IIS uygulamaları ağ dosyalarına erişmek nasıl

Tüm kullanıcıların Windows Server 2008 üzerinde çalışan Microsoft Internet Information Services (IIS) 7.0 sürümüne yükseltmesini kesinlikle öneririz. IIS 7.0 Web altyapı güvenliğini önemli ölçüde artırır. IIS güvenliğiyle ilgili konular hakkında daha fazla bilgi almak için aşağıdaki Microsoft Web sitesini ziyaret edin:

IIS 7.0 hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:

BU GÖREVDE

Özet

Bu makalede bir Internet Server API (ISAPI) uzantısı, Active Server Pages (ASP) sayfası veya Ortak Ağ Geçidi Arabirimi (CGI) dosyaları, Internet Information Server (IIS) sunucunuzun başka bir bilgisayarda erişmeyle ilgili sorunları hakkında bilgi sağlar. uygulama. Bu makalede, söz konusu sorunlardan bazıları ve bu işi yapmak için bazı olası yöntemleri listeler.

Bu makalede öncelikle ağ paylaşımlarındaki dosyalara erişme bağlamı içinde yazılmış olsa da, aynı kavramlar da adlandırılmış yöneltme bağlantıları için geçerlidir. Adlandırılmış yöneltmeler, SQL Server bağlantıları için ve ayrıca uzaktan yordam çağrısı (RPC) ve Bileşen Nesne Modeli (COM) iletişimi için sık sık kullanılır. Özellikle, bir SQL Server için Microsoft Windows NT tümleşik güvenliği kullanmak için yapılandırılmış bir ağ üzerinden bağlanıyorsanız, bu makalede özetlenen sorunlar nedeniyle bağlanamıyor. RPC ve COM benzer ağ kimlik doğrulama düzenleri vardır diğer iletişim mekanizmaları da kullanabiliriz. Bu nedenle, bu makalede açıklanan kavramlar çok çeşitli IIS uygulamalarınızdaki kullanılan ağ iletişimi mekanizmaları uygulayabilirsiniz.


Kimlik doğrulaması ve kimliğe bürünme türleri

Bir HTTP isteği IIS hizmetleri, IIS isteği işlemek için kaynaklara erişimin uygun biçimde sınırlıdır kimliğe bürünme gerçekleştirir. Kimliğine bürünülen güvenlik bağlamı için istek gerçekleştirilen kimlik doğrulama türünü bağlıdır. IIS 4. 0'dan kullanılabilen kimlik doğrulaması beş farklı türleri şunlardır:



Authentication Type Impersonation Type

Anonymous Access (no authentication) Network
Auto Password Synchronization is
ON (ON=default)

Anonymous Access (no authentication) IIS Clear Text
Auto Password Synchronization is OFF

Basic Authentication IIS Clear Text

NT Challenge/Response Authentication Network

Client SSL Certificate Mapping Interactive

Belirteç türlerinin

Olup olmadığını ağ kaynaklarına erişimine izin verilen kimliğe bürünme belirteci isteği altında işlenmekte olan türüne bağlıdır.

  • Ağ belirteçleri ağ kaynaklarına erişmesine izin verilen "Değil". (Kullanıcı kimlik doğrulamasının ağ üzerinde bu tür bir belirteç geleneksel olarak sunucu tarafından oluşturulur çünkü ağ belirteçleri bunu olarak adlandırılır. Sunucu bir ağ kullanmak izin vermek için bir ağ istemcisi olarak davranmasına ve başka bir sunucuya erişmek için belirteç "temsilci" adı verilir ve olası bir güvenlik açığı olarak kabul edilir.)

  • Etkileşimli belirteçleri geleneksel olarak bilgisayarda bir yerel kullanıcı kimlik doğrulaması kullanılır. Etkileşimli belirteçleri Ağ üzerindeki kaynaklara erişmek için izin verilir.

  • Toplu belirteçleri bir güvenlik bağlamı altında toplu işleri çalıştırma sağlamak için tasarlanmıştır. Toplu belirteçleri Ağ erişimi vardır.

IIS Düz metin oturum açma kavramı vardır. Temizleyin metin oturum açma, IIS düz metin olarak hem kullanıcı adı hem de parola erişimi olan olgu nedeniyle bunu adı verilir. Düz metin oturum açma ağ simgesi, etkileşimli bir belirteci veya bir toplu işlem belirteci metatabanında LogonMethod özelliğini ayarlayarak oluşturur olup olmadığını kontrol edebilirsiniz. Varsayılan olarak, Düz metin oturum açma etkileşimli bir belirteci almak ve ağ kaynaklarına erişimi vardır. LogonMethod sunucu, site, sanal dizin, dizin veya dosya düzeyinde yapılandırılabilir.


Anonim erişim için istek anonim kullanıcı olarak yapılandırılmış hesabını temsil eder. Varsayılan olarak, IIS kimlik doğrulaması olmayan bir isteği işlerken temsili IUSR_ < makineadı > adlı bir tek bir anonim kullanıcı hesabı vardır. Varsayılan olarak, IIS 4.0 "Otomatik parola güvenlik alt yetkili belirteç oluşturmak için kullandığı eşitlemeyi etkinleştir" adlı yapılandırılabilir bir özelliği vardır. Bu şekilde oluşturulan belirteçleri Ağ üzerindeki diğer bilgisayarlara erişimi olan "Değil" Ağ belirteçleri olan. Otomatik parola eşitlemeyi devre dışı bırakırsanız, IIS Düz metin oturum açma daha önce bahsedilen aynı şekilde belirteci oluşturur. Otomatik parola eşitleme yalnızca IIS ile aynı bilgisayarda bulunan hesapları için kullanılabilir. Bu nedenle, bir etki alanı hesabı için anonim hesabınızı değiştirirseniz, otomatik parola eşitleme kullanamazsınız ve Şifresiz metin oturum açma alırsınız. Birincil etki alanı denetleyicisinde IIS yüklerseniz istisnadır. Bu durumda, etki alanı yerel bilgisayarda bulunan hesaplardır. Anonim hesap ve parola eşitleme otomatik seçeneğini, sunucu, site, sanal dizin, dizin veya dosya düzeyinde yapılandırılabilir.

Ağdaki bir kaynağa erişen ilk adımı olarak, belirtecin doğru türde olması gerekir. Ayrıca ağ üzerinden kaynağa erişim izni olan bir hesap taklit gerekir. Varsayılan olarak, yalnızca yerel bilgisayarda IIS anonim istekler için oluşturduğu IUSR_ < makineadı > hesabı bulunmaktadır. Etkileşimli bir belirteç elde edebilirsiniz böylece otomatik parola eşitlemeyi devre dışı bıraksanız bile, ağ kaynaklarına erişebilir, bu bir hesap olduğundan IUSR_ < makineadı > Hesap genellikle çoğu ağ kaynaklarına erişimi yok diğer bilgisayarlarda tanınmadı. Adsız istekte bulunan ağ kaynaklarına erişmeyi istiyorsanız, varsayılan hesap bir etki alanı hesabı, ağınızdaki tüm bilgisayarlar tarafından tanınacak şekilde değiştirmeniz gerekir. Bir etki alanı denetleyicisinde IIS yüklerseniz, IUSR_ < makineadı > hesabı etki alanı hesabı olmasını ve diğer bilgisayarlar tarafından ağ üzerindeki başka bir işlem yapmadan tanınmanız gerekir.



Sorun kaçınma

IIS uygulamanızın ağ kaynaklarına erişirken sorunlarla karşılaşmamak için yolları şunlardır:

  • Yerel bilgisayardaki dosyaları tutmak.

  • Bazı ağ iletişim yöntemleri, güvenlik denetimi gerektirmez. Örneğin, Windows sockets kullanıyor.

  • Bir sanal dizini yapılandırarak bilgisayarın ağ kaynaklarına doğrudan erişim sağlayabilir:

    "Başka bir bilgisayarda yer alan bir paylaşım."
    Ağ kaynakları paylaşan bilgisayar tüm erişim Connect As. iletişim kutusunun altında belirtilen kişinin bağlamında gerçekleştirilir. Bu sanal dizin için yapılandırılmış kimlik doğrulama türünü olursa olsun ortaya çıkar. Bu seçeneği kullanarak, ağ paylaşımında tüm dosyaları IIS bilgisayarına tarayıcılarından kullanılabilir değil.

  • Temel kimlik doğrulaması veya otomatik parola eşitleme olmadan anonim kimlik doğrulaması kullanın.

    Varsayılan olarak, Internet Information Server için temel kimlik doğrulaması yapan kimliğe bürünme (farklı olarak Windows NT Challenge/ağ kaynaklarına erişemiyorsunuz bir belirteç sağlayan yanıt,) ağ kaynaklarına erişebileceği bir belirteç sağlar. Otomatik parola eşitlemesi devre dışıysa anonim kimlik doğrulaması için belirteci yalnızca bir ağ kaynağına erişebilir. Internet Information Server'ın ilk yüklendiğinde, varsayılan olarak, otomatik parola eşitleme etkinleştirilir. Böyle bir varsayılan yapılandırmasında adsız kullanıcı belirteci ağ kaynaklarına erişemez.

    parola eşitleme geçiş sonra parolayı el ile girmeniz gerekir

  • Anonim hesap bir etki alanı hesabı olarak yapılandırın.

    Bu anonim isteklere olası erişimden kaynaklara ağ üzerinden izin verir. Tüm anonim istekler ağ erişim sağlamasını önlemek için yalnızca Anonim hesap özellikle erişim gerektiren sanal dizinleri bir etki alanı hesabında yapmanız gerekir.

  • Otomatik parola eşitlemeyi devre dışı bırakmak ve aynı kullanıcı adı ve parola bilgisayarda ağ kaynaklarının paylaşılması ile anonim hesap yapılandırın.

    Bunu yaparsanız parolaları tam olarak eşleştiğinden emin olmanız gerekir. "Yapılandırma anonim hesabın bir etki alanı hesabı olarak" sözü daha önce olmadığı zaman bu yaklaşım sadece kullanılması gereken herhangi bir nedenle bir seçenek.

  • NullSessionShares ve NullSessionPipes ağ belirteciyle isteğinizi ele alındığında belirli bir ağ paylaşımına veya adlandırılmış bir yöneltmenin erişime izin vermek için kullanılabilir.

    Ağ simgesi olan ve bir ağ kaynağına bir bağlantı kurmaya çalışırsanız, işletim sistemi doğrulanmamış bağlantısı ("NULL oturum" anılacaktır) olarak bir bağlantı kurmaya çalışır. Bu kayıt defteri ayarı bilgisayarda IIS bilgisayarındaki ağ kaynak paylaşımı yapılması gerekir. NullSessionShare veya NullSessionPipe bir ağ belirteciyle erişmeye çalışırsanız, tipik Microsoft Windows kimlik doğrulaması kullanılır ve kaynağa erişimi Kimliğine bürünülen kullanıcı hesabı kullanıcı haklarının temel alır.

  • Ağ erişimi olan bir iş parçacığı simgesi oluşturmak için kendi kimliğe bürünme potansiyel olarak gerçekleştirebilirsiniz.

    LogonUser ve ImpersonateLoggedOnUser işlevleri farklı bir hesap taklit etmek için kullanılabilir. Bu, kodunuzun için düz metin kullanıcı adı ve parola başka bir hesabın kullanılabilir olmasını gerektirir. LogonUser de çağrıları LogonUser hesabı kullanıcı Yöneticisi'nde "işletim sisteminin bir parçası çalış" ayrıcalığı olmasını gerektirir. Varsayılan olarak, bir HTTP isteğini işleme sırasında IIS taklit çoğu kullanıcılar bu kullanıcı hakkına sahip değilsiniz. Ancak, "İçinde işlem uygulamalar için" bir neden "İşletim sisteminin bir parçası olarak Act" yönetici kimlik bilgilerine sahip LocalSystem hesabını değiştirmek geçerli güvenlik bağlamı için çeşitli yöntemler vardır. İşlem içi ISAPI DLL'ler için IIS oluşturduğu güvenlik bağlamı LocalSystem hesabı olarak değiştirmek için en iyi yolu çağırmaktır
    RevertToSelf işlev. "Out of Process" IIS uygulama çalıştırıyorsanız, işlem IWAM_ < makineadı > hesabı ve yerel sistem hesabı altında çalıştığı için bu mekanizmayı varsayılan olarak çalışmaz. Varsayılan olarak, IWAM_ < makineadı > "işletim sisteminin bir parçası çalış" yönetici kimlik bilgilerine sahip "Değil".

  • Microsoft Transaction Server (MTS) sunucu paketi veya COM + sunucu uygulaması için ASP sayfasından çağrılır bileşenini ekleyin ve ardından belirli bir kullanıcı paket kimliğini belirtin.

    Not: Bileşen IIS dışında ayrı bir .exe dosyasını çalıştırır.

  • Basic/düz metin kimlik doğrulaması ile bir ağ izlemesi kimlik bilgilerini elde etmek son derece kolay olduğu için SSL kullanarak verileri şifrelemek öneririz. SSL yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

    nasıl oluşturmak ve Internet Information Server 4.0 bir SSL sertifikası yüklemek için

Not: Burada parola eşitleme devre dışı bırakılır ve istekleri LogonMethod metatabanı özelliğini ayarlarsanız, temel (Şifresiz metin oturum açma) kimlik doğrulaması kullanılarak kimliği doğrulanmış anonim istekler için ağ erişimi engelleyebilirsiniz unutmayın "(gösteren bir ağ oturumu açma, kimliğe bürünme belirteci oluşturmak için kullanılır) 2". Bu ayar, yalnızca ağ token sınırlandırmadan kaçınmak istekleri için NullSessionShares veya NullSessionPipes bağlanmak için yoludur.


Ağ paylaşımlarına eşlenmiş sürücü harfleri kullanmayın. Sadece sadece seçmek için 26 olası sürücü harfi vardır, ancak farklı bir güvenlik bağlamında eşlenen bir sürücü harfini kullanmayı denerseniz, sorunları ortaya çıkabilir. Bunun yerine, kaynaklara erişmek için her zaman Evrensel Adlandırma Kuralı (UNC) adları kullanmalısınız. Biçimi aşağıdaki gibi olmalıdır:

\\MyServer\filesharename\directoryname\filenameUNC kullanma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

, UNC paylaşımı kullandığınızda IIS güvenlik önerileri

Bu makaledeki bilgiler, yalnızca Internet Information Server 4.0 için geçerlidir. Internet Information Server 5.0 (yani Windows 2000 ile birlikte), yeni kimlik doğrulama türleri ve özellikleri önemli değişiklikler vardır. Bu makalede açıklanan kavramlar çoğu hala IIS 5.0 için geçerli olsa da, bu makaledeki belirli kimlik doğrulama düzenleri ile oluşturulan kimliğe bürünme belirteci türleri hakkında ayrıntılar kesinlikle IIS 4.0 için geçerlidir.

nasıl uygulamaları değil Sistem hesabı bağlamında çalışır.

Ne tür bir oturum açma istekleri işlemek üzere IIS sunucunuzda oluşmasını belirleyemiyorsanız, oturum açma ve oturum kapamalarının denetimini kapatabilirsiniz. Şu adımları izleyin:


  1. Başlat' ı tıklatın, Ayarlar' ı tıklatın, Denetim Masası' nı tıklatın, Yönetimsel Araçlar' ı ve Ardından yerel güvenlik ilkesi' ni tıklatın.

  2. Yerel Güvenlik İlkesi, soldaki ağaç görünümü bölmesinde açtıktan sonra Güvenlik ayarları' nı tıklatın, Yerel ilkelerve Denetim İlkesi' ni tıklatın.

  3. Denetim oturum açma olayı çift tıklatın ve başarı ve başarısızlık'ıtıklatın. Olay günlüğü girdilerine altında güvenlik günlüğüne eklenir. Oturum açma türü altında Olay Ayrıntıları bakarak, oturum açma türünü belirleyebilirsiniz:

2=Interactive
3=Network
4=Batch
5=Service

Başvurular

Ağ güvenliği hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

çalışan sistem hesabı başarısız Ağ Erişim hizmeti

Hizmetleri veya yeniden yönlendirilmiş sürücülerle

nasıl uygulamaları değil Sistem hesabı bağlamında çalışır.

, UNC paylaşımı kullandığınızda IIS güvenlik önerileri

parola eşitleme geçiş sonra parolayı el ile girmeniz gerekir

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×