objetos componentes (COM). En concreto, si se conecta a un servidor SQL Server a través de la red está configurada para utilizar seguridad integrada de Microsoft Windows NT, no puede conectarse debido de los problemas que se describen en este artículo. RPC y COM también pueden utilizar otros mecanismos de comunicación que tienen esquemas de autenticación de red similares. Por lo tanto, pueden aplicar los conceptos de este artículo a una amplia variedad de mecanismos de comunicación de red que se pueden utilizar desde las aplicaciones de IIS.


Tipos de autenticación y suplantación

Cuando una solicitud HTTP de servicios de IIS, IIS realiza suplantación para que el acceso a los recursos para controlar la solicitud sea limitado adecuadamente. El contexto de seguridad suplantado se basa en el tipo de autenticación realizada para la solicitud. Los cinco tipos diferentes de autenticación disponibles desde IIS 4.0 son:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Tipos de token

Si o no el acceso a recursos de red está permitido depende del tipo de testigo de suplantación en la que se está procesando la solicitud.
  • Símbolos (tokens) de red "No" se permite tener acceso a los recursos de red. (Símbolos (tokens) de red se denomina así porque tradicionalmente se crea este tipo de símbolo (token) por un servidor cuando un usuario se autentica a través de la red. Para permitir que el servidor utiliza una red token para actuar como un cliente de red y tener acceso a otro servidor se denomina "delegación" y se considera un agujero de seguridad.)
  • Tradicionalmente se utilizan símbolos interactivos cuando se autentica un usuario local en el equipo. Símbolos interactivos se permite tener acceso a recursos a través de la red.
  • Símbolos de proceso por lotes están diseñados para proporcionar un contexto de seguridad bajo la cual ejecuta trabajos por lotes. Símbolos de proceso por lotes tienen acceso de red.
IIS tiene el concepto de un inicio de sesión Texto sin cifrar . Borrar texto inicio de sesión se denomina así porque del hecho de que IIS tiene acceso al nombre de usuario y la contraseña en texto sin cifrar. Puede controlar si un inicio de sesión Texto sin cifrar crea un token de red, un símbolo interactivo o un token de lotes estableciendo la propiedad LogonMethod en la metabase. De forma predeterminada, inicios de sesión de Texto sin cifrar reciban un token interactivo y tengan acceso a los recursos de red. El LogonMethod puede configurarse en el servidor, el sitio, directorio virtual, el directorio o el nivel de archivo.

Acceso anónimo suplanta la cuenta configurada como usuario anónimo para la solicitud. <machinename>De forma predeterminada, IIS tiene una cuenta de único usuario anónimo llamada IUSR_ <nombreequipo> se suplanta al controlar una solicitud no autenticado. De forma predeterminada IIS 4.0 tiene una característica configurable denominada "Habilitar automáticas sincronización de contraseñas" que utiliza un subautoridad de seguridad para crear el símbolo (token). Los símbolos creados en este modo se distinguen tokens de red que "No" no tienen acceso a otros equipos en la red. Si deshabilita la sincronización automática de contraseñas, IIS crea el símbolo (token) de la misma manera que el Borrar texto inicio de sesión que se ha mencionado anteriormente. Sincronización automática de contraseñas sólo está disponible para cuentas que se encuentran en el mismo equipo que IIS. Por tanto, si cambia la cuenta anónima a una cuenta de dominio, puede utilizar la sincronización automática de contraseñas y recibirá un inicio de sesión Texto sin cifrar . La excepción es si instalar IIS en el controlador de dominio principal. En este caso, las cuentas de dominio son en el equipo local. La cuenta anónima y la opción de sincronización automática de contraseñas pueden configurarse en el servidor, el sitio, directorio virtual, el directorio o el nivel de archivo.

Debe tener el tipo correcto de token como primer paso para tener acceso a un recurso en la red. También debe suplantar una cuenta que tenga acceso al recurso a través de la red. <machinename>De forma predeterminada, la cuenta IUSR_ <nombreequipo> cuenta que IIS crea para las solicitudes anónimas sólo existe en el equipo local. <machinename>Incluso si deshabilitar sincronización automática de contraseñas para que puede obtener un programa de símbolo (token) que puede tener acceso a red recursos, la cuenta IUSR_ <nombreequipo> cuenta normalmente no tiene acceso a la mayoría de los recursos de red porque se trata de una cuenta que no se reconoce en otros equipos. Si desea tener acceso a recursos de red con las solicitudes anónimas, debe reemplazar la cuenta predeterminada con una cuenta en un dominio de la red que puede ser reconocida por todos los equipos. <machinename>Si instala IIS en un controlador de dominio, la cuenta IUSR_ <nombreequipo> cuenta es una cuenta de dominio y se debe reconoce por otros equipos en la red sin efectuar ninguna acción adicional.


Prevención de problema

Siguientes son formas de evitar problemas al tener acceso a recursos de red desde su aplicación de IIS:
  • Mantener los archivos en el equipo local.
  • Algunos métodos de comunicación de red no requieren una comprobación de seguridad. Un ejemplo es utilizar sockets de Windows.
  • Configurando un directorio virtual que se puede proporcionar acceso directo a los recursos de red del equipo:
    "Un recurso compartido en otro equipo."
    Todo acceso al equipo que comparte los recursos de red se realiza en el contexto de la persona especificado en el cuadro de diálogo Conectar como. . Esto ocurre independientemente de qué tipo de autenticación está configurado para el directorio virtual. Mediante esta opción, todos los archivos en el recurso compartido de red están disponibles desde los exploradores que acceso al equipo IIS.
  • Utilizar autenticación básica o autenticación anónima sin sincronización automática de contraseñas.

    De forma predeterminada, la suplantación que Internet Information Server para la autenticación básica proporciona un token que puede tener acceso a recursos de red (a diferencia de Windows NT desafío/respuesta, que proporciona un token que no se puede tener acceso a los recursos de red). Para la autenticación anónima, el símbolo (token) puede tener acceso sólo a un red recurso si la sincronización automática de contraseñas está deshabilitada. De forma predeterminada, la sincronización automática de contraseñas está habilitada cuando se instala Internet Information Server por primera vez. En tal una configuración predeterminada, el token de usuario anónimo no puede tener acceso a recursos de red.
    259353Debe introducir contraseña manualmente después de activar la sincronización de contraseña
  • Configurar la cuenta anónima como una cuenta de dominio.

    Esto permite las solicitudes anónimas de acceso posible a los recursos a través de la red. Para impedir que todas las solicitudes anónimas tengan acceso a la red, debe sólo realizar la cuenta anónima de una cuenta de dominio en los directorios virtuales que requieran acceso específicamente.
  • Configurar la cuenta anónima con el mismo nombre de usuario y contraseña en el equipo que comparte los recursos de red y, a continuación, deshabilitar sincronización automática de contraseñas.

    Si para ello, debe asegurarse de que las contraseñas coinciden exactamente. Este enfoque sólo debe utilizarse cuando el "Configurar la cuenta anónima como una cuenta de dominio" se ha mencionado anteriormente no una opción por algún motivo.
  • NullSessionShares y NullSessionPipes puede utilizarse para permitir el acceso a un recurso compartido de red específica o a una canalización con nombre cuando se controla la solicitud con un símbolo (token) de red.

    Si tiene un símbolo (token) de red e intenta establecer una conexión a un recurso de red, el sistema operativo intenta establecer una conexión como una conexión de acceso no autenticado (denominada "Sesión NULL"). Este valor del registro debe realizarse en el equipo que comparte el recurso de red, no en el equipo con IIS. Si intenta tener acceso a un NullSessionShare o NullSessionPipe con un token que no sean de red, se utiliza autenticación típica de Microsoft Windows y el acceso al recurso se basa en los derechos de usuario de cuenta del usuario suplantado.
  • Potencialmente puede realizar su propia representación para crear un token de subproceso tiene acceso de red.

    La función LogonUser y la función ImpersonateLoggedOnUser pueden utilizarse para suplantar una cuenta diferente. Esto requiere que tenga el nombre de usuario texto no cifrado y la contraseña de otra cuenta disponible en el código. LogonUser también requiere que la cuenta que llama a LogonUser tiene el privilegio "Actuar como parte del sistema operativo" en el Administrador de usuarios. De forma predeterminada, la mayoría de los usuarios que suplanta IIS mientras controla una solicitud HTTP no tienen este derecho de usuario. Sin embargo, para "En aplicaciones de proceso" hay varias maneras de hacer que el contexto de seguridad actual cambiar a la cuenta LocalSystem, que sí tiene las credenciales administrativas "Actuar como parte del sistema operativo". Para archivos DLL de ISAPI que se ejecutan en proceso, la mejor manera de cambiar el contexto de seguridad creada por IIS a la cuenta LocalSystem es llamar a la función RevertToSelf . <machinename>Si está ejecutando la aplicación de IIS "fuera de proceso", este mecanismo no funciona de forma predeterminada porque el proceso se está ejecutando bajo el IWAM_ <nombreequipo> cuenta y no la cuenta LocalSystem. <machinename>De forma predeterminada, el IWAM_ <nombreequipo> disponer de "No" las credenciales administrativas "Actuar como parte del sistema operativo".
  • Agregue el componente que se llama desde la página ASP para una aplicación de servidor COM + o paquete Server Transaction Server (MTS) y especifique un usuario específico como la identidad del paquete.

    Nota El componente se ejecuta en un archivo .exe independiente que está fuera de IIS.
  • Con la autenticación básica y borrar texto, se recomienda cifrar los datos mediante SSL porque es muy fácil de obtener credenciales de una traza de red. Para obtener más información acerca de cómo instalar SSL, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    228991Cómo crear e instalar un certificado SSL en Internet Information Server 4.0
Nota No olvide que puede evitar el acceso de red para las solicitudes anónimas donde está deshabilitada la sincronización de contraseñas y las solicitudes se autentican mediante autenticación básica ( Texto sin cifrar inicios de sesión) si establece la propiedad de metabase LogonMethod a "2" (que indica que un inicio de sesión de red se utiliza para crear el token de suplantación). Con esta configuración, la única forma para solicitudes para evitar la limitación de símbolo (token) de red es para conectarse a NullSessionShares o NullSessionPipes.

No utilice letras de unidad asignadas a recursos compartidos de red. No sólo hay son sólo 26 letras de controlador posibles para seleccionar de, pero si intenta utilizar una letra de unidad está asignada en un contexto de seguridad diferentes, pueden producirse problemas. En su lugar, siempre debe utilizar nombres de convención de nomenclatura universal (UNC) para tener acceso a los recursos. El formato debe ser similar al siguiente:
\\MyServer\filesharename\directoryname\filename
Para obtener más información acerca del uso de UNC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
280383Recomendaciones de seguridad de IIS cuando utiliza un recurso compartido UNC
La información de este artículo pertenece solamente a Internet Information Server 4.0. En Internet Information Server 5.0 (que se incluye con Windows 2000), hay en contacto con cambios significativos para nuevos tipos de autenticación y capacidades. Aunque la mayoría de los conceptos de este artículo sigue siendo aplicable a IIS 5.0, los detalles de los tipos de tokens de suplantación que se generan con determinadas combinaciones de autenticación en este artículo se aplican exclusivamente a IIS 4.0.

319067Cómo ejecutar las aplicaciones no en el contexto de la cuenta del sistema
Si no puede determinar qué tipo de inicio de sesión se está produciendo en el servidor IIS para controlar las solicitudes, puede activar la auditoría de inicios y cierres de sesión. Siga estos pasos:
  1. Haga clic en Inicio , haga clic en configuración , haga clic en Panel de control , haga clic en Herramientas administrativas y haga clic en Directiva de seguridad local .
  2. Después de abrir Directiva de seguridad local, en el panel de vista de árbol izquierdo, haga clic en Configuración de seguridad , haga clic en Directivas locales y, a continuación, haga clic en Directiva de auditoría .
  3. Haga doble clic en Auditar sucesos de inicio de sesión y haga clic en correcto y erróneo . Se agregan entradas de registro de sucesos en el registro de seguridad. Puede determinar el tipo de inicio de sesión examinando los detalles del suceso en el tipo de inicio de sesión:
2 = Interactivo
3 = Red
4 = Lote
5 = Servicio

Referencias

Para obtener más información acerca de la seguridad de red, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
124184Servicio ejecuta como cuenta del sistema produce un error al tener acceso a red
180362Servicios y unidades redirigidas
319067Cómo ejecutar las aplicaciones no en el contexto de la cuenta del sistema
280383Recomendaciones de seguridad de IIS cuando utiliza un recurso compartido UNC
259353Debe introducir contraseña manualmente después de activar la sincronización de contraseña

Propiedades

Id. de artículo: 207671 - Última revisión: jueves, 03 de julio de 2008 - Versión: 6.2
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Server Application Programming Interface 4.0
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbhowtomaster kbhttp KB207671 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 207671

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com