Sicurezza delle applicazioni RDS
In questo argomento vengono fornite informazioni sulla sicurezza per RDS.
Importante
A partire da Windows 8 e Windows Server 2012, i componenti del server di RDS non sono più inclusi nel sistema operativo Windows. Per altri dettagli, vedere la Guida di riferimento per la compatibilità di Windows 8 e Windows Server 2012. I componenti del client di RDS verranno rimossi in una versione futura di Windows. Evitare di usare questa funzionalità in un nuovo progetto di sviluppo e prevedere interventi di modifica nelle applicazioni in cui è attualmente implementata. Le applicazioni che usano RDS devono eseguire la migrazione a WCF Data Service.
Problemi di sicurezza di Microsoft Internet Explorer
Con i nuovi miglioramenti della sicurezza aggiunti in Microsoft Internet Explorer, l'esecuzione di alcuni oggetti ADO e RDS è possibile solo in un ambiente in modalità "sicura". Ciò richiede la conoscenza di questi problemi, tra cui zone diverse, livelli di sicurezza, comportamenti restrittivi, operazioni non sicure e impostazioni di sicurezza personalizzate.
Sicurezza e server Web
Se si usa l'oggetto RDSServer.DataFactory nel server Web Internet, tenere presente che in questo modo si crea un potenziale rischio per la sicurezza. Gli utenti esterni che ottengono informazioni valide sul nome dell'origine dati (DSN), sull'ID utente e sulla password possono scrivere pagine per inviare qualsiasi query a tale origine dati. Se si vuole un accesso più limitato a un'origine dati, è possibile annullare la registrazione ed eliminare l'oggetto RDSServer.DataFactory (msadcf.dll) e usare invece oggetti business personalizzati con query hardcoded.
Per altre informazioni sulle implicazioni relative alla sicurezza dell'uso dell'oggetto RDSServer.DataFactory, vedere il Bollettino Microsoft sulla sicurezza MS99-025 nel sito Web Microsoft Security.
Rappresentazione client e sicurezza
Se la proprietà Autenticazione della password per il server Web IIS è impostata sull'autenticazione Windows NT Challenge/Response (per Windows NT 4.0) o sull'autenticazione integrata di Windows (per Windows 2000), gli oggetti business vengono richiamati nel contesto di sicurezza del client. Si tratta di una nuova funzionalità di RDS 1.5 che consente la rappresentazione client su HTTP. Quando si utilizza questa modalità, l'accesso al server Web (IIS) non è anonimo, ma usa l'ID utente e la password con cui è in esecuzione il computer client. Se i DSN ODBC sono configurati per l'uso della connessione trusted, anche l'accesso ai database, come SQL Server, avviene nel contesto di sicurezza del client. Ma questo funziona solo se il database si trova nello stesso computer di IIS; le credenziali client non possono essere trasferite in un altro computer.
Ad esempio, un client, John Doe, con userid="JohnD" e password="secret" viene connesso a un computer client. Esegue un'applicazione basata su browser che deve accedere all'oggetto RDSServer.DataFactory per creare un oggetto Recordset eseguendo una query SQL nel computer "MyServer" che esegue IIS. MyServer, un sistema che esegue Windows NT Server 4.0, è configurato per l'uso dell'autenticazione Windows NT Challenge/Response, per il DSN ODBC è stato selezionato "Usa connessione trusted" e il server contiene anche l'origine dati SQL Server. Quando viene ricevuta una richiesta nel server Web, chiede al client l'ID utente e la password. Pertanto, la richiesta viene registrata su MyServer come proveniente da "JohnD"/"Secret" invece che da IUSER_MyServer (che è l'impostazione predefinita quando è attiva l'autenticazione con password anonima). Analogamente, quando si accede a SQL Server, viene usato "JohnD"/"Secret".
Di conseguenza, la modalità di autenticazione IIS Windows NT Challenge/Response consente di creare pagine HTML senza che all'utente vengano richieste esplicitamente le informazioni sull'ID utente e sulla password necessarie per accedere al database. Se si fosse usata l'autenticazione di base IIS, sarebbe stata necessaria anche questa modalità.
Autenticazione della password
RDS può comunicare con un server Web IIS in esecuzione in una delle tre modalità di autenticazione della password: autenticazione anonima, di base o NT Challenge/Response (denominata autenticazione integrata di Windows in Windows 2000). Queste impostazioni definiscono il modo in cui un server Web controlla l'accesso tramite il server stesso, ad esempio richiedendo che un computer client disponga di privilegi di accesso espliciti nel server Web NT.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per