Настройка IIS 5.0 и более поздних версий для скриптов WMI ASP

Все параметры проверки подлинности выполняются с помощью диспетчера служб Интернета.

При настройке безопасности IIS 5.0 и IIS 6.0 для скриптов ASP WMI рассмотрите следующие проблемы:

  • Уровень проверки подлинности

    Можно настроить на уровне сервера, каталога или файла.

  • Параметр проверки подлинности

    Вы можете задать для проверки подлинности анонимный, интегрированный Windows или оба варианта.

  • Защита

    Вы можете настроить запуск ASP в процессе (низкая защита) или вне процесса с помощью Dllhost.exe (средняя или высокая защита).

Уровень проверки подлинности

Для обеспечения безопасности можно настроить проверку подлинности на уровне каталога или файла.

Если проверка подлинности устанавливается на уровне сервера, все последующие каталоги и файлы соответствуют проверке подлинности сервера, если только они не были явно изменены на уровне каталога или файла. Можно создать структуру каталогов для хранения всех скриптов ASP WMI, в которых HTML-страницы и ASP, относящиеся к WMI, можно настроить независимо от остальной части сервера. Выполните следующую процедуру, чтобы изменить уровень проверки подлинности сервера, каталога или файла.

Настройка проверки подлинности на любом уровне

  1. В панель управления дважды щелкните "Администрирование" и дважды щелкните оснастку IIS.

  2. Найдите значок страницы ASP, а затем откройте свойства для заданного уровня, который может быть сервером, каталогом или файлом.

    Примечание

    Параметры проверки подлинности находятся на вкладке "Безопасность каталога " или " Безопасность файлов " таблицы "Свойства".

     

Параметр проверки подлинности

Для скриптов ASP WMI сочетание анонимной проверки подлинности отключено (снято), а встроенная проверка подлинности Windows включена (установленная) предоставляет больше возможностей для настройки безопасности. Чтобы использовать параметры проверки подлинности NT LAN Manager (NTLM), Passport или Digest IIS, необходимо включить удаленные права включения, так как пользователь обрабатывается как сетевое удостоверение и регистрируется удаленно. Параметр удаленного включения не требуется для анонимной и обычной проверки подлинности. Однако система гораздо менее безопасна при использовании анонимной и обычной проверки подлинности.

Если анонимная проверка подлинности используется с интегрированными проверка подлинности Windows или без нее, наиболее безопасным подходом является использование входа, требующего ввода имени пользователя и пароля. Вход по умолчанию — это удостоверение IIS, но вход можно создать с помощью определенных разрешений, подходящих для скриптов ASP WMI, которые можно использовать в качестве учетной записи для анонимных или гостевых подключений.

Если вы выбрали идентификатор входа, который не является удостоверением IIS, снимите флажок "Разрешить IIS управлять паролем " и введите правильный пароль. Это заставляет все анонимные или гостевые подключения использовать идентификатор входа. Создавая вход отдельно от удостоверения IIS, можно контролировать привилегии учетной записи, обращаюсь к WMI, не затрагивая другие каталоги или файлы на сервере IIS, если проверка подлинности не задана на уровне сервера.

Выполните следующую процедуру, чтобы задать требования к проверке подлинности для страницы ASP с помощью оснастки IIS в панель управления.

Получение параметра учетной записи

  1. В панель управления дважды щелкните значок "Администрирование", откройте оснастку IIS, найдите страницу ASP и откройте свойства заданного уровня, который может быть сервером, каталогом или файлом.

    Параметры проверки подлинности можно найти на вкладке "Безопасность каталога " или " Безопасность файлов " на странице "Свойства ".

  2. В области анонимной проверки подлинности нажмите кнопку "Изменить".

  3. Если выбран идентификатор входа, отличный от удостоверения IIS, снимите флажок " Разрешить IIS управлять паролем" и введите правильный пароль. Это заставляет все анонимные или гостевые подключения использовать идентификатор входа.

Используя вход, отличный от удостоверения IIS, права учетной записи, получающей доступ к WMI, можно контролировать, не затрагивая другие каталоги или файлы на сервере IIS, если проверка подлинности не задана на уровне сервера.

Предыдущая конфигурация позволяет серверу IIS использовать анонимную проверку подлинности в некоторых областях, а также встроенную Windows или смешанную проверку подлинности в других областях.

Защита

Последнее внимание при настройке сервера IIS — это защита, используемая при выполнении ASP.

Вы можете задать ASP для выполнения следующего вида:

  • Внутрипроцессные службы IIS (низкая защита).

  • Вне службы IIS с Dllhost.exe в составе пула или вне процесса (защита в пуле среднего уровня).

  • Внепроцессный локальный узел (высокая защита).

Примечание

Для оптимального баланса безопасности и производительности используйте узел в пуле.