Configurazione di IIS 5.0 e versioni successive per script ASP WMI
Tutte le impostazioni di autenticazione vengono eseguite tramite Internet Services Manager.
Quando si configura Internet Information Server (IIS) 5.0 e la sicurezza IIS 6.0 per gli script ASP WMI, prendere in considerazione i problemi seguenti:
-
È possibile configurare a livello di server, directory o file.
Impostazione di autenticazione
È possibile impostare l'autenticazione su Anonimo, Windows integrato o entrambi.
-
È possibile impostare ASP per l'esecuzione in-process (protezione bassa) o out-of-process usando Dllhost.exe (protezione media o elevata).
Livello di autenticazione
Per la sicurezza aggiunta, è possibile configurare l'autenticazione a livello di directory o file.
Se l'autenticazione è impostata a livello di server, tutte le directory e i file successivi rispettano l'autenticazione del server, a meno che non vengano modificati in modo esplicito a livello di directory o file. È possibile creare una struttura di directory per contenere tutti gli script ASP WMI in cui è possibile configurare pagine HTML e ASP specifiche per WMI in modo indipendente dal resto del server. Eseguire la procedura seguente per modificare il livello di autenticazione di un server, una directory o un file.
Per impostare l'autenticazione a qualsiasi livello
In Pannello di controllo fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic sullo snap-in IIS.
Individuare l'icona della pagina ASP e quindi aprire le proprietà per il livello da impostare, che può essere server, directory o file.
Nota
Le impostazioni di autenticazione si trovano nella scheda Sicurezza directory o Sicurezza file del foglio Proprietà.
Impostazione di autenticazione
Per gli script ASP WMI, la combinazione di autenticazione anonima disattivata (deselezionata) e l'autenticazione di Windows integrata attivata (selezionata) offre una maggiore opportunità di impostare la sicurezza. Per usare NT LAN Manager (NTLM), Passport o Le impostazioni di autenticazione IIS digest, è necessario attivare i privilegi di abilitazione remota, perché l'utente viene considerato come identità di rete e registrato in remoto. L'impostazione di abilitazione remota non è necessaria per l'autenticazione Anonima e Basic. Tuttavia, il sistema è molto meno sicuro quando si usa l'autenticazione Anonima e Basic.
Se l'autenticazione anonima viene usata con o senza autenticazione di Windows integrata, l'approccio più sicuro consiste nell'usare un accesso che richiede a un utente di immettere un nome utente e una password. L'accesso predefinito è l'identità IIS, ma è possibile creare un accesso usando autorizzazioni specifiche adatte agli script ASP WMI che possono essere usati come account per le connessioni anonime o guest.
Se si sceglie un identificatore di accesso che non è un'identità IIS, deselezionare la casella di controllo Consenti iis per controllare la password e immettere la password corretta. In questo modo tutte le connessioni anonime o guest possono usare l'identificatore di accesso. Creando un accesso separato dall'identità IIS, i privilegi di un account che accede a WMI possono essere controllati senza influire sulle altre directory o file nel server IIS, a meno che l'autenticazione non sia impostata a livello di server.
Eseguire la procedura seguente per impostare i requisiti di autenticazione per la pagina ASP usando lo snap-in IIS nella Pannello di controllo.
Per accedere all'impostazione dell'account
In Pannello di controllo fare doppio clic sull'icona Strumenti di amministrazione, aprire lo snap-in IIS, individuare la pagina ASP e aprire le proprietà del livello da impostare, che possono essere server, directory o file.
Le impostazioni di autenticazione sono disponibili nella scheda Sicurezza directory o Sicurezza file del foglio Proprietà .
Nell'area Autenticazione anonima fare clic su Modifica.
Se viene selezionato un identificatore di accesso diverso dall'identità IIS, deselezionare la casella di controllo Consenti iis per controllare la passworde immettere la password corretta. In questo modo tutte le connessioni anonime o guest possono usare l'identificatore di accesso.
Usando un accesso diverso dall'identità IIS, i privilegi dell'account che accedono a WMI possono essere controllati senza influire sulle altre directory o file nel server IIS, a meno che l'autenticazione non sia impostata a livello di server.
La configurazione precedente consente al server IIS di usare l'autenticazione anonima in alcune aree e l'autenticazione integrata di Windows o l'autenticazione mista in altri.
Protezione
L'ultima considerazione per la configurazione del server IIS è la protezione da usare durante l'esecuzione di un'applicazione ASP.
È possibile impostare un ASP per eseguire quanto segue:
In-process to IIS (protezione bassa).
Esterno a IIS con Dllhost.exe come in pool o out-of-process (protezione media in pool).
Self-of-process self-host (protezione elevata).
Nota
Per il migliore equilibrio tra sicurezza e prestazioni, usare l'host in pool.