Mengonfigurasi IIS 5.0 dan yang lebih baru untuk WMI ASP Scripting
Semua pengaturan autentikasi dibuat melalui Pengelola Layanan Internet.
Saat mengonfigurasi keamanan Internet Information Server (IIS) 5.0 dan IIS 6.0 untuk skrip WMI ASP, pertimbangkan masalah berikut:
-
Anda dapat mengonfigurasi di tingkat server, direktori, atau file.
-
Anda dapat mengatur autentikasi ke Anonim, Windows Terintegrasi, atau keduanya.
-
Anda dapat mengatur ASP untuk menjalankan dalam proses (perlindungan rendah), atau di luar proses dengan menggunakan Dllhost.exe (perlindungan sedang atau tinggi).
Tingkat Autentikasi
Untuk keamanan tambahan, Anda dapat mengonfigurasi autentikasi di tingkat direktori atau file.
Jika autentikasi diatur di tingkat server, semua direktori dan file berikutnya mematuhi autentikasi server kecuali diubah secara eksplisit di tingkat direktori atau file. Anda dapat membuat struktur direktori untuk berisi semua skrip WMI ASP di mana halaman HTML dan ASP khusus untuk WMI dapat dikonfigurasi secara independen dari server lainnya. Lakukan prosedur berikut untuk mengubah tingkat autentikasi server, direktori, atau file.
Untuk mengatur autentikasi di tingkat apa pun
Di Panel Kontrol, klik dua kali Alat Administratif, lalu klik dua kali snap-in IIS.
Temukan ikon halaman ASP, lalu buka properti untuk tingkat yang akan diatur, yang dapat berupa server, direktori, atau file.
Catatan
Pengaturan autentikasi terletak pada tab Keamanan Direktori atau Keamanan File dari lembar Properti.
Pengaturan Autentikasi
Untuk skrip WMI ASP, kombinasi autentikasi Anonim dinonaktifkan (tidak dicentang), dan autentikasi Windows Terintegrasi diaktifkan (dicentang) memberikan kesempatan yang lebih besar untuk mengatur keamanan. Untuk menggunakan pengaturan autentikasi NT LAN Manager (NTLM), Passport, atau Digest IIS, Anda harus mengaktifkan hak istimewa pengaktifan jarak jauh, karena pengguna diperlakukan sebagai identitas jaringan dan dicatat dari jarak jauh. Pengaturan pengaktifan jarak jauh tidak diperlukan untuk autentikasi Anonim dan Dasar. Namun, sistem ini jauh kurang aman ketika Anda menggunakan autentikasi Anonim dan Dasar.
Jika autentikasi Anonim digunakan dengan atau tanpa autentikasi Windows Terintegrasi, pendekatan yang paling aman adalah menggunakan log masuk yang mengharuskan pengguna memasukkan nama pengguna dan kata sandi. Log masuk default adalah identitas IIS, tetapi masuk dapat dibuat dengan menggunakan izin tertentu yang cocok untuk Skrip ASP WMI yang dapat digunakan sebagai akun untuk koneksi anonim atau tamu.
Jika Anda memilih pengidentifikasi masuk yang bukan identitas IIS, kosongkan kotak centang Izinkan IIS mengontrol kata sandi , dan masukkan kata sandi yang benar. Ini memaksa semua koneksi anonim atau tamu untuk menggunakan pengidentifikasi masuk. Dengan membuat log masuk yang terpisah dari identitas IIS, hak istimewa akun yang mengakses WMI dapat dikontrol tanpa memengaruhi direktori atau file lain di server IIS—kecuali autentikasi diatur di tingkat server.
Lakukan prosedur berikut untuk mengatur persyaratan autentikasi untuk halaman ASP menggunakan snap-in IIS di Panel Kontrol.
Untuk masuk ke pengaturan akun
Di Panel Kontrol, klik dua kali ikon Alat Administratif, buka snap-in IIS, temukan halaman ASP Anda, dan buka properti tingkat yang akan diatur, yang dapat berupa server, direktori, atau file.
Pengaturan autentikasi dapat ditemukan pada tab Keamanan Direktori atau Keamanan File dari lembar Properti .
Di area autentikasi Anonim, klik Edit.
Jika pengidentifikasi masuk selain identitas IIS dipilih, kosongkan kotak centang Izinkan IIS mengontrol kata sandi, dan masukkan kata sandi yang benar. Ini memaksa semua koneksi anonim atau tamu untuk menggunakan pengidentifikasi masuk.
Dengan menggunakan log masuk yang berbeda dari identitas IIS, hak istimewa akun yang mengakses WMI dapat dikontrol tanpa memengaruhi direktori atau file lain di server IIS—kecuali autentikasi diatur di tingkat server.
Konfigurasi sebelumnya memungkinkan server IIS untuk menggunakan autentikasi Anonim di beberapa area, dan Windows Terintegrasi atau autentikasi campuran di area lain.
Proteksi
Pertimbangan terakhir saat mengonfigurasi server IIS adalah perlindungan mana yang akan digunakan saat menjalankan ASP.
Anda dapat mengatur ASP untuk menjalankan hal berikut:
Dalam proses ke IIS (perlindungan rendah).
Eksternal IIS dengan Dllhost.exe sebagai kumpulan atau di luar proses (perlindungan sedang terkumpul).
Host mandiri di luar proses (perlindungan tinggi).
Catatan
Untuk keseimbangan terbaik keamanan dan performa, gunakan host terkumpul.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk