Konfigurieren von IIS 5.0 und höher für WMI-ASP-Skripterstellung
Alle Authentifizierungseinstellungen werden über den Internetdienste-Manager vorgenommen.
Berücksichtigen Sie beim Konfigurieren von Internet Information Server (IIS) 5.0 und IIS 6.0-Sicherheit für WMI-ASP-Skripts die folgenden Probleme:
-
Sie können die Konfiguration auf Server-, Verzeichnis- oder Dateiebene ausführen.
-
Sie können die Authentifizierung auf Anonym, integriertes Windows oder beides festlegen.
-
Sie können ASP so festlegen, dass er prozessintern (niedriger Schutz) oder Out-of-Process ausgeführt wird, indem Sie Dllhost.exe (mittlerer oder hoher Schutz) verwenden.
Authentifizierungsebene
Um die Sicherheit zu erhöhen, können Sie die Authentifizierung auf Verzeichnis- oder Dateiebene konfigurieren.
Wenn die Authentifizierung auf Serverebene festgelegt ist, entsprechen alle nachfolgenden Verzeichnisse und Dateien der Serverauthentifizierung, sofern nicht explizit auf Verzeichnis- oder Dateiebene geändert. Sie können eine Verzeichnisstruktur erstellen, die alle WMI-ASP-Skripts enthält, in denen WMI-spezifische HTML-Seiten und ASPs unabhängig vom Rest des Servers konfiguriert werden können. Führen Sie das folgende Verfahren aus, um die Authentifizierungsebene eines Servers, Verzeichnisses oder einer Datei zu ändern.
So legen Sie die Authentifizierung auf einer beliebigen Ebene fest
Doppelklicken Sie in der Systemsteuerung zuerst auf Verwaltung und dann auf IIS Snap-in.
Suchen Sie das ASP-Seitensymbol, und öffnen Sie dann die Eigenschaften für die festzulegende Ebene( Server, Verzeichnis oder Datei).
Hinweis
Die Authentifizierungseinstellungen befinden sich entweder auf der Registerkarte Verzeichnissicherheit oder Dateisicherheit des Eigenschaftenblatts.
Authentifizierungseinstellung
Bei WMI-ASP-Skripts bietet die Kombination aus deaktivierter anonymer Authentifizierung (deaktiviert) und aktivierter integrierter Windows-Authentifizierung (aktiviert) größere Möglichkeiten zum Festlegen der Sicherheit. Um die IIS-Authentifizierungseinstellungen NTLM (NTLM), Passport oder Digest verwenden zu können, müssen Sie die Remoteaktivierungsberechtigungen aktivieren, da der Benutzer als Netzwerkidentität behandelt und remote protokolliert wird. Die Remoteaktivierungseinstellung ist für anonyme Authentifizierung und Standardauthentifizierung nicht erforderlich. Das System ist jedoch viel weniger sicher, wenn Sie anonyme und Standardauthentifizierung verwenden.
Wenn anonyme Authentifizierung mit oder ohne integrierte Windows-Authentifizierung verwendet wird, besteht der sicherste Ansatz darin, eine Anmeldung zu verwenden, bei der ein Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Die Standardanmeldung ist die IIS-Identität, aber eine Anmeldung kann mithilfe bestimmter Berechtigungen erstellt werden, die für die WMI-ASP-Skripts geeignet sind und als Konto für die anonymen oder Gastverbindungen verwendet werden können.
Wenn Sie einen Anmeldebezeichner auswählen, der keine IIS-Identität ist, deaktivieren Sie das Kontrollkästchen Kennwortsteuerung durch IIS zulassen, und geben Sie das richtige Kennwort ein. Dadurch wird erzwungen, dass alle anonymen oder Gastverbindungen den Anmeldebezeichner verwenden. Durch das Erstellen einer von der IIS-Identität getrennten Anmeldung können die Berechtigungen eines Kontos, das auf WMI zugreift, ohne sich auf die anderen Verzeichnisse oder Dateien auf dem IIS-Server zu auswirken– es sei denn, die Authentifizierung ist auf Serverebene festgelegt.
Führen Sie das folgende Verfahren aus, um die Authentifizierungsanforderungen für die ASP-Seite mithilfe des IIS-Snap-Ins im Systemsteuerung festzulegen.
So rufen Sie die Kontoeinstellung auf
Doppelklicken Sie in Systemsteuerung auf das Symbol Verwaltung, öffnen Sie das IIS-Snap-In, suchen Sie Ihre ASP-Seite, und öffnen Sie die Eigenschaften der festzulegenden Ebene, z. B. Server, Verzeichnis oder Datei.
Die Authentifizierungseinstellungen finden Sie entweder auf der Registerkarte Verzeichnissicherheit oder Dateisicherheit des Eigenschaftenblatts.
Klicken Sie auf Bearbeiten im Bereich anonyme Authentifizierung.
Wenn ein anderer Anmeldebezeichner als die IIS-Identität ausgewählt ist, deaktivieren Sie das Kontrollkästchen Kennwortsteuerung durch IIS zulassen, und geben Sie das richtige Kennwort ein. Dadurch wird erzwungen, dass alle anonymen oder Gastverbindungen den Anmeldebezeichner verwenden.
Durch die Verwendung einer anderen als der IIS-Identität in der Anmeldung können die Berechtigungen des Kontos, das auf WMI zugreift, ohne sich auf die anderen Verzeichnisse oder Dateien auf dem IIS-Server zu auswirken– es sei denn, die Authentifizierung ist auf Serverebene festgelegt.
Die vorherige Konfiguration ermöglicht es dem IIS-Server, in einigen Bereichen die anonyme Authentifizierung und in anderen Bereichen die integrierte Windows- oder gemischte Authentifizierung zu verwenden.
Schutz
Die letzte Überlegung beim Konfigurieren des IIS-Servers ist, welcher Schutz beim Ausführen eines ASP-Servers verwendet werden soll.
Sie können eine ASP so festlegen, dass Folgendes ausgeführt wird:
Prozessintern in IIS (niedriger Schutz).
Außerhalb von IIS mit Dllhost.exe als gepoolt oder Out-of-Process (Pooled Medium Protection).
Out-of-Process-Self-Host (hoher Schutz).
Hinweis
Verwenden Sie den gepoolten Host, um ein optimales Verhältnis zwischen Sicherheit und Leistung zu erzielen.