Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để truy cập mạng tập tin từ các ứng dụng IIS

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 207671
Chúng tôi khuyên tất cả người dùng nâng cấp lên Microsoft Internet Information Services (IIS) phiên bản 7.0 chạy trên Microsoft Windows Server 2008. IIS 7.0 làm tăng đáng kể bảo mật cơ sở hạ tầng Web. Để biết thêm thông tin về các chủ đề liên quan đến bảo mật IIS, ghé thăm Web site sau của Microsoft:Để biết thêm thông tin về IIS 7.0, hãy ghé thăm Web site sau của Microsoft:

TRONG TÁC VỤ NÀY

Tóm tắt
Bài viết này cung cấp thông tin về sự cố truy nhập tệp trên máy tính khác với máy chủ Internet Information Server (IIS) một phần mở rộng API máy chủ Internet (ISAPI), trang chủ hiện hoạt (ASP) hoặc ứng dụng giao diện cổng nối chung (CGI). Bài viết này liệt kê một số vấn đề có liên quan đến một số phương pháp có thể để thực hiện việc này.

Mặc dù bài viết này được viết chủ yếu trong ngữ cảnh của truy cập fileson mạng chia sẻ, các khái niệm tương tự áp dụng cho kết nối ống dẫn có tên là tốt. Ống dẫn có tên thường được sử dụng để kết nối SQL Server cũng forremote cuộc gọi thủ tục (RPC) và mô hình đối tượng thành phần (COM) truyền thông. Đặc biệt, nếu bạn kết nối với SQL Server trên thenetwork được cấu hình để sử dụng Microsoft Windows NT bảo mật tích hợp, bạn không thể kết nối do các vấn đề được nêu trong bài viết này. RPC và COM cũng có thể sử dụng các kết nối cơ chế thathave tương tự như mạng giao thức xác thực. Do đó, các khái niệm inthis bài viết có thể áp dụng cho một loạt các communicationmechanisms mạng có thể được sử dụng từ các ứng dụng IIS.

back to the top

Xác thực và mạo danh

Khi IIS bản ghi dịch vụ yêu cầu HTTP, IIS thực hiện đóng vai để accessto tài nguyên để xử lý yêu cầu được giới hạn thích hợp. Bối cảnh an ninh Theimpersonated dựa trên loại authenticationperformed yêu cầu. Các năm loại authenticationavailable từ IIS 4.0 là:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Loại mã thông báo

Hay không được phép truy cập vào tài nguyên mạng là thekind đóng vai thẻ mà yêu cầu đang được xử lý.
  • Mạng thẻ "Không" cho phép truy nhập tài nguyên mạng. (Thẻ mạng được đặt tên như vậy vì loại thẻ traditionallycreated bởi máy chủ khi người dùng được xác thực qua mạng. Toallow server sử dụng một thẻ mạng để hoạt động như một mạng khách hàng andaccess một máy chủ được gọi là "đoàn" và là một lỗ possiblesecurity.)
  • Thẻ tương tác thường được sử dụng khi xác thực người dùng cục bộ trên máy tính. Thẻ tương tác cho phép truy nhập tài nguyên trên mạng.
  • Lô thẻ được thiết kế để cung cấp một ngữ cảnh bảo mật mà công việc thực thi chạy. Lô thẻ có quyền truy cập mạng.
IIS có khái niệm kí nhập Văn bản rõ ràng . kí nhập Văn bản rõ ràng được đặt tên như vậy do thefact IIS đó có tên người dùng và mật khẩu trong văn bản rõ ràng.Bạn có thể kiểm soát xem kí nhập Văn bản rõ ràng tạo một thẻ mạng, một mã thông báo tương tác hoặc thẻ hàng loạt bằng cách đặt thuộc tính LogonMethod trong themetabase. theo mặc định, kí nhập Văn bản rõ ràng nhận được một tương tác tokenand có phép truy nhập tài nguyên mạng. LogonMethod có thể được cấu hình máy chủ, các web site, mục tin thư thoại ảo, mục tin thư thoại hoặc tệp cấp.

Truy nhập vô danh impersonates tài khoản cấu hình là ẩn danh userfor yêu cầu. theo mặc định, IIS có một người dùng ẩn danh accountcalled IUSR_<machinename> đang bị mạo danh khi xử lý yêu cầu không xác thực. theo mặc định IIS 4.0 có một cấu hình featurecalled "Kích hoạt tự động mật khẩu đồng bộ hóa" sử dụng securitysub quyền để tạo ra mã thông báo. Mã thông báo được tạo trong cách arenetwork thẻ này "" có phép truy nhập vào máy tính khác trên thenetwork. Nếu bạn vô hiệu hoá tự động đồng bộ hoá mật khẩu, mã thông báo createsthe IIS theo cách tương tự như kí nhập Văn bản rõ ràng được đề cập trước đó.Tự động đồng bộ hoá mật khẩu này chỉ sẵn có cho tài khoản đó arelocated trên cùng một máy tính với IIS. Vì vậy, nếu bạn thay đổi tài khoản youranonymous tài khoản miền, bạn không thể useAutomatic đồng bộ hoá mật khẩu và bạn nhận được kí nhập Văn bản rõ ràng .Ngoại lệ là nếu bạn cài đặt chuyên biệt IIS trên bộ điều khiển miền chính của bạn. Inthis trường hợp, tài khoản miền trên máy tính cục bộ. Tuỳ chọn tự động đồng bộ hoá mật khẩu và anonymousaccount có thể beconfigured tại máy chủ web site, mục tin thư thoại ảo, mục tin thư thoại orthe tệp cấp.

Bạn phải nhập mã thông báo, chính xác là bước đầu tiên trong một resourceon mạng truy cập. Bạn cũng phải mạo danh tài khoản có accessto tài nguyên trên mạng. theo mặc định, IUSR_<machinename> accountthat IIS tạo cho yêu cầu danh tồn tại trên máy tính cục bộ. Ngay cả khi bạn vô hiệu hoá tự động đồng bộ hoá mật khẩu để mình có thể tương tác một mã thông báo rằng có thể truy nhập tài nguyên mạng, IUSR_<machinename> tài khoản thường không có phép truy nhập tài nguyên mạng tomost do đây là tài khoản unrecognizedon máy tính khác. Nếu bạn muốn truy nhập tài nguyên mạng với anonymousrequests, bạn phải thay thế vào tài khoản mặc định với anaccount trong một miền trên mạng của bạn có thể được chấp nhận bởi allcomputers. Nếu bạn cài đặt chuyên biệt IIS trên bộ điều khiển miền, IUSR_<machinename> tài khoản là trương mục vùng và mustbe nhận dạng máy tính khác trên mạng mà không cần dùng additionalaction.

</machinename></machinename></machinename></machinename>back to the top

Tránh sự cố

Dưới đây là cách để tránh sự cố khi bạn truy cập mạng resourcesfrom của ứng dụng IIS:
  • Giữ tệp trên máy tính cục bộ.
  • Một số phương pháp kết nối mạng không cần kiểm tra bảo mật. Ví dụ sử dụng Windows sockets.
  • Bạn có thể cung cấp trực tiếp tới các tài nguyên mạng của máy tính byconfiguring mục tin thư thoại ảo là:
    "Chia sẻ trên máy tính khác."
    Tất cả quyền truy cập vào máy tính chia sẻ tài nguyên mạng được thực hiện trong ngữ cảnh của người được chỉ định trong kết nối as. hộp thoại. Điều này xảy ra nomatter loại xác thực được cấu hình cho virtualdirectory. Bằng cách sử dụng tuỳ chọn này, tất cả các tệp chia sẻ mạng có sẵn từ trình duyệt truy cập vào máy tính IIS.
  • Sử dụng vô danh xác thực không tự động đồng bộ hoá mật khẩu hoặc sự xác thực cơ bản.

    theo mặc định, mạo danh máy chủ thông tin Internet làm cho sự xác thực cơ bản cung cấp một mã thông báo có thể truy nhập tài nguyên mạng (không giống như Windows NT thách thức/phản hồi, cung cấp một mã thông báo không thể truy nhập tài nguyên mạng). Xác thực vô danh, thẻ chỉ có thể truy nhập tài nguyên mạng nếu đồng bộ hoá mật khẩu tự động bị tắt. theo mặc định, đồng bộ hoá mật khẩu tự động được kích hoạt khi máy chủ thông tin Internet đầu tiên được cài đặt chuyên biệt. Cấu hình mặc định, người dùng ẩn danh mã thông báo không thể truy nhập tài nguyên mạng.
    259353 Phải nhập mật khẩu bằng tay sau khi bạn chuyển đổi đồng bộ hoá mật khẩu
  • Đặt cấu hình tài khoản vô danh tài khoản miền.

    Điều này cho phép vô danh yêu cầu khả năng truy cập đến các tài nguyên trên thenetwork. Để ngăn chặn tất cả các yêu cầu danh có quyền truy cập mạng, youmust chỉ tài khoản vô danh tài khoản miền trên virtualdirectories cụ thể yêu cầu truy cập.
  • Cấu hình tài khoản vô danh với cùng tên người dùng và mật khẩu trên máy tính chia sẻ mạng tài nguyên andthen vô hiệu hoá tự động đồng bộ hoá mật khẩu.

    Nếu bạn thực hiện việc này, bạn phải chắc chắn rằng mật khẩu kết hợp chính xác. Phương pháp này phải chỉ beused khi các "cấu hình tài khoản vô danh với tài khoản miền" đề cập trước đó không phải là tuỳ chọn cho một số lý do.
  • NullSessionShares và NullSessionPipes có thể được sử dụng để cho phép accessto chia sẻ mạng cụ thể hoặc vào một tên ống khi yêu cầu của bạn được xử lý thẻ mạng.

    Nếu bạn có một thẻ mạng và bạn cố gắng kết nối tới tài nguyên mạng, systemtries hoạt động thiết lập kết nối với một kết nối không xác thực (được gọi là "Không buổi"). Thiết đặt kiểm nhập này phải madeon máy tính chia sẻ tài nguyên mạng, không phải trên máy tính IIS. Nếu youtry truy cập vào NullSessionShare hoặc NullSessionPipe với một không-networktoken, xác thực Microsoft Windows thông thường được sử dụng và truy cập vào theresource dựa trên quyền accountuser của impersonated.
  • Bạn có thể có khả năng thực hiện mình tocreate đóng vai một mã thông báo chủ đề có thể truy cập mạng.

    Có thể sử dụng chức năng LogonUser và chức năng ImpersonateLoggedOnUser mạo danh một differentaccount. Điều này đòi hỏi bạn phải xoá văn bản tên người dùng và passwordof tài khoản khác có mã của bạn. LogonUser cũng yêu cầu tài khoản gọi LogonUser có đặc quyền "Hoạt động như một phần của hệ điều hành" trong trình quản lý người dùng. theo mặc định, hầu hết người dùng IIS impersonates whileit xử lý một HTTP yêu cầu không có quyền người dùng này. Tuy nhiên, cho trong quá trình ứng dụng"" có nhiều cách để làm bối cảnh an ninh yourcurrent để thay đổi tài khoản LocalSystem, mà doeshave "Hoạt động như một phần của hệ điều hành" Uỷ nhiệm quản trị. Đối với ISAPI DLLsthat chạy trong tiến trình, cách tốt nhất để thay đổi bảo mật contextthat IIS đã tạo tài khoản LocalSystem là gọi hàmRevertToSelf . Nếu bạn đang chạy các ứng dụng IIS "trong ofProcess", cơ chế này hoạt động theo mặc định vì quá trình isrunning trong IWAM_<machinename> tài khoản và không Systemaccount địa phương. theo mặc định, IWAM_<machinename> "" có "Hoạt động như một phần của hệ điều hành" Uỷ nhiệm quản trị.</machinename> </machinename>
  • Thêm cấu phần được gọi là trang ASP máy chủ giao dịch Microsoft (MTS) i hoặc ứng dụng COM + chủ, và sau đó chỉ định người dùng cụ thể là danh sách gói.

    Lưu ý Phần chạy trong tệp .exe riêng bên ngoài của IIS.
  • Với xác thực cơ bản/xoá văn bản, chúng tôi khuyên bạn mã hóa dữ liệu bằng cách sử dụng SSL vì nó rất dễ dàng để lấy thông tin từ một dấu kiểm vết mạng. Để biết thêm thông tin về cách cài đặt chuyên biệt SSL, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    228991 Làm thế nào để tạo và cài đặt chuyên biệt một chứng chỉ SSL Internet thông tin Server 4.0
Lưu ý Đừng quên rằng bạn có thể chặn quyền truy cập mạng ẩn danh yêu cầu đó đồng bộ hoá mật khẩu bị vô hiệu hoá và yêu cầu được xác thực bằng cách sử dụng sự xác thực cơ bản (đăng nhậpVăn bản rõ ràng ) nếu bạn đặt thuộc tính siêu dữ liệu LogonMethod "2" (chỉ kí nhập mạng được sử dụng để tạo mã thông báo đóng vai). Với cài đặt chuyên biệt này, cách duy nhất để yêu cầu để tránh hạn chế mã thông báo mạng là kết nối với NullSessionShares hoặc NullSessionPipes.

Không sử dụng ổ đĩa để chia sẻ mạng. Notonly có chỉ 26 tên trình điều khiển tiềm năng để chọn từ, nhưng nếu bạn tryto sử dụng tên ổ đĩa được ánh xạ trong ngữ cảnh bảo mật khác, sự cố có thể xảy ra. Thay vào đó, bạn phải luôn sử dụng toàn cầu đặt tên Convention(UNC) tên truy nhập tài nguyên. Định dạng phải trông giống như thefollowing:
\\MyServer\filesharename\directoryname\filename
Để biết thêm thông tin về cách sử dụng UNC, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
280383 Khuyến nghị IIS bảo mật khi bạn sử dụng chia sẻ UNC
Thông tin trong bài viết này chỉ liên quan đến Internet InformationServer 4.0. Trong máy chủ thông tin Internet 5.0 (đi kèm với Windows2000), có các thay đổi đáng kể authenticationtypes mới và khả năng. Mặc dù hầu hết các khái niệm articlestill này áp dụng cho IIS 5.0, chi tiết về các loại thẻ mạo danh được tạo ra với các giao thức xác thực trong bài viết applystrictly vào IIS 4.0.

319067 Làm thế nào để chạy ứng dụng không có trong ngữ cảnh của tài khoản hệ thống
Nếu bạn không thể xác định loại isoccurring kí nhập vào máy chủ IIS để xử lý yêu cầu, bạn có thể bật auditingfor kí nhập và lần kí xuất sau. Hãy làm theo các bước sau:
  1. Bấm Bắt đầu, bấm cài đặt chuyên biệt, bấm Panel điều khiển, bấm Công cụ quản trị, và sau đó nhấp vào Chính sách bảo mật cục bộ.
  2. Sau khi bạn mở chính sách bảo mật cục bộ, trong ô xem cây bên trái, bấm Thiết đặt bảo mật, bấm vào Chính sách cục bộvà sau đó nhấp vào Chính sách kiểm định.
  3. Bấm đúp vào Kiểm tra sự kiện kí nhập và sau đó bấm thành công và thất bại.Nhật ký sự kiện mục areadded trong Nhật ký bảo mật. Bạn có thể xác định loại bylooking kí nhập vào các chi tiết sự kiện trong loại đăng nhập:
2 = tương tác
3 = mạng
4 = lô
5 = bản ghi dịch vụ
back to the top
Tham khảo
Để biết thêm thông tin về bảo mật, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
124184 bản ghi dịch vụ chạy như trương mục hệ thống không thể truy cập mạng
180362 bản ghi dịch vụ và chuyển hướng ổ đĩa
319067 Làm thế nào để chạy ứng dụng không có trong ngữ cảnh của tài khoản hệ thống
280383 Khuyến nghị IIS bảo mật khi bạn sử dụng chia sẻ UNC
259353 Phải nhập mật khẩu bằng tay sau khi bạn chuyển đổi đồng bộ hoá mật khẩu
back to the top
kbdse

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 207671 - Xem lại Lần cuối: 03/15/2015 10:06:00 - Bản sửa đổi: 3.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtvi
Phản hồi
style="display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">