Konfigurieren von IIS 5.0 und höher für WMI ASP Scripting
Alle Authentifizierungseinstellungen werden über die Internetdienste-Manager.
Berücksichtigen Sie beim Konfigurieren der Sicherheit von Internetinformationsserver (IIS) 5.0 und IIS 6.0 für WMI-ASP-Skripts die folgenden Probleme:
-
Sie können auf Server-, Verzeichnis- oder Dateiebene konfigurieren.
-
Sie können die Authentifizierung auf Anonym, integrierte Windows oder beides festlegen.
-
Sie können festlegen, dass der ASP prozessin process (niedriger Schutz) oder out-of-process ausgeführt wird, indem Dllhost.exe (mittlerer oder hoher Schutz) verwendet wird.
Authentifizierungsebene
Um die Sicherheit zu erhöhen, können Sie die Authentifizierung auf Verzeichnis- oder Dateiebene konfigurieren.
Wenn die Authentifizierung auf Serverebene festgelegt ist, befolgen alle nachfolgenden Verzeichnisse und Dateien die Serverauthentifizierung, sofern sie nicht explizit auf Verzeichnis- oder Dateiebene geändert wurden. Sie können eine Verzeichnisstruktur erstellen, die alle WMI-ASP-Skripts enthält, in denen WMI-spezifische HTML-Seiten und ASPs unabhängig vom Rest des Servers konfiguriert werden können. Führen Sie das folgende Verfahren aus, um die Authentifizierungsebene eines Servers, Verzeichnisses oder einer Datei zu ändern.
So legen Sie die Authentifizierung auf einer beliebigen Ebene fest
Doppelklicken Systemsteuerung auf Verwaltung, und doppelklicken Sie dann auf das IIS-Snap-In.
Suchen Sie das ASP-Seitensymbol, und öffnen Sie dann die Eigenschaften für die ebene, die festgelegt werden soll. Dabei kann es sich um einen Server, ein Verzeichnis oder eine Datei befinden.
Hinweis
Die Authentifizierungseinstellungen befinden sich entweder auf der Registerkarte Verzeichnissicherheit oder Dateisicherheit des Eigenschaftenblatts.
Authentifizierungseinstellung
Für WMI-ASP-Skripts bietet die Kombination aus deaktivierter (deaktivierter) anonymer Authentifizierung und aktivierter (aktivierter) integrierter Windows-Authentifizierung mehr Möglichkeiten zum Festlegen der Sicherheit. Um NT LAN Manager (NTLM), Passport oder Digest IIS-Authentifizierungseinstellungen zu verwenden, müssen Sie die Remote-Aktivierungsberechtigungen aktivieren, da der Benutzer als Netzwerkidentität behandelt und remote protokolliert wird. Die Remote-Aktivierungseinstellung ist für die anonyme Authentifizierung und die Standardauthentifizierung nicht erforderlich. Das System ist jedoch viel weniger sicher, wenn Sie die anonyme und die Standardauthentifizierung verwenden.
Wenn die anonyme Authentifizierung mit oder ohne integrierte Windows-Authentifizierung verwendet wird, besteht der sicherste Ansatz in der Verwendung einer Anmeldung, bei der ein Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Die Standardanmeldung ist die IIS-Identität, aber eine Anmeldung kann mit bestimmten Berechtigungen erstellt werden, die für die WMI-ASP-Skripts geeignet sind, die als Konto für die anonymen Verbindungen oder Gastverbindungen verwendet werden können.
Wenn Sie einen Anmeldebezeichner auswählen, der keine IIS-Identität ist, aktivieren Sie das Kontrollkästchen IiS das Steuern des Kennworts erlauben, und geben Sie das richtige Kennwort ein. Dadurch wird die Verwendung des Anmeldebezeichners für alle anonymen Verbindungen oder Gastverbindungen erzwingt. Durch das Erstellen einer von der IIS-Identität getrennten Anmeldung können die Berechtigungen eines Kontos, das auf WMI zutritt, gesteuert werden, ohne die anderen Verzeichnisse oder Dateien auf dem IIS-Server zu beeinträchtigen – es sei denn, die Authentifizierung ist auf Serverebene festgelegt.
Führen Sie das folgende Verfahren aus, um die Authentifizierungsanforderungen für die ASP-Seite mithilfe des IIS-Snap-Ins im Systemsteuerung.
So erhalten Sie die Kontoeinstellung
Doppelklicken Systemsteuerung auf das Symbol Verwaltung, öffnen Sie das IIS-Snap-In, suchen Sie ihre ASP-Seite, und öffnen Sie die Eigenschaften der ebene, die festgelegt werden soll. Dabei kann es sich um einen Server, ein Verzeichnis oder eine Datei geben.
Authentifizierungseinstellungen finden Sie auf der Registerkarte Verzeichnissicherheit oder Dateisicherheit des Eigenschaftenblatts.
Klicken Sie im Bereich Anonyme Authentifizierung auf Bearbeiten.
Wenn ein anderer Anmeldebezeichner als die IIS-Identität ausgewählt ist, aktivieren Sie das Kontrollkästchen IiS das Steuern des Kennworts erlauben, und geben Sie das richtige Kennwort ein. Dadurch wird die Verwendung des Anmeldebezeichners für alle anonymen Verbindungen oder Gastverbindungen erzwingt.
Durch die Verwendung einer anmeldung, die sich von der IIS-Identität unterscheiden, können die Berechtigungen des Kontos, das auf WMI zutritt, gesteuert werden, ohne die anderen Verzeichnisse oder Dateien auf dem IIS-Server zu beeinträchtigen– es sei denn, die Authentifizierung ist auf Serverebene festgelegt.
Die vorherige Konfiguration ermöglicht es dem IIS-Server, in einigen Bereichen die anonyme Authentifizierung und in anderen Windows oder gemischte Authentifizierung zu verwenden.
Schutz
Der letzte Aspekt beim Konfigurieren des IIS-Servers ist, welcher Schutz beim Ausführen eines ASP verwendet werden soll.
Sie können eine ASP-Datei so festlegen, dass Folgendes ausgeführt wird:
In-Process zu IIS (niedriger Schutz).
Extern zu IIS mit Dllhost.exe als pooled oder out-of-process (pooled medium protection).
Out-of-Process-Self-Host (hoher Schutz).
Hinweis
Verwenden Sie den Poolhost, um ein optimales Gleichgewicht zwischen Sicherheit und Leistung zu erzielen.