Toegang tot netwerkbestanden in IIS-toepassingen


Het wordt aangeraden dat alle gebruikers een upgrade naar Microsoft Internet Information Services (IIS) versie 7.0 uitvoert op Microsoft Windows Server 2008 wordt uitgevoerd. IIS 7.0 aanzienlijk meer beveiliging van de webinfrastructuur. Ga naar de volgende Microsoft-website voor meer informatie over IIS-beveiliging onderwerpen:Voor meer informatie over IIS 7.0, gaat u naar de volgende Microsoft-website:

IN DEZE TAAK

Samenvatting


Dit artikel bevat informatie over problemen met de toegang tot bestanden op een andere computer dan de server met Internet Information Server (IIS) van een Internet Server API (ISAPI-extensie), Common Gateway Interface (CGI) of Active Server Pages (ASP) pagina toepassing. In dit artikel worden de problemen die zijn betrokken en sommige manieren om dit werk te maken.

Hoewel dit artikel voornamelijk in de context van de toegang tot bestanden op netwerkshares is geschreven, gelden de dezelfde concepten ook named pipes-verbindingen. Named pipes worden vaak gebruikt voor verbindingen met SQL Server en voor de remote procedure call (RPC) en Component Object Model (COM)-communicatie. Met name als u een verbinding met een SQL Server in het netwerk die is geconfigureerd maakt voor geïntegreerde beveiliging van Microsoft Windows NT gebruikt u geen verbinding maken vanwege de problemen die in dit artikel worden beschreven. RPC- en COM kan ook gebruiken voor andere mechanismen voor communicatie met vergelijkbare netwerk verificatieschema's. Dus kunnen de concepten in dit artikel toepassen op een groot aantal mechanismen voor netwerk communicatie die vanuit uw IIS-toepassingen kunnen worden gebruikt.


Typen verificatie en imitatie

Wanneer IIS een HTTP-aanvraag services, voert IIS imitatie zodat toegang tot bronnen voor het verwerken van de aanvraag op de juiste wijze beperkt wordt. De geïmiteerde beveiligingscontext is gebaseerd op het type verificatie uitgevoerd voor de aanvraag. De vijf verschillende soorten verificatie beschikbaar in IIS 4.0 zijn:



Authentication Type Impersonation Type

Anonymous Access (no authentication) Network
Auto Password Synchronization is
ON (ON=default)

Anonymous Access (no authentication) IIS Clear Text
Auto Password Synchronization is OFF

Basic Authentication IIS Clear Text

NT Challenge/Response Authentication Network

Client SSL Certificate Mapping Interactive

Token-typen

Al dan niet toegang tot netwerkbronnen is toegestaan, is afhankelijk van het soort imitatietoken waarin de aanvraag wordt verwerkt.
  • Netwerk tokens "" mogen de toegang tot netwerkbronnen. (Netwerk tokens zijn naam gedaan omdat dit soort token traditioneel door een server wordt gemaakt wanneer een gebruiker wordt geverifieerd via het netwerk. Op de server kan een netwerk token fungeren als een netwerkclient en toegang krijgen tot een andere server "overdracht" wordt genoemd en wordt beschouwd als een mogelijk beveiligingsrisico.)
  • Interactieve tokens worden gewoonlijk gebruikt bij het verifiëren van een lokale gebruiker op de computer. Interactieve tokens mogen toegang krijgen tot bronnen in het netwerk.
  • Batch-tokens zijn ontworpen voor een beveiligingscontext waaronder het uitvoeren van batchverwerkingen. Batch tokens hebben toegang tot het netwerk.
IIS beschikt over het concept van een aanmelding voor Normale tekst . Tekst wissen aanmelding heet zo vanwege het feit dat IIS toegang tot zowel de gebruikersnaam en het wachtwoord in leesbare tekst heeft. U kunt bepalen of een aanmelding voor Normale tekst wordt gemaakt een token netwerk, een interactieve token of een Batch-token door de eigenschap LogonMethod in de metabase. Standaard aanmeldingen met Leesbare tekst wordt een interactieve token en toegang hebben tot netwerkbronnen. De LogonMethod kan worden geconfigureerd op de server, de site, virtuele map, de map of het bestandsniveau.


Anonieme toegang imiteert de rekening die is geconfigureerd als de anonieme gebruiker voor de aanvraag. IIS heeft enkele anonieme gebruikersaccount wordt geïmiteerd bij het verwerken van een aanvraag voor een niet-geverifieerde IUSR_ < computernaam > genoemd. IIS 4.0 heeft standaard een configureerbare functie met de naam 'Automatische wachtwoordsynchronisatie inschakelen"die gebruikmaakt van een onderliggende beveiligingsautoriteit voor het maken van het token. Tokens die worden gemaakt op deze manier worden netwerk-tokens die "" geen toegang tot andere computers op het netwerk. Als automatische synchronisatie van wachtwoorden is uitgeschakeld, maakt IIS het token op dezelfde manier als de eerder genoemde Leesbare tekst -aanmelding. Automatische wachtwoordsynchronisatie is alleen beschikbaar voor accounts op dezelfde computer als IIS. Als u de anonieme account een domeinaccount wijzigt, automatische synchronisatie van wachtwoorden kunt u niet gebruiken en ontvangt u een aanmelding voor Normale tekst . De uitzondering is als u IIS op uw primaire domeincontroller installeert. In dit geval zijn de domeinaccounts op de lokale computer. De anonieme account en de optie Automatische wachtwoordsynchronisatie kunnen worden geconfigureerd op de server, de site, virtuele map, de map of het bestandsniveau.

Hebt u het juiste type token als eerste stap in het verkrijgen van toegang tot een bron in het netwerk. U moet een account die toegang tot de bron via het netwerk heeft ook imiteren. Standaard wordt de account IUSR_ < computernaam > waarmee IIS voor anonieme aanvragen bestaat alleen op de lokale computer. Zelfs als u automatische synchronisatie van wachtwoorden uitschakelen zodat kunt u een interactief token krijgen die toegang krijgen tot netwerkbronnen, de account IUSR_ < computernaam > meestal heeft geen toegang tot de meeste netwerkbronnen omdat dit is een account die is Onbekende op andere computers. Als u wilt toegang tot netwerkbronnen met anonieme aanvragen, moet u de standaardaccount vervangen met een account in een domein op het netwerk dat door alle computers kan worden herkend. Als u IIS op een domeincontroller installeert, wordt de account IUSR_ < computernaam > een domeinaccount zijn en moet worden herkend door andere computers op het netwerk zonder extra actie te ondernemen.



Probleem vermijden

Hieronder vindt u de manieren om problemen te voorkomen wanneer u toegang tot de netwerkbronnen van uw IIS-toepassing:
  • Houd de bestanden op de lokale computer.
  • Sommige communicatiemethoden netwerk nodig een controle niet. Een voorbeeld maakt gebruik van Windows sockets.
  • Directe toegang tot de netwerkbronnen van de computer kunt u opgeven door een virtuele map te configureren:

    "Een share op een andere computer."
    Alle toegang tot de computer die u de netwerkbronnen deelt wordt uitgevoerd in de context van de persoon die is opgegeven in het dialoogvenster Verbinden als.. . Dit gebeurt ongeacht welk type verificatie is geconfigureerd voor de virtuele map. Met deze optie worden alle bestanden op de netwerkshare verkrijgbaar bij browsers die de toegang de IIS-computer tot.
  • Gebruik basisverificatie of anonieme verificatie zonder automatische Wachtwoordsynchronisatie.

    Standaard biedt de imitatieniveaus die u Internet Information Server voor basisverificatie is een token dat toegang heeft tot netwerkbronnen (in tegenstelling tot Windows NT Challenge/Response, waarmee een token dat geen toegang netwerkbronnen tot). Voor anonieme verificatie het token kan alleen toegang krijgen tot een netwerkbron als automatische synchronisatie van wachtwoorden is uitgeschakeld. Automatische wachtwoordsynchronisatie is standaard ingeschakeld wanneer u Internet Information Server het eerst wordt geïnstalleerd. In een dergelijke standaardconfiguratie, kan het token voor anonieme gebruikers geen toegang tot netwerkbronnen.
    259353 wachtwoord handmatig moet invoeren nadat u wachtwoord synchronisatie schakelen

  • De anonieme account als een domeinaccount configureren.

    Hierdoor kunnen anonieme aanvragen van mogelijke toegang tot bronnen in het netwerk. Om te voorkomen dat alle aanvragen voor anonieme toegang tot het netwerk, moet u alleen maken de anonieme account een domeinaccount op de virtuele mappen die toegang nodig hebben.
  • De anonieme account te configureren met dezelfde gebruikersnaam en wachtwoord op de computer waarop de netwerkbronnen wordt gedeeld en schakelt u automatische synchronisatie van wachtwoorden.

    Als u dit doet moet u ervoor zorgen dat de wachtwoorden die exact overeenkomen. Deze aanpak moet alleen worden gebruikt wanneer de "configureren de anonieme account als een domeinaccount" vermeld niet eerder is een optie om een bepaalde reden.
  • NullSessionShares en NullSessionPipes kan worden gebruikt om toegang tot een bepaalde netwerk-share of een named pipe als uw aanvraag wordt verwerkt met een token netwerk.

    Als u een token netwerk hebt en u probeert een verbinding maken met een netwerkbron, probeert het besturingssysteem een verbinding als een niet-geverifieerde verbinding (hierna aangeduid als een NULL-sessie). Instelling in het register moet worden aangebracht op de computer waarop de netwerkbron niet op de IIS-computer wordt gedeeld. Als u probeert toegang te krijgen tot een NullSessionShare of NullSessionPipe met een token voor niet-netwerk, typische Microsoft Windows-verificatie wordt gebruikt en toegang tot de bron is gebaseerd op de rechten van de geïmiteerde gebruiker account.
  • Mogelijk kunt u uw eigen imitatie een threadtoken die wel toegang tot het netwerk te maken als u wilt uitvoeren.

    De functie LogonUser en de functie ImpersonateLoggedOnUser kunnen imiteren een andere account worden gebruikt. Hiervoor is vereist dat er ongecodeerde gebruikersnaam en wachtwoord van een andere account beschikbaar aan uw code. LogonUser vereist ook dat de account die wordt aangeroepen LogonUser de bevoegdheid 'Functioneren als deel van het besturingssysteem' in Gebruikersbeheer heeft. Standaard hebben de meeste gebruikers IIS imiteert tijdens een HTTP-aanvraag verwerkt geen dit gebruikersrecht. Voor' proces' zijn er echter een aantal manieren om te zorgen dat uw huidige beveiligingscontext wijzigen van de account LocalSystem, waarin de 'Functioneren als deel van het besturingssysteem' beheerdersreferenties heeft. Voor ISAPI-dll's die worden uitgevoerd in het proces, de beste manier om de LocalSystem-account wijzigen in de beveiligingscontext die IIS gemaakt om aan te roepen is de
    De functie RevertToSelf . Als u uw IIS-toepassing 'Out of Process' uitvoert, werkt dit mechanisme niet standaard omdat het proces wordt uitgevoerd onder de account IWAM_ < computernaam >- en niet de lokale systeemaccount. Standaard de IWAM_ < computernaam > "' geen 'Functioneren als deel van het besturingssysteem' beheerdersreferenties.
  • Het onderdeel dat wordt aangeroepen vanuit de ASP-pagina op een Server met Microsoft Transaction Server (MTS)-pakket of een COM +-servertoepassing toevoegen en geef vervolgens een specifieke gebruiker als de identiteit van het pakket.

    Opmerking Het onderdeel in een aparte .exe-bestand dat zich buiten IIS wordt uitgevoerd.
  • Met basic/niet-gecodeerde verificatie, is het raadzaam dat u de gegevens coderen met behulp van SSL, omdat deze zeer eenvoudig te verkrijgen van de referenties van een netwerk-trace. Voor meer informatie over het installeren van SSL, klikt u op het volgende artikel in de Microsoft Knowledge Base:

    228991 het maken en installeren van een SSL-certificaat in Internet Information Server 4.0

Opmerking Vergeet niet dat u voorkomen toegang tot het netwerk voor anonieme aanvragen wanneer Wachtwoordsynchronisatie is uitgeschakeld en aanvragen worden geverifieerd dat kunt met behulp van basisverificatie (Leesbare tekst aanmeldingen) als u de metabase-eigenschap LogonMethod instellen "2" (die aangeeft dat een aanmelding bij het netwerk wordt gebruikt voor het maken van het imitatietoken). Met deze instelling is de enige manier voor aanvragen om te voorkomen dat de token beperking netwerk verbinding maken met NullSessionShares of NullSessionPipes.


Gebruik geen stationsletters zijn toegewezen aan netwerkshares. Niet alleen zijn er slechts 26 letters in de potentiële stuurprogramma kunt selecteren, maar als u een stationsletter die is toegewezen in een andere beveiligingscontext, kunnen problemen optreden. In plaats daarvan moet u altijd Universal Naming Convention (UNC) namen gebruiken voor toegang tot bronnen. De indeling moet er ongeveer als volgt:

\\MyServer\filesharename\directoryname\filename
Voor meer informatie over het gebruik van UNC klikt u op het volgende artikel in de Microsoft Knowledge Base:

280383 IIS aanbevelingen wanneer u een UNC-share

De informatie in dit artikel geldt alleen voor Internet Information Server 4.0. In Internet informatieserver 5.0 (dat deel uitmaakt van Windows 2000), zijn er belangrijke wijzigingen in de nieuwe verificatietypen en mogelijkheden. Maar de meeste van de concepten in dit artikel nog steeds op IIS 5.0, wordt informatie over de soorten imitatie-tokens die worden gegenereerd met bepaalde verificatieschema's in dit artikel de strikt toepassen op IIS 4.0.

319067 het uitvoeren van toepassingen niet in de context van de systeemaccount

Als u niet zeker wat voor soort aanmelding plaatsvindt op de server IIS om aanvragen te verwerken weet, kunt u de controle in voor het aanmelden en afmelden. Ga als volgt te werk:


  1. Klik op Start, Instellingen, klik op Configuratiescherm, klik op Systeembeheeren klik vervolgens op Lokaal beveiligingsbeleid.
  2. Nadat u lokaal beveiligingsbeleid in het linkerdeelvenster van de boomstructuur opent, Beveiligingsinstellingen, Lokaalbeleid en klik vervolgens op Controlebeleid.
  3. Dubbelklik Controlegebeurtenis aanmelding en klik op geslaagde en mislukte. Logboekvermeldingen worden in het logboek toegevoegd. U kunt bepalen welk soort aanmelden door te kijken naar de details van de gebeurtenis onder het aanmeldingstype:

2=Interactive
3=Network
4=Batch
5=Service

Referenties


Voor meer informatie over de beveiliging van het netwerk, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:

124184 -Service wordt uitgevoerd als de system-account mislukt netwerk

180362 services en toegewezen stations

319067 het uitvoeren van toepassingen niet in de context van de systeemaccount

280383 IIS aanbevelingen wanneer u een UNC-share

259353 wachtwoord handmatig moet invoeren nadat u wachtwoord synchronisatie schakelen