Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Access 2013, Office 2013
Aspectos de seguridad en Microsoft Internet Explorer
Con las nuevas mejoras de seguridad agregadas a Microsoft Internet Explorer, algunos objetos ADO y RDS están restringidos a ejecutarse solo en un entorno de modo "seguro". Esto requiere tener en cuenta estos aspectos, incluidos las diferentes zonas, niveles de seguridad, comportamiento restrictivo, operaciones no seguras y configuraciones de seguridad personalizadas.
Para obtener más información acerca de estos aspectos, vea "ADO and RDS Security Issues in Microsoft Internet Explorer" (en inglés) en los artículos técnicos sobre Objetos de datos ActiveX (ADO).
Seguridad y el servidor web
Si usa el objeto RDSServer.DataFactory en el servidor web de Internet, recuerde que hacerlo crea un riesgo de seguridad potencial. Los usuarios externos que obtienen un nombre de origen de datos (DSN) válido, un identificador de usuario y la información de contraseña podrían escribir páginas para enviar cualquier consulta a ese origen de datos. Si desea un acceso más restringido a un origen de datos, una opción consiste en eliminar el objeto RDSServer.DataFactory (msadcf.dll) y, en su lugar, usar objetos de negocio personalizados con consultas codificadas de forma rígida.
Para obtener más información sobre las implicaciones de seguridad del uso del objeto RDSServer.DataFactory, consulte el Boletín de seguridad de Microsoft MS99-025 en el sitio web de Seguridad de Microsoft.
Suplantación de clientes y seguridad
Si la propiedad Autenticación de contraseña del servidor web IIS está establecida en Autenticación de desafío o respuesta de Windows NT (para Windows NT 4.0) o en Autenticación de Windows integrada (para Windows 2000), los objetos empresariales se invocan en el contexto de seguridad del cliente. Esto es una característica nueva en RDS 1.5 que permite la suplantación del cliente a través de HTTP. Cuando se trabaja en este modo, el inicio de sesión en el servidor web (IIS) no es anónimo, pero usa el identificador de usuario y la contraseña en los que se ejecuta el equipo cliente. Si los DSN de ODBC están configurados para usar una conexión de confianza, entonces el acceso a bases de datos, tales como SQL Server, también se produce en el contexto de seguridad del cliente. Esto solo funciona si la base de datos se encuentra en el mismo equipo que el IIS (las credenciales del cliente no se pueden transferir a otro equipo).
Por ejemplo, un cliente, Jesús Escolar, con el identificador de usuario = "JesúsE" y la contraseña = "secreto" ha iniciado una sesión en un equipo cliente. Este cliente ejecuta una aplicación basada en explorador que necesita acceso al objeto RDSServer.DataFactory para crear un Recordset ejecutando una consulta SQL sobre el equipo "MiServidor" que ejecuta IIS. MiServidor, un sistema que ejecuta Windows NT Server 4.0, está configurado para usar autenticación de desafío/respuesta de Windows NT, su DSN de ODBC tiene seleccionado "Usar conexión de confianza", y el servidor también contiene el origen de datos de SQL Server. Cuando se recibe una solicitud en el servidor web, solicita al cliente el identificador de usuario y la contraseña. De este modo, la solicitud se registra en MiServidor como procedente de "JesúsE"/"secreto", en vez de IUSER_MiServidor (que es el valor predeterminado cuando la autenticación mediante contraseña anónima se encuentra activa). Análogamente, al iniciar sesión en el servidor SQL Server, también se usa "JesúsE"/"secreto".
En consecuencia, el modo de autenticación desafío/respuesta de Windows NT para IIS permite que se creen páginas HTML sin que se pida explícitamente al usuario la información de identificador y contraseña necesaria para iniciar una sesión en la base de datos. Si se utilizara el método de autenticación básica de IIS, también se requeriría esto.
Autenticación de contraseña
RDS puede comunicarse con un servidor web IIS que se ejecute en cualquiera de los tres modos de autenticación con contraseña: autenticación anónima, básica o de desafío o respuesta de NT (denominada autenticación de Windows integrada en Windows 2000). Esta configuración define cómo un servidor web controla el acceso a través de él, como requerir que un equipo cliente tenga privilegios de acceso explícitos en el servidor web NT.