Bagaimana cara mengakses berkas jaringan dari aplikasi IIS

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 207671
Kami sangat menyarankan semua pengguna meningkatkan ke Microsoft Internet informasi Services (IIS) versi 7.0 dijalankan di Microsoft Windows Server 2008. IIS 7.0 terutama meningkatkan keamanan infrastruktur Web. Untuk informasi selengkapnya tentang topik terkait keamanan IIS, kunjungi situs web Microsoft berikut ini:Untuk informasi lebih lanjut tentang IIS 7.0, kunjungi situs web Microsoft berikut ini:

DALAM TUGAS INI

Ringkasan
Artikel ini menyediakan informasi tentang masalah mengakses berkas pada komputer selain server Server informasi Internet (IIS) dari ekstensi Internet Server API (ISAPI), halaman Active Server Pages (ASP), atau aplikasi Common Gateway Interface (CGI). Artikel ini memuat beberapa isu-isu yang terlibat dan beberapa metode yang mungkin untuk membuat pekerjaan ini.

Meskipun artikel ini ditulis terutama dalam konteks mengakses fileson jaringan yang digunakan bersama, konsep yang sama berlaku untuk sambungan pipa bernama juga. Pipa bernama sering digunakan untuk koneksi SQL Server dan juga forremote procedure call (RPC) dan Model objek komponen (COM) komunikasi. Khususnya, jika Anda terhubung ke SQL Server di seluruh thenetwork yang dikonfigurasi untuk menggunakan Microsoft Windows NT keamanan terpadu, Anda tidak dapat menyambung karena masalah yang diuraikan dalam artikel ini. RPC dan COM dapat juga menggunakan komunikasi mekanisme thathave serupa jaringan skema otentikasi lainnya. Oleh karena itu, konsep artikel inthis dapat berlaku untuk berbagai jenis communicationmechanisms jaringan yang dapat digunakan dari aplikasi IIS.

back to the top

Jenis otentikasi dan peniruan

Ketika IIS layanan permintaan HTTP, IIS melakukan peniruan sehingga accessto sumber daya untuk menangani permintaan dibatasi dengan benar. Konteks keamanan Theimpersonated didasarkan pada jenis authenticationperformed untuk permintaan. Lima jenis authenticationavailable dari IIS 4.0 adalah:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Jenis token

Apakah atau tidak diizinkan mengakses sumber daya jaringan ini tergantung pada thekind peniruan Token di mana permintaan sedang diproses.
  • Bukti jaringan "Tidak" diizinkan untuk mengakses sumber jaringan. (Jaringan bukti diberi nama begitu karena jenis token traditionallycreated oleh server ketika pengguna terotentikasi di jaringan. Toallow server menggunakan token jaringan untuk bertindak sebagai andaccess klien jaringan server lain yang disebut "delegasi" dan dianggap lubang possiblesecurity.)
  • Bukti interaktif biasanya digunakan ketika otentikasi lokal pengguna pada komputer. Bukti interaktif yang diizinkan untuk mengakses sumber daya di jaringan.
  • Bukti batch dirancang untuk memberikan keamanan konteks di mana pekerjaan batch dijalankan. Bukti batch memiliki akses jaringan.
IIS memiliki konsep log masuk Teks kosong . Menghapus teks log masuk bernama sehingga karena thefact IIS yang memiliki akses ke Nama pengguna dan sandi dalam teks kosong.Anda dapat mengontrol apakah log masuk Teks yang jelas membuat token jaringan, token interaktif, atau Batch token dengan menata properti LogonMethod di themetabase. secara asali, Teks yang jelas log masuk menerima interaktif tokenand memiliki akses ke sumber daya jaringan. LogonMethod dapat dikonfigurasi di server, situs, direktori maya, direktori atau tingkat file.

Akses anonim mengetahui akun yang dikonfigurasi sebagai userfor anonim permintaan. Secara asali, IIS memiliki satu pengguna anonim accountcalled IUSR_<machinename> yang menyamar sebagai saat menangani permintaan non-diotentikasi. secara asali IIS 4.0 memiliki featurecalled dikonfigurasi "Mengaktifkan sandi sinkronisasi otomatis" yang menggunakan securitysub-otoritas untuk membuat token. Bukti yang dibuat di ini bukti arenetwork dengan cara yang "Tidak" memiliki akses ke komputer lain di thenetwork. Jika Anda menonaktifkan sinkronisasi otomatis sandi, IIS createsthe token dengan cara yang sama sebagai Teks kosong log masuk yang disebutkan sebelumnya.Sinkronisasi sandi otomatis ini hanya tersedia untuk akun yang arelocated pada komputer yang sama sebagai IIS. Oleh karena itu, jika Anda mengubah akun youranonymous ke akun domain, Anda tidak dapat useAutomatic Sinkronisasi sandi dan Anda menerima log masuk Teks kosong .Pengecualian adalah apabila Anda menginstal IIS pada pengendali domain utama Anda. Inthis kasus, akun domain berada di komputer lokal. Anonymousaccount dan opsi Sinkronisasi sandi otomatis dapat beconfigured di server situs direktori maya, direktori, tingkat file orthe.

Anda harus memiliki jenis benar token sebagai langkah pertama dalam mengakses resourceon jaringan. Anda juga harus menirukan akun yang memiliki accessto sumber di seluruh jaringan. secara asali, IUSR_<machinename> accountthat IIS membuat untuk permintaan anonim ada hanya pada komputer lokal. Bahkan jika Anda menonaktifkan sinkronisasi sandi otomatis sehingga bahwa kau bisa mendapatkan interaktif token yang dapat mengakses sumber daya jaringan, IUSR_<machinename> account biasanya tidak memiliki akses tomost sumber jaringan karena ini adalah account yang unrecognizedon komputer lain. Jika Anda ingin mengakses sumber jaringan dengan anonymousrequests, Anda harus mengganti akun bawaan dengan anaccount di domain di jaringan yang dapat dikenali oleh allcomputers. Jika Anda menginstal IIS pada pengendali domain, IUSR_<machinename> account adalah akun domain dan mustbe dikenali oleh komputer lain pada jaringan tanpa mengambil additionalaction.

</machinename></machinename></machinename></machinename>back to the top

Menghindari masalah

Berikut adalah cara untuk menghindari masalah ketika Anda mengakses jaringan resourcesfrom IIS aplikasi:
  • Simpan file di komputer lokal.
  • Beberapa metode komunikasi jaringan tidak memerlukan pemeriksaan keamanan. Contoh menggunakan soket Windows.
  • Anda dapat memberikan akses langsung ke sumber jaringan komputer byconfiguring direktori maya menjadi:
    "Berbagi terletak di komputer lain."
    Semua akses ke komputer yang berbagi sumber jaringan dilakukan dalam konteks orang yang ditetapkan di bawah Sambungkan sebagai. kotak dialog. Hal ini terjadi nomatter jenis otentikasi dikonfigurasi untuk virtualdirectory. Dengan menggunakan opsi ini, semua berkas di jaringan berbagi tersedia dari browser yang mengakses komputer IIS.
  • Menggunakan Otentikasi dasar atau otentikasi anonim tanpa sandi sinkronisasi otomatis.

    secara asali, peniruan yang Internet Information Server untuk Otentikasi dasar menyediakan token yang dapat mengakses sumber daya jaringan (seperti Windows NT tantangan/jawaban, yang menyediakan token yang tidak dapat mengakses sumber daya jaringan). Untuk otentikasi anonim, token hanya dapat mengakses sumber daya jaringan jika sandi sinkronisasi otomatis dinonaktifkan. secara asali, Sinkronisasi sandi otomatis diaktifkan saat Internet Information Server pertama kali diinstal. Seperti konfigurasi default, token pengguna anonim tidak dapat mengakses sumber daya jaringan.
    259353 Harus memasukkan sandi secara manual setelah Anda beralih Sinkronisasi sandi
  • Konfigurasi akun anonim sebagai akun domain.

    Ini memungkinkan anonim permintaan dari kemungkinan akses ke sumber daya di seluruh thenetwork. Untuk mencegah semua permintaan anonim memiliki akses jaringan, youmust hanya membuat akun anonim akun domain di virtualdirectories yang secara khusus memerlukan akses.
  • Mengkonfigurasi akun anonim dengan Nama pengguna yang sama dan sandi di komputer yang membagi sumber daya jaringan andthen menonaktifkan sinkronisasi sandi otomatis.

    Jika Anda melakukannya Anda harus memastikan bahwa password yang sama persis. Pendekatan ini harus hanya beused ketika "konfigurasi akun anonim sebagai akun domain" disebutkan sebelumnya bukan opsi untuk beberapa alasan.
  • NullSessionShares dan NullSessionPipes dapat digunakan untuk membolehkan accessto berbagi jaringan tertentu atau ke bernama pipa ketika permintaan ditangani dengan token jaringan.

    Jika Anda memiliki token jaringan dan Anda mencoba untuk membuat sambungan ke sumber daya jaringan, operasi systemtries untuk membuat sambungan seperti sambungan non-diotentikasi (disebut sebagai "Sesi NULL"). Pengaturan registri ini harus madeon komputer yang membagi sumber daya jaringan, bukan pada komputer IIS. Jika youtry untuk mengakses NullSessionShare atau NullSessionPipe dengan non-networktoken, otentikasi Microsoft Windows yang biasa digunakan dan akses ke theresource berdasarkan accountuser hak pengguna menyamar.
  • Anda dapat berpotensi melakukan sendiri peniruan akan token hubungan yang memiliki akses jaringan.

    Fungsi LogonUser dan fungsi ImpersonateLoggedOnUser dapat digunakan untuk menirukan differentaccount. Ini mengharuskan Anda memiliki teks yang jelas username dan passwordof akun lain yang tersedia untuk kode Anda. LogonUser juga memerlukan akun yang memanggil LogonUser memiliki hak "Bertindak sebagai bagian dari sistem operasi" di pengelola pengguna. secara asali, sebagian besar pengguna yang mengetahui IIS whileit pegangan HTTP permintaan tidak memiliki hak pengguna ini. Namun, untuk "Dalam proses aplikasi" ada beberapa cara menyebabkan yourcurrent konteks keamanan untuk mengubah ke akun LocalSystem, doeshave mana "Bertindak sebagai bagian dari sistem operasi" kredensial administratif. Untuk ISAPI DLLsthat dijalankan dalam proses, cara terbaik untuk mengubah contextthat keamanan IIS telah dibuat ke akun LocalSystem adalah untuk memanggil fungsiRevertToSelf . Jika Anda menjalankan aplikasi IIS "keluar ofProcess", mekanisme ini tidak bekerja dengan default karena proses isrunning di bawah IWAM_<machinename> akun dan tidak SystemAccount Bangunan lokal. secara asali, IWAM_<machinename> "Tidak" memiliki kredensial administratif "Bertindak sebagai bagian dari sistem operasi".</machinename> </machinename>
  • Menambahkan komponen yang disebut dari halaman ASP paket Microsoft Transaction Server (MTS) Server atau aplikasi COM + Server, dan kemudian Tentukan pengguna khusus sebagai identitas paket.

    Catatan Komponen dijalankan dalam berkas .exe terpisah yang luar IIS.
  • Dengan Otentikasi dasar clear text, kami sarankan Anda mengenkripsi data dengan menggunakan SSL karena sangat mudah untuk mendapatkan kredensial dari jejak jaringan. Untuk informasi selengkapnya tentang cara menginstal SSL, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    228991 Cara membuat dan pasang sertifikat SSL di Internet informasi Server 4.0
Catatan Jangan lupa bahwa Anda dapat mencegah akses jaringan untuk permintaan anonim mana Sinkronisasi sandi akan dinonaktifkan dan permintaan diotentikasi menggunakan Otentikasi dasar (Teks kosong logon) jika Anda menetapkan properti metabase LogonMethod "2" (menunjukkan bahwa log masuk jaringan yang digunakan untuk membuat token peniruan). Dengan pengaturan ini, satu-satunya cara untuk permintaan untuk menghindari pembatasan token jaringan adalah untuk menyambung ke NullSessionShares atau NullSessionPipes.

Jangan gunakan huruf kandar yang dipetakan ke berbagi jaringan. Notonly ada hanya 26 huruf pengandar kemungkinan untuk memilih dari, tetapi jika Anda tryto menggunakan huruf kandar yang dipetakan dalam konteks keamanan yang berbeda, masalah dapat terjadi. Sebaliknya, Anda harus selalu menggunakan nama Convention(UNC) penamaan Universal untuk mengakses sumber daya. Format harus sama dengan thefollowing:
\\MyServer\filesharename\directoryname\filename
Untuk informasi selengkapnya tentang cara menggunakan UNC, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
280383 Keamanan IIS rekomendasi saat Anda menggunakan UNC berbagi
Informasi di dalam artikel ini hanya diterapkan untuk Internet InformationServer 4.0. Di Internet Information Server 5.0 (yang disertakan bersama Windows2000), ada perubahan yang signifikan untuk authenticationtypes baru dan kemampuan. Meskipun kebanyakan konsep di articlestill ini berlaku untuk IIS 5.0, rincian tentang jenis peniruan bukti yang dihasilkan dengan skema otentikasi tertentu dalam artikel applystrictly untuk IIS 4.0.

319067 Bagaimana cara menjalankan aplikasi tidak dalam konteks akun sistem
Jika Anda tidak dapat menentukan jenis log masuk isoccurring pada server IIS untuk menangani permintaan, Anda dapat mengaktifkan auditingfor log masuk dan Logoffs. Ikuti langkah-langkah berikut:
  1. Klik mulai, klik pengaturan, klik Control Panel, klik Alat administratif, dan kemudian klik Kebijakan keamanan lokal.
  2. Setelah Anda membuka kebijakan keamanan lokal, di bagian kiri pohon tampilan, klik Setelan keamanan, klik Kebijakan lokal, dan kemudian klik Audit kebijakan.
  3. klik ganda Peristiwa Audit log masuk , dan kemudian klik keberhasilan dan kegagalan.Areadded entri log peristiwa pada log keamanan. Anda dapat menentukan jenis log masuk bylooking rincian peristiwa di bawah tipe Logon:
2 = interaktif
3 = jaringan
4 = batch
5 = Layanan
back to the top
Referensi
Untuk informasi selengkapnya tentang keamanan jaringan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
124184 Layanan Jalankan sebagai akun sistem gagal mengakses jaringan
180362 Layanan dan diarahkan drive
319067 Bagaimana cara menjalankan aplikasi tidak dalam konteks akun sistem
280383 Keamanan IIS rekomendasi saat Anda menggunakan UNC berbagi
259353 Harus memasukkan sandi secara manual setelah Anda beralih Sinkronisasi sandi
back to the top
kbdse

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 207671 - Tinjauan Terakhir: 03/15/2015 05:37:00 - Revisi: 3.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtid
Tanggapan