Cómo tener acceso a archivos de red desde las aplicaciones de IIS

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 207671
Se recomienda encarecidamente a todos los usuarios que actualicen a la versión 7.0 de Microsoft Internet Information Services (IIS) que se ejecuta en Microsoft Windows Server 2008. IIS 7.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de IIS 7.0, visite el siguiente sitio Web de Microsoft:

EN ESTA TAREA

Resumen
Este artículo proporciona información acerca de problemas con el acceso a archivos en un equipo que no sea el servidor de servicios de Internet Information Server (IIS) de una extensión de Internet Server API (ISAPI), página de páginas Active Server (ASP) o aplicación de Common Gateway Interface (CGI). Este artículo enumeran algunos de los problemas implicados y algunos métodos posibles para hacer este trabajo.

Aunque este artículo está escrito principalmente en el contexto del acceso a recursos compartidos de red Archivingen, los mismos conceptos se aplican a las conexiones de canalizaciones con nombre y. Las canalizaciones con nombrados se utilizan con frecuencia para las conexiones de SQL Server y también llamada a procedimiento remotos (RPC) y las comunicaciones del modelo de objetos componentes (COM). En particular, si se conecta a un SQL Server a través de la red que está configurado para utilizar la seguridad integrada de Windows NT de Microsoft, no se puede conectar a causa de los problemas que se describen en este artículo. RPC y COM, también pueden utilizar otros comunicación mecanismos tiene similar red esquemas de autenticación. Por lo tanto, los conceptos en este artículo puede aplicar a una gran variedad de communicationmechanisms de red que se pueden utilizar desde las aplicaciones de IIS.

back to the top

Tipos de autenticación y suplantación

Cuando una solicitud HTTP de servicios de IIS, IIS realiza suplantación acceso a recursos para atender la solicitud está limitada de forma adecuada. Contexto de seguridad de Theimpersonated se basa en el tipo de authenticationperformed de la solicitud. Los cinco tipos diferentes de authenticationavailable de IIS 4.0 son:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Tipos de token

O no se permite el acceso a los recursos de la red depende de tipo de símbolo (token) de suplantación en el que se está procesando la solicitud.
  • Símbolos (tokens) de red "No" pueden tener acceso a los recursos de red. (Símbolos (tokens) de red se denomina así porque este tipo de token es traditionallycreated por un servidor cuando un usuario se autentica a través de la red. Toallow el servidor utilice un símbolo (token) de red para que actúe como un andaccess de cliente de red de otro servidor se denomina "delegación" y se considera un taladro possiblesecurity.)
  • Símbolos (tokens) interactivo se utiliza tradicionalmente para autenticar a un usuario local en el equipo. Tokens interactivos pueden tener acceso a recursos a través de la red.
  • Símbolos (tokens) de lotes está diseñados para proporcionar un contexto de seguridad bajo las cuales se ejecutan los trabajos por lotes. Símbolos (tokens) de proceso por lotes tiene acceso a la red.
IIS tiene el concepto de un inicio de sesión de Texto sin cifrar . Inicio de sesión de Texto sin cifrar se llama así por hecho que IIS tiene acceso en el nombre de usuario y la contraseña en texto no cifrado.Puede controlar si un inicio de sesión de Texto sin cifrar crea un símbolo (token) de red, un símbolo interactivo o un símbolo (token) de proceso por lotes estableciendo la propiedad LogonMethod en themetabase. De forma predeterminada, los inicios de sesión de Texto sin cifrar reciben un curso interactivo tokenand tener acceso a los recursos de red. El LogonMethod puede configurarse en el servidor, el sitio, el directorio virtual, el directorio o el nivel de archivos.

Acceso anónimo suplanta a la cuenta configurada como la userfor anónima la solicitud. De forma predeterminada, IIS tiene un accountcalled único usuario anónimo IUSR_<machinename> que se representa cuando se controla una solicitud no autenticados. De manera predeterminada, IIS 4.0 tiene un featurecalled configurable "Habilitar sincronización automática de contraseñas" que utiliza una entidad de securitysub para crear el símbolo (token). Tokens que se crean en esta forma arenetwork símbolos (tokens) que "No" tener acceso a otros equipos en la red. Si deshabilita la sincronización automática de contraseñas, IIS createsthe símbolo (token) de la misma manera que el inicio de sesión de Texto sin cifrar mencionado anteriormente.Sincronización automática de contraseñas sólo está disponible para cuentas que arelocated en el mismo equipo que IIS. Por lo tanto, si cambia la cuenta de youranonymous a una cuenta de dominio, no se puede useAutomatic la sincronización de contraseña y recibirá un inicio de sesión de Texto sin cifrar .La excepción es si instala IIS en el controlador principal de dominio. En este caso, las cuentas de dominio están en el equipo local. La anonymousaccount y la opción de sincronización automática de contraseñas pueden beconfigured en el servidor, el sitio, el directorio virtual, el directorio, o nivel de archivo.

Debe tener el tipo correcto de símbolo (token) como el primer paso para tener acceso a un resourceon de la red. También debe suplantar una cuenta que tenga acceso a los recursos a través de la red. De manera predeterminada, la cuenta IUSR_<machinename> Orchestratorque IIS crea para solicitudes anónimas sólo existe en el equipo local. Incluso si se deshabilita la sincronización automática de contraseñas para recomiendautilizar puede obtener un curso interactivo de símbolo (token) que puede tener acceso a recursos de red, la cuenta IUSR_<machinename> cuenta normalmente no tiene acceso a recursos de red de tomost porque se trata de una cuenta que sea unrecognizedon otros equipos. Si desea tener acceso a recursos de red con anonymousrequests, debe reemplazar la cuenta predeterminada con anaccount en un dominio de la red que puede ser reconocida por allcomputers. Si instala IIS en un controlador de dominio, la cuenta IUSR_<machinename> cuenta es una cuenta de dominio y debe ser reconocido por otros equipos de la red sin tener que additionalaction.

</machinename></machinename></machinename></machinename>back to the top

Prevención de problemas

Los siguientes son formas de evitar problemas cuando tiene acceso a red resourcesfrom la aplicación de IIS:
  • Mantener los archivos en el equipo local.
  • Algunos métodos de comunicación de red no requieren una comprobación de seguridad. Un ejemplo es utilizar Windows sockets.
  • Puede proporcionar acceso directo a los recursos de red de la byconfiguring del equipo un directorio virtual que:
    "Un recurso compartido en otro equipo."
    Todo el acceso al equipo que comparte los recursos de red se realiza en el contexto de la persona especificada en el cuadro de diálogo Conectar como... . Esto ocurre, no importa qué tipo de autenticación está configurado para virtualdirectory. Con esta opción, todos los archivos en el recurso compartido de red están disponibles en los exploradores que tener acceso al equipo IIS.
  • Utilice la autenticación básica o la autenticación anónima sin sincronización automática de contraseñas.

    De forma predeterminada, la suplantación que Internet Information Server para la autenticación básica proporciona un token que se puede tener acceso a los recursos de la red (a diferencia de desafío/respuesta de Windows NT, que proporciona un token que no tiene acceso a los recursos de red). Para la autenticación anónima, el testigo sólo tiene acceso un recurso de red si la sincronización automática de contraseñas está deshabilitada. De manera predeterminada, se habilita la sincronización automática de contraseñas cuando Internet Information Server se instala por primera vez. En esta configuración de forma predeterminada, el token de usuario anónimo no puede tener acceso a los recursos de red.
    259353 Debe introducir contraseña manualmente después de activar la sincronización de contraseña
  • Configure la cuenta anónima como una cuenta de dominio.

    Esto permite las solicitudes anónimas de acceso a los recursos a través de la red. Para evitar que todas las solicitudes anónimas de tener acceso a la red, debe realizar sólo la cuenta anónima en el virtualdirectories que requieren específicamente el acceso a una cuenta de dominio.
  • Configurar la cuenta anónima con el mismo nombre de usuario y contraseña en el equipo que comparte los recursos de red y luego desactivar la sincronización automática de contraseñas.

    Si lo hace debe asegurarse de que las contraseñas coinciden exactamente. Este enfoque debe sólo deliberará cuando el "configurar la cuenta anónima como una cuenta de dominio" mencionado anteriormente no es una opción por algún motivo.
  • NullSessionPipes y NullSessionShares a puede utilizarse para permitir el acceso a un recurso compartido de red específico o a un nombre de tubería cuando la solicitud se controla con un símbolo (token) de red.

    Si tiene un símbolo (token) de red e intenta establecer una conexión con un recurso de red, el funcionamiento systemtries para establecer una conexión como una conexión no autenticada (denominada "Sesión nula"). Este valor del registro debe ser madeon el equipo que comparte los recursos de red, no en el equipo IIS. Si se utiliza intentan obtener acceso a un NullSessionShare o NullSessionPipe con un networktoken de non-, autenticación de Microsoft Windows típico y acceso a theresource se basa en los derechos de accountuser del usuario suplantado.
  • Potencialmente puede realizar su propio crear un símbolo (token) de subproceso que tiene acceso a la red de suplantación.

    La función LogonUser y la función ImpersonateLoggedOnUser pueden utilizarse para suplantar a un differentaccount. Esto requiere que tiene el nombre de usuario de texto sin cifrar y passwordof disponible otra cuenta en el código. LogonUser también requiere que la cuenta que llama a LogonUser tiene el privilegio "Actuar como parte del sistema operativo" en el Administrador de usuarios. De manera predeterminada, la mayoría de los usuarios que IIS representa mientras controladores HTTP solicitar no tiene este derecho de usuario. Sin embargo, para "En aplicaciones de proceso" hay un número de formas de ocasionar el contexto de seguridad de tus cambiar a la cuenta LocalSystem, que presenta las credenciales administrativas "Actuar como parte del sistema operativo". Para DLLsthat de ISAPI que se ejecuta en proceso, la mejor forma de cambiar la contextthat de seguridad que IIS ha creado para la cuenta LocalSystem es llamar a la funciónRevertToSelf . Si está ejecutando la aplicación IIS Out"ofProcess", este mecanismo no funciona de forma predeterminada porque el isrunning proceso bajo<machinename> IWAM_ cuenta y no la Systemaccount Local. De forma predeterminada, IWAM_<machinename> "No" tiene las credenciales administrativas "Actuar como parte del sistema operativo".</machinename> </machinename>
  • Agregue el componente al que se llama desde la página ASP a un paquete de servidor de Microsoft Transaction Server (MTS) o aplicaciones de servidor COM + y, a continuación, especifique un usuario específico como la identidad del paquete.

    Nota: Debido a que existen varias versiones de Microsoft Windows, los siguientes pasos pueden ser diferentes en su equipo. El componente se ejecuta en un archivo .exe independiente fuera de IIS.
  • Con la autenticación básica o borrar texto, se recomienda cifrar los datos mediante SSL porque es muy fácil de obtener las credenciales de una traza de red. Para obtener más información acerca de cómo instalar SSL, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    228991 Cómo crear e instalar un certificado SSL en Internet Information Server 4.0
Nota: Debido a que existen varias versiones de Microsoft Windows, los siguientes pasos pueden ser diferentes en su equipo. No olvide que puede impedir el acceso de red para las solicitudes anónimas de donde está deshabilitada la sincronización de contraseña y las solicitudes se autentican mediante el uso de la autenticación básica (Texto sin cifrar los inicios de sesión) si se establece la propiedad de la metabase LogonMethod a "2" (que indica que un inicio de sesión de red se utiliza para crear el testigo de suplantación). Con esta configuración, la única manera de solicitudes evitar la limitación de símbolo (token) de la red consiste en conectar NullSessionShares o NullSessionPipes.

No utilice letras de unidad asignadas a recursos compartidos de red. Sólo existen 26 letras de unidad posibles para seleccionarlos, pero si se intenta utiliza una letra de unidad asignada en un contexto de seguridad distinto, pueden producirse problemas. En su lugar, siempre debe utilizar nombres de Convention(UNC) de nomenclatura Universal para tener acceso a recursos. El formato debe ser similar a los siguientes:
\\MyServer\filesharename\directoryname\filename
Para obtener más información acerca del uso de UNC, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
280383 Recomendaciones de seguridad de IIS cuando se utiliza un recurso compartido UNC
La información de este artículo se refiere únicamente al Internet InformationServer 4.0. En Internet Information Server 5.0 (que se incluye con Windows 2000), hay cambios significativos en la nueva authenticationtypes y capacidades. Aunque la mayoría de los conceptos de este articlestill se aplica a IIS 5.0, los detalles sobre los tipos de tokens de suplantación que se generan con algunos esquemas de autenticación en este artículo applystrictly a IIS 4.0.

319067 Cómo ejecutar las aplicaciones, no en el contexto de la cuenta del sistema
Si no puede determinar qué tipo de isoccurring de inicio de sesión en el servidor IIS para controlar las solicitudes, puede activar auditingfor de inicios de sesión y cierres de sesión. Siga estos pasos:
  1. Haga clic en Inicio, haga clic en configuración, haga clic en Panel de Control, haga clic en Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad Local.
  2. Después de abrir la directiva de seguridad Local, en el panel izquierdo de la vista de árbol, haga clic en Configuración de seguridad, haga clic en Directivas localesy, a continuación, haga clic en Directiva de auditoría.
  3. Haga doble clic en el Suceso de auditoría de inicio de sesión y, a continuación, haga clic en correcto y erróneo.Areadded de entradas del registro de sucesos en el registro de seguridad. Puede determinar el tipo de inicio de sesión buscarun en los detalles del evento en el tipo de inicio de sesión:
2 = interactivo
3 = red
4 = lote
5 = servicio
back to the top
Referencias
Para obtener más información acerca de la seguridad de red, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
124184 Servicio que se ejecuta como la cuenta del sistema no puede acceder a la red
180362 Servicios y unidades redirigidas
319067 Cómo ejecutar las aplicaciones, no en el contexto de la cuenta del sistema
280383 Recomendaciones de seguridad de IIS cuando se utiliza un recurso compartido UNC
259353 Debe introducir contraseña manualmente después de activar la sincronización de contraseña
back to the top
kbdse

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 207671 - Última revisión: 03/15/2015 04:43:00 - Revisión: 7.0

Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Servicios de Microsoft Internet Information Server 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtes
Comentarios