Cara akses jaringan file dari IIS aplikasi

ID Artikel: 207671 - Melihat produk di mana artikel ini berlaku.
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menyediakan informasi tentang masalah mengakses berkas di komputer lain selain server Internet Information Server (IIS) dari Internet Server API (ISAPI) ekstensi, Active Server Pages (ASP) halaman atau Common Gateway Interface (CGI) aplikasi. Artikel ini berisi beberapa isu-isu yang terlibat dan beberapa metode yang mungkin untuk membuat karya ini.

Meskipun artikel ini ditulis terutama dalam konteks mengakses file pada jaringan berbagi, konsep-konsep yang sama berlaku untuk koneksi pipa bernama sebagai baik. Named Pipe sering digunakan untuk koneksi SQL Server dan juga untuk panggilan prosedur jauh (RPC) dan komunikasi Component Object Model (COM). Secara khusus, jika Anda menghubungkan ke SQL Server di jaringan yang dikonfigurasi untuk menggunakan Microsoft Windows NT Integrated Security, Anda tidak dapat terhubung karena isu-isu yang diuraikan dalam artikel ini. RPC dan COM dapat juga menggunakan mekanisme komunikasi lainnya yang memiliki serupa jaringan otentikasi skema. Oleh karena itu, konsep-konsep dalam Artikel ini dapat diterapkan pada berbagai jaringan komunikasi mekanisme yang dapat digunakan dari aplikasi IIS.


Jenis otentikasi dan peniruan

Ketika IIS layanan permintaan HTTP, IIS melakukan peniruan sehingga akses sumber daya untuk menangani permintaan terbatas dengan tepat. The menyamar keamanan didasarkan pada jenis otentikasi dilakukan untuk permintaan. Lima jenis otentikasi tersedia dari IIS 4.0 adalah:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive

Jenis token

Apakah akses ke sumber daya jaringan diperbolehkan tergantung pada jenis peniruan tanda di mana permintaan yang sedang diproses.
  • Jaringan token "Tidak" diizinkan untuk mengakses sumber jaringan. (Jaringan token yang dinamakan demikian karena tanda semacam ini secara tradisional dibuat oleh server ketika pengguna dikonfirmasi di seluruh jaringan. Pada memungkinkan server menggunakan tanda jaringan untuk bertindak sebagai klien jaringan dan akses server lain yang disebut "delegasi" dan dianggap sebagai kemungkinan lubang keamanan.)
  • Bukti interaktif secara tradisional digunakan ketika otentikasi pengguna lokal di komputer. Bukti interaktif diizinkan untuk mengakses sumber daya di seluruh jaringan.
  • Batch token dirancang untuk memberikan konteks keamanan yang menjalankan batch pekerjaan. Batch token memiliki akses jaringan.
IIS memiliki konsep Menghapus teks logon. Menghapus teks logon dinamakan begitu karena fakta bahwa IIS memiliki akses ke username dan password dalam teks yang jelas. Anda dapat mengontrol apakah Menghapus teks logon menciptakan jaringan tanda, tanda interaktif, atau tanda Batch dengan menetapkan LogonMethod properti di metabase. Secara default, Menghapus teks login menerima tanda interaktif dan memiliki akses ke sumber jaringan. The LogonMethod dapat dikonfigurasi pada server, situs, direktori virtual, direktori, atau tingkat file.

Akses anonim impersonates account dikonfigurasi sebagai pengguna anonim untuk permintaan. Secara default, IIS memiliki satu anonim account pengguna disebut IUSR_<machinename> yang sebenarnya ketika menangani permintaan non-dikonfirmasi. Secara default IIS 4.0 memiliki fitur dikonfigurasi disebut "Mengaktifkan otomatis sinkronisasi sandi" yang menggunakan keamanan sub-Authority untuk membuat token. Token yang dibuat dengan cara ini adalah jaringan tanda-tanda yang "Tidak" memiliki akses ke komputer lain jaringan. Jika Anda menonaktifkan sinkronisasi Password otomatis, IIS menciptakan tanda dengan cara yang sama sebagai<b00> </b00> </machinename>Menghapus teks logon disebutkan sebelumnya. Sinkronisasi sandi otomatis ini hanya tersedia untuk account yang terletak di komputer yang sama sebagai IIS. Oleh karena itu, jika Anda mengubah Anda account anonim untuk domain account, Anda tidak dapat menggunakan Otomatis sinkronisasi sandi dan Anda menerima Menghapus teks logon. Pengecualian adalah jika Anda menginstal IIS pada kontroler Domain utama Anda. Dalam kasus ini, account domain adalah pada komputer lokal. Anonim account dan sandi sinkronisasi otomatis pilihan dapat dikonfigurasi pada server, situs, direktori virtual, direktori, atau tingkat file.

Anda harus memiliki jenis benar tanda sebagai langkah pertama dalam mengakses sumber daya pada jaringan. Anda juga harus meniru account yang memiliki akses sumber daya di seluruh jaringan. Secara default, IUSR_<machinename> akun IIS menciptakan untuk permintaan anonim ada hanya pada komputer lokal. Bahkan jika Anda menonaktifkan sinkronisasi Password otomatis sehingga Anda bisa mendapatkan token interaktif yang dapat mengakses sumber jaringan, IUSR_<machinename> account biasanya tidak memiliki akses ke sebagian besar jaringan sumber daya karena ini adalah account yang tidak diakui pada komputer lain. Jika Anda ingin mengakses sumber jaringan dengan anonim permintaan, Anda harus mengganti account default dengan account di domain pada jaringan Anda dapat diakui oleh semua komputer. Jika Anda menginstal IIS pada kontroler Domain, IUSR_<machinename> rekening adalah domain account dan harus diakui oleh komputer lain pada jaringan tanpa mengambil tambahan tindakan. </machinename></machinename></machinename>


Menghindari masalah

Berikut adalah cara untuk menghindari masalah ketika Anda mengakses sumber jaringan dari aplikasi IIS Anda:
  • Simpan file di komputer lokal.
  • Beberapa metode komunikasi jaringan tidak memerlukan pemeriksaan keamanan. Contoh menggunakan Windows soket.
  • Anda dapat memberikan akses langsung ke sumber jaringan komputer dengan mengkonfigurasi direktori virtual untuk menjadi:
    "Berbagi terletak di komputer lain."
    Semua akses ke komputer yang berbagi sumber jaringan dilakukan di konteks orang yang ditentukan di bawah Hubungkan seperti... kotak dialog. Hal ini terjadi tidak masalah jenis otentikasi dikonfigurasi untuk virtual direktori. Dengan menggunakan pilihan ini, semua file pada jaringan tersedia dari browser yang mengakses komputer IIS.
  • Menggunakan otentikasi dasar atau otentikasi anonim tanpa otomatis sinkronisasi sandi.

    Secara default, peniruan yang Internet Information Server tidak untuk otentikasi dasar menyediakan tanda yang dapat mengakses sumber jaringan (tidak seperti Windows NT tantangan/tanggapan, yang menyediakan tanda yang tidak dapat mengakses sumber jaringan). Untuk otentikasi anonim, token hanya dapat mengakses sumber jaringan jika sinkronisasi Password otomatis dinonaktifkan. Secara default, otomatis sinkronisasi sandi akan diaktifkan ketika Internet Information Server pertama kali diinstal. Dalam seperti konfigurasi default, token pengguna anonim tidak dapat mengakses sumber jaringan.
    259353
    (http://support.microsoft.com/kb/259353/ )
    Harus memasukkan sandi secara manual setelah Anda mengaktifkan password sync
  • Mengkonfigurasi account anonim sebagai domain account.

    Ini memungkinkan permintaan anonim dari potensi akses ke sumber daya di jaringan. Untuk mencegah semua permintaan anonim memiliki akses jaringan, Anda hanya harus membuat account anonim account domain pada virtual direktori yang secara khusus memerlukan akses.
  • Mengkonfigurasi account anonim dengan username dan password pada komputer yang berbagi sumber daya dalam jaringan yang sama dan kemudian menonaktifkan sinkronisasi Password otomatis.

    Jika Anda melakukannya Anda harus memastikan bahwa password yang sama persis. Pendekatan ini hanya harus digunakan ketika "mengkonfigurasi account anonim sebagai domain account" disebutkan sebelumnya bukanlah pilihan untuk beberapa alasan.
  • NullSessionShares dan NullSessionPipes dapat digunakan untuk membolehkan akses untuk berbagi jaringan tertentu atau pipa bernama ketika permintaan ditangani dengan tanda jaringan.

    Jika Anda memiliki tanda jaringan dan Anda mencoba untuk tersambung ke sumber daya jaringan, sistem operasi mencoba untuk membuat sambungan sebagai non-dikonfirmasi sambungan (disebut sebagai "NULL sesi"). Pengaturan registri ini harus dilakukan pada komputer yang berbagi sumber daya jaringan, bukan pada komputer IIS. Jika Anda mencoba mengakses NullSessionShare atau NullSessionPipe dengan non-jaringan token, khas Microsoft Windows otentikasi yang digunakan dan akses ke sumber daya didasarkan pada account hak-hak pengguna pengguna menyamar.
  • Anda dapat berpotensi melakukan peniruan Anda sendiri untuk membuat tanda Thread yang memiliki akses jaringan.

    The LogonUser fungsi dan The ImpersonateLoggedOnUser fungsi dapat digunakan untuk meniru yang berbeda rekening. Ini memerlukan bahwa Anda telah jelas teks username dan password dari account lain tersedia untuk kode Anda. LogonUser juga mensyaratkan bahwa account yang panggilan LogonUser memiliki "Bertindak sebagai bagian dari sistem operasi" hak istimewa di Pengelola pengguna. Secara default, sebagian besar pengguna yang IIS impersonates sementara Bandar udara ini menangani permintaan HTTP tidak memiliki pengguna ini benar. Namun, untuk "Dalam proses aplikasi" ada beberapa cara untuk menyebabkan Anda konteks keamanan saat ini untuk mengubah ke account LocalSystem, yang tidak memiliki kredensial administratif "Bertindak sebagai bagian dari sistem operasi". Untuk ISAPI dll yang berjalan dalam proses, cara terbaik untuk mengubah konteks keamanan IIS telah dibuat untuk LocalSystem account adalah untuk memanggilRevertToSelf fungsi. Jika Anda menjalankan aplikasi IIS Anda "Out of Proses", mekanisme ini tidak bekerja secara default karena proses berjalan di bawah IWAM_<machinename> account dan bukan sistem lokal rekening. Secara default, IWAM_<machinename> "" tidak "bertindak sebagai bagian dari sistem operasi"administratif kredensial.</machinename> </machinename>
  • Menambahkan komponen yang disebut dari halaman ASP Server Microsoft transaksi Server (MTS) paket atau COM + Server aplikasi, dan kemudian tentukan pengguna tertentu sebagai identitas paket.

    Catatan Komponen ini berjalan dalam berkas .exe terpisah yang berada di luar IIS.
  • Dengan otentikasi dasar/Hapus teks, kami sarankan Anda untuk mengenkripsi data dengan menggunakan SSL karena sangat mudah untuk mendapatkan mandat dari jejak jaringan. Untuk informasi lebih lanjut tentang cara menginstal SSL, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    228991
    (http://support.microsoft.com/kb/228991/ )
    Cara membuat dan menginstal sertifikat SSL di Internet Informasi Server 4.0
Catatan Jangan lupa bahwa Anda dapat mencegah akses jaringan untuk permintaan anonim di mana sinkronisasi sandi dinonaktifkan dan permintaan dikonfirmasi dengan menggunakan otentikasi dasar)Menghapus teks login) jika Anda menetapkan LogonMethod metabase properti untuk "2" (menunjukkan bahwa jaringan masuk yang digunakan untuk membuat token peniruan). Dengan pengaturan ini, satu-satunya cara untuk permintaan untuk menghindari pembatasan token jaringan adalah untuk menghubungkan ke NullSessionShares atau NullSessionPipes.

Tidak menggunakan huruf pengandar yang dipetakan ke jaringan saham. Tidak hanya ada hanya 26 huruf pengandar yang potensial untuk memilih dari, tetapi jika Anda mencoba untuk menggunakan huruf pengandar yang dipetakan dalam konteks keamanan berbeda, masalah dapat terjadi. Sebaliknya, Anda harus selalu menggunakan Konvensi Penamaan Universal Nama (UNC) untuk mengakses sumber daya. Format harus terlihat mirip dengan berikut:
\\MyServer\filesharename\directoryname\filename
Untuk informasi lebih lanjut tentang menggunakan UNC, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
280383
(http://support.microsoft.com/kb/280383/ )
Rekomendasi IIS keamanan bila Anda menggunakan UNC berbagi
Informasi di dalam artikel ini hanya berkaitan dengan Internet informasi Server 4.0. Di Internet Informasi Server 5.0 (yang disertakan bersama Windows 2000), ada perubahan signifikan untuk otentikasi baru jenis dan kemampuan. Meskipun sebagian besar dari konsep-konsep dalam artikel ini masih berlaku untuk IIS 5.0, rincian tentang jenis peniruan token yang dihasilkan dengan skema otentikasi tertentu dalam artikel ini berlaku ketat untuk IIS 4.0.

319067
(http://support.microsoft.com/kb/319067/ )
Bagaimana untuk menjalankan aplikasi tidak dalam konteks account sistem
Jika Anda tidak dapat menentukan jenis logon terjadi pada server IIS untuk menangani permintaan, Anda dapat mengaktifkan audit untuk login dan Logoffs. Ikuti langkah-langkah ini:
  1. Klik Mulai, klik Tataan, klik Control Panel, klik Alat administratif, lalu klik Kebijakan keamanan lokal.
  2. Setelah Anda membuka kebijakan keamanan lokal, di panel tampilan pohon kiri, klik Pengaturan keamanan, klik Kebijakan lokal, lalu klik Audit kebijakan.
  3. Klik dua kali Peristiwa Logon audit kemudian klik Keberhasilan dan kegagalan. Entri Log Peristiwa ditambahkan di bawah log keamanan. Anda dapat menentukan jenis logon oleh melihat rincian peristiwa di bawah tipe Logon:
2 = Interaktif
3 = Jaringan
4 = Batch
5 = Layanan

Kembali ke atas | Berikan Masukan

REFERENSI

Untuk informasi lebih lanjut tentang keamanan jaringan, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
124184
(http://support.microsoft.com/kb/124184/ )
Layanan berjalan sebagai sistem account gagal mengakses jaringan
180362
(http://support.microsoft.com/kb/180362/ )
Layanan dan diarahkan drive
319067
(http://support.microsoft.com/kb/319067/ )
Bagaimana untuk menjalankan aplikasi tidak dalam konteks account sistem
280383
(http://support.microsoft.com/kb/280383/ )
Rekomendasi IIS keamanan bila Anda menggunakan UNC berbagi
259353
(http://support.microsoft.com/kb/259353/ )
Harus memasukkan sandi secara manual setelah Anda mengaktifkan password sync
Kembali ke atas | Berikan Masukan

Properti

ID Artikel: 207671 - Kajian Terakhir: 19 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Internet Information Server 3.0
Kata kunci: 
kbhowtomaster kbhttp kbmt KB207671 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:207671
(http://support.microsoft.com/kb/207671/en-us/ )
Kembali ke atas | Berikan Masukan

Berikan Masukan

 
Kembali ke atasKembali ke atas