IIS-Anwendung auf Netzwerkdateien


Wir empfehlen allen Benutzern von Microsoft-Internetinformationsdienste (IIS) Version 7.0 aktualisieren auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen über IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:

IN DIESER AUFGABE

Zusammenfassung


Dieser Artikel enthält Informationen zu Problemen beim Zugriff auf Dateien auf einem anderen Computer als dem Internet Information Server (IIS) Server von Internet Server API (ISAPI-Erweiterung), Active Server Pages (ASP)-Seite, Common Gateway Interface (CGI) Anwendung. Dieser Artikel listet einige der Probleme, die beteiligt sind auf und gibt Lösungsmöglichkeiten vor.

Obwohl dieser Artikel hauptsächlich im Kontext der Zugriff auf Dateien auf Netzwerkfreigaben geschrieben wird, gelten dieselben Konzepte für named Pipe-Verbindungen. Named Pipes werden häufig für SQL Server-Verbindungen und für den Remoteprozeduraufruf (RPC) und Component Object Model (COM) verwendet. Insbesondere wenn SQL Server über das Netzwerk, die Microsoft Windows NT integrierte Sicherheit konfiguriert ist herstellen, können nicht Sie aufgrund der verbinden, die in diesem Artikel beschrieben werden. RPC- und COM-möglicherweise auch anderer mit ähnlichen Netzwerk Authentifizierungsschemas verwendet werden. Daher können die Konzepte in diesem Artikel eine Vielzahl von Netzwerk-Kommunikationsmechanismen zuweisen, die von einer IIS-Anwendung verwendet werden kann.


Arten von Authentifizierung und Identitätswechsel

Wenn IIS eine HTTP-Anforderung, führt IIS Identitätswechsel, Zugriff auf Ressourcen für die Behandlung der Anforderung entsprechend beschränkt ist. Des Sicherheitskontexts basiert auf die Art der Authentifizierung für die Anforderung ausgeführt. Die fünf verschiedenen Authentifizierungsmethoden in IIS 4.0 sind:



Authentication Type Impersonation Type

Anonymous Access (no authentication) Network
Auto Password Synchronization is
ON (ON=default)

Anonymous Access (no authentication) IIS Clear Text
Auto Password Synchronization is OFF

Basic Authentication IIS Clear Text

NT Challenge/Response Authentication Network

Client SSL Certificate Mapping Interactive

Tokentypen

Ob Netzwerkressourcen darf hängt die Art der Identitätswechseltoken, unter dem die Anforderung verarbeitet wird.
  • Netzwerk-Token "" dürfen zugreifen. (Netzwerk-Tokens werden so genannt, weil diese Art von Token traditionell von einem Server erstellt wird, wenn ein Benutzer im Netzwerk authentifiziert wird. Der Server mit einem Netzwerk Token als Netzwerkclient und Zugriff auf einen anderen Server heißt "Delegierung" und gilt als eine mögliche Sicherheitslücke.)
  • Interaktive Token werden üblicherweise verwendet, wenn einen lokalen Benutzer auf dem Computer authentifiziert. Interaktive Token dürfen Zugriff auf Ressourcen im Netzwerk.
  • Batch Token sollen einen Sicherheitskontext unter dem Stapelverarbeitung. Batch Token haben Zugriff auf das Netzwerk.
IIS wurde das Konzept von Klartext -Anmeldung. Anmeldung Deaktivieren Text so daran heißt, dass IIS den Benutzernamen und das Kennwort im Klartext zugreifen. Sie können steuern, ob eine Anmeldung Klartext Netzwerk Token, interaktive Token oder ein Batch-Token erstellt durch die LogonMethod -Eigenschaft in der Metabasis festlegen. Standardmäßig Klartext Anmeldung erhalten einen interaktiven Token und Zugriff auf Netzwerkressourcen haben. LogonMethod kann Server, die Website, das virtuelle Verzeichnis, das Verzeichnis oder Dateiebene konfiguriert werden.


Anonymer Zugriff die Identität des Kontos als anonymer Benutzer für die Anforderung. Standardmäßig ist IIS ein einzelnes anonyme Benutzerkonto IUSR_ < Computername >, dessen Identität angenommen wird, wenn eine nicht authentifizierte Anforderung, aufgerufen. Standardmäßig hat IIS 4.0 konfigurierbare sogenannten "Automatische Kennwortsynchronisation aktivieren", mit denen eine Sub Sicherheitsinstanz um das Token zu erstellen. Auf diese Weise erstellte Token sind Netzwerk-Token die "Nicht" Zugriff auf andere Computer im Netzwerk. Wenn Sie automatische Kennwortsynchronisation deaktivieren, erstellt IIS Token auf die gleiche Weise als Klartext Anmeldung erwähnt. Automatische Kennwortsynchronisation steht nur für Konten auf demselben Computer wie IIS befinden. Wenn Sie das anonyme Konto in ein Domänenkonto ändern, können Sie keine automatische Kennwortsynchronisation und erhalten eine Klartext -Anmeldung. Die Ausnahme ist, wenn Sie IIS auf dem primären Domänencontroller installieren. In diesem Fall sind die Domänenkonten auf dem lokalen Computer. Das anonyme Konto und die Option Automatische Kennwortsynchronisation können auf Server, die Website, das virtuelle Verzeichnis, das Verzeichnis oder Dateiebene konfiguriert werden.

Sie müssen den richtigen Token als ersten Schritt beim Zugriff auf eine Ressource im Netzwerk. Sie müssen auch ein Konto imitieren, die über das Netzwerk auf die Ressource zugreifen. Standardmäßig wird das Konto IUSR_ < Computername >, das IIS für anonyme Anfragen erstellt auf dem lokalen Computer vorhanden. Auch wenn automatische Kennwortsynchronisation deaktivieren, so dass Sie eine interaktive token, die auf Netzwerkressourcen zugreifen können, das Konto IUSR_ < Computername > normalerweise keinen Zugriff auf die meisten Netzwerkressourcen, da dies ein Konto ist Unbekannte auf anderen Computern. Wenn Sie anonyme Anfragen zugreifen möchten, müssen Sie das Standardkonto mit einem Konto in einer Domäne im Netzwerk ersetzen, die von allen Computern erkannt werden kann. Wenn Sie IIS auf einem Domänencontroller installieren, das Konto IUSR_ < Computername > ist ein Domänenkonto und erkannt muss von anderen Computern im Netzwerk ohne weitere Maßnahmen zu ergreifen.



Problem vermeiden

Folgende sind Methoden zur Vermeidung von Problemen beim Zugriff auf Netzwerkressourcen in der IIS-Anwendung:
  • Speichern Sie Dateien auf dem lokalen Computer.
  • Einige Netzwerk-Kommunikationsmethoden benötigen keine Aufrufer. Ein Beispiel ist Windows Sockets verwenden.
  • Direkten Zugriff auf die Netzwerkressourcen des Computers können Sie ein virtuelles Verzeichnis zu konfigurieren:

    "Eine Freigabe auf einem anderen Computer."
    Zugriff auf den Computer, der gemeinsame Netzwerkressourcen erfolgt im Rahmen der Person im Feld Verbinden als Dialogfeld angegeben. Dies geschieht unabhängig davon, welche Art der Authentifizierung für das virtuelle Verzeichnis konfiguriert ist. Mit dieser Option werden alle Dateien auf der Netzwerkfreigabe von Browsern, die IIS-Computer zugreifen.
  • Verwendung von Standardauthentifizierung oder anonyme Authentifizierung ohne automatische Kennwortsynchronisation.

    Der Identitätswechsel Internet Information Server für die Standardauthentifizierung wird bietet standardmäßig ein Token, das Zugriff auf Netzwerkressourcen (im Gegensatz zu Windows NT Challenge/Response, die einen Token bereitstellt, der Netzwerkressourcen zugreifen kann). Für die anonyme Authentifizierung kann das Token nur eine Netzwerkressource Automatische Kennwortsynchronisation deaktiviert ist. Automatische Kennwortsynchronisation ist standardmäßig aktiviert, wenn Internet Information Server zuerst installiert wird. Diese Standardkonfiguration kann nicht anonymen Benutzertoken Netzwerkressourcen zugreifen.
    259353 müssen manuell Passwort nach kennwortsynchronisierung umschalten

  • Konfigurieren Sie das anonyme Konto als Domänenkonto.

    Dies ermöglicht anonyme Anfragen mögliche Zugriff auf Ressourcen im Netzwerk. Alle anonyme Anfragen Netzwerk Zugriff verhindern, müssen Sie nur dem anonymen Konto ein Domänenkonto für die virtuellen Verzeichnisse, die ausdrücklich Zugriff benötigen.
  • Konfigurieren Sie das anonyme Konto mit demselben Benutzernamen und Kennwort auf dem Computer ist die Netzwerkressourcen, und deaktivieren Sie die automatische Kennwortsynchronisation.

    In diesem Fall müssen Sie sicherstellen, dass das Kennwort übereinstimmen. Dadurch muss nur verwendet werden, wenn die "Konfigurieren des anonymen Kontos als Domänenkonto" genannten zuvor nicht optional aus irgendeinem Grund.
  • NullSessionShares und NullSessionPipes kann zu Zugriff auf einer bestimmten Netzwerkfreigabe oder auf eine named Pipe bei die Anforderung mit einem Netzwerk verwendet werden.

    Wenn Sie einen Netzwerk-Token und versuchen, eine Verbindung zu einer Netzwerkressource herzustellen, versucht das Betriebssystem eine Verbindung als nicht authentifizierte Verbindung (bezeichnet als "NULL Session"). Dieser Registrierungseintrag auf dem Computer erfolgt, die Netzwerkressource nicht auf dem IIS-Computer freigegeben ist. Wenn Sie versuchen, ein NullSessionShare oder NullSessionPipe mit einem Token-Netzwerk zugreifen, normalerweise Microsoft Windows-Authentifizierung verwendet und Zugriff auf die Ressource basiert auf Konto Benutzerrechte des imitierten Benutzers.
  • Sie können möglicherweise eigene Identitätswechsel ein Threadtoken erstellen, die Zugriff auf das Netzwerk durchführen.

    Der LogonUser und ImpersonateLoggedOnUser -Funktion können verwendet werden, um ein anderes Konto zu imitieren. Dies erfordert Klartext-Benutzernamen und Kennwort eines anderen Kontos verfügbaren Code. LogonUser benötigt auch das Konto, das LogonUser Ruft die Berechtigung "Als Teil des Betriebssystems handeln" im Benutzer-Manager. Standardmäßig verfügen die meisten Benutzer, die während eine HTTP-Anforderung verarbeitet IIS imitiert dieses Benutzerrecht nicht. Für"In" sind jedoch verschiedene Arten zu Ihrem aktuellen Sicherheitskontext LocalSystem-Konto "Als Teil des Betriebssystems handeln" administrative Anmeldeinformationen ändern. ISAPI-DLLs, die im Prozess ausgeführt werden, am besten den IIS erstellt hat Sicherheitskontext LocalSystem-Konto wechseln soll die
    RevertToSelf -Funktion. Wenn Sie Ihre IIS-Anwendung "Out of Process" ausführen, funktioniert dieser Mechanismus nicht standardmäßig, da der Prozess unter dem Konto IWAM_ < Computername > und nicht das lokale Systemkonto ausgeführt wird. Standardmäßig ist IWAM_ < Computername > "Nicht" "Als Teil des Betriebssystems handeln" Administratorrechte besitzen.
  • Fügen Sie die Komponente aus der ASP-Seite ein Serverpaket Microsoft Transaction Server (MTS) oder COM+-Anwendung aufgerufen wird, und geben Sie einen bestimmten Benutzer die Identität des Pakets.

    Hinweis Die Komponente wird in eine separate .exe-Datei, die außerhalb von IIS ausgeführt.
  • Mit Einfache/Klartextauthentifizierung wird empfohlen, verschlüsseln Sie die Daten mithilfe von SSL ist extrem einfach einen Netzwerk-Trace Anmeldeinformationen erhalten. Finden Sie weitere Informationen zum Installieren von SSL die folgenden Artikelnummer der Microsoft Knowledge Base:

    228991 zum Erstellen und installieren Sie ein SSL-Zertifikat in Internet Information Server 4.0

Hinweis Vergessen Sie nicht, dass Netzwerkzugriff für anonyme Anfragen, Kennwortsynchronisation deaktiviert und Anfragen werden von Standardauthentifizierung (Klartext Anmeldung) festlegen die Metabasiseigenschaft LogonMethod, verhindern "2" (also eine Anmeldung am Netzwerk zum Erstellen von Token für den Identitätswechsel). Mit dieser Einstellung ist die einzige Möglichkeit für Anfragen zu Netzwerk token Beschränkung NullSessionPipes und NullSessionShares herstellen.


Verwenden Sie keine Laufwerkbuchstaben zu Netzlaufwerken zugeordnet. Nicht gibt nur 26 möglichen Laufwerkbuchstaben aus, nur wenn Sie versuchen, einen Laufwerkbuchstaben verwenden, der in einem anderen Sicherheitskontext zugeordnet ist, können Probleme auftreten. Sie müssen stattdessen immer Universal Naming Convention (UNC) Namen verwenden, Zugriff auf Ressourcen. Das Format muss folgendermaßen aussehen:

\\MyServer\filesharename\directoryname\filename
Weitere Informationen über UNC klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

280383 IIS Sicherheitsaspekte bei Verwendung eine UNC-Freigabe

Die Informationen in diesem Artikel beziehen sich nur auf Internet Information Server 4.0. In Internet Informationsserver 5.0 (das in Windows 2000 enthalten) sind Änderungen neue Authentifizierungsarten und Funktionen. Zwar die meisten Konzepte in diesem Artikel noch auf IIS 5.0 anwenden, Anwenden der Details zu den Identitätswechseltoken mit bestimmten Authentifizierungsschemas in diesem Artikel generiert werden ausschließlich auf IIS 4.0

319067 wie Applikationen nicht im Kontext des Systemkontos ausgeführt

Wenn Sie ermitteln können, welche Art der Anmeldung auf dem IIS-Server Anfragen auftritt, können Sie Überwachung für Anmeldung und Abmeldevorgänge zu aktivieren. Gehen Sie folgendermaßen vor:


  1. Klicken Sie auf Start Klicken Sie, auf Control Panel, klicken Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
  2. Nach dem Öffnen der lokalen Sicherheitsrichtlinie Strukturansicht links klicken Sie auf Sicherheit, klicken Sie auf Lokale Richtlinienund klicken Sie auf Überwachungsrichtlinie.
  3. Doppelklicken Sie Anmeldung Überwachungsereignis und dann auf Erfolg und Fehler. Ereignisprotokolleinträge werden unter Sicherheitsprotokoll hinzugefügt. Die Art der Anmeldung bestimmen anhand der Ereignisdetails unter der Anmeldetyp:

2=Interactive
3=Network
4=Batch
5=Service

Referenzen


Weitere Informationen über Sicherheit finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

124184 Dienst Zugriff auf Netzwerk System Konto fehlschlägt

180362 Dienste und umgeleitete Laufwerke

319067 wie Applikationen nicht im Kontext des Systemkontos ausgeführt

280383 IIS Sicherheitsaspekte bei Verwendung eine UNC-Freigabe

259353 müssen manuell Passwort nach kennwortsynchronisierung umschalten