В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Настройка проверки подлинности веб-узла IIS в Windows Server 2003

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Версия данной статьи для Microsoft Windows 2000: 310344 (Эта ссылка может указывать на содержимое полностью или частично на английском языке).

Содержание

Аннотация
В этой статье описываются способы настройки проверки подлинности веб-узла служб IIS в Windows Server 2003. Можно настроить IIS на проверку подлинности пользователей, прежде чем им будет разрешен доступ к веб-узлу, папке на этом узле или даже к отдельному документу, расположенному в папке на узле. Проверка подлинности в IIS может использоваться для повышения уровня безопасности узлов, папок и документов, не предназначенных для широкой публики.

Проверка подлинности в IIS является необходимой, когда ресурсы не предназначены для анонимной или широкой публики, но веб-сервер должен быть доступен для утвержденных пользователей в Интернете. Примерами веб-приложений, использующих проверку подлинности, являются веб-клиент Outlook и усовершенствованный клиент служб терминалов Microsoft.

К началу статьи

Настройка проверки подлинности в IIS

  1. Запустите «Диспетчер служб IIS» или откройте оснастку IIS.
  2. Разверните Имя_сервера, где Имя_сервера — это имя сервера, и разверните элемент Веб-узлы.
  3. В дереве консоли щелкните правой кнопкой мыши веб-узел, виртуальный каталог или файл, для которого нужно настроить проверку подлинности, и выберите пункт Свойства.
  4. Перейдите на вкладку Безопасность каталога или Безопасность файлов (в зависимости от ситуации) и в области Анонимный доступ и проверка подлинности нажмите Правка.
  5. Установите флажки напротив способов проверки подлинности, которые следует добавить, и нажмите кнопку ОК.

    Способами проверки подлинности, установленными по умолчанию, являются Анонимный доступ и Встроенная проверка подлинности Windows:
    • Анонимный доступ: При включенном анонимном доступе от пользователей не требуются проверенные учетные данные для доступа к узлу. Эту возможность лучше всего использовать в тех случаях, когда вы хотите предоставить общий доступ к информации, не требующей защиты. При попытке пользователя установить соединение с вашим веб-узлом, IIS сопоставляет подключение с учетной записью IUSER_Имя_Компьютера, где Имя_Компьютера представляет собой имя сервера, на котором запущена IIS. По умолчанию учетная запись IUSER_Имя_Компьютера является членом гостевой группы. Эта группа имеет ограничения безопасности, накладываемые разрешениями файловой системы NTFS, которые определяют уровень доступа и тип содержимого, доступного широкой публике. Для редактирования учетной записи Windows, используемой для анонимного доступа, нажмите Обзор в поле Анонимный доступ.

      Внимание! При включенном анонимном доступе IIS всегда сначала пытается проверить подлинность пользователей, используя анонимную проверку подлинности, даже если будут включены дополнительные способы проверки подлинности.
    • Встроенная проверка подлинности Windows: При использовании этого способа, ранее имевшего название NTLM или Проверка подлинности с запросом и подтверждением Windows NT, информация о проверке подлинности отправляется по сети в виде билета Kerberos, что обеспечивает высокий уровень безопасности. Встроенная проверка подлинности Windows использует проверку подлинности Kerberos, версия 5 и NTLM. Для использования этого способа клиенты должны иметь Microsoft Internet Explorer 2.0 или более поздние версии. Кроме того, встроенная проверка подлинности Windows не поддерживается прокси-подключениями HTTP. Эту возможность лучше всего использовать в интрасети, где компьютер пользователя и веб-сервер входят в состав одного и того же домена и администраторы могут проверить, все ли пользователи используют Internet Explorer 2.0 или более поздние версии.

      Примечание. При выборе нескольких параметров проверки подлинности IIS сначала пытается использовать наиболее безопасный способ, после чего начинает обрабатывать список доступных протоколов проверки подлинности, до тех пор пока не обнаружит протокол проверки подлинности, поддерживаемый как клиентом, так и сервером.
    • Выборочная проверка подлинности для серверов домена Windows: Выборочная проверка подлинности требует имени пользователя и пароля, обеспечивает средний уровень безопасности и может быть использована в тех случаях, когда вы хотите предоставить доступ к защищенной информации через общую сеть. Этот способ предоставляет те же возможности, что и простая проверка подлинности. Однако при использовании этого способа учетные данные пользователя передаются по сети в виде хеша MD5 или выборки сообщения, в которой исходные имя пользователя и пароль не могут быть декодированы из хеша. Для использования этого способа клиенты должны иметь Microsoft Internet Explorer 5.0 или более позднюю версию, а веб-клиенты и веб-серверы должны входить в состав одного и того же домена или находиться с ним в доверительных отношениях.

      При включенной выборочной проверке подлинности введите имя сферы в поле Сфера.
    • Простая проверка подлинности (незашифрованный пароль): Простая проверка подлинности требует имени пользователя и пароля и обеспечивает низкий уровень безопасности. Учетные данные пользователя передаются через сеть в незашифрованном виде. Этот формат обеспечивает низкий уровень безопасности, поскольку пароль может быть прочитан практически всеми анализаторами протоколов. Однако он совместим с большинством веб-клиентов. Эту возможность лучше всего использовать в тех случаях, когда нужно предоставить доступ к информации, не требующей строгой конфиденциальности.

      При включенной простой проверке подлинности введите имя домена, которое вы хотите использовать, в поле Домен по умолчанию. Также можно ввести значение в поле Сфера.
    • Проверка подлинности Microsoft .NET Passport: Проверка подлинности .NET Passport обеспечивает безопасность единого входа, предоставляющую пользователям доступ к различным услугам Интернета. При выборе этой опции запросы к IIS должны содержать допустимые учетные данные .NET Passport в строке запроса или в файле «cookie». Если IIS не находит учетных данных .NET Passport, запросы перенаправляются на страницу входа в систему .NET Passport.

      Примечание. При выборе этой опции все другие способы проверки подлинности недоступны (отображаются затененными).
  6. Еще один способ проверки подлинности основан на опросе узла, а не запрашивании учетных данных пользователя. Можно ограничить доступ на основании IP-адреса источника, идентификатора сети источника или имени домена источника. Для настройки данного способа проверки подлинности выполните следующие действия:
    1. В разделе Ограничения IP-адресов и имен доменов нажмите кнопку Правка.
    2. Выполните одно из следующих действий:
      • Для отказа в доступе нажмите разрешен доступ и нажмите Добавить. В появившемся диалоговом окне Запретить доступ выберите требуемые параметры и нажмите OK.

        Указанные компьютеры, группы компьютеров или домен будут добавлены в список.

        -или-
      • Для отказа в доступе нажмите запрещен доступ и нажмите Добавить. В появившемся диалоговом окне Предоставить доступ выберите требуемые параметры и нажмите OK.

        Указанные компьютеры, группы компьютеров или домен будут добавлены в список.
    3. Нажмите кнопку ОК.
  7. Нажмите кнопку OK и завершите работу «Диспетчера служб IIS» или закройте оснастку IIS.
К началу статьи

Устранение неполадок

  • Возможно, потребуется применить сделанные вами изменения к существующим веб-узлам. Если необходимо, чтобы изменения проверки подлинности коснулись другого содержимого, выделите мышью это содержимое из списка дочерних узлов и нажмите OK. Если не нужно, чтобы изменения проверки подлинности коснулись дочерних узлов, не выделяйте ничего в списке и нажмите OK.
  • В IIS можно настроить параметры проверки подлинности на уровне веб-узла, каталога или файла. Принципы, обсуждаемые в данной статье, относятся ко всем уровням.
К началу статьи
kbiis600 kbappsvc
Свойства

Номер статьи: 324274 — последний просмотр: 12/04/2007 20:08:00 — редакция: 6.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Internet Information Services 6.0

  • kbhowto kbhowtomaster kbwebservices kbappservices KB324274
Отзывы и предложения