Configuración de IIS 5.0, y versiones posteriores, para el scripting de ASP para WMI
Toda la configuración de autenticación se realiza a través de Administrador de servicios Internet.
Al configurar la seguridad de Internet Information Server (IIS) 5.0 e IIS 6.0 para scripts ASP de WMI, tenga en cuenta los siguientes problemas:
-
La configuración se puede realizar en el nivel de servidor, directorio o archivo.
Configuración de autenticación
Las opciones de autenticación son Anónimo, Integrado en Windows o ambos.
-
Puede establecer que el ASP se ejecute en proceso (protección baja) o fuera de proceso mediante Dllhost.exe (protección media o alta).
Nivel de autenticación
Para mayor seguridad, puede configurar la autenticación en el nivel de directorio o archivo.
Si la autenticación se establece en el nivel de servidor, todos los directorios y archivos subsiguientes se adhieren a la autenticación del servidor, salvo que se modifiquen explícitamente en el nivel de directorio o archivo. Puede crear una estructura de directorios que contenga todos los scripts ASP de WMI en los que las páginas HTML y los ASP específicos de WMI se puedan configurar independientemente del resto del servidor. Realice el siguiente procedimiento para cambiar el nivel de autenticación de un servidor, directorio o archivo.
Para establecer la autenticación en cualquier nivel
En el Panel de control, haga doble clic en Herramientas de administración y, después, haga doble clic en el complemento de IIS.
Busque el icono de la página ASP y abra las propiedades del nivel que se va a establecer, que puede ser servidor, directorio o archivo.
Nota
La configuración de autenticación se encuentra en las pestañas Seguridad de directorios o Seguridad de archivos de la hoja Propiedades.
Configuración de autenticación
En el caso de los scripts ASP de WMI, la combinación de la desactivación de la opción Anónimo de autenticación (no marcada) y la activación de la opción Autenticación integrada de Windows (marcada) ofrece una mayor oportunidad para establecer la seguridad. Para usar la configuración de autenticación mediante NT LAN Manager (NTLM), Passport o Digest IIS, debe activar los privilegios de habilitación remota, ya que el usuario se trata como una identidad de red y se registra de forma remota. El valor de habilitación remota no es necesario para las opciones de autenticación Anónima y Básica. Sin embargo, el sistema es mucho menos seguro cuando se usan las opciones de autenticación Anónima y Básica.
Si la autenticación anónima se usa con o sin la opción Autenticación integrada de Windows, el enfoque más seguro es usar un inicio de sesión que requiera que un usuario escriba un nombre de usuario y una contraseña. El inicio de sesión predeterminado es la identidad de IIS, pero se puede crear un inicio de sesión mediante permisos concretos adecuados para los scripts ASP de WMI que se pueden usar como cuenta para las conexiones anónimas o de invitado.
Si elige un identificador de inicio de sesión que no es una identidad de IIS, desactive la casilla Permitir que IIS controle la contraseña y escriba la contraseña correcta. Esto obliga a todas las conexiones anónimas o de invitado a usar el identificador de inicio de sesión. Al crear un inicio de sesión independientemente de la identidad de IIS, se pueden controlar los privilegios de cualquier cuenta que acceda a WMI sin que ello afecte a los restantes directorios o archivos del servidor IIS (a menos que la autenticación se establezca en el nivel de servidor).
Realice el siguiente procedimiento para establecer los requisitos de autenticación de la página ASP mediante el complemento IIS del Panel de control.
Para obtener el valor de la cuenta
En el Panel de control, haga doble clic en el icono Herramientas administrativas, abra el complemento IIS, busque la página ASP y abra las propiedades del nivel que se va a establecer, que puede ser servidor, directorio o archivo.
La configuración de autenticación se puede encontrar en las pestañas Seguridad de directorios o Seguridad de archivos de la hoja Propiedades.
En el área Autenticación anónima, haga clic en Editar.
Si se selecciona un identificador de inicio de sesión que no sea la identidad de IIS, desactive la casilla Permitir que IIS controle la contraseñay escriba la contraseña correcta. Esto obliga a todas las conexiones anónimas o de invitado a usar el identificador de inicio de sesión.
Al usar un inicio de sesión diferente de la identidad de IIS, se pueden controlar los privilegios de la cuenta que acceda a WMI sin que ello afecte a los restantes directorios o archivos del servidor IIS (a menos que la autenticación se establezca en el nivel de servidor).
La configuración anterior permite que el servidor IIS use la opción de autenticación anónima en algunas zonas y la de integrada en Windows o mixta en otras.
Protección
El último factor que se debe tener en cuenta al configurar el servidor IIS es la protección que se va a usar al ejecutar un ASP.
Puede establecer un ASP para ejecutar lo siguiente:
En proceso a IIS (protección baja).
Externo a IIS con Dllhost.exe como agrupado o fuera de proceso (protección media agrupada).
Fuera de proceso de prueba interna (alta protección).
Nota
Para obtener el mejor equilibrio entre seguridad y rendimiento, use el host agrupado.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de