Come accedere ai file di rete da applicazioni IIS

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 207671
È consigliabile che tutti gli utenti eseguire l'aggiornamento a Microsoft Internet Information Services (IIS) 7.0 in esecuzione su Microsoft Windows Server 2008. IIS 7.0 aumenta notevolmente la protezione dell'infrastruttura Web. Per ulteriori informazioni sugli argomenti relativi alla protezione IIS, visitare il seguente sito Web Microsoft:Per ulteriori informazioni su IIS 7.0, visitare il seguente sito Web Microsoft:

IN QUESTA ATTIVITÀ

Sommario
In questo articolo vengono fornite informazioni sui problemi relativi all'accesso ai file su un computer diverso dal server di Internet Information Server (IIS) utilizzando un'estensione Internet Server API (ISAPI), pagina di pagine ASP (ASP) o un'applicazione Common Gateway Interface (CGI). In questo articolo sono elencati alcuni dei problemi che sono coinvolti e alcuni metodi possibili per questa operazione.

Sebbene in questo articolo si riferisca principalmente nel contesto di accedere a condivisioni di rete fileson, stessi concetti si applicano a versioni connessioni named Pipes. Named pipe vengono spesso utilizzati per le connessioni di SQL Server e anche chiamata di procedura disservizi (RPC) e le comunicazioni di Component Object Model (COM). In particolare, se ci si connette a un SQL Server in rete è configurato per utilizzare la protezione integrata di Microsoft Windows NT, è possibile connettersi a causa dei problemi descritte in questo articolo. RPC e COM può inoltre utilizzare altre comunicazioni meccanismi thathave simile rete schemi di autenticazione. Di conseguenza, i concetti inthis articolo possibile applicare a una vasta gamma di communicationmechanisms di rete che possono essere utilizzati da applicazioni IIS.

back to the top

Tipi di autenticazione e rappresentazione

Quando IIS risponde a una richiesta HTTP, IIS esegue la rappresentazione in modo che le risorse di accesso per gestire la richiesta è limitata in modo appropriato. Contesto di protezione Theimpersonated si basa sul tipo di authenticationperformed per la richiesta. I cinque diversi tipi di authenticationavailable da IIS 4.0 sono:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Tipi di token

Se è consentito l'accesso alle risorse di rete è dipendente dalla thekind del token di rappresentazione in base al quale la richiesta è in corso di elaborazione.
  • Token di rete "Non" sono autorizzati ad accedere alle risorse di rete. (Rete token denominati questa operazione perché questo tipo di token è traditionallycreated da un server quando un utente viene autenticato attraverso la rete. Toallow al server di utilizzare un token di rete come un andaccess di client di rete un altro server viene definito "delega" ed è considerato un foro di possiblesecurity.)
  • Token interattivo sono generalmente utilizzati per autenticare un utente locale sul computer. Token interattivo sono autorizzati ad accedere alle risorse in rete.
  • I token batch sono progettati per fornire un contesto di protezione in base al quale eseguire processi batch. Token batch dispongono di accesso alla rete.
IIS è il concetto di accesso con Testo non crittografato . Testo deselezionare accesso è denominato in modo che a causa di thefact che IIS ha accesso al nome utente e la password in testo non crittografato.È possibile controllare se un accesso di Testo non crittografato viene creato un token di rete, un token interattivo o un token Batch impostando la proprietà LogonMethod nella themetabase. Per impostazione predefinita, gli accessi di Testo non crittografato ricevono un Interactive tokenand hanno accesso alle risorse di rete. LogonMethod può essere configurata a server, il sito, la directory virtuale, la directory o il livello di file.

L'accesso anonimo impersona l'account configurato come il userfor anonimo la richiesta. Per impostazione predefinita, IIS è un accountcalled singolo utente anonimo IUSR _<machinename> viene rappresentato durante la gestione di una richiesta non autenticata. Per impostazione predefinita in IIS 4.0 è un featurecalled configurabile "Sincronizzazione automatica delle Password" che utilizza un'autorità di securitysub per creare il token. Token creati in questo token arenetwork di modo che "Non" hanno accesso ad altri computer sulla rete. Se si disattiva la sincronizzazione automatica delle Password, token IIS createsthe nello stesso modo come Testo non crittografato accesso indicato in precedenza.Sincronizzazione automatica delle Password è disponibile solo per gli account che posizionati sullo stesso computer di IIS. Pertanto, se si modifica l'account youranonymous a un account di dominio, non è possibile useAutomatic la sincronizzazione delle Password e si riceve un accesso di Testo non crittografato .L'eccezione è se è possibile installare IIS sul Controller di dominio primario. Inthis i casi, gli account di dominio presenti sul computer locale. Il anonymousaccount e l'opzione di sincronizzazione automatica delle Password può beconfigured al server, il sito, la directory virtuale, la directory, o livello di file.

È necessario disporre del tipo di token corretto come il primo passo per l'accesso a una rete di resourceon. È inoltre necessario rappresentare un account che dispone di accesso alla risorsa attraverso la rete. Per impostazione predefinita, l'account IUSR _<machinename> accountthat IIS crea per le richieste anonime esiste solo sul computer locale. Anche se si disattiva la sincronizzazione automatica delle Password in modo costantemente ottenere Interactive in un token che può accedere alle risorse di rete, l'account IUSR _<machinename> account in genere non dispone di accesso alle risorse di rete tomost poiché si tratta di un account che sia unrecognizedon altri computer. Se si desidera accedere alle risorse di rete con anonymousrequests, è necessario sostituire l'account predefinito con anaccount in un dominio di rete che possa essere riconosciuta da allcomputers. Se si installa IIS su un Controller di dominio, l'account IUSR _<machinename> account è un account di dominio e mustbe riconosciuto dagli altri computer della rete senza richiedere additionalaction.

</machinename></machinename></machinename></machinename>back to the top

Prevenzione del problema

Di seguito sono metodi per evitare problemi quando si accede a rete resourcesfrom l'applicazione IIS:
  • Mantenere i file sul computer locale.
  • Alcuni metodi di comunicazione non richiedono un controllo di sicurezza. Un esempio è utilizzo dei socket di Windows.
  • È possibile fornire l'accesso diretto alle risorse di rete del byconfiguring del computer una directory virtuale sia:
    "Una condivisione su un altro computer."
    Tutti gli accessi al computer che condivide le risorse di rete viene eseguito nel contesto dell'utente specificato nella finestra di dialogo Connetti come.. . In questo caso nomatter il tipo di autenticazione è configurato per il virtualdirectory. Utilizzando questa opzione, tutti i file nella condivisione di rete sono disponibili dai browser che accedono a computer che esegue IIS.
  • Utilizzare l'autenticazione di base o l'autenticazione anonima senza sincronizzazione automatica delle Password.

    Per impostazione predefinita, la rappresentazione effettuata da Internet Information Server per l'autenticazione di base fornisce un token che può accedere alle risorse di rete (a differenza di Windows NT Challenge/Response, che fornisce un token che non può accedere alle risorse di rete). Per l'autenticazione anonima, il token può accedere solo una risorsa di rete se la sincronizzazione automatica delle Password è disattivata. Per impostazione predefinita, la sincronizzazione automatica delle Password è abilitata prima installazione di Internet Information Server. In una tale configurazione predefinita, il token utente anonimo non può accedere alle risorse di rete.
    259353 Immettere password manualmente dopo che si attiva o Disattiva sincronizzazione password
  • Configurare l'account anonimo come account di dominio.

    In questo modo le richieste anonime dal potenziale accesso alle risorse in rete. Per impedire l'accesso alla rete di tutte le richieste anonime, youmust verificare solo l'account anonimo un account di dominio su virtualdirectories che richiedono specificamente l'accesso.
  • Configurare l'account anonimo con lo stesso nome utente e password nel computer che condivide la andthen di risorse di rete disattivare sincronizzazione automatica delle Password.

    In questo caso è necessario assicurarsi che le password corrispondano esattamente. Questo approccio deve solo delibera quando "Configurare l'account anonimo come account di dominio" citato in precedenza non è un'opzione per qualche motivo.
  • NullSessionShares e NullSessionPipes può essere utilizzato per consentire accesso a una condivisione di rete specifico o a una named pipe quando la richiesta viene gestita con un token di rete.

    Se si dispone di un token di rete e si tenta di stabilire una connessione a una risorsa di rete, il systemtries operativo per stabilire una connessione come connessione non autenticata (denominata "Sessione NULL"). Questa impostazione del Registro di sistema deve essere madeon il computer che condivide la risorsa di rete, non nel computer IIS. Se viene utilizzato youtry per accedere a una risorsa NullSessionShare o NullSessionPipe con una tipica autenticazione di Microsoft Windows non-networktoken, e l'accesso a theresource è basato sui diritti accountuser dell'utente rappresentato.
  • È possibile effettuare un tocreate di rappresentazione token del Thread che hanno accesso alla rete.

    Le funzioni LogonUser e ImpersonateLoggedOnUser utilizzabile per rappresentare un differentaccount. Ciò che è necessario il nome utente e passwordof un altro account disponibile al codice. LogonUser richiede inoltre che l'account che chiama LogonUser disponga del privilegio "Agisci come parte del sistema operativo" in User Manager. Per impostazione predefinita, la maggior parte degli utenti che IIS viene utilizzato whileit handle HTTP richiedono non si dispone di questo diritto utente. Tuttavia, per "Nel processo di applicazioni" sono disponibili diversi modi per fare in modo yourcurrent contesto di protezione modificare l'account LocalSystem, che doeshave le credenziali amministrative "Agisci come parte del sistema operativo". Per DLLsthat ISAPI eseguito in-process, il modo migliore per cambiare il contextthat di protezione che IIS è stato creato per l'account LocalSystem consiste nel chiamare la funzioneRevertToSelf . Se si esegue l'applicazione IIS "Out ofProcess", questo meccanismo non è valido per impostazione predefinita, in quanto il isrunning processo sotto l'account IWAM _<machinename> account e non il Systemaccount locale. Per impostazione predefinita, l'account IWAM _<machinename> "Non" dispone delle credenziali amministrative "Agisci come parte del sistema operativo".</machinename> </machinename>
  • Aggiungere il componente viene chiamato dalla pagina ASP in un pacchetto Server di Microsoft Transaction Server (MTS) o un'applicazione Server COM+ e quindi specificare un utente come identità del pacchetto.

    Nota Il componente viene eseguito in un file di .exe è di fuori di IIS.
  • Con l'autenticazione testo non codificato basic, si consiglia di crittografare i dati utilizzando SSL perché è estremamente facile ottenere le credenziali da una traccia di rete. Per ulteriori informazioni su come installare SSL, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    228991 Come creare e installare un certificato SSL in Internet Information Server 4.0
Nota Non dimenticare che è possibile impedire l'accesso alla rete per le richieste anonime in cui la sincronizzazione delle password è disattivata e le richieste vengono autenticate utilizzando l'autenticazione di base (Testo non crittografato accessi) se si imposta la proprietà LogonMethod della metabase "2" (che indica che un accesso alla rete viene utilizzato per creare il token di rappresentazione). Con questa impostazione, l'unico modo per le richieste evitare la limitazione del token di rete è per connettersi a NullSessionShares o NullSessionPipes.

Non utilizzare lettere di unità associate a condivisioni di rete. Notonly non vi sono solo 26 lettere di unità per selezionare da, ma se tryto è utilizza una lettera di unità mappata in un contesto di protezione diversi, possono verificarsi problemi. Al contrario, è necessario utilizzare sempre nomi di Convention(UNC) di denominazione universale per accedere alle risorse. Il formato deve essere simile a thefollowing:
\\MyServer\filesharename\directoryname\filename
Per ulteriori informazioni sull'utilizzo di UNC, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
280383 Suggerimenti per la protezione di IIS quando si utilizza una condivisione UNC
Le informazioni contenute in questo articolo riguardano solo Internet InformationServer 4.0. In Internet Information Server 5.0 (che è inclusa in Windows 2000), sono presenti modifiche significative alle funzionalità e authenticationtypes nuovo. Sebbene la maggior parte dei concetti illustrati in questo articlestill valide per IIS 5.0, i dettagli sui tipi di token di rappresentazione generati con determinati schemi di autenticazione in questo articolo applystrictly per IIS 4.0.

319067 Come eseguire le applicazioni non nel contesto dell'account di sistema
Se non è possibile determinare il tipo di accesso isoccurring sul server IIS per gestire le richieste, è possibile attivare auditingfor accesso e disconnessione. Attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Impostazioni, scegliere Pannello di controllo, fare clic su Strumenti di amministrazionee quindi fare clic su Criteri di protezione locali.
  2. Dopo l'apertura di criteri di protezione locali, nel riquadro sinistro della visualizzazione struttura, fare clic su Impostazioni protezione, fare clic su Criteri localie quindi fare clic su Criteri di controllo.
  3. Fare doppio clic sull'Evento di controllo di accesso e quindi fare clic su esito positivo e negativo.Areadded di voci di registro eventi al Registro di protezione. È possibile determinare il tipo di accesso bylooking i dettagli dell'evento sotto il tipo di accesso:
2 = Interactive
3 = rete
4 = batch
5 = servizio
back to the top
Riferimenti
Per ulteriori informazioni sulla protezione di rete, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
124184 Servizio in esecuzione come account di sistema si verifica un errore durante l'accesso alla rete
180362 Servizi e le unità reindirizzata
319067 Come eseguire le applicazioni non nel contesto dell'account di sistema
280383 Suggerimenti per la protezione di IIS quando si utilizza una condivisione UNC
259353 Immettere password manualmente dopo che si attiva o Disattiva sincronizzazione password
back to the top
kbdse

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 207671 - Ultima revisione: 03/15/2015 05:49:00 - Revisione: 7.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtit
Feedback