В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как получить доступ к сетевым файлам из приложений служб IIS

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 207671
Настоятельно рекомендуется всем пользователям Microsoft IIS (IIS), работающей на Microsoft Windows Server 2008, обновиться до версии 7.0. Службы IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения о вопросах, связанных с безопасностью IIS посетите следующий веб-сайт корпорации Майкрософт:Дополнительные сведения о IIS 7.0 посетите следующий веб-узел корпорации Майкрософт:

В ЭТОЙ ЗАДАЧЕ

Аннотация
Эта статья содержит сведения о проблемах, связанных с доступом к файлам на компьютере, сервер Internet Information Server (IIS) из расширения Internet Server API (ISAPI), страниц ASP (ASP) или общий интерфейс шлюза (CGI) приложения. В статье перечислены некоторые проблемы, возникающие и возможные способы сделать эту работу.

Несмотря на то, что данная статья предназначена в первую очередь в контексте доступа к общим ресурсам сети fileson, те же принципы применяются для соединения по именованным каналам также очень. Именованные каналы часто используются для подключения к SQL Server и также forremote вызова процедур (RPC) и связи модели компонентных объектов (COM). В частности при подключении к SQL Server по сети, который настроен на использование встроенной безопасности Microsoft Windows NT, не удается подключиться из-за проблем, описанных в этой статье. RPC и COM может также использовать другие связи механизмов thathave подобные сети схемы проверки подлинности. Таким образом принципы в этой статье можно применить разнообразные communicationmechanisms сети, могут быть использованы из приложений IIS.

back to the top

Типы проверки подлинности и олицетворения

Когда IIS службы HTTP-запроса, IIS выполняет олицетворение, чтобы ресурсы доступа для обработки запроса ограничена соответствующим образом. Контекст безопасности Theimpersonated основана на вид authenticationperformed для запроса. Пять различных типов authenticationavailable с IIS 4.0 являются:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Типы маркеров

Разрешен ли доступ к сетевым ресурсам, зависит от thekind, в котором обрабатывается запрос маркера олицетворения.
  • Маркеры сети «NOT» разрешается доступ к сетевым ресурсам. (Маркеры сети называются так из-за такого рода маркер traditionallycreated сервером при проверке подлинности пользователя в сети. Toallow сервера для использования в качестве andaccess сетевого клиента другому серверу сети маркер называется "Делегирование" и считается отверстие possiblesecurity.)
  • Интерактивные маркеры традиционно используются при проверке подлинности локального пользователя на компьютере. Интерактивные маркеры разрешается доступ к ресурсам в сети.
  • Пакет маркеры предназначены для обеспечения контекста безопасности, используемого для запуска пакетных заданий. Маркеры партии имеют доступ к сети.
В IIS существует понятие входа Открытым текстом . Очистить текст входа называется так из-за thefact, IIS имеет доступ к имя пользователя и пароль в виде открытого текста.Можно управлять, создает ли вход Открытым текстом сети маркер, маркер интерактивный или маркер партии, задав свойство LogonMethod в themetabase. По умолчанию вход Открытым текстом получают интерактивные tokenand имеют доступ к сетевым ресурсам. LogonMethod может быть настроен на сервер, веб-узел, виртуальный каталог, каталог или на уровне файла.

Олицетворяет анонимный доступ учетной записи, настроенной как userfor анонимный запрос. По умолчанию IIS имеет accountcalled одного анонимного пользователя IUSR_<machinename> олицетворяется при обработке запросов, не прошедших проверку подлинности. По умолчанию IIS 4.0 имеет настраиваемые featurecalled «Разрешить автоматическую синхронизацию паролей» используется для создания маркера центром securitysub. Токены, созданные в этом маркеры arenetwork способом которых «» нет доступа к другим компьютерам в сети. Если отключить автоматическую синхронизацию паролей, маркер createsthe IIS так же, как вход Открытым текстом , упомянутых выше.Автоматическая синхронизация паролей доступен только для учетных записей, arelocated на том же компьютере, что и службы IIS. Таким образом Если изменить учетную запись youranonymous для учетной записи домена, не useAutomatic синхронизации паролей и появляется вход Открытым текстом .Исключение: Если установить IIS на основной контроллер домена. В данном случае являются учетными записями домена на локальном компьютере. Anonymousaccount и параметр автоматической синхронизации паролей можно beconfigured на сервер, веб-узел, виртуальный каталог, каталог или файл уровня.

На первом этапе при доступе к resourceon сети, должен иметь правильный тип маркера. Также необходимо олицетворить учетную запись, для которого ресурс доступа по сети. По умолчанию IUSR_<machinename> accountthat IIS создает для анонимных запросов существует только на локальном компьютере. Даже если отключить автоматическую синхронизацию паролей, thatyou может получить маркер интерактивные, можно получить доступ к сетевым ресурсам, IUSR_<machinename> учетная запись обычно не имеет доступа к ресурсам сети tomost, так как это учетная запись, unrecognizedon другими компьютерами. Если требуется доступ к сетевым ресурсам с anonymousrequests, необходимо заменить anaccount в домене учетной записи по умолчанию в вашей сети, который может быть распознан allcomputers. Если установить службы IIS на контроллере домена IUSR_<machinename> учетная запись является учетной записью домена и распознаются другими компьютерами в сети без учета additionalaction mustbe.

</machinename></machinename></machinename></machinename>back to the top

Избежание проблем

Ниже перечислены способы устранения неполадок при доступе к сети resourcesfrom приложение IIS:
  • Храните файлы на локальном компьютере.
  • Некоторые способы связи сети не требуется проверка безопасности. Пример использует сокеты Windows.
  • Можно предоставить прямой доступ к сетевым ресурсам компьютера byconfiguring виртуальный каталог может быть:
    «Общий ресурс на другом компьютере.»
    Все доступ к компьютеру, который использует общие ресурсы сети выполняется в контексте пользователя, указанного в поле Подключиться как. диалоговое окно. Это происходит nomatter virtualdirectory настроен тип проверки подлинности. С помощью этого параметра, все файлы на сетевом ресурсе доступны из обозревателей, доступ к компьютеру IIS.
  • Используйте обычную проверку подлинности или анонимный доступ без автоматической синхронизации паролей.

    По умолчанию олицетворение, который сервер IIS выполняет для обычной проверки подлинности предоставляет маркер, который можно получить доступ к сетевым ресурсам (в отличие от Windows NT запрос/ответ, которая предоставляет маркер, который не может получить доступ к ресурсам сети). Для анонимной проверки подлинности маркера можно только к сетевому ресурсу при отключении автоматической синхронизации паролей. По умолчанию при первой установке Internet Information Server включена автоматическая синхронизация паролей. В такой конфигурации по умолчанию маркер анонимного пользователя нет доступа к сетевым ресурсам.
    259353 Необходимо ввести пароль вручную после включения синхронизации паролей
  • Настройте анонимную учетную запись как учетную запись домена.

    Таким образом, анонимные запросы от потенциальных доступа к ресурсам по сети. Для предотвращения все анонимные запросы доступа к сети, youmust сделать только анонимную учетную запись учетной записью домена на virtualdirectories, в частности необходим доступ.
  • Настройка анонимной учетной записи с одинаковым именем пользователя и пароля на компьютере, общий доступ к andthen ресурсам сети отключить автоматическую синхронизацию паролей.

    При этом необходимо убедиться, что пароли совпадают. Этот подход должен быть только использован протоколLDAP, когда сказано «Настроить анонимную учетную запись как учетную запись домена» неприемлемо для какой-либо причине.
  • NullSessionShares и NullSessionPipes могут использоваться для разрешения доступа, назвать определенную сетевую папку или для именованного канала, когда ваш запрос обрабатывается с помощью маркера сети.

    Если у вас есть маркер сети и при попытке подключиться к сетевому ресурсу операционной systemtries подключение как подключение без проверки подлинности (так называемый «НУЛЕВОЙ сеанс»). Этот параметр реестра должно быть madeon компьютер, общий сетевой ресурс, не на компьютере службы IIS. Если используется youtry для доступа к NullSessionShare или NullSessionPipe с не networktoken, обычной проверки подлинности Microsoft Windows, и доступ к theresource основан на accountuser правами олицетворяемого пользователя.
  • Потенциально можно выполнять собственные для создания олицетворения маркер потока, который имеет доступ к сети.

    Функцию LogonUser и функция ImpersonateLoggedOnUser может использоваться для олицетворения differentaccount. Это требует наличия имени пользователя открытым текстом и passwordof другой учетной записи в коде. LogonUser также наличие у учетной записи, которая вызывает функцию LogonUser право «Действовать от лица операционной системы» в окне диспетчера пользователей. По умолчанию службы IIS олицетворяют большинство пользователей whileit обрабатывает HTTP запроса, не имеют этого права. Тем не менее для «в процессе» приложения существует несколько способов вызвать yourcurrent контекст безопасности для учетной записи LocalSystem, какие doeshave изменить учетную запись администратора «Действовать от лица операционной системы». Для ISAPI DLLsthat выполняться внутри процесса можно вызвать функциюRevertToSelf является лучшим способом изменить contextthat безопасности, создания службы IIS для учетной записи «Локальный компьютер». При запуске приложения IIS ", ofProcess", этот механизм не работает по умолчанию из-за isrunning процесса под IWAM_<machinename> учетной записи, а не локальной Systemaccount. По умолчанию данная учетная запись<machinename> «» имеет административные учетные данные «Действовать от лица операционной системы».</machinename> </machinename>
  • Добавьте компонент, который вызывается из страницы ASP для приложений сервера COM + или пакета сервера Microsoft Transaction Server (MTS), а затем укажите конкретный пользователь как идентификатор пакета.

    Примечание Компонент выполняется в отдельной .exe файл, который находится вне IIS.
  • С помощью проверки подлинности basic или снимите текста рекомендуется зашифровать данные с помощью протокола SSL, так как это очень просто получить учетные данные трассировки сети. Дополнительные сведения об установке SSL щелкните следующий номер статьи базы знаний Майкрософт:
    228991 Как создать и установить SSL-сертификат в Internet Information Server 4.0
Примечание Не забывайте, что можно запретить доступ к сети для анонимных запросов, где отключена синхронизация паролей и запросы проходят проверку подлинности с помощью обычной проверки подлинности (входаОткрытого текста ), если свойство LogonMethod метабазы на "2" (это означает, что вход в сеть используется для создания маркера олицетворения). Этот параметр для подключения к NullSessionShares или NullSessionPipes является единственным способом для запросов избежать ограничения сети token.

Не используйте буквы дисков, назначенных для общих сетевых ресурсов. Notonly существуют только 26 букв потенциальных драйвер для выбора, но если вы tryto использовать букву диска, которая сопоставлена в другом контексте безопасности, могут возникнуть проблемы. Вместо этого необходимо всегда использовать имена универсальных имен Convention(UNC) для доступа к ресурсам. Формат должен быть похожим на экран:
\\MyServer\filesharename\directoryname\filename
Дополнительные сведения об использовании UNC щелкните следующий номер статьи базы знаний Майкрософт:
280383 Рекомендации по безопасности IIS при использовании общий ресурс UNC
Сведения в этой статье относится только к Интернету InformationServer 4.0. В Internet Information Server 5.0 (который входит в состав Windows 2000) существуют значительные изменения для новых authenticationtypes и возможности. Несмотря на то, что большинство понятий в этот articlestill применяется для IIS 5.0, сведения о видах маркеры олицетворения, созданные с схем проверки подлинности, определенных в этом статьи applystrictly для IIS 4.0.

319067 Как запускать приложения не в контексте системной учетной записи
Если не удается определить тип isoccurring входа в систему на сервере IIS для обработки запросов, можно включить auditingfor входа в систему и выход из системы. Выполните следующие действия.
  1. Нажмите кнопку Пуск, щелкните Параметры, выберите команду Панель управления, выберите пункт Администрированиеи щелкните Локальная политика безопасности.
  2. После открытия локальной политики безопасности в левой области дерева, нажмите кнопку Параметры безопасности, щелкните Локальные политикии нажмите кнопку Политика аудита.
  3. Дважды щелкните Событие аудита входа в систему и выберите успехов и отказов.Areadded записи журнала событий в журнале безопасности. Можно определить тип входа в систему bylooking в сведения о событии в списке Тип входа в систему:
2 = интерактивного обучения
3 = сеть
4 = партии
5 = служба
back to the top
Ссылки
Дополнительные сведения о сетевой безопасности щелкните следующий номер статьи базы знаний Майкрософт:
124184 Служба выполняется как системная учетная запись происходит сбой доступа к сети
180362 Служб и виртуальных дисков
319067 Как запускать приложения не в контексте системной учетной записи
280383 Рекомендации по безопасности IIS при использовании общий ресурс UNC
259353 Необходимо ввести пароль вручную после включения синхронизации паролей
back to the top
kbdse

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 207671 — последний просмотр: 03/15/2015 08:36:00 — редакция: 5.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtru
Отзывы и предложения